Programma manager

Implementeren van een risicomanagementprogramma

Een implementatie van een risicomanagementstrategie voor digitale risico’s is niet eenvoudig. Er zijn verschillende risicobeheerkaders om uit te kiezen en hebben gemeenschappelijke principes, waaronder het concept van het omgaan met risico’s dat een levenscyclusproces is, een periodieke beoordeling en continue verbetering.

Zowel interne als externe factoren zullen van invloed zijn op welk risicobeheerkader moet worden aangenomen en hoe het zal worden geïmplementeerd. Het toepassen van een risicomanagementraamwerk in een organisatie vereist een goed begrip van de missie, doelstellingen, strategieën, culturen, praktijken, structuur, financiële toestand, risicobereidheid en niveau van ondersteuning van het uitvoerend management van de organisatie.

Externe factoren die de selectie en implementatie van een risicobeheerkader zullen beïnvloeden, zijn onder meer markt- en economische omstandigheden, toepasselijke regelgeving, geografische operaties, klantenbestand / type en het sociale en politieke klimaat. Specifieke kaders worden verderop in deze sectie besproken.

Nadat een raamwerk is geselecteerd, kan de risicomanager beginnen met het ontwikkelen van een gedegen risicomanagementstrategie. Managers zullen een of meer gap-analyses moeten uitvoeren om de huidige status beter te begrijpen, zodat ze adequate plannen kunnen ontwikkelen om de gewenste toekomstige status te definiëren, te documenteren en te markeren. Omdat geen enkele manager een compleet repertoire van kennis en kunde heeft, zijn er veel externe middelen beschikbaar om hun kennis aan te vullen en om directe hulp te bieden.

Risicomanagementstrategie De doelstellingen van een risicomanagementstrategie zijn het identificeren van alle geloofwaardige risico’s en het terugbrengen tot een niveau dat acceptabel is voor de organisatie. Het aanvaardbare risiconiveau houdt over het algemeen verband met deze factoren:

* Risicobereidheid van het uitvoerend management

* Het vermogen van de organisatie om verliezen op te vangen, evenals haar vermogen om verdedigingen op te bouwen

* Regelgevende en wettelijke vereisten

Aangezien het management of het bestuur van de organisatie haar aanvaardbare risiconiveau vaststelt (ook bekend als risicotolerantie), zal dit de implementatie en verfijning van het omgaan met risico’s en het uitvoeren van controles stimuleren. Vervolgens zullen risicobeoordelingen en risicobehandeling na verloop van tijd aanpassingen in het omgaan met risico’s en de controles veroorzaken. Dit komt omdat het omgaan met risico’s in combinatie met voortgangscontroles het belangrijkste middel zijn om risico’s te beperken en te zorgen voor gewenste resultaten, wat die ook mogen zijn.

Voor organisaties, met meerdere dochters of locaties, is het belangrijk om te overwegen deze digitale functies samen te voegen, of ze op zijn minst op elkaar af te stemmen. Zodat ze beter op elkaar aansluiten. Voor organisaties met Enterprise Risk Management (ERM) functies kan dit een gelegenheid zijn om informatierisico’s in het ERM-systeem in te voeren, zodat de algehele weergave van alle bedrijfsrisico’s informatierisico omvat.

Opgemerkt moet worden dat in veel kleine tot middelgrote organisaties risicobeheerprogramma’s afkomstig zijn van de IT-groep. Dit kan een kans zijn voor het IT-team en de manager om het bewustzijn en de zichtbaarheid te vergroten van problemen die een negatieve impact kunnen hebben op de organisatie. Een bijkomend voordeel is het onderhouden van relaties met bedrijfsleiders en af te zien van het idee dat IT en beveiliging worden gezien als de “nee” -groep en in plaats daarvan worden gezien als een versneller binnen de organisatie.

Verschillende interne en externe factoren zullen de implementatie van (risicomanagement) doelstellingen bepalen, waaronder de volgende:

* Cultuur

* Volwassenheid van de organisatie

* Beheersstructuur

* Managementondersteuning

* Marktvoorwaarden

* Regelgevende en wettelijke vereisten

* Risicobeheersystemen van derden (TPRM’s)

Alsmede alle digitale protectie, beveiligings- en controle systemen.

Organisaties zonder effectieve risicobeheerprogramma’s verwerven vaak veel van deze mogelijkheden, maar doen dit zonder eerst specifieke, relevante risico’s voor hun organisaties te identificeren. In plaats daarvan kopen ze deze oplossingen om andere redenen, waaronder de volgende:

1) Verkopers die hun oplossingen claimen, lossen de beveiligingsrisico’s van de organisatie op. Zonder echt te weten wat die specifieke risico’s zijn!

