Risicobeheer

Er is geen twijfel mogelijk: zijn acties zijn niet goed te praten. Maar er kunnen waardevolle lessen getrokken worden uit zijn aanpak, die ook toepasbaar zijn op SAP-beveiliging en toegangsrisicomanagement.

Een van de meest succesvolle elementen van Escobars risicobeheerstrategie was namelijk dat hij gebruik maakte van drie verdedigingslinies. Toegepast op de context van SAP-beveiliging zijn deze drie verdedigingslinies: de operationele en zakelijke gebruikers, de compliance en risico afdelingen, en de afdelingen audit en kwaliteitsborging.

Laten we elk van de verdedigingslinies en hun belang even bekijken.

De eerste linie moet onverwoestbaar zijn

Escobar creëerde een uitzonderlijke eerste verdedigingslinie. Hij ontwikkelde een netwerk van informanten in zijn stad Medellín, waardoor hij tijdig waarschuwingen kreeg over mogelijke bedreigingen uit alle lagen van de samenleving. Hij zag in dat de eerste verdedigingslinie, bestaande uit “werknemers” met een diepe kennis van hun “werkterrein en processen”, de belangrijkste was. Daarom maakte hij er de sterkste van.

Maar daar stopte hij niet. Hij had ook een tweede verdedigingslinie. Die hield in dat hij iedereen die hij nodig had omkocht. Zijn leger huurmoordenaars deed dienst als zijn derde verdedigingslinie.

De meest effectieve bescherming voor Escobar was echter zijn eerste verdedigingslinie. Het was die linie die hem meestal uit de problemen hield. Hetzelfde principe geldt voor bedrijven, ook daar moet de eerste verdedigingslinie de sterkste zijn.

De waarheid over je eerste verdedigingslinie

In de meeste organisaties wordt de eerste linie gevormd door medewerkers die al 15 tot 20 jaar voor het bedrijf werken. Zij hebben het beste inzicht in hun vakgebied en in de bedrijfsprocessen.

Deze verdedigingslinie is echter vaak de zwakste omdat organisaties niet de juiste processen, oplossingen en hulpmiddelen inzetten die hen toelaten aan risicobeheer te doen. Technische oplossingen die ontworpen zijn voor IT-personeel kunnen te complex zijn voor zakelijke gebruikers. Dat leidt tot inefficiënt of overbodig gebruik en zo wordt de eerste linie verzwakt.

Kies een bedrijfsgerichte GRC-oplossing om de eerste linie te versterken

Soterion is gespecialiseerd in bedrijfsgerichte GRC-oplossingen (Governance, Risico en Compliance) met een makkelijke buy-in van werknemers op elk niveau. De aanpak van Soterion bestaat eruit de technische GRC-taal te vertalen naar een taal die zakelijke gebruikers begrijpen. En dat vergroot hun betrokkenheid bij en deelname aan risicomanagement.

Heb je interesse om de GRC van jouw organisatie naar een hoger niveau te tillen? Stuur dan een e-mail naar Soterion via info@soterion.com of surf naar https://soterion.com/

SAP-Beveiliging & GRC Podcast

De podcast van Soterion heet ‘SAP Security & GRC’ en wil organisaties helpen in hun reis naar effectief toegangsrisicobeheer in SAP.

Aan het woord: Dudley Cartwright, de CEO van Soterion, die verschillende onderwerpen gerelateerd aan SAP-beveiliging en GRC behandelt. Hierbij geeft hij inzichten en tips van experts uit de sector, gesteund door zijn eigen jarenlange expertise in het onderwerp. De afleveringen zijn beschikbaar in audio- en videoformaat en duren tussen de 15 en 40 minuten. De podcast is beschikbaar op alle belangrijke platformen, zoals Apple Podcasts, Spotify en Google Podcasts.

Waar je de podcast vindt:

> Ga naar de Soterion-website en schrijf je in om meldingen van nieuwe afleveringen te ontvangen https://soterion.com/podcast/

> Alle afleveringen zijn beschikbaar op het Youtube-kanaal van Soterion https://www.youtube.com/channel/UCaFYqhaX0nWTOVgVO8trEUA

> Zoek ‘SAP Security & GRC’ in jouw podcast app.

Geschreven door Dudley Cartwright