Begrippenkader
Risicobeheer is echter pas effectief als het een integraal onderdeel is van de processen van de organisatie. Daarom moet een raamwerk gehanteerd worden dat bepaald welke de criteria rond risicoanalyses zijn, hoe het proces risicobeheer eruitziet, de methodiek en welk instrumentarium kan aangewend worden.
Het proces risicobeheerproces omvat de systematische aanpak om risico’s te identificeren, analyseren, evalueren, behandelen en monitoren, maar ook de consultatie en communicatie gedurende dat proces.
Scope, doelgroep en voordelen
Het proces risicobeheer is bedoeld voor alle typen organisaties binnen de Vlaamse overheid, ongeacht grootte en aard van de activiteiten, en is vooral gericht op organisatie-breed risicobeheer. De doelgroep van dit document is heel divers: verantwoordelijken voor risicobeheer binnen organisaties als geheel of voor specifieke onderdelen of activiteiten, maar ook personen/organisaties die erop toe moeten zien dat een organisatie haar risico’s goed beheert of de aanpak daarvan moet beoordelen.
De voordelen van toepassing van risicobeheer zijn velerlei, bijvoorbeeld het verbeteren van de corporate governance en daarmee van vertrouwen dat stakeholders in de organisatie hebben. De grotere weerstand tegen bedreigingen. Beter inzicht in de kansen voor ontwikkeling en groei. Maar ook goede besluitvorming, naleving van wet- en regelgeving, het voorkomen van calamiteiten en
business continuity.
Het proces
In het hart van het proces risicobeheer zitten de bekende stappen van het identificeren, analyseren en evalueren van risico’s verbonden aan proces, product, project of organisatie als geheel. Dit kan dus gebeuren nadat er een analyse is gebeurd op zakelijke omgeving, waarbij de scope en context zal bepaald worden, en waarbij een validatie is gebeurd naar de minimale maatregelen informatieclassificatie. Die stappen vormen tezamen de risicobeoordeling. Die beoordeling kan alleen goed worden uitgevoerd als de context en scope zijn bepaald. Die context wordt ten dele ontleend aan het hogervermelde raamwerk. Op basis van de beoordeling wordt besloten of en zo ja hoe het risico wordt ‘behandeld’. Dat kan variëren van het volledig vermijden van het risico door de activiteit waarmee het risico verbonden is
te beëindigen, via het beïnvloeden van waarschijnlijkheid op optreden of effect ervan tot en met het accepteren van het risico zonder verdere aanpassingen. Dit houdt in dat bepaalde controlemaatregelen zullen getroffen worden om het risico te behandelen. Vervolgens is monitoring en beoordeling van de ontstane situatie belangrijk om na te gaan of toegepaste beheersmaatregelen
effectief zijn of dat de context verandert waardoor de bepaalde risico’s anders moeten worden gewaardeerd en aangebrachte controlemaatregelen moeten worden aangepast. De activiteiten ‘communicatie en overleg’ zorgen ervoor dat de resultaten van specifieke risicobeheerprocessen worden gerapporteerd en geconsolideerd naar het gewenste niveau van de organisatie
Risicobeheer in het kader van informatieclassificatie
De definities van ‘beschikbaarheid, ‘vertrouwelijkheid’ en ‘integriteit’ zijn al gegeven binnen het document “Vo Informatieclassificatie – Organisatie Informatieclassificatieraamwerk”. Een programma voor informatiebeveiliging kan diverse grote en kleine doelen nastreven, maar de belangrijkste principes in een informatiebeveiligingsprogramma zijn te herleiden naar beschikbaarheid, integriteit en vertrouwelijkheid. De controlemaatregelen die op grond van deze basisprincipes gesteld worden, variëren per organisatie. Dit komt doordat elke organisatie haar eigen specifieke eisenpakket opstelt op basis van bedrijfs- en beveiligingsdoelen- en eisen.
Met behulp van het proces risicobeheer wordt binnen de Vlaamse overheid een kader gegeven om te
kunnen streven naar een uniformiteit tot het bepalen van maatregelen. Alle beveiligingsmaatregelen worden geïmplementeerd om een of meer van deze BIV-principes in te vullen. Alle dreigingen worden beoordeeld op hun potentie om één of meer van de principes rond
beschikbaarheid, integriteit en vertrouwelijkheid schade toe te brengen. Beschikbaarheid, integriteit en vertrouwelijkheid zijn dus essentiële principes voor informatiebeveiliging. Ze helpen om bedreigingen te identificeren en deze op een gepaste manier op te lossen.
...
Waarom werken volgens een methodiek?
Bij methodisch werken gaat het niet meer om intuïtief handelen, maar om een methodische en systematische aanpak waaraan voordelen zijn verbonden:
de kans op fouten neemt af omdat er meer greep is op wat er gebeurt en men verder vooruit kan zien;
zowel een ander als jijzelf weet wat er verwacht mag worden;
het eigen handelen kan beter geëvalueerd worden om zo nodig het handelen te verbeteren;
anderen krijgen een duidelijker beeld van de werkzaamheden en van datgene waarvoor men staat;
nastreven van uniformiteit.
Methodisch handelen is dus werken volgens een weldoordachte manier om op een zo effectief en efficiënt mogelijke manier het doel te bereiken dat je voor ogen hebt.
Methodisch werken heeft ook te maken met het streven naar verbetering van de kwaliteit. Methodisch werken is een vorm van procesbesturing, zoals beschreven in het document ‘‘Vo informatieclassificatie – Minimale maatregelen – Proces Risicobeheer“. Het heeft als doel iets op een beheerste, gestructureerde en gecontroleerde wijze te laten verlopen. Methodisch werken heeft vier kenmerken:
Het handelen is doelgericht en bewust: De uitvoerder weet wat hij doet (bewust) en waarom (doel)
Gericht op een concreet en vooropgesteld doel;
Continu scherp op middel en doel;
Doen wat bijdraagt aan doel, niet wat er niet aan bijdraagt;
Aan anderen uit kunnen leggen wat je doet en waarom;
Kritisch en structureel terugblikken op (eigen) handelen.
Het handelen is systematisch en dus repetitief: het verloopt volgens van te voren geplande stappen. Deze stappen zijn afgeleid van de doelstelling.
Logische stappen;
Gefaseerd werken;
Niet ad hoc of te snel conclusies trekken.
Het handelen is procesmatig: de verschillende stappen sluiten op elkaar aan. Daarbij wordt rekening gehouden met het effect dat de ene stap op de andere heeft.
De ene actie schept voorwaarden voor de volgende actie(s);
Een ‘foute’ inschatting is onderdeel, geen einde; aan anderen uit kunnen leggen wat je doet en waarom;
Kritisch en structureel terugblikken op (eigen) handelen.