Zoals in een recente blog beschreven zijn er zeven mega trends waarneembaar op het gebied van de cybersecurity. In deze blog ga ik wat dieper in op de trend naar de honger van het risico nemen, ook wel door cybersecurity experts “risk appetite” genoemd. De kern van risk appetite is dat de kansen moeten worden afgewogen tegen de risico’s. Met het WK in gedachte, je moet de grenzen opzoeken en risico's nemen om te winnen: alles of niets.
Hiermee wordt informatiebeveiliging ineens een onderwerp voor het business management. De informatiemanager is tezamen met een aantal deskundigen adviserend, het business management hakt echter de knopen door. Geen ambitie betekent, geen risico’s. Dus wil je als business management écht iets bereiken, dan kan dat niet anders dan door de risico’s op te zoeken en die zorgvuldig te managen.
De vraag is echter of we als mensheid überhaupt wel in staat zijn om objectief zonder enige vorm van onderbewuste beïnvloeding tot een besluit te komen. Zeker indien er een besluit moet worden genomen over het veilig stellen van internet-business kansen middels cybersecurity maatregelen. Dan moet worden voorkomen dat gevoel en angst te veel de overhand krijgt bij het nemen van het besluit. Vandaar dat ik in mijn dagelijkse praktijk het uitvoeren van risicoanalyses combineer met een Delphi-achtige benadering. Hierbij gebruik ik materiekennis van de werkvloer om risico op het niveau van de business en ICT-architectuur te identificeren, om hiervoor de meest doelmatige beheersingsmaatregelen te bedenken.
Het aardige van deze creatieve risicoanalyse-benadering is dat het de risicoanalist weinig tijd kost. Deze analist hoeft zich slechts te beperken tot het begeleiden en op gang brengen van een groepsproces waarin de risico’s door de business zelf worden benoemd, met kwaliteitsborging, besluitvorming en opvolging achteraf. Voor de betrokken organisaties en deelnemers aan dit proces heeft deze benadering het voordeel dat iedereen de gelegenheid krijgt geboden om het proces volledig te doorleven en kennis van de werkvloer, die over het algemeen zeer waardevol is, toe te voegen aan de risicoanalyse. Hiermee worden de risico’s veel concreter benoemd en zijn meer toegespitst op het bedrijfs- of ketenproces dat daadwerkelijk moet worden beschermd.
Uit ervaring blijkt deze methode ook nog eens uitermate schaalbaar. Daarmee bedoel ik dat deze analysemethode vrij grof aan het begin van verandertrajecten kan worden toegepast. Naarmate het verandertraject in een volgende fase beland, worden de analyses ook steeds gedetailleerder. Het grote voordeel van een grove risicoanalyse aan het begin van een verandertraject is dat resultaten van deze analyse nog kunnen worden meegenomen in ontwerpbeslissingen in de volgende fase van het project. Hiermee wordt risicomanagement voor cybersecurity volledig geïntegreerd in de projectaanpak zonder dat dit nadelige consequenties heeft voor de doorlooptijd van het project. Sterker nog, problemen later in het project worden vooraf voorkomen omdat het eindproduct inherent “resilient” is voor de risico’s die vooraf door het projectteam zijn geïdentificeerd.
Dit brengt mij bij de rol van de business-analist aan het begin van verandertrajecten in relatie tot cybersecurity. Als basisvaardigheid moet de business-analist in staat zijn om wet- en regelgeving, corporate beleid en eisen vanuit de business stakeholders met betrekking tot cybersecurity te vertalen naar concrete specificaties voor het ontwerp, ontwikkeling, test en implementatie van verandertrajecten. Naast deze basisvaardigheid moet mijns inziens de secure business-analist in staat zijn om creatieve risicoanalyses te begeleiden. Zo worden de resultaten van dit creatieve risicoanalyseproces direct vertaald in eisen en deeloplossingen, die internet-business resultaten realiseren en adequaat kunnen beschermen. Alleen door de honger naar risico te vergroten kunnen bedrijfsresultaten worden verbeterd en beschermt tegen naderend onheil.