Cruciaal: aan de slag met risicomanagement en compliance
Cruciaal: aan de slag met risicomanagement en compliance
Veranderende wet- en regelgeving, een stevige toename aan cybercriminaliteit, er komt vandaag de dag veel op organisaties af. Hoe brengt u de belangrijkste risico’s in kaart, en hoe adresseert u deze? Arjan van der Wende, Senior Manager IT Risk Assurance, en Ronald Westerveen, Senior Manager Cyber Security vertellen het u.
Risicomanagement is volgens Van der Wende en Westerveen een belangrijk thema voor iedere organisatie. Het risico op een cyberaanval wordt steeds groter, en er worden steeds meer en strengere eisen gesteld vanuit wet- en regelgeving. Bedrijven en overheden moeten hier iets mee, maar wat heeft prioriteit? De experts zien in de praktijk een belangrijk verschil in de mate van bewustzijn op het gebied van risicomanagement en compliance.
Een relevant thema voor iedere organisatie
“Kleine bedrijven zijn zich vaak minder bewust van welke risico’s ze lopen en aan welke wet- en regelgeving ze zich moeten houden”, legt Van der Wende uit. “Ook wanneer ze zich met bijvoorbeeld een nicheproduct bezighouden, krijgen ze te maken met allerlei wet- en regelgeving. Hierdoor worden ook zij gedwongen om een stuk volwassenere positie in te nemen op het gebied van risicomanagement.”
Bij grotere organisaties is er meer bewustzijn over risico’s. Niet gek, want wanneer er iets mis gaat, zijn de gevolgen vaak nog een stuk groter. “Daarnaast moeten deze organisaties soms ook rekening houden met wet- en regelgeving waaraan stakeholders moeten voldoen”, zegt Westerveen. “Je hebt namelijk te maken met ketenverantwoordelijkheid bij de partijen waarmee je zaken doet.”
Van totaalanalyse naar zelflerende organisatie
Risicomanagement start bij het inzicht waar de risico’s binnen uw organisatie precies zitten. “Daarom starten we altijd met een totaalanalyse en kijken we aan welke wet- en regelgeving de organisatie en de klant moet voldoen”, legt Van der Wende uit. Volgens Westerveen is het cruciaal om het bovendien hele productieproces onder de loep te nemen. “Het is verstandig om deze sessie te laten leiden door een derde. Deze persoon kan onafhankelijk kijken naar de verschillende risico’s.”
Na de totaalanalyse is het zaak om iedereen binnen de organisatie bewust te maken van de risico’s. Medewerkers begrijpen daardoor beter waarom er bepaalde beveiligingsmaatregelingen nodig zijn. Zorg er echter wel voor dat de maatregelen goed aansluiten bij de cultuur op de werkvloer. “Je moet het risico afdekken, maar het tegelijkertijd werkbaar houden”, legt Westerveen uit. “Juist door medewerkers te betrekken bij risicomanagement maak je het onderdeel van hun werkwijze. Vaak leidt deze aanpak tot een zelflerende organisatie met medewerkers die adequaat reageren op nieuwe risico’s.”
Van risicomanagement naar compliance
De volgende stap is aantoonbaar ‘in control’ zijn. Als uw organisatie voldoet aan alle vereiste wet- en regelgeving wilt u dat kunnen laten zien, oftewel: u wilt compliant zijn. “We zien bij onze nulmetingen weleens organisaties die goed bezig zijn met informatiebeveiliging, maar toch slecht scoren op de internationale standaard (red: ISO27001). Een goed beeld krijgen van waar je aan moet voldoen – nu én in de toekomst – is lastig. Gelukkig heb je daar consultants voor”, zegt Westerveen.
Een gecentraliseerde aanpak
Van der Wende en Westerveen raden organisaties in sectoren met sterke regulering aan om intern centraal te inventariseren aan welke regels er moet worden voldaan. “Zo zie je precies wie verantwoordelijk is voor welk onderdeel en waar er overlap zit. Nieuwe wet- en regelgeving kan zo bovendien snel worden omarmd”, stelt Westerveen.
Een manier om dat te doen is via een geïntegreerd framework. Er zijn verschillende hulpmiddelen waarmee u zo’n framework kunt automatiseren. “Deze helpen u om nog meer compliant te worden”, legt Van der Wende uit. “Een hulpmiddel kan herinneringen sturen zodat men elk kwartaal naar een bepaald beveiligingsmechanisme kan kijken. Ook kan het bijvoorbeeld een reminder sturen om jaarlijks met een softwareleverancier om tafel te gaan.”
Meer over risicomanagement en compliance lees u hier. Direct aan de slag met de beveiliging van uw organisatie? Doe onze gratis cyberscan via onderstaande button.