9 Chinese bedrijven die je moet kennen

Dat de Chinezen lekker aan de weg timmeren weten we inmiddels en veel bedrijven vrezen de concurrentie die er aan zit te komen. Maar de vraag is of de Chinezen komen of er al zijn? En een bijkomende vraag is of de toetreding van Chinese bedrijven als bedreiging of juist als kans moet worden gezien.

Op MT: Management Team kwam ik het volgende overzicht tegen met Chinese bedrijven die we allemaal zouden moeten kennen:
1. SINOCHEM
2. AIKO SOLAR
3. PING AN
4. YOUNGMAN
5. TIANJIN XINMAO
6. CHINA ELECTRONIC CORPORATION
7. BHAP
8. XEMC
9. XI’AN CONSUMMATE INDUSTRIAL AND TRADING

Grote kans dat je er nog nooit van gehoord hebt. Nu kun je je als Nederlands bedrijf natuurlijk enorm veel zorgen maken en je ingraven (liefst met een beetje hulp van de EU zodat er extra regulering voor Chinese bedrijven komt). Maar volgens mij doen we er verstandiger aan als we deze bedrijven omarmen en de linkingpin worden naar Europa toe.

Wij spreken misschien geen Chinees, maar zij hebben nog weinig kennis van de Europese markt. Volgens mij moeten we daar als handelsnatie met onze VOC-mentaliteit een cruciale rol kunnen spelen. Doen we dat niet dan is onze kans verkeken en worden we met een razende vaart ingehaald. Tijd voor de politiek om hier een rol in te spelen om de toekomst van Nederland een “boost” te geven.

Top 10 risico’s en kansen in 2013

Prijsdruk en kostenbesparing zijn de grootste risico’s voor ondernemingen in 2013. Wachten op economisch herstel is geen optie meer bij het bedrijfsbeleid. Maar er zijn ook kansen in dit economisch onzekere jaar. Die liggen onder meer in innovatieve producten, diensten en activiteiten. Ernst & Young stelde een top 10 samen van zowel de risico’s als de kansen voor 2013.

Risicos.Kansen.jpg

Het hele artikel lees je op deondernemer.nl.

Politie: overvallers niet al te snugger

Criminelen die een overval plegen, lijken niet al te snugger te zijn. De pakkans is groot, terwijl de buit over het algemeen vrij gering is, zeker in relatie tot het risico dat overvallers nemen (bron).

Je zult jezelf maar beroepscrimineel noemen. Je hele beroepsgroep wordt in eens uitgemaakt voor domoor. Maar een dergelijk bericht is natuurlijk niet nieuw. We weten al jaren dat de kans op een aanzienlijke buit minder en minder wordt. Meer en meer mensen betalen immers met digitaal geld en meer en meer bedrijven romen hun geld op tijd af. Er is gewoon minder baar geld voor handen en dat is maar goed ook.

Aan de andere kant is het voor veel jongeren toch nog steeds erg makkelijk om een overval te plegen. Zij denken niet in termen als “pakkans” en met een paar tientjes zijn ze ook al erg tevreden. Dat verschilt van degene die zich tot de beroepscriminelen rekenen, die houden wel degelijk rekening met de kans en de impact. Pakkans groot en buit laag, dan gaan ze al snel op zoek naar een andere mogelijkheid om aan hun geld te komen.

Je kunt het natuurlijk vergelijken met de carrière die iedere werknemer ook doormaakt. Aan het begin van die carrière weten we nog relatief weinig en met de jaren komt ook de ervaring. Na een paar jaar kijken we ineens heel anders tegen ons werkzame leven aan. Ik kan me zomaar voorstellen dat dat met een criminele carrière ook zo gaat. In het begin denk je helemaal niet aan een pakkans en als je eenmaal wat overtredingen begaan hebt wordt je vanzelf ervarener in je “vakgebied”.

Je wilt helemaal geen simpele overval meer plegen en je hebt er in je carrière voor gekozen om wat treden van de ladder te nemen. Je houdt je inmiddels bezig met zaken die voor veel meer financiële zekerheid kunnen zorgen.

