Security (b)log: Trek in risico

“Guten Appetit!”, wensen Duitstaligen elkaar als ze gaan eten. Appetit vertaalt zich in ‘eetlust’, ze wensen elkaar dus een goede eetlust toe (opdat de bordjes straks leeg mogen zijn).

Vakbroeders, die zich net als ik regelmatig met risicoanalyses bezighouden, snappen waarschijnlijk al dat ik het hier ga hebben over risk appetite. Dat heeft niks met eten te maken, maar is een maat voor hoeveel ‘trek’ een organisatie in risico’s heeft. In goed Nederlands heet dat ‘risicobereidheid’. Hoeveel risico ben je bereid te nemen?

Misschien denk je dat een organisatie per definitie een lage risicobereidheid heeft of hoort te hebben. Toch is dat niet zo. Het hangt er sterk van af in welke business je zit. Een organisatie met veel privacygevoelige gegevens en de onderzoeksafdeling van een hightechbedrijf zijn doorgaans risicomijdend, wat betekent dat ze maar weinig risico willen nemen en dus veel (vaak kostbare) preventieve maatregelen treffen om zich ertegen te beschermen (ook wel mitigerende maatregelen genoemd). De verkoopafdeling van datzelfde hightechbedrijf kan er echter een heel andere risicobereidheid op nahouden. Denk bijvoorbeeld aan een bedrijf dat mobieltjes maakt. Die apparaatjes hebben een vrij korte time to market – er komen om de haverklap nieuwe modellen uit om de hongerige klandizie ter wille te zijn. Men kiest er dan voor om veel risico’s niet af te dekken, omdat dat teveel tijd en geld kost.

En dan is er nog de neutrale risicobereidheid, waarbij vooral wordt gewerkt met signalerende en correctieve maatregelen en waarbij de kosten en de baten ongeveer gelijk opgaan. Deze strategie zou je kunnen toepassen in een organisatie waar het niet heel erg is als de beschikbaarheid, integriteit of vertrouwelijkheid van gegevens geschaad wordt, maar waar je de boel achteraf wel moet kunnen rechtbreien. Ik zou me kunnen voorstellen dat het voor een schroevenfabriek niet zo heel erg is als er tijdelijk iets mis is met de administratie van geproduceerde schroeven, en dat daar dan ook niet massief wordt ingezet op preventieve maatregelen. Als de administratie aan het einde van de maand maar weer klopt.

Ik hintte er al naar: het is natuurlijk een kwestie van geld. Preventief is duur en een deel van die kostbare maatregelen zal nooit tot inzet komen (wanneer heb jij voor het laatst je airbag gebruikt?), waardoor een risico-eigenaar ervoor kan kiezen om het risico te accepteren. Niets doen is goedkoop (en gemakkelijk), maar kan je duur komen te staan. Belangrijk is dat er een weloverwogen keuze wordt gemaakt door de functionaris die daartoe bevoegd is. In grote organisaties kan het nog wel eens moeilijk zijn om die risico-eigenaar te vinden. Is het een teammanager? Een afdelingshoofd? De directeur? De business? Het is niet alleen een kwestie van hiërarchie, maar ook van functioneel op de juiste plek zitten. Je wilt niet dat “zomaar iedereen” risico’s kan accepteren, maar je wilt ook niet dat risico’s worden geaccepteerd door iemand die te ver van de materie af staat.

Risk appetite kun je visualiseren in een heatmap. Dat is een grafiek met langs de ene as de kans op een gebeurtenis en langs de andere as de impact/schade die het optreden van die gebeurtenis veroorzaakt. In het voorbeeld hiernaast is gekozen voor een bepaalde toedeling. Door met de kleuren te schuiven, verandert de risk appetite. Ga er gerust van uit dat risico’s die rood scoren worden aangepakt en dat met alle andere niets gebeurt. Dus hoe groter het rode gebied, hoe lager de risicobereidheid. En hoe minder rood, hoe meer durf.

Risicobereidheid speelt niet alleen in organisaties. Ook in je privéleven heb je ermee te maken. Ikzelf ben van nature risicomijdend, en dat botst soms als je een tienerzoon hebt die freerunning een leuk tijdverdrijf vindt. Gelukkig doet hij (nog) niet de heftige dingen die hij me soms op Youtube laat zien en waarbij ik het gevaar meteen aan mijn water voel. Toen hij jonger was, voelde ik mij de risico-eigenaar en verbood ik menige geplande actie. Naarmate hij ouder wordt, verschuift het risico-eigenaarschap naar hemzelf en vraagt hij bij twijfel om advies.

Risk appetite, ook goed voor thuis. Eet smakelijk.

In verband met vakantie verschijnt er volgende week geen Security (b)log.