Strategie

Oude auto, nieuwe les

Waarom informatieveiligheid en risicomanagement niet altijd verandering betekenen

#strategie

In mijn vorige blogs had ik het al vaker over risico’s, maatregelen en waarom we soms wel iets moeten veranderen in een organisatie. Maar vandaag wil ik het eens hebben over de keren dat we juist níet moeten veranderen. Want eerlijk: in informatiebeveiliging zie ik vaak dat mensen in de actiestand schieten zodra er ergens een beetje “roest” zichtbaar wordt. Terwijl roest, net als bij de oude auto op foto die ik in mijn vakantie in Italië tegenkwam, helemaal niet betekent dat het tijd is om rigoureus te gaan verbouwen.

Deze auto stond op de weg geparkeerd en werd overduidelijk nog gebruikt. Hij had een beetje roest langs de motorkap, maar verder keurig onderhouden. Zo’n auto waar je ziet dat iemand er met liefde mee rijdt. Niet nieuw, niet perfect, maar wel geliefd.

En precies dát is een mooie metafoor voor informatiebeveiliging en risicomanagement. Want iets vervangen omdat het oud is, is nog geen reden. Je vervangt iets omdat het risico dat je loopt niet meer past bij jouw risk appetite.

Oude auto, nieuwe les

Stel je voor dat je een automonteur bent die naar deze auto kijkt:“Ja, eh… hij is wat ouder. En daar zit wat roest. Ik zou ‘m maar volledig laten restaureren.”

Maar als die auto verder technisch prima is, betrouwbaar start, en de eigenaar er elke week zonder gedoe mee naar werk ga — waarom zou hij dan duizenden euro’s investeren in een volledige restauratie?Niet omdat iemand vindt dat het zou moeten, maar omdat het risico te groot is. En dat is hier simpelweg niet zo.

Precies dit gaat soms ook in organisaties mis:

  • software die al jaren draait en nog updates ontvangt
  • processen die stabiel zijn
  • systemen die weliswaar “niet modern” zijn, maar functioneren als een zonnetje

Dan komt er iemand binnen (vaak een externe) die roept: *“Maar het is oud! We moeten vernieuwen!”*Nee.We moeten beoordelen.

Veranderen om het veranderen? Liever niet.

Verandering kost geld, tijd, aandacht en focus. En soms zelfs stabiliteit.Een maatregel die niet nodig is, is geen maatregel — het is ballast.

Wat wél nodig is: het risico scherp hebben.Net als bij die auto stel je jezelf de vraag:

  • Hoe groot is de kans dat het misgaat?
  • Wat is de impact als het misgaat?
  • Past dat bij wat ik acceptabel vind als ondernemer?

Zo simpel blijft risicomanagement, hoe ingewikkeld sommige consultants het ook graag maken.

Wanneer moet je wél iets doen?

Soms blijkt dat roestplek toch een gat te worden. Soms blijkt software zó verouderd dat er geen updates meer komen. Soms ontstaat er een kwetsbaarheid die je business raakt.

Dan ga je van “monitoren” naar “handelen”.Niet omdat het oud is.Maar omdat het risico dat je loopt groter is dan wat jij acceptabel vindt.

De kunst is onderscheid maken

De kunst van goed beveiligingsbeleid is niet een lijst vol maatregelen.Het is kunnen uitleggen waarom je iets niet verandert. En dat doe je door je risico’s in kaart te brengen en te beoordelen.

Dat klinkt contra-intuïtief.Maar het is het hart van informatiebeveiliging:je beperkt risico’s — niet de wereld.

En als iets nog prima voldoet, zoals deze oude auto met die charmante plek roest? Dan laat je het lekker zoals het is. Je blijft monitoren. Je blijft alert. Maar je haalt het niet onnodig uit elkaar.

Dat is volwassen risicomanagement. Niet altijd méér doen, maar vooral het juiste doen. En soms betekent dat: handen thuis. Auto starten. Door blijven rijden.

Klaar met lezen?

CISO Essentials helpt je je gedachten te vertalen naar een concrete aanpak — zonder dure tools of een fulltime CISO.

Intake aanvragen
Alle artikelen