Juist daarom is het zo belangrijk om de pakkans op jongere leeftijd te vergroten. Hoe eerder je ze pakt en hoe eerder ze criminele activiteiten afleren, hoe minder kans we lopen dat ze daadwerkelijk carrière maken op dit gebied. Helaas komt daar veel meer bij kijken dan alleen het vergroten van de pakkans. De straffen (voor zover die natuurlijk helpen) moeten daarop afgestemd worden. Dan heeft opsluiten alleen, weinig zin. Nee, we moeten ervoor zorgen dat ze ook daadwerkelijk en bewust voor een andere, meer legale, carrière kiezen.

En ja, dan zul je moeten werken voor je geld. En ja, dan begin je ook weer aan de onderkant van de ladder en verdien je een habbekrats per uur waarvan je ook nog eens een groot deel naar de belastingdienst mag brengen. Je moet dan ook wel stevig in je schoenen staan om iedere morgen vroeg je bed uit te komen en aan de slag te gaan. Jouw makkers slapen lekker uit, plegen een kraakje en rijden in een mooiere auto dan jij doet.

Zolang misdaad loont (en dat zal het waarschijnlijk altijd wel blijven doen) zijn we nog niet van dit soort problematiek verlost. Hoe het dan wel moet? Geen idee, volgens mij zijn daar al vele studies voor uitgevoerd en is het echt passende antwoord nog niet gevonden. Tot die tijd blijven we hier maar geregeld bloggen over dit soort nieuwsberichten…wat de nieuwswaarde dan af en toe ook mag zijn.

Hardware veel onveiliger dan software

Eind vorig jaar kwam het onderstaande bericht al voorbij. Maar omdat we deze week bezig zijn met het aanvullen van ons lijstje risico’s, kan deze niet ontbreken.

Hackers zullen zich in 2012 massaal op hardware richten, aangezien fabrikanten zeker tien jaar achterlopen in vergelijking met softwareleveranciers. Dat is een voorspelling van Michael Sutton van beveiligingsbedrijf Zscaler Research (bron).

De moraal is natuurlijk dat we niet de beveiliging van software uit het oog moeten verliezen (want daar is nog genoeg mis mee), nee, we moeten simpelweg de hardware aan ons lijstje toevoegen. Denk aan allerlei apparatuur als printers, routers, servers maar ook kopieerapparaten en koffiemachines mogen wat mij betreft tegen het licht worden gehouden.

Natuurlijk loop je meer risico met netwerkapparatuur waarop bedrijfsinformatie staat en natuurlijk is het nog een ver van mijn bed show dat we aangevallen worden via koffiemachines. Toch zit er aan een koffiemachine een directer risico. We hebben het in het verleden wel eens aangehaald, maar zullen er nog een keer kort op ingaan.

De kans is groot dat onze koffie leverancier op afstand kan kijken wat er met de machine aan de hand is. Op afstand wordt het aantal geschonken bakjes koffie uitgelezen en jouw bedrijf krijgt daarvoor de rekening gepresenteerd. Maar wat als de leverancier de cijfertjes een beetje beïnvloed en naar boven toe afrond? Ben jij in staat om te controleren of de cijfers kloppen? En als de leverancier via het netwerk de machine kan benaderen, kunnen de criminelen dan niet via die netwerkverbinding ons netwerk binnen dringen?

Voor de kopieerapparaten geldt natuurlijk hetzelfde. De leverancier ziet het aantal kopietjes en printjes op afstand en jij betaald per pagina. Maar de kans is ook aanwezig dat de informatie die geprint of gekopieerd is op afstand is uit te lezen. In dergelijke apparaten zit een harde schijf en als het de leverancier of een crimineel lukt om de informatie uit te lezen dan ligt de informatie op straat.

