vrijdag 27 oktober 2017

Risk appetite

Die vrijdagmiddag zouden ze zonnepanelen komen monteren, ijs en weder dienende. Voor ijs was ik vorige week niet zo bang, maar in het weer had ik minder vertrouwen. 's Ochtends tijdens het hardlopen wist ik het zeker: dat wordt niks. Windkracht 5. Dan ga je toch niet met van die windvangers over een schuin dak lopen? En het zou ook nog gaan regenen. Onze dakpannen zijn van zichzelf al glad, kun je nagaan hoe glibberig het daar boven moet zijn als het regent.

En toch kwamen ze. Binnen drie uur – inclusief koffiepauze – was de hele installatie, bestaande uit negen panelen op het schuine dak en vier op de garage, bedrijfsklaar. Twee mannen werkten buiten, een derde verzorgde de nodige aansluitingen binnenshuis. Ach, zeiden ze zelf, we hebben altijd wel onprettige weersomstandigheden: wind, regen, kou, maar ook al te veel zon is niet fijn.

Het hangt maar net van je belevingswereld en je ervaring af hoe je met risico’s omgaat. Risk appetite noemen we dat: hoeveel ‘trek’ heb je in risico’s. Dat klinkt misschien wat raar, want wie heeft er nou zin om eens lekker risico’s te nemen? Maar als je om je heen kijkt zie je het constant gebeuren. Er zijn heel wat gevaarlijke sporten, net nog fietste iemand door rood en die zonnepanelenmonteurs hadden volgens de norm met valbeveiliging moeten werken maar liepen ‘gewoon’ los over het dak.

Bedrijven die in hoog tempo nieuwe producten in de markt willen zetten, nemen doorgaans grotere risico’s dan bijvoorbeeld financiële instellingen. Snelheid en doorwrochte deliberaties gaan nu eenmaal niet goed samen. Omdat het mee-ontwerpen en het inbouwen van beveiliging extra tijd kost,  wordt dat in sommige werelden achterwege gelaten, of slechts rudimentair uitgevoerd. En ik ben ervan overtuigd dat er vaak niet eens bij wordt stilgestaan, men denkt domweg niet aan beveiliging. Zat voorbeelden hiervan vind je in het internet der dingen: van deurbel tot waterkoker, van koelkast tot broodrooster – ze bestaan. Waarom? Omdat het kan. De bruiningsgraad van je brood instellen en een seintje krijgen als het klaar is: daar heb je een app voor. Of een smart mirror in de badkamer, die je tijdens het scheren erover informeert dat je brood klaar is.

Die ene connected toaster die Google weet te vinden werkt via Bluetooth. Wat een afknapper. Waarom geen wifi? Misschien gaat de fabrikant ervan uit dat je toch wel redelijk in de buurt blijft, waardoor het kleine bereik van Bluetooth voldoet. Waarschijnlijker is dat het kostenaspect de doorslag heeft gegeven: Bluetooth is goedkoper dan wifi. Maar je kunt erop wachten dat een volgende versie wél met wifi werkt. Voeg daar een wifi-koffiezetapparaat (dat bestaat echt) aan toe en je kunt je ontbijt alvast vanuit bed aanzetten. Maar wat jammer nou dat die keukenapparatuurfabrikanten geen verstand hebben van netwerkbeveiliging en daardoor waarschijnlijk een bres in jouw netwerk slaan. Terwijl je voordeur op slot zit, zet je de achterdeur met een dergelijk apparaat wagenwijd open.
Vier voorbeelden van heat maps

Risk appetite kun je mooi weergeven in een heat map. Dat is een matrix met langs de ene as de waarschijnlijkheid dat een gebeurtenis zich voordoet en langs de andere as de impact die dat heeft. De combinatie laag-laag resulteert doorgaans in een groen vakje, terwijl zeer hoog-zeer hoog rood kleurt. Tussen deze uitersten zitten nog een heleboel  andere vakjes die een kleur moeten krijgen en die hangt dus af van hoe je als organisatie met risico’s wenst om te gaan. Zo ontstaat een plaatje dat geleidelijk overgaat van de ‘koele’ groene gebieden (die weinig aandacht vergen) naar de ‘hete’ rode zones waar je liever niet in terecht komt – en waar je dus maatregelen voor treft. Het maken van zo’n heat map veronderstelt natuurlijk wel dat je bewust over risico’s nadenkt. Ik heb het al eerder gezegd: risico’s moet je niet lopen, maar nemen.

Ik kan op mijn smartphone zien dat onze zonnepanelen op dit moment 1,17 kW leveren. Ja, de installatie hangt aan ons wifi-netwerk. Ik heb vooraf geïnformeerd naar de beveiliging van de installatie en de leverancier had een redelijk goed antwoord van de producent klaarliggen. En voor de rest geldt ook hier dat je keuzes moet maken: wat is die functionaliteit mij waard? Ja, ik wil mijn installatie kunnen monitoren. De airco daarentegen hangt niet aan het netwerk, die hoef ik niet zo nodig vanuit kantoor te kunnen bedienen. Een tijdschakeling voldoet hier prima.

En in de grote boze buitenwereld …


... moet je oppassen dat je stofzuiger je niet bespioneert. Je stofzuiger ja.

... kunnen mensen met een zeer lage risk appetite hun Google-account nu supersterk beveiligen.

... zijn sommige apparaten juist wél veilig ontworpen.

... moeten de persoonsgegevens van domeinnaamhouders worden afgeschermd.

... kan privacywetgeving leiden tot inbreuken op je privacy.

... worden Rusland en Oekraïne geteisterd door de BadRabbit-ransomware.

... heeft BadRabbit ook al geleid tot vervelende false positive-incidenten.

... heeft inmiddels ook een gewone krant het nieuws opgepikt dat periodieke wachtwoordwijzigingen uit de mode zijn.

... kan de warrant canary met pensioen nu de gag order niet meer automatisch wordt opgelegd als een Amerikaanse opsporingsinstantie gebruikersgegevens opvraagt.

... zijn beveiligingsonderzoekers momenteel het doelwit van hackers.

... stuurt Windows 10 telemetrieberichten naar Microsoft.

... stappen veel organisaties niet over op Office 365, omdat ze bedenkingen hebben bij de veiligheid ervan. Ook organisaties die wel willen overstappen of dat al hebben gedaan zijn er niet gerust op.

... ziet ook de FBI risico’s in cloud computing.

... zijn natuurlijk ook beveiligingsapps niet foutloos.




Geen opmerkingen:

Een reactie posten