Print:

Risicobeleving

Lex Borger , Consultant Information Security

LinkedIn profiel

Een vriend uit de VS was op bezoek met Pasen. Gedurende dat bezoek ga je naar Amsterdam. En één van de plekjes die je laat zien zijn de Wallen, liefst tijdens het actieve nachtleven van deze stad. Ik had dit niet van tevoren aangekondigd, zodat hij er als het ware mee geconfronteerd werd. Later vertelde hij mij dat als hij dit van tevoren geweten had, hij niet gegaan zou zijn.

“Waarom niet?” vroeg ik. Hij vertelde mij hoe twee potige vrienden van hem uit het leger jaren geleden overvallen en in elkaar geslagen waren op de Wallen. Wat in mijn belevenis een redelijk veilig stukje Amsterdam was, was voor hem een onacceptabel veiligheidsrisico. Hij zou het gemeden hebben. Hetzelfde scenario, twee hele andere risicobeoordelingen.

Zijn risicobeoordeling is psychologisch verzwaard door twee factoren. Ten eerste is hij niet bekend met de situatie. Een risico in een onbekende situatie schrikt extra af. Ten tweede, hij had te weinig incident-informatie. Dit bericht van een bezoek aan de Wallen had hij niet kunnen afwegen tegen verslagen van andere hem bekenden die daar zonder problemen hadden rondgelopen. Met ons bezoek had ik zijn kennis bijgespijkerd en zijn ervaring verdubbeld. Nu kon hij een andere afweging maken.

Risicomanagement is moeilijk. Als professionals zijn we gewend risicoafwegingen te maken op basis van modellen en bijbehorende statistieken, maar de managers aan wie we deze rapporteren zijn hier mogelijk helemaal niet bekend mee. Bovenstaande anekdote illustreert één afwijkende mening, die ervoor zo kunnen zorgen dat strikt genomen verantwoorde risico’s uit angst niet genomen worden – en de bijbehorende kansen dus ook niet gerealiseerd worden.

De andere kant is ook mogelijk. Verblind door de mogelijke kans die benut kan worden, neemt de manager te grote risico’s. Ook als hij professioneel ingelicht is over de risico’s. Hij maakt dan de inschatting dat de kosten van de mogelijke incidenten niet opwegen tegen de mogelijke positieve uitkomsten, hoe klein die kans daarop ook is.

We zijn als mens nou eenmaal niet goed in het inschatten van risico’s met kleine kansen. We schakelen dan over op impact analyses, waarbij we ons bekende uitkomsten met grote impact overdrijven in belang. Een manager heeft een beeld van grote omzetten, bij mijn vriend was dat het beeld van overvallen worden. Beide beelden zijn niet realistisch, wanneer gestaafd met ervaringscijfers.

Willen we hier als risicomanager hier wat aan doen, dan zijn er twee dingen waar we op moeten letten:
– Schat de grote risico’s statistisch goed in. Werk dus met een goed model en zorg dat alle risicomanagers met hetzelfde model werken.
– Schat de impact van risico’s met lage kans en grote impact goed in en kijk hierbij niet alleen naar de kansen van de negatieve uitkomsten, maar ook naar de kansen op de goede scenario’s. Dat laatste vergeten we soms door de focus op risico’s, waardoor we niet aansluiten bij de belevenswereld van onze opdrachtgever.

Lex Borger

Lex is een redacteur voor het vakblad ‘Informatiebeveiliging’, wat gepubliceerd wordt door het PvIB (‘Platform voor Informatiebeveiliging’). Daarnaast is hij ook trainer bij IIR van o.a. de praktijktraining Security Architectuur