De hardware wordt nu ook aan ons lijstje toegevoegd en de software blijft gewoon op ons lijstje staan. De kans en de impact schatten we. Maar als ons lijstje wordt uitgebreid moeten we ook de prioriteiten gaan stellen. We kunnen niet alle risico’s tegelijk aanpakken en dat is ook helemaal niet nodig. Met de inschatting van de kans en impact (op een 5-puntsschaal) ontstaat ook direct een prioriteitenlijst. De risico’s met de hoogste score pakken we het eerst op.

Logisch, toch? Ja, als je het zo ziet en leest wel. Maar ook hier is de praktijk weer een stuk lastiger. Nog te vaak zien we dat we wel risico’s aan het afdekken zijn maar dat het niet noodzakelijkerwijs de risico’s met de hoogste score zijn. Nee, veelal zijn het de risico’s die we het makkelijkst op kunnen lossen (het zogenaamde low hanging fruit), de meer ingewikkelde risico’s schuiven door omdat we daar meer budget of meer denkkracht voor nodig hebben.

Zonde, want hiermee lopen we weer in dezelfde cirkel als we de afgelopen jaren hebben gedaan. We verzanden (of verzuipen) in beveiligingsmaatregelen en verliezen de risico’s uit het oog. Mag ik je er nog even aan helpen herinneren dat 2012 het jaar is van de ommezwaai? Even afstand nemen en terug naar ons lijstje met risico’s. Die beveiligingsmaatregelen volgen dan vanzelf wel.

Cyberspionage grootste dreiging voor Nederland

Omdat we het nieuwe jaar beginnen met risicoanalyse, kunnen we het volgende risico aan ons lijstje toevoegen: cyberspionage. Hiervoor moeten we dus de kans en de impact bepalen zodat we onze verdediging daar op aan kunnen passen.

Cyberspionage en cybercrime zijn de grootste digitale dreigingen waar Nederland nu mee wordt geconfronteerd, zo staat in het eerste cybersecuritybeeld Nederland (CSBN) dat minister Opstelten van Veiligheid en Justitie naar de Tweede Kamer stuurde…Volgens het rapport zijn de aanvallen gericht op het verkrijgen van vertrouwelijke informatie van economische of politieke waarde, of op direct geldelijk gewin. (bron).

Bij risicoanalyse moeten we goed onderscheid blijven maken in oorzaak en gevolg. Halen we die door elkaar en schatten we de kans en impact verkeerd, dan is de kans groot dat we verkeerde beveiligingsmaatregelen treffen. Theoretisch simpel, in de praktijk een stuk weerbarstiger: als we de kans hoog schatten dan moeten we die maatregelen vinden die de kans verlagen. Is de impact groot, dan zoeken we naar maatregelen om de impact te verminderen. Zijn zowel de kans als de impact groot, dan nemen we dus maatregelen om beide te verlagen. Simpel gezegd, lastig in de praktijk gebracht.

Daarbij moeten we ook goed kijken naar de zogenaamde daderprofielen: tegen wie moeten we ons eigenlijk beschermen? Voor cyberspionage wordt hierbij onderscheid gemaakt in “statelijke actoren” en “criminelen”.

Criminelen zou het merendeel van alle cyberincidenten veroorzaken, waardoor deze het meest tastbaar zijn voor de samenleving. “Statelijke actoren kunnen echter de kennis en middelen mobiliseren om de meest geavanceerde en grootschalige aanvallen uit te voeren.

Gelukkig mogen we gebruik maken van het dreigingsoverzicht om te bepalen waar wij nu het risico lopen.

Tijd dus om cyberspionage aan onze lijst met risico’s toe te voegen en hem hoog op de agenda te zetten. Tijd om ons risk framework aan te passen en onze kop uit het zand te halen. Cyberspionage is een grote dreiging, maar als wij onze maatregelen nemen, dan wordt de kans een stuk kleiner dat het ons treft.

