Risicoberheidheid
Binnen risicomanagement is de risicobereidheid (risk appetite) een veel gehoorde maar tevens lastige term. Organisaties behoren het vast te stellen, maar worstelen met hoe. Ik heb daar de laatste weken over nagedacht. Dat is het voordeel van fietsen naar je werk, dan heb je daar veel tijd voor. Ik ben daarbij tot onderstaande opvatting gekomen.
Niet risico, maar impact
Organisaties zouden in eerste instantie niet op zoek moeten gaan naar hun risicobereidheid, maar naar hun impactbereidheid. Mijn redenatie is als volgt.
Het vaststellen welk risico je als organisatie bereid bent te accepteren is lastig, omdat in risico het element kans zit. Mijn ervaring is dat kans voor velen een lastig begrip is. Het gaat over iets in de toekomst, wat het onzeker maakt, maar het is ook een veranderlijk iets. Zo kan een verandering in het politieke klimaat, de ontdekking van een kwetsbaarheid of een nieuwe actor de kans op een digitale aanval verhogen. Dat kan ertoe leiden dat de risico's die je eest bereid was te accepteren, nu niet meer accepteert. Omdat het om een inschatting gaat, speelt emotie namelijk geen onbelangrijke rol. De kans-factor is dus wat de risicoacceptatie-discussie ingewikkeld maakt en dat is naar mijn idee niet nodig.
De risico's die voor organisaties relevant zijn, zitten, gegeven de risicomatrix hierboven, op de lijn van linksboven naar rechtsonder. De argumentatie hiervoor heb ik in een eerder artikel uiteengezet. Met risico's die zich aan de linkerkant van die lijn bevinden (dus in de linkerbovenhoek van de matrix) hebben organisaties ervaring. Ze komen immers gezien hun hoge kans regelmatig voor. Gezien hun kleine impact zijn het vaak incidenten die prima door een ICT-afdeling afgehandeld kunnen worden. Ik ben dan ook van mening dat we ons als informatiebeveiligers dus moeten bezighouden met de risico's die zich van het midden tot rechtsonder op de matrix bevinden. Dat zijn risico's waar we vaak, gezien de lage kans, onvoldoende op voorbereid zijn, maar wat we gezien de impact wel zouden moeten. Risico's met een grote of zelfs desastreuze impact hebben dus een kleine tot zeer kleine kans. De keuze of zo'n risico een kleine of een zeer kleine kans heeft, is bijna niet te maken. Wat betreft kans valt er dus weinig onderscheid te maken tussen acceptabel en niet acceptabel. Wat overblijft is dus impact. Dat je risico's met een grote of desastreuze impact onacceptabel vind, zal logisch zijn. Zo wil niemand een incident waardoor de gehele organisatie langdurig plat ligt.
Vaststellen wat qua impact wel en wat niet acceptabel is, zal als het goed is in lijn zijn met de resultaten van een business impact analysis (BIA). De BIA is wat mij betreft dan ook een prima vertrekpunt voor wat uiteindelijk je risicobereidheid zal zijn.
Kosten als selectiecriterium
Een belangrijke afweging bij het doorvoeren van mitigerende maatregelen zijn de kosten voor de maatregelen. De belangrijke vraag daarbij is of het het waard is. Wegen de kosten en de moeite van het implementeren van een maatregel op tegen het risico dat daarmee gemitigeerd wordt? Stel, een organisatie heeft bepaald dat een organisatiebrede ransomware-uitbraak onacceptabel is. Wat als de kosten van het nog verder segmenteren van het netwerk hoger zijn dan wat de organisatie kan en/of wil betalen? Dan heb je twee mogelijkheden. Of je gaat opzoek naar goedkopere alternatieve maatregelen of je accepteert alsnog het restrisico. Een risico is immers nooit naar nul te brengen. Je hebt daarmee ook tevens je risicobereidheid te pakken.
Kans als prioritering
Door in eerste instantie dus puur naar impact te kijken, is het vaststellen van wat wel en wat niet acceptabel is naar mijn idee eenvoudiger. Als iets niet acceptabel is, dan kan de discussie of iets nou echt zal gebeuren achterwegen gelaten worden. Alles wat een incident met die impact op geloofwaardige wijze mogelijk maakt, gaan we dus niet doen. Iedere maatregel die de kans of impact van zo'n incident verkleint, gaan we dus serieus bekijken. De kans op een incident is daarbij slechts de prioritering van de door te voeren maatregelen. Let daarbij ook op wat de kans in potentie kan worden. Wat als een zero-day exploit bekend wordt voor een bepaald systeem? Wat als de relatie met bijvoorbeeld Rusland of China verslechtert, ben je een organisatie waar zo'n land dan snel haar pijlen op richt? Is je organisatie werkzaam in een sector die te maken kan krijgen met activisme? De enige manier om dat soort risico's duidelijk te krijgen is door middel van risicoanalyses en over de resultaten intern het gesprek aan gaan. Daarbij kan je geen foute keuzes maken, want niemand kan de toekomst voorspellen. De enige fout die je kan maken is risico's bewust negeren, omdat je het nemen van een beslissing daarover lastig vindt. Risicoacceptatie is denk ik in de praktijk misschien wel nog ingewikkelder dan risicobereidheid.