Deze keer praten we in een Q&A met de architect van een nieuwe opleidingstrack waar hard aan gewerkt wordt, Piet Donga, over zijn passie voor Resilience Management.

We kennen je als voormalig Information Risk Manager ING en als actief commissievoorzitter bij de NEN Norm Commissie Informatiebeveiliging, Cybersecurity & Privacy (o.a.NL SC27 standards committee).

Kun je wat meer vertellen over wie je bent en wat je ervaringen zijn?

Na eerst vele jaren in IT Audit gewerkt te hebben bij de AMRO Bank en ING Bank, ben ik in 1987 overgestapt naar Informatiebeveiliging bij ING. In dit werkgebied heb ik diverse rollen gehad uiteenlopend van security systeemontwerper en architect tot internationaal programma manager en afdelingshoofd. In 2001 heb ik aan de basis gestaan van de Global Information Risk Management afdeling en ik was tot mijn pensionering dit jaar bezig met IRM-strategie, -beleid, -methoden en -technieken. Daar hoorde ook de verantwoordelijkheid voor interne IRM-opleidingen bij.

Wat is jouw rol voor de Security Academy en hoe ervaar jij de samenwerking met de diverse deskundigen?

Voor de Security Academy ontwikkel ik op dit moment de opleidingstrack Resilience Management, te beginnen met de opleiding Resilience Management Practitioner. Hierbij werk ik binnen de Security Academy nauw samen met de vaste medewerkers en de ontwikkelaars en docenten van de andere opleidingen, zoals voor Information Security Management. Dit gebeurt heel constructief en met goede, diepgaande discussies.

Gezien jouw kennis en ervaring, wat zie je als de belangrijkste ontwikkelingen in de markt en welke behoeftes signaleer jij bij met name grotere organisaties?

Door de digitalisering en toenemende wederzijdse afhankelijkheid van organisaties, gekoppeld aan een steeds meer onzekere en onvoorspelbare wereld, ontstaat er een grote behoefte aan mensen kennis en ervaring om aan al die nieuwe bedreigingen iets te kunnen doen. Het besef dat er iets gedaan moet worden is er (“ze zijn bewust onbekwaam”), maar de leiding van de organisaties zit met de vraag waar te beginnen en wat effectief is. Zo hebben ook de grote organisaties moeite om de basis qua beveiligings- en controlemaatregelen effectief in te regelen. Laat staan extra weerbaarheids- en veerkrachtmaatregelen waar klanten, business partners, overheden en regelgevers om vragen. Ik zie dan ook zelfs bij grote organisaties een groot gebrek aan deskundig personeel dat deze transitie kan begeleiden.

Risk Management vs Resilience Management

Het lijkt wel of “weerbaarheid” het modewoord van het moment is. Waarom is dit in jouw ogen echt een belangrijke verandering in de manier van werken en niet alleen een nieuw buzzword?

In de digitale economie zijn informatie en systemen van cruciaal belang. Klanten, businesspartners en de maatschappij (en dus ook de politiek) eisen daarom een steeds hogere betrouwbaarheid en beschikbaarheid van de (digitale) diensten van een organisatie. Weerbaarheid is dus geen buzzword, maar een eis om als organisatie te overleven en te blijven groeien.

Bij het ontwerp en inrichting van die diensten is het daarom noodzakelijk dat in de organisatie, processen en systemen weerbaarheid vanaf het begin wordt ingebouwd en daarna dynamisch worden aangepast. De ontwikkelingen gaan te snel om achteraf weerbaarheid te kunnen inbouwen, nadat een incident heeft plaatsgevonden.

Een organisatie kan niet meer solitair dynamisch inspelen op de ontwikkelingen. Ook maatregelen die een organisatie alleen neemt, zijn niet altijd toereikend. Als onderdeel van een ecosysteem zal de organisatie steun moeten zoeken bij partners om het gehele risicolandschap te kunnen overzien voor het vinden van adequate risico beperkende maatregelen.

Wat is eigenlijk het verschil tussen Risk Management en Resilience Management?

Risk Management is een van de onderdelen van Resilience Management. Traditioneel gaat Risk Management uit van voorspelbare bedreigingen en scenario’s, bekende of van te voren vast te stellen kwetsbaarheden, en veelal gestandaardiseerde controlemaatregelen. Om vast te stellen wat er moet gebeuren wordt in een cyclisch proces vastgesteld wat er binnen het bedrijf moet gebeuren. In de hierboven geschetste nieuwe wereld zijn er echter ook oncontroleerbare risico’s waar iets aan gedaan moet worden. Dus moeten medewerkers, processen, systemen en faciliteiten weerbaar gemaakt worden voor het onverwachte en moeten er maatregelen komen die zorgen dat het bedrijf de veerkracht heeft om snel weer te kunnen draaien, nadat er een ernstig incident heeft plaatsgevonden. Resilience Management neemt, naast traditioneel Risk Management, ook het managen van externe (oncontroleerbare) risico’s of andere disruptieve gebeurtenissen mee. Daarom wordt Resilience Management ook wel Next-Generation Risk Management genoemd.

Die nieuwe opleiding Resilience Management Practitioner gaat in maart 2018 van start. Maar als goed opgeleide riskmanager leer ik toch niets nieuws in deze cursus? Of is er een andere doelgroep voor deze opleiding?

Het mag hopelijk duidelijk zijn dat naar aanleiding van het antwoord op de vorige vraag, er ook bij de riskmanager behoefte zou moeten bestaan om zijn/haar kennis en vaardigheden te verbreden tot die van een complete resilience manager. Dit geldt mijns inziens ook voor CISO’s, ISO’s, en BCM-ers.

Komt er ook nog een vervolg c.q. een verdieping op dit traject?

Het plan is om voor mensen die zich verder willen bekwamen nog meer diepgang aan te bieden in een later te organiseren Resilience Management Expert-opleiding.

Wat is jouw advies op meer strategisch niveau aan al die organisaties die worstelen met de juiste wijze waarop ze hun weerbaarheid moeten vergroten?

Resilience Management-strategieën moeten worden ontwikkeld op het hoogste niveau en vereisen een integrale aanpak waar multidisciplinair wordt samengewerkt. Intern, maar ook met externe partners. Een organisatie moet de capaciteit hebben om te snel te kunnen anticiperen en reageren op veranderingen en onverwachte gebeurtenissen. Weerbaarheid en veerkracht, die capaciteiten zijn niet alleen nodig om vandaag te overleven, maar ook om in de toekomst te blijven groeien. Onderzoek heeft aangetoond dat resilient organisaties succesvoller zijn.
blijven groeien. Onderzoek heeft aangetoond dat organisaties die resilient zijn succesvoller zijn.

Share This Post!

Meest recente berichten

Blijf op de hoogte met onze nieuwsbrief

Tags

Review

Information Security Foundation:

[usr 3.5]

Gebasseerd op 35 klantreviews

Blijf up-to-date over al het Security Academy nieuws, events en opleidingen

Schrijf uzelf in via onderstaand formulier