8,4 / 10
201 beoordelingen op Springest
In beveiliging, projectmanagement en beheer komt steeds meer nadruk te liggen op risicomanagement. Maar hoe doe je dat dan? Wat maakt een risicoanalyse of risicomanagementproces goed of slecht? En als je tot passende maatregelen komt, weet je dan zeker dat risico’s voldoende onder controle blijven? De praktijk leert dat voor een goede risicobeheersing véél meer kennis en vaardigheden nodig zijn dan het simpelweg kunnen uitvoeren van een methodiek.
IT-risicomanagement behelst het identificeren en kwalificeren van risico’s, het nemen van maatregelen en het bewaken of die maatregelen werken. Daarbij hoort zeker ook effectief communiceren over risico’s en maatregelen. Deze activiteiten zijn snel benoemd, maar ze bevatten elk een grote hoeveelheid aan stappen en keuzen. Uiteraard kun je een standaard methodiek gebruiken, maar dan is direct de vraag welke standaard voor jouw situatie de beste is. Onze opleiding geeft een overzicht van onder andere de ISO27000 serie, ISO31000, COBIT, FME(C)A, FTA, en IRAM, waarbij hun sterke en zwakke punten alsook hun “bouwstenen” de revue passeren.
Tijdens de training besteden we veel aandacht aan de vaardigheden om te komen tot deugdelijke maar vooral ook gedragen resultaten. Een gedegen risicobeheersing die belanghebbenden en beslissers serieus nemen en vertrouwen.
Daarnaast beschik je over de benodigde kennis om te begrijpen waarom de mensen om je heen met risico’s omgaan zoals zij dat doen. Dit stelt je in staat om bij te sturen, zodat zinnige inspanningen worden verricht die passen bij het daadwerkelijk risicoprofiel. Je voorkomt daarmee zowel lakse als overspannen reacties op risico’s.
Doordat je weet wat de cruciale ingrediënten van risicomanagement zijn en welke varianten er voor deze ingrediënten bestaan, ben je bovendien in staat om iedere willekeurige methode aan te passen aan de specifieke behoeften van jouw organisatie. Als de situatie daarom vraagt, ben je zelfs in staat om een geheel eigen methodiek te ontwerpen en uit te voeren.
Wie zich verdiept heeft in risicomanagement, kent wellicht de term kwantitatieve risicoanalyse. Uit de definitie “risico is kans maal gevolg” kun je afleiden dat een risico financieel te berekenen zou zijn. Het blijkt echter lastig om aan de benodigde cijfers te komen. Het schatten van kansen kent veel valkuilen. Bijvoorbeeld, schade aan imago of gezondheid is meestal niet in geld uit te drukken. Bovendien is de vraag hoe individuele risico’s samenhangen in een rekensom. Tijdens de opleiding bespreken we hoe je een risico systematisch kan kwantificeren en wat de beperkingen van kwantitatief risicomanagement zijn. Daarnaast leggen we uit hoe je ook voor kwalitatief risicomanagement een financiële business case kunt bouwen.
In de praktijk blijkt dat bedachte maatregelen uit een risicoanalyse vaak niet worden overgenomen door het management. Het strikt volgen van een methodiek blijkt niet te helpen; hoe komt dat nou en wat kun je hieraan doen? Hoe communiceer je over risico’s en maatregelen en zorg je dat je doelgroep het passende urgentiegevoel ontwikkelt? Als belangrijkste onderdeel zijn de psychologie en soft-skills van risicomanagement verweven door alle dagen van de opleiding. Uitleg over acceptatie van risico en de psychologische factoren die dit beïnvloeden, primaire criteria voor draagvlak en eisen aan rapportages krijgen geruime aandacht.
Dag 1: Risico management in de praktijk– De opleiding begint met de definities van risico en de factoren die risicomanagement beïnvloeden. Daarna gaan we in op IT als context voor risico management. De kwaliteit van IT producten en de kwaliteit van de processen waarin deze producten worden ontwikkeld en onderhouden zijn sterk bepalend voor de risico's die IT toepassingen in de praktijk met zich mee brengen. We gaan in op oorzaken van de risico's en op maatregelen om deze risico's te verkleinen of te voorkomen. Daarbij besteden we gericht aandacht aan agile ontwikkelprocessen en technical debt management.
Dag 2: Risico-analyse - Je zult ondervinden hoe je zelf omgaat met risico's in het cibit Risk-Management spel. Psychologische factoren spelen een belangrijke rol in hoe mensen tegen risico aankijken. Je zult ondervinden hoe snel perceptie en werkelijkheid uiteenlopen. De belangrijkste controverses komen aan bod. Vervolgens leer je aan de hand van veel oefeningen aan de hand van een praktijkcase risico’s identificeren, formuleren en analyseren. De toegepaste methode volgt de ISO31000-standaard.
Dag 3: Maatregelen - Het identificeren en nemen van maatregelen. Hierbij beschrijven we een structuur voor het identificeren van maatregelen. Daarna worden methoden gebruikt om maatregelen te prioriteren. De financiële kant van risicoanalyse komt aan bod, mede door het opstellen van business cases rond maatregelen. Hoe bepaal je de kosten van risicobeperkende maatregelen en hoe de kosteneffectiviteit?
Dag 4: Methoden en technieken – Gedetailleerde risico-analyse van IT-systemen en ketens van systemen met behulp van generieke, gestructureerde technieken. Risico-identificatie wordt zowel top-down als bottom-up benaderd, waarbij de voor- en nadelen van beide benaderingen worden besproken. Hierbij kijken we naar kwalificatie en kwantificatie van de geïdentificeerde risico's. Methodieken als fault tree analyse (FTA), failure mode & effect analyse (FMEA), IRAM en andere afgeleide methodieken komen aan de orde. Ook voor- en nadelen van kwantitatieve en kwalitatieve risicoanalyses komen aan de orde.
Dag 5: Organisatie van IT-risicomanagement – Naast het managementproces bespreken we het belang van politieke factoren en de wijze waarop de effectiviteit van risicobeheersing in de organisatie wordt gemeten. Het uitvoeren van een audit komt aan de orde, inclusief de rapportage van risico's, maatregelen en audits.
Kortom een uitgebreid programma om grondig te leren hoe je risico beheerst.
Deze opleiding is primair bedoeld voor IT professionals die meer kennis en vaardigheden op het gebied van risicomanagement willen opdoen. Denk aan beginnend en medior IT risk managers, informatiemanagers, business analisten, projectmanagers, procesmanagers, servicemanagers, compliance professionals, IT architecten en IT managers en adviseurs die opereren op het vlak van visievorming, planvorming en realisatie van de strategische inzet van IT. Voor senior IT risk managers is het interessant hun kennis en ervaring te benchmarken aan standaarden en best practices.
Deze opleiding is los te volgen maar kan ook worden gevolgd als onderdeel van het opleidingsprogramma Information Security Architect. Als deelnemer aan het programma maak je per onderdeel een werkopdracht van circa 40 uren in je eigen praktijk. Deze werkopdracht is een rapport dat voor je organisatie van praktische waarde is.
Professionals met een (ISC)² certificering krijgen 40 CPE's (accreditatiepunten) van het type A, de gehele jaarlijkse vereiste voor een CISSP certificering.
Wil je alles weten over de combinatie van risicomanagement en financieel management? Deze opleiding en de opleiding financieel management van IT vullen elkaar aan en versterken elkaar!