Dreigingen: oorzaak en gevolg

Gisteren zijn we al ingegaan op de vraag of de dreigingen inzichtelijk zijn. Daarbij zijn we ook al kort ingegaan op de relatie tussen oorzaak en gevolg. Die natuurlijk vergelijkbaar is met zaken als: doel en middel, kip en ei enzovoorts. Als we inderdaad serieus met het inzichtelijk maken van de dreigingen omgaan, dan wordt de volgende vraag:

Zijn de mogelijke gevolgen van een dreiging geïnventariseerd (de risico scenario’s zijn bekend)?

Na de vorige stap hebben we zicht op de dreigingen die ons daadwerkelijk uit het veld kunnen slaan. We hebben hele lijsten met oorzaken en gevolgen. Of eigenlijk hebben we een lijst met allerlei gevolgen en gaan we vandaar uit terugredeneren naar de mogelijke oorzaken voor die gevolgen. Vreemd, maar waar: op de een of andere manier is het voor ons makkelijker om te denken in gevolgen dan in oorzaken. Op zich helemaal niet erg, maar wel goed om te beseffen zodat we nog even doordenken.

Hebben we eenmaal een dreiging geïdentificeerd dan stellen we onszelf nog even de vraag: is dit nu een oorzaak of juist een gevolg? Constateren we dat we hier te maken hebben met een gevolg dan stellen we onszelf de vraag wat dan de mogelijke oorzaken (er kunnen er meer, veel meer zijn) zijn.

Vervolgens kunnen we de kans en de impact voor deze dreigingen bepalen. Dit geeft een indicatie van de prioriteiten die we moeten stellen. Als we de risico analyse helemaal kwantitatief hebben gedaan dan kunnen we er nog echt mee rekenen ook, maar de praktijk is dat veelal statistieken ontbreken om het echt goed kwantitatief aan te pakken. Vaak wordt dan ook voor een meer kwalitatieve manier gekozen, waarbij we wel cijfers kunnen gebruiken maar alleen om de dreigingen onderling vergelijkbaar te maken. Een kans op een schaal van 1 tot 5 en de impact op diezelfde schaal. Het zegt niets over het absolute risico, maar maakt onderling vergelijken een stuk makkelijker.

De kans en impact bepalen is nuttig, maar zoals geschreven dient die stap nog gevolgd te worden met een beschrijving van de echte gevolgen en oorzaken van een dergelijke dreiging. Wat zijn de gevolgen en oorzaken van een overstroming? Wat zijn de gevolgen en oorzaken van een virusuitbraak op ons netwerk? De beveiligingsmaatregelen die we uiteindelijke besluiten te nemen dienen de gevolgen te beïnvloeden of de oorzaken weg te nemen.

Simpel gezegd kunnen we maatregelen nemen die:
• De kans verkleinen;
• De impact verkleinen;
• De kans en impact verkleinen.
Welke we kiezen hangt af van de kans en de impact die we bepaald hebben. Is de kans klein dan kunnen we er beter voor kiezen om de impact te verlagen. Is de impact daarentegen laag dan kiezen we ervoor om juist de kans te beïnvloeden. Zijn zowel de kans als de impact hoog, dan pakken we ze beide bij de horens.

Het risico van het ontbreken van het bepalen van de gevolgen van een dreiging zijn dat we wel allerlei rekenkundige/cijfermatige bepalingen krijgen voor de dreigingen maar dat er alsnog een mismatch ontstaat tussen de te nemen beheersingsmaatregelen en de daadwerkelijke dreiging.

Terugkomend op de overstroming. We kunnen wel proberen om de kans te verkleinen door de Waterschappen te verzoeken de dijken te verhogen maar de kans dat we hier resultaat boeken is slechts beperkt. Beter kunnen we ons richten op de impact. Wellicht is het mogelijk de serverruimte op de eerste verdieping van ons pand te situeren zodat de schade beperkt blijft bij een dijkdoorbraak.

Kortweg moeten we dus kijken naar de beheersingsmaatregelen waar we zelf invloed op uit kunnen oefenen. De maatregelen waar we geen invloed op hebben moeten we wel onderkennen maar kunnen we zelf niet beheersbaar maken.