De Canvas methode voor informatiebeveiliging: risico’s inzichtelijk en beheersbaar maken

Geplaatst 10-12-24

Tijdens de recente TrustBound partnerbijeenkomst presenteerde Richard Kranendonk zijn unieke aanpak voor risicomanagement binnen informatiebeveiliging: de Canvas Methode voor Information Security. Deze interactieve aanpak maakt niet alleen risico’s zichtbaar, maar activeert ook medewerkers en bevordert verantwoordelijkheid binnen organisaties. In dit artikel ontdek je hoe deze methode werkt en waarom het een krachtig hulpmiddel is voor organisaties die hun informatiebeveiliging willen versterken. Ook lees je wat de meerwaarde van Trustbound is. 

De oorsprong van de Canvas Methode voor Information Security

In 2017, bij de invoering van de AVG, werd het voor organisaties verplicht om risicoanalyses uit te voeren en een PDCA-cyclus (Plan-Do-Check-Act) te implementeren. Voor veel organisaties bleef dit echter een complexe en abstracte opdracht. Richard Kranendonk zag hoe traditionele risicomanagementmethoden tekortschoten. Generieke risicolijsten met termen als "accountmanipulatie" of "systeeminbreuk" gaven te weinig houvast. Voor medewerkers buiten de IT- of compliance afdelingen bleken deze lijsten abracadabra. Daarom ontwikkelde hij de Canvas Methode voor Information Security. 

Deze methode vertaalt risicomanagement naar een praktisch, interactief en cyclisch proces dat organisaties helpt om risico’s niet alleen te identificeren, maar ook daadwerkelijk te beheersen. Met name het betrekken van medewerkers op de werkvloer is hierin een cruciale succesfactor.

Deze Canvas methode biedt een oplossing door risico’s tastbaar en inzichtelijk te maken. Hiermee wordt niet alleen de IT- en compliance afdeling, maar de hele organisatie actief betrokken.

De uitdagingen in informatiebeveiliging

Laten we even een stapje terugdoen: waarom blijft informatiebeveiliging zo’n uitdaging? Richard laat zien dat veel organisaties tegen dezelfde problemen aanlopen.

  • Menselijke factor: maar liefst 80% van de risico’s wordt veroorzaakt door menselijk handelen. Dit gaat verder dan phishing; het zijn vaak dagelijkse werkgewoonten en processen die risico’s introduceren.
  • Gebrek aan betrokkenheid: medewerkers en managers zien informatiebeveiliging vaak als de verantwoordelijkheid van de IT-afdeling. Dit leidt tot een passieve houding.
  • Geen tastbare aanpak: risico’s blijven te abstract, waardoor het moeilijk is om ze echt te vertalen naar acties en bewustwording binnen teams.

Deze Canvas methode biedt een oplossing door risico’s tastbaar en inzichtelijk te maken. Hiermee wordt niet alleen de IT- en compliance afdeling, maar de hele organisatie actief betrokken.

Praktische ondersteuning informatiebeveiliging

Deze methode is een door Richard op maat gemaakte aanpak voor informatiebeveiliging. Het proces is cyclisch en bestaat uit drie kernworkshops, elk gericht op een specifiek onderdeel van risicomanagement. Het doel is om risico’s inzichtelijk te maken, maatregelen te implementeren en continu te verbeteren. De methode is ontwikkeld om organisaties op een praktische en interactieve manier te ondersteunen in hun informatiebeveiliging.

De aanpak:

Tijdens deze sessie worden verantwoordelijkheden toegewezen en wordt afgestemd tussen verschillende afdelingen. Dit voorkomt dat maatregelen in silo’s blijven hangen en bevordert samenwerking.

1. Het Risico Canvas

De eerste workshop draait om het identificeren van risico’s binnen de organisatie. Hierbij worden drie kernvragen gesteld:

  • Wat zijn de doelen van de organisatie?
  • Welke grote veranderingen spelen er momenteel?
  • Welke processen brengen risico’s met zich mee?

Door deze vragen te bespreken, brengen teams risico’s in kaart met behulp van post-its. Hierna wordt bepaald:

  • Kunnen we dit risico beheersen?
  • Accepteren we het, vermijden we het, of dragen we het over?

Het doel van deze workshop is om risico’s niet alleen te benoemen, maar ook te begrijpen welke impact ze hebben op de organisatie en hoe ermee om te gaan.

2. Het Maatregelen Canvas

In de tweede workshop worden verbeteracties besproken en omschreven. Hier komen de eerder geïdentificeerde risico’s terug, maar met een concrete focus op:

  • Welke maatregelen kunnen we nemen?
  • Hoe meten we of deze effectief zijn?

Tijdens deze sessie worden verantwoordelijkheden toegewezen en wordt afgestemd tussen verschillende afdelingen. Dit voorkomt dat maatregelen in silo’s blijven hangen en bevordert samenwerking.

3. De Veiligheidsmonitor

De derde workshop vindt enkele maanden later plaats. Hier wordt geëvalueerd:

  • Zijn de maatregelen effectief gebleken?
  • Zijn er incidenten of bijna-incidenten geweest?
  • Welke verbeteringen kunnen we doorvoeren?

Deze sessie sluit de PDCA-cyclus en zorgt ervoor dat organisaties blijven leren en verbeteren.

Waarom werkt deze methode zo goed?

De kracht ligt in de betrokkenheid van medewerkers en managers op alle niveaus. Door risico’s zichtbaar en begrijpelijk te maken, wordt informatiebeveiliging onderdeel van het dagelijkse werk. De methode werkt zo goed omdat het:

  • zichtbaarheid creëert: hoe eerder risico’s worden herkend, hoe sneller actie kan worden ondernomen.
  • medewerkers activeert: 79% van de medewerkers is bereid extra inspanningen te leveren voor een veiligere organisatie, maar ze moeten wel worden meegenomen in het proces.
  • informatiebeveiliging bestuurbaar maakt: de methode biedt praktische handvatten waarmee teams en managers risico’s kunnen beheren.

Voor wie is de Canvas Methode geschikt?

De Canvas methode voor Information Security is ideaal voor organisaties die:

  • De bewustwording en betrokkenheid van medewerkers willen vergroten.
  • Risicomanagement willen implementeren binnen frameworks zoals ISO 27001 of NIS2.
  • Een praktische eerste stap willen zetten naar volwassen risicobeheer.
  • Informatiebeveiliging willen integreren in de dagelijkse werkprocessen.

Digitalisering: de rol van Trustbound

TrustBound werkt aan de digitalisering van de Canvas Methode. Waar voorheen post-its en spreadsheets werden gebruikt, kan het proces binnenkort volledig digitaal worden uitgevoerd. Dit maakt het mogelijk om acties en opvolging eenvoudig te monitoren en resultaten centraal vast te leggen.

Meer dan compliance: een nieuwe manier van werken

Zoals je kunt lezen is het een methode om risico’s écht te laten leven binnen de organisatie. Het verbindt mensen, maakt risico’s tastbaar en zorgt voor structurele verbetering.

Met deze aanpak kunnen organisaties informatiebeveiliging op de agenda zetten, niet alleen bij de IT- en compliance-afdeling, maar bij alle medewerkers. De methode helpt je om risico’s niet alleen inzichtelijk te maken, maar ook effectief te beheersen.

Benieuwd naar de Canvas methode?

TrustBound ondersteunt partners en gebruikers bij het toepassen van deze aanpak. Neem contact op voor meer informatie en ontdek hoe jij risico’s binnen jouw organisatie beter kunt beheersen. De verschillende canvassen zoals vermeld in dit artikel vind je op de website van Richard.