2) Beveiligingsmanagers in andere organisaties die dezelfde of vergelijkbare oplossingen kopen. (nogmaals) in de aanwezigheid of afwezigheid van goed risicobeheer

3) Artikelen in vakpublicaties die de verdiensten van beveiligingsoplossingen toelichten. Echter is er vaak voor deze artikelen betaald, waardoor enig kritische blik geen kwaad kan

Wanneer een risicomanager op basis van de bedrijfsstrategie en doelstellingen een strategie ontwikkelt en implementeert, treedt de Risicomanager op als veranderagent in de organisatie. De Risicomanager stuurt subtiel maar opzettelijk belangrijke veranderingen in de organisatie aan door veranderingen in mensen, processen en technologieën. Deze rol als veiligheidskatalysator is een voortdurende reis die een manier van leven zal worden naarmate de organisatie een risicobewuste cultuur wordt. Dit is dus geen rol die achter een bureau wordt uitgevoerd.

Risicocommunicatie Risicobeheer kan geen bedrijfsfunctie meer zijn die geheim wordt gehouden; Sterker nog de dialoog moet binnen de organisatie plaats vinden en uitgelegd kunnen worden aan de belangrijkste stakeholders, maar zeker ook aan de medewerkers binnen een organisatie. Op een manier die hen helpt de rol van (digitaal) risicobeheer in de organisatie te begrijpen. Stakeholders moeten begrijpen hoe het risicobeheerprogramma zal werken en de rol die zij daarin zullen spelen, aangezien het een effectief programma is om bedrijfsdoelstellingen te bereiken. Een belangrijke factor in het proces is stakeholders te helpen begrijpen welke impact het risicomanagementprogramma zal hebben op hun relaties met elkaar, op hun autonomie en op hoe het programma de organisatie, inclusief hun eigen banen, zal verbeteren.

Succesvol informatie delen over risicobeheer vereist dat de communicatiekanalen te allen tijde open zijn en in alle richtingen werken. Informatie risicoprogramma’s werken door middel van transparantie en dialoog. Zodat alle stakeholders begrijpen wat er op het moment in het programma gebeurt en waarom. Er zijn zeker enkele zaken in de informatiebeveiliging die vertrouwelijk moeten worden gehouden, maar over het algemeen moet informatie over digitale risico’s direct beschikbaar zijn voor alle bestuursleden, leidinggevenden, stakeholders en risico-eigenaren.

Risicobewustzijn Risicobewustzijn verwijst naar activiteiten die tot doel hebben bedrijfsleiders, stakeholders en ander personeel bewust te maken van het (digitale) risico programma van de organisatie. Net als bij programma’s voor digitaal bewustzijn, is het doel van risicobewustzijn ervoor te zorgen dat bedrijfsleiders en medewerkers zich bewust zijn van het idee dat alle zakelijke beslissingen een risicocomponent hebben en dat veel beslissingen gevolgen hebben voor het informatierisico.

Verder moeten ze zich bewust zijn van de aanwezigheid van een formeel programma voor het beheer van informatierisico’s, dat zowel een proces als technieken omvat voor het nemen van risicobewuste beslissingen.

Er is enige overlap in de inhoud en het publiek van programma’s voor digitaal bewustzijn en risicobewustzijn, dit zijn twee verschillende zaken. Ook zijn de methoden voor het communiceren van deze informatie in deze twee programma’s hetzelfde. Idealiter worden programma’s voor digitaal bewustzijn en risicobewustzijn naast elkaar ontwikkeld, zodat alle doelgroepen nuttige en bruikbare informatie ontvangen wanneer dat nodig is.

Risicoconsulting Risicomanagers spelen vaak de rol van een risicoconsulent in hun organisaties. Bij het ontwikkelen van vertrouwde relaties in het hele bedrijf worden digitale risicomanagers beschouwd als experts op het gebied van technologierisico’s die beschikbaar zijn om te raadplegen over een breed scala aan kwesties.

Hoewel dit een ad-hoc activiteit lijkt, moeten beveiligingsmanagers deze mini-consulting opdrachten behandelen als formele serviceverzoeken. Hier zijn enkele van de belangrijkste kenmerken die een goede adviseur voor informatierisico’s maken:

Vermogen om naar leiders te luisteren Vermogen om de informatie te beoordelen en hoe deze een proces of bedrijfseenheid kan beïnvloeden, en om andere gebieden in het bedrijf het probleem te identificeren kan leiden tot Een goed begrip hebben van de business, niet alleen de technologie die de Business Risk Management Frameworks ondersteunt.

