Het aantal wetten en regels waaraan organisaties op het gebied van privacy en security moeten voldoen groeit gestaag. Met de bijbehorende strengere controles op hoe er wordt omgegaan met data is er een grote behoefte ontstaan aan een gestructureerde aanpak die risico’s mitigeert, rekening houdt met interne en externe wet- en regelgeving en (bestuurs)processen initieert die bijdragen aan het behalen van organisatiedoelen. Waar deze activiteiten voorheen vaak geïsoleerd van elkaar werden benaderd, moet Governance, Risk & Compliance (GRC) de oplossing bieden om bijvoorbeeld niet langer ad hoc te reageren op nieuwe regelgeving, een datalek, cyberaanvallen of bevindingen uit een audit. GRC, ondersteund door GRC-tooling, belooft een synchrone aanpak van drie gebieden, die moet leiden tot een effectievere en meer efficiënte bedrijfsvoering.

Helaas is de praktijk op security en privacy gebied niet altijd even positief of gestroomlijnd. Tools leveren uitkomsten en aandachtspunten, maar lossen niet automatisch de problemen op die vaak dieper in een organisatie(structuur) verscholen liggen. Wanneer GRC een onderdeel is van je werkzaamheden, heb je wellicht te maken met één of meerdere van de onderstaande problemen:

• Risicobeheersing en het naleven van regels wordt gezien als een probleem voor de Information Security officer, Riskmanager of Privacy Officer. De eerste lijn voelt geen eigenaarschap voor de risico’s.
• Informatiebeveiliging en Privacy (IB&P) en/of Risk worden door het seniorkader als ondergeschikt beschouwd ten opzichte van andere organisatiedoelen. Prioritering is laag en het commitment broos.
• Tools geven uitkomsten en adviezen maar de tijd en/of organisatiestructuur belemmert een goede opvolging.
• IB&P en Riskmanagement worden vooral gestuurd vanuit incidenten en ad hoc oplossingen. Door de hoeveelheid werk is er weinig tijd om toe te werken naar structurele oplossingen.
• IB&P is belegd als extra rol bovenop andere activiteiten binnen je functie waardoor de bezetting krap is en de daadkracht beperkt.
• Bij grotere processen waarbij meerdere organisatieonderdelen zijn gemoeid, kijkt iedereen naar elkaar. Verbeterpunten blijven terugkomen, want niemand lost ze op omdat er te weinig eigenaarschap is.
• Adviezen worden niet of beperkt opgevolgd. Bijvoorbeeld omdat zorgen niet begrepen worden door het leidinggevend kader. Beheersmaatregelen worden op papier geïmplementeerd, maar de situatie blijft hetzelfde.
• In de communicatie binnen de organisatie lijken IB&P en Risk van ondergeschikt belang te zijn aan andere thema’s. Alleen als de actualiteit daartoe dwingt, wordt er tijdelijk een actieve houding aangenomen.

In deze 4-daagse Masterclass GRC helpen we je deze problemen aan te pakken, GRC in jouw organisatie te stroomlijnen en je voldoende vaardigheden mee te geven om hierin een centrale rol te spelen. Naast de hiervoor benodigde hardskills onderscheidt deze training zich door ook veel aandacht te besteden aan de verbetering van de softskills / persoonlijke vaardigheden die nodig zijn voor een succesvolle implementatie en onderhoud van GRC. Na afloop van de training keer je terug op je werkplek met een kant-en-klaar plan van aanpak dat je tijdens de training voor je eigen organisatie hebt opgesteld.