Jochem Mooiman

“Niet iedere afwijking is een risico”

De juiste informatiebeveiliging is een balans bepaald door een aantal factoren en heeft voor iedere organisatie een andere invulling onder andere vanwege financiële doelstellingen, risico houding en zakelijke belangen maar ook in welke mate een omgeving nog efficiënt bruikbaar is.

Afhankelijk van de benadering, mogelijk voorgeschreven door een overkoepelende organisatie of wettelijke eisen, gebruiken organisaties een allesomvattend risico management raamwerk of een strategisch (kwantitatief) en operationeel (kwalitatief) gescheiden raamwerk. In beide gevallen zijn afwijkingen van controle standaarden, procedures of ontwerpen goed te beheersen middels excepties en mitigaties zolang een juiste risico en impact analyse is uitgevoerd en een juiste risico behandeling gekozen kan worden met instemming of acceptatie door de belanghebbende en verantwoordelijke partijen.

Bij een risicoanalyse kan men heel diep gaan en dan kan een klein detail een hele grote impact hebben. Het is mijn ervaring dat organisaties soms aandacht schenken aan details die minder relevant zijn of een afwijking proberen op te lossen met veel moeite en kosten terwijl het weinig impact heeft.