{"id":20339,"date":"2022-10-13T13:20:34","date_gmt":"2022-10-13T11:20:34","guid":{"rendered":"https:\/\/www.naris.com\/klaar_voor_de_next_risicomanagement-step-copy\/"},"modified":"2022-10-13T13:36:17","modified_gmt":"2022-10-13T11:36:17","slug":"niet_iedereen_is_een_risicomanager","status":"publish","type":"post","link":"https:\/\/www.naris.com\/nl\/niet_iedereen_is_een_risicomanager\/","title":{"rendered":"Niet iedereen is een risicomanager"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

We zeggen het zo vaak; iedereen is een risicomanager, want iedereen managet dagelijks risico\u2019s. Een flauw voorbeeld is dat we toch eerst naar links, rechts en dan weer naar links kijken wanneer we de straat oversteken. In organisaties willen we hetzelfde; dat alle managers risico\u2019s managen. Heel eerlijk denk ik dat veel managers dit automatisch doen. Maar er is \u00e9\u00e9n probleem, de enorme toename aan risico\u2019s o.a. uit wet- en regelgeving. Ook dit zijn risico\u2019s die gemanaged moeten worden. Het is echter de vraag door wie?<\/strong><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Een voorbeeld<\/h3>

We lopen steeds meer risico\u2019s op het gebied van informatiebeveiliging dat is voor iedereen helder. Vanuit bijvoorbeeld de BIO<\/a> of ISO27000<\/a> moeten deze risico\u2019s gemanaged worden. De RvB richt de governance in en benoemt een CISO. De CISO haalt uit de wet de grootste risico\u2019s en de daarbij behorende beheersmaatregelen die getroffen moeten worden. Daarna gaat de CISO de organisatie in om managers bewust te maken van deze risico\u2019s en vervolgens te vragen of de beheersmaatregelen wel aanwezig zijn. En het liefst aantoonbaar. De rapportage gaat vervolgens weer naar de RvB en alles is in control of er zijn enkele beheersing verbeterpunten. Klinkt mooi maar de praktijk is anders\u2026<\/p>

Ik noem als voorbeeld even een CISO, maar dit kan ook de privacy officer, compliance officer of MVO manager zijn natuurlijk.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Verschillende perspectieven; hoe kijken de betrokkenen naar dit risicogebied?<\/strong><\/p>

Perspectief CISO<\/h3>

Een CISO is verantwoordelijk voor het beleid rondom informatiebeveiliging.
Helaas kan de CISO niet alle risico\u2019s zelf managen. Hij heeft de organisatie nodig om informatie op te halen om te kunnen rapporteren naar directie en RvC.<\/p>

Perspectief manager<\/h3>

Een manager managet zijn inhoudelijke risico\u2019s en personeelsrisico\u2019s. Daarnaast is hij druk. Heeft verantwoording over financi\u00ebn, personeel, maar ook rondom privacy. Heeft weinig met IT-risico\u2019s. Snapt het wel, maar kan er niet zo veel mee waardoor het voorbeeldgedrag lastig is.<\/p>

Wie is nu de risicomanager?<\/h3>

Is de manager van zo\u2019n decentrale afdeling dan de beste manager van deze risico\u2019s?<\/p>

Mijn antwoord is NEE. Risico\u2019s kunnen het best beheerst worden door diegenen die er belang bij hebben. En de vraag is wie er het meest belang bij heeft. Dat is in mijn ogen de CISO, want de CISO wordt als eerste aangesproken en is degene die hier 100% van zijn tijd mee bezig moet zijn. Voor de manager is het bijzaak. Iets waar de manager als het goed is 5% van zijn of haar tijd aan besteedt. Als je vervolgens 95% van je werk goed doet kun je moeilijk daarop worden aangesproken\u2026<\/p>

Hoe dan verder?<\/h3>

De beste risicomanager is de CISO dus. Maar de CISO dient wellicht CISO-keuzes te maken. Kort gezegd: prioriteren, standaardiseren maar ook faciliteren.<\/p>

Prioriteren van de belangrijkste risico\u2019s en key controls voor de organisatie door de CISO zelf. Waarom? Je kunt niet 100 risico\u2019s de organisatie in stampen. Er moet een voorselectie worden gemaakt van de belangrijkste risico\u2019s die de continu\u00efteit van de organisatie bedreigen. De CISO dient dit te doen, want hij of zij weet er het meeste vanaf.<\/p>

Daarnaast dient hij of zij de risicomanagement<\/a> informatie te standaardiseren. Dit betekent dat er centraal risico\u2019s en controls moeten worden gestandaardiseerd, zodat ze gemakkelijk kunnen worden uitgevraagd aan de managers. Maak het ze makkelijk door zelf rechtstreeks medewerkers bewust te maken. Bijvoorbeeld door bepaalde nepmails de organisatie in te gooien.<\/p>

Conclusie<\/h3>

Niet iedereen is een risicomanager van alle risico\u2019s. Zorg dat je risico\u2019s d\u00e1\u00e1r neerlegt bij degenen die er \u00e9cht belang bij hebben en er niet mee weg kunnen komen. En als je dan risicomanager bent: faciliteer, prioriteer en standaardiseer!<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

We zeggen het zo vaak; iedereen is een risicomanager, want iedereen managet dagelijks risico\u2019s. Een flauw voorbeeld is dat we…<\/p>\n","protected":false},"author":34,"featured_media":20336,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"default","ast-site-content-layout":"","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"default","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[18],"tags":[],"class_list":["post-20339","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel"],"_links":{"self":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts\/20339","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/users\/34"}],"replies":[{"embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/comments?post=20339"}],"version-history":[{"count":10,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts\/20339\/revisions"}],"predecessor-version":[{"id":20349,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts\/20339\/revisions\/20349"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/media\/20336"}],"wp:attachment":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/media?parent=20339"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/categories?post=20339"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/tags?post=20339"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}