DIVERSE auteurs
LinkedIn

Bronnen

Rizoomes blogt

 

Links

DESTEP

Tripod beta

Bowtie

Taleb’s zwarte zwanen

Cubrix Organisatievormen

 

Meer informatie

Moderne Veiligheidskunde

Rumsfeld Matrix

Tijdens een persconferentie op 12 februari 2002 verwoordde Donald Rumsfeld, Amerikaans minister van Defensie, de stelling dat in Irak massavernietigingswapens ontwikkeld zouden worden:

 

Reports that say that something hasn’t happened are always interesting to me, because as we know, there are known knowns; there are things we know we know. We also know there are known unknowns; that is to say we know there are some things we do not know. But there are also unknown unknowns—the ones we don’t know we don’t know. And if one looks throughout the history of our country and other free countries, it is the latter category that tends to be the difficult ones.

Deze quote over de ‘unknown unknowns’ werd op slag wereldberoemd en in no time bestond er zoiets als de Rumsfeld Matrix: een assenkruis met twee variabelen over dingen die jij weet en dingen die anderen weten. Of variaties daarop, door bijvoorbeeld (un)knowns te koppelen aan events.

Unknown/Unknowns: de ‘blinde vlekken’
De kern van de Rumsfeld Matrix is de categorie unknown/unknowns, een fundamental surprise, een ‘blinde vlek’, een onvoorzien risico, een black swan die een disruptief risico teweegbrengt. Veel security risico’s, zoals sabotage en aanslagen, zijn daarom unknown unknown.
Het is echter de vraag hoeveel tijd je moet stoppen in het achterhalen van de unknown/unknowns en hoeveel minder kwetsbaar ben je daarna?
Let op. Iets niet weten is wat anders dan het onwaarschijnlijk achten.

Voor Rumsfeld was de ‘unknown/unknowns’, gewoon een boef die in het geheim snode plannen zat te verzinnen. Dat was wat hem betreft genoeg reden om de snoodaard in zijn geheel te vernietigen.

Unknown knowns: dewitte plekken’
Deze categorie bevat risico’s die je zou kunnen weten, maar je kent ze niet echt, of nog niet. Reden voor een vervolgonderzoek, of je wil ze niet kennen. Misschien vindt een organisatie het zelfs onzin en bagatelliseert ze het gevaar.
Enkele opties van deze categorie:

  • Informatieasymmetrie
    De benodigde informatie is wel beschikbaar, maar niet bekend bij de beslisser; het is niet bevraagd, het wordt achtergehouden of is niet gekwalificeerd als belangrijk voor anderen.
  • Fundamental surprise
    Een verrassing die je niet hebt zien aankomen door een gebrekkig zicht op de werkelijkheid. Een te groot ego, gemakzucht of zelfgenoegzaamheid, iets waardoor het contact met de werkelijkheid verloren gaat.
  • Falende en kwetsbare organisaties
    Door slechte bedrijfsvoering, onvoldoende kennis of onverschilligheid, treedt ‘blame, denial and the blinkering pursuit of the wrong goals’ op waardoor informatievoorziening gehinderd wordt.
  • De zwarte eend – een stommiteit met een enorme impact, zo blijkt achteraf (Dunning-Kruger effect) en/of failing upwards. Waar de zwarte zwaan zich manifesteert door complexiteit en onvoorspelbaarheid, daar is de zwarte eend een uiting van stupiditeit, onwetendheid en / of hooghartigheid.
  • Insider threat
    Bijvoorbeeld datadiefstal en spionage

Organisatie die divers en eerlijk zijn voorkomen witte vlekken.

Known Unknowns: onzekerheid
Deze categorie zijn de voorzienbare risico’s waarvan je desondanks niet goed kunt inschatten wat je wanneer kan verwachten. Dit kwadrant gaat over onzekerheid. Over dergelijke risico’s zegt men dat het niet de vraag is of het gebeurt, maar wanneer. Een paar voorbeelden:

  • Gewone incidenten
    Complexe processen met strakke koppelingen zijn storingsgevoelig, omdat ze onvoorspelbaar zijn. Maar omdat je kunt bedenken of jouw organisatie gevoelig is voor normal accidents, kun je er wel iets aan doen. Conform Perrow.
  • Klimaat
    Het is bekend dat de klimaatverandering tot extremer weer leidt. Hoe extreem is nog onzeker.
  • Geopolitieke ontwikkelingen
    Hoe gaat de wereldpolitiek eruit zien?
  • Afloop van pandemieën
  • Beschikbaarheid van grondstoffen en energie.
  • Landelijke politieke ontwikkelingen
  • Cyber

Known unknowns bevat risicotypes die nu ook al bij veel organisaties in hun ‘enterprise riskmanagement’ voorkomen. Om onzekerheid te managen moet je verbinding zoeken en nieuwsgierig zijn.

Known Knowns
Deze -makkelijkste- categorie bevat risico’s die je kunt inventariseren en kwalificeren. Je kunt er getallen aangeven en je kunt eraan rekenen. Er zijn veel instrumenten bedacht om de known knowns onder controle te brengen: zoals de Bow Tie, HAZOP en FMEA.

Dit is het kwadrant van het reguliere risicomanagement. Als je zorgvuldig en vakbekwaam bent, weet waar je het over hebt, dan zijn dergelijke risico’s beheersbaar.

 

Maar knowns/knowns worden kwetsbaarheden als je het risicomanagement niet goed of onvolledig uitvoert.
Van alle categiorieen staan alleen de known knowns volledig onder controle van de eigen organisatie. Het merendeel van de kwetsbaarheden uit de andere kwadranten ontstaat in interactie met anderen: met de concurrenten in je sector, de wetgevers, technologische disrupties, et cetera (denk aan DESTEP).

 

Nawoord

Het idee van de kwetsbaarheidsanalyse komt uit het business continuity management.

De Rumsfeld Matrix biedt een verbinding tussen BCM en de disciplines van crisismanagement, risicomanagement, security en safety

 

Als je kwetsbaarheden wilt managen, dan vereiste is de nodige capabilities van je organisatie: vakbekwaam, zorgvuldig, verbindend, nieuwsgierig, eerlijk, divers, creatief en innovatief. Dit alles vanuit het besef dat je kwetsbaarheden alleen managen in interactie met anderen. Dit vergt relationeel vermogen, veerkracht en de bereidheid te veranderen en je aan te passen.