“Leer uzelf beter kennen… en definieer een risicomatrix!”

“Als ik een ICT-verantwoordelijke met grote stelligheid hoor beweren dat zijn technisch team de risico’s perfect controleert, dan vrees ik het ergste!” Volgens Pierre Noël, World Wide IBM Executive Risk Management & Information Security, hebben IT-directies vaak een te beperkte visie op de veiligheid: een puur technologische aanpak die de operationele risico’s verwaarloost.

Wie onveiligheid zegt, zegt risico’s. De externe risico’s zoals IT-fraude en gerichte software-aanvallen werden sterk gemediatiseerd, maar men moet vermijden dat men door de bomen van de virussen en andere hackers het bos van meer courante problemen met vaak een oorzaak binnen het bedrijf, niet meer ziet. “Bovendien zijn 87% van de incidenten met een interne oorsprong niet toe te wijzen aan de werknemers”, vervolgt Pierre Noël, “maar aan verantwoordelijken – beheerders, managers van Business Units…” Wie is nog te vertrouwen!

In de meeste gevallen gaat het niet om een kwaadwillig opzet, maar om gebruiksfouten die te vaak – dagelijks – voorvallen om nog met precisie becijferd te worden. Daarna komen de interne pannes, de fysieke ongevallen, beschadigingen van materiaal… “Achter de incidenten schuilen vaak mensen die in de meeste gevallen niets hebben met het profiel van een hacker. En als ze een fout begaan, is dat meestal niet met de intentie om schade te berokkenen… Laat ons het voorbeeld nemen van de modelwerknemer die van financiën overstapt naar marketing. Op een dag probeert hij uit pure nieuwsgierigheid toegang te krijgen tot de gegevens die hij voordien verwerkte. En zonder een echte kenner te zijn, slaagt hij daarin. Constaterend dat het bedrijf wankelt, waarschuwt hij zijn naasten. Zij beslissen allemaal om hun aandelen te verkopen... Wie is er in fout: de werknemer of het bedrijf? Voor mij is de belangrijkste vraag te weten hoe deze werknemer toegang heeft kunnen krijgen tot financiële gegevens terwijl hij vandaag in de marketing werkt. Een flagrant voorbeeld van hoe men tekort schiet op het vlak van het beheer van identiteiten en toegangsrechten. Het is ook een banaal voorbeeld. Volgens Gartner zijn 20% van de gegevens die verband houden met die toegangsrechten foutief.”

Technisch falen of organisatorische tekortkoming? Het onderwerp verdient enige reflectie. Volgens Pierre Noël maakt het duidelijk hoe belangrijk het voor een IT-verantwoordelijke is om meer rekening te houden met het operationeel risico. En om onder deze notie een evenement te verstaan dat te wijten is aan een ontoereikend of onbestaand proces, systeem, personeel die een materieel verlies of negatieve impact op de organisatie veroorzaakt heeft – of potentieel veroorzaakt zou kunnen hebben.

“Het is kortom de vraag de operationele bedrijfsrisico’s te kennen die rusten op de ICT-directie en te weten hoe ze op een efficiënte manier te behandelen.”

In de meeste bedrijven is deze notie van operationele risico’s nog relatief wazig. Meestal kunnen de risico’s niet beheerst worden omdat ze niet gekend zijn… Het is dus interessant om het maturiteitsniveau van bedrijven en organisaties te evalueren.

“De aanpak van de beveiliging is cyclisch”, vervolgt Pierre Noël. “Eerste stap, de perimeterbescherming – zich beschermen tegenover de buitenwereld door tools van het firewall- of antivirustype. Tweede stap, de interne bescherming – zich beschermen tegen gebruikers door autentificatietools en tools voor het beheer van toegangsrechten. Vandaag zijn de meeste bedrijven in de BeLux-zone in de consolidatiefase. Blijft de laatste stap die eruit bestaat een link te voorzien tussen de technologie en de operationele risico’s. Een aanpak die een fundamentele voorkennis veronderstelt: zich goed kennen om de goede beslissingen te nemen en de juiste keuzes te maken!”

Hoe doet men dat? Hoe, alles in aanmerking genomen, mijn risico’s verminderen? Als pragmaticus verkiest de IBM-specialist de vraag die talrijke bedrijven stellen, om te draaien: “Tegen wie wil u zich beschermen?”. En het onderwerp opnieuw te herpositioneren. Het is aan het bedrijf om te weten tegen welke ramp het zich verkiest te beschermen en om te investeren. De autoriteiten vragen het vooral rationeel te zijn, zijn aanpak te officialiseren en up-to-date te houden.

“Maar is dat het geval?”, stelt Pierre Noël. Uit ervaring kan ik u verzekeren dat weinig bedrijven een precieze kijk hebben op de operationele risico’s die ze lopen, en nog minder op de mechanismen die in werking gesteld moeten worden om ze te vermijden. Er zijn ook weinig bedrijven die weten of ze echt in staat zouden zijn om dergelijke mechanismen te implementeren… Mijn eerste advies is dan ook: leer u kennen, definieer een matrix met uw risico’s!”

Een matrix om ze te definiëren. Welke risico’s wil men kortom elimineren? Welke risico’s verminderen? En welke risico’s… aanvaarden? Want laat ons onszelf niets voorspiegelen, bepaalde risico’s moeten aanvaard worden vanuit het idee dat het zerorisico niet bestaat. Maar hoe doet men dat? Volgens IBM is een cruciale stap in de aanpak het opstellen van een database van de incidenten – om ze bij te houden, te evalueren, op te volgen. Aan het eind leert men of men meer incidenten, minder incidenten of minder nieuwe incidenten registreert. Men zal ook meer weten over de interpretatie ervan in termen van risicobeheer.

En daarmee staan we ver van de technologieën, zelfs als hun rol op een gegeven moment dominerend zal zijn. Laat ons ook het efficiëntieniveau proberen te meten, op basis van het aantal en de aard van de incidenten. Om dat goed te doen, moet de aanpak deel uitmaken van een reportingstrategie die als doel heeft de informatie door te geven aan wie er recht op heeft - directie, controle-instanties enz. “Dat is zonder twijfel het meest complex”, stelt Pierre Noël. “Het zit niet echt in de aard van technische specialisten om te communiceren, uit te leggen, te rechtvaardigen. Nochtans is dat het meest efficiënte middel om het managent te motiveren om te investeren…”

Even samenvatten. Een degelijke aanpak van het beheer van de operationele risico’s start met een plaatsbeschrijving om een compleet beeld te hebben van het beveiligingsniveau. Dankzij deze ‘foto’ zal men duidelijker de afwijkingen zien tegenover de doelstellingen. En de risico’s definiëren. En de corrigerende acties die zullen moeten gebeuren. Tot slot is het belangrijk de juiste prioriteiten toe te kennen aan de verschillende projecten.