Bij het bouwen van een informatierisicoprogramma moet de risicomanager processen en procedures, rollen en verantwoordelijkheden en sjablonen voor bedrijfsdocumenten ontwikkelen. Dit kan een langdurige en moeizame onderneming zijn zonder zekerheid voor succes.

In plaats van een volledig nieuw programma op te bouwen, wordt voorgesteld dat beveiligingsmanagers verwijzen naar de veelheid aan hoogwaardige risicobeheerkaders, waaronder de volgende:

* ISO / IEC 27001, “Informatietechnologie – Beveiligingstechnieken – Informatiebeveiligingsbeheersystemen – Vereisten. ” Vereisten 4 tot en met 10 in deze standaard beschrijven de structuur van een volledig informatiebeveiligingsbeheersysteem (ISMS) inclusief risicobeheer.

* ISO / IEC 27005, “Informatietechnologie – Beveiligingstechnieken – Beheer van informatiebeveiligingsrisico’s.”

* ISO / IEC 31010, “Risicobeheer – Risicobeoordelingstechnieken.”

* COSO 2017

* COBIT 5.

* RIMS Risk Maturity Model.

Er zijn op brancheniveau (ziekenhuis, aannemerij) ook geschikte beheerkaders beschikbaar. Risicomanagers kunnen bij het overwegen van bestaande kaders twee hoofdbenaderingen kiezen.

Ten eerste zal men het raamwerk kiezen dat het beste aansluit bij de praktijken van de organisatie. Daarnaast kan de risicomanager elementen selecteren uit een of meer kaders om het risicobeheerprogramma van de organisatie op te bouwen. Zoals eerder opgemerkt zijn er verschillende dingen die de beslissing beïnvloeden.

Kadercomponenten Kaders voor digitale (risico)programma hebben een gemeenschappelijke kern van componenten, waaronder de volgende:

* Programmaomvang digitaal (risico)programma * Informatierisicobeleid * Risicobereidheid/tolerantie

* Rollen en verantwoordelijkheden

* Risicomanagement levenscyclusproces

* Risicomanagementdocumentatie

* Managementbeoordeling

Risicomanagers in gereguleerde industrieën dienen de wet- en regelgeving begrijpen, zodat ze een raamwerk kunnen kiezen en een programma kunnen bouwen dat alle vereiste activiteiten en kenmerken heeft. Ten tweede, als er binnen de organisatie een Enterprise riskmanagement programma is opgezet, dan moet de risico of IT-manager overleggen met het ERM-team om te begrijpen hoe de frameworks elkaar zullen ondersteunen.

Integratie in de omgeving Om efficiënt en effectief te zijn, moet het digitale (risico)programma van de organisatie netjes en gemakkelijk passen in het bestaande beleid, de processen en de systemen van de organisatie. Het digitale (risico)programma moet bestaande structuren aanvullen in plaats van afzonderlijke structuren te bouwen.

Een Risicomanager zou bijvoorbeeld moeten overwegen om digitale (risico) modules te verwerven in een bestaand GRC-platform (governance-risk-compliance) dat wordt gebruikt voor het beheer van beleid en externe leveranciers, in plaats van een apart GRC-platform aan te schaffen voor het beheren van risico’s, zelfs als een nieuw, afzonderlijk platform het beter zou doen. In een ander voorbeeld zou de risicomanager moeten overwegen om een bestaand programma voor beveiligingsbewustzijn aan te vullen met aanvullende informatie voor informatierisico, in plaats van een volledig apart leersysteem te bouwen of te verwerven.

Het principe dat hier aan het werk is, is het gebruik van bestaande structuren en het minimaliseren van de impact op de organisatie. Een nieuw of verbeterd digitaal (risico)programma zal al ontwrichtend zijn voor een organisatie die een dergelijk programma nodig heeft – het heeft geen zin om de onderdelen van een programma ook verstorend te maken.

Het belangrijkste onderdeel van het integreren van een digitaal (risico)programma in een bestaande omgeving heeft weinig te maken met de bestaande systemen of zelfs de processen van de organisatie. In plaats daarvan is integratie in de cultuur van de organisatie de belangrijkste overweging.

Van nature zijn mensen tegen verandering, aangezien verandering die buiten onze controle ligt instinctief als slecht wordt beschouwd en onbewust of zelfs bewust tegengesteld kan zijn.

Een goede manier om een programma te introduceren is op een manier die niet opdringerig of storend aanvoelt voor de medewerkers in de organisatie, maar in plaats daarvan voelt als een welkome en noodzakelijke toevoeging die normen en waarden van de organisatie zal verbeteren.

Op een fijne samenwerking