Effectief risicomanagement met de focus op gebruiksgemak en bewustzijn.

Risicomanagement met SureSight

SureSight is risicomanagementsoftware voor de gehele organisatie en geeft o.a. inzicht in risico’s en kansen op het gebied van informatiebeveiliging, kwaliteit en privacy. Met eenvoudige grafische overzichten en filters wordt het mogelijk om maatregelen en processen van de organisatie in kaart te brengen, te prioriteren en te beheren.

Effectief risicomanagement is alleen mogelijk als vanuit de context van de organisatie gekeken kan worden naar interne en externe dreigingen en alle stakeholders betrokken worden bij de risicoanalyse. SureSight is een applicatie die het risicobewustzijn van uw medewerkers vergroot en bijdraagt aan het leren kennen van het risicoprofiel binnen de organisatie.

SureSight is gebruiksvriendelijk en biedt een organisatie risicomanagement met gemak.

Video afspelen

Risicomanagement voor de hele organisatie

Risicomanagement is in veel organisaties een feestje van de IT-afdeling. Zij stellen lastige vragen in de organisatie en dit kan tot weerstand leiden. Logisch, want uw andere medewerkers hebben hun eigen taken, verantwoordelijkheden en deadlines. Hoe laat je risicomanagement leven in de organisatie? Door medewerkers actief te betrekken!

In onze risicomanagement app, SureSight, zijn medewerkers makkelijk te koppelen als eigenaar van een risico dat bij hun portefeuille past. Zij krijgen de verantwoordelijkheid en bovendien de gelegenheid om hun aandeel in de risicoanalyse in te vullen en beheren wanneer het hen uitkomt.

Zo werkt iedereen pragmatisch en super efficiënt samen aan de risicoanalyse (bijvoorbeeld voor ISO 27001 of NEN 7510), de Verklaring van Toepasbaarheid (VVT), maatregelen én het risicobeheersplan!

SureSight bevat tools voor:

Contextanalyse organisatie

De contextanalyse is de eerste stap in SureSight. Hier wordt een totaalbeeld van de omgeving waarin de organisatie werkzaam is gecreëerd. Door alle contextgroepen te doorlopen en relevante vragen te beantwoorden, worden de belangrijkste afhankelijkheden en continuïteitsrisico’s van de organisatie zichtbaar. Hierdoor wordt de risicoanalyse afgestemd op de eigen organisatie.

Bepaal het risicoprofiel met bedrijfskundige vragen.

Stakeholderanalyse

Na de contextanalyse volgt de stakeholderanalyse. In de stakeholderanalyse worden alle belanghebbenden van de organisatie in kaart gebracht. Denk hierbij aan leveranciers, partners of kennisgroepen. Al deze belanghebbenden worden geclassificeerd in de zogeheten stakeholdergroepen. Op deze manier wordt in één opslag duidelijk welke rol de stakeholder vervult. Per stakeholdervraag wordt wederom aangegeven of deze een risico voor de organisatie vormt ja of nee. De grootte van dit risico is afhankelijk van de eisen die de organisatie stelt aan de betreffende stakeholder.

Welke stakeholders beïnvloeden risico's & hoe?

Risicoanalyse ISO 9001 en meer

De derde stap in SureSight is de uitvoering van de risicoanalyse. In de risicoanalyse zijn, afhankelijk van de norm waar de organisatie zich aan wil committeren, een tal van risico’s voorgedefinieerd. Denk hierbij aan bijvoorbeeld de ISO 27001, NEN 7510 of AVG. De risicoanalyse geeft per control uit de betreffende norm de verschillende risico’s weer. Op deze manier geeft de risicoanalyse niet alleen risico’s en kansen weer, maar draagt het ook enorm bij aan de implementatie van de norm. Logischerwijs komen hier ook de risico’s uit de context- en stakeholderanalyse terug.

Risico’s worden gewogen op basis van kans maal impact. Door deze een cijfer van 1 (zeer laag) tot 5 (zeer hoog) te geven, ontstaat uiteindelijk het risicocijfer. Naast het geven van een cijfer, dwingt SureSight de gebruiker om het risico te onderbouwen. Op deze manier is voor alle belanghebbenden inzichtelijk waarom een risico een bepaalt risicocijfer krijgt. Nadat een risico is gewogen, wordt deze getoond in de heatmap. De heatmap geeft op overzichtelijke wijze alle hoge en lage risico’s weer.

Beantwoord per risicogroep de risicovragen en motiveer de kans en impact.

Zoals gezegd worden alle risico’s in de heatmap weergegeven. SureSight geeft de organisatie de mogelijkheid om zelf de baseline te bepalen. Zijn risico’s met een risicocijfer van 12 of hoger onacceptabel? Dan geeft SureSight door middel van een filter duidelijk weer welke risico’s gemanaged moeten worden.

Voldoe aan de ISO standaard met de ingebouwde flow.

Maatregelen, kansen en bedreigingen

Nadat alle risico’s zijn gewogen, worden maatregelen gekoppeld. Net zoals er een tal van risico’s zijn voorgedefinieerd, biedt SureSight ook een lijst met voorgedefinieerde maatregelen. Deze sluiten aan op het betreffende risico en zijn ingericht op basis van de norm waar de organisatie zich aan committeert. Sluit de maatregel niet volledig aan op de organisatie? Dan kunt u gemakkelijk zelf een nieuwe maatregel definiëren. Doordat de gedefinieerde maatregelen aansluiten op de norm, vormt de risicoanalyse direct een implementatieplan van de norm.

Nadat de maatregelen zijn vastgesteld, wordt de einddatum en de eigenaar bepaald. Voeg een mailadres en de eigenaar krijgt direct een mail met toegang tot zijn of haar risico’s. Door de onderbouw van de kans en impact, is de eigenaar goed in staat om de context van het risico te begrijpen.

Neem door ons geselecteerde maatregel of voeg er zelf één toe.

Na het uitvoeren van een maatregel, wordt een risico opnieuw beoordeeld om de risicoanalyse actueel te houden en de effectiviteit van de maatregelen vast te stellen. Is de maatregel effectief gebleken? Dan wordt het risico verlaagd naar een acceptabel niveau en worden de risico’s boven de vastgestelde baseline geminimaliseerd.