Tag: personeel

Verander complexiteit: De beschikbaarheid van personeel met de juiste vaardigheden

  door

Vandaag gaan we in op de complexiteitsfactor: De beschikbaarheid van personeel met de juiste vaardigheden

Heb je als project manager zelf je team samen mogen stellen of zijn mensen aan je toegewezen? Hoe weet je zeker dat je de mensen met de juiste vaardigheden in je team hebt?

En wat doe je als blijkt dat specifieke kennis ontbreekt? Heb je een plan voor handen om in te kunnen grijpen als tijdelijk extra capaciteit noodzakelijk is?

Het kan best zijn dat je aan het begin van de verandering, op papier, de juiste mensen en vaardigheden bij elkaar hebt. Maar je moet er ook rekening meehouden dat je aanvullende capaciteit nodig hebt en er een team van moet kunnen maken. Uiteindelijk zijn het de teamleden die voor het resultaat van de verandering zorgen. Dan kun je maar beter over teamleden beschikken met de best mogelijke vaardigheden.

Verantwoordelijkheid voor informatiesystemen

  door

Zoals we inmiddels weten wordt voor de beveiliging van de bedrijfsprocessen gekeken naar de ondersteunende informatie, het materieel en het personeel. Voor de informatie wordt de digitale informatie in de informatiesystemen steeds belangrijker (soms overschatten we dat belang trouwens want wat is er mis met het schrijven van een brief, het plakken van een postzegel en het dichtlikken van een envelop als de email het niet meer doet?). En hoewel ik informatiesystemen graag breder zie dan alleen de digitale systemen (terugkomend op de geschreven brief…een postvak is in die zin ook onderdeel van een informatiesysteem) worden die digitale systemen belangrijker en belangrijker.

De vraag die we ons moeten gaan stellen is:
Zijn alle informatiesystemen toegewezen aan een verantwoordelijke?

Laten we maar direct onderkennen dat we de verantwoordelijkheid voor informatiesystemen echt niet alleen voor de beveiliging van dat systeem willen beleggen. Nee, beveiliging is nog steeds ondersteunend en er zijn andere redenen waarom we dat informatiesysteem in leven houden (althans: ik hoop dat die redenen er zijn want anders kunnen we ze beter uitzetten). Alleen al omdat het informatiesysteem een bijdrage levert aan het voortbestaan van de organisatie willen we dat het systeem zo goed mogelijk gemanaged wordt.

Als we dan toch al iemand aan hebben gewezen die verantwoordelijk is, dan is het nog een klein kunstje om hem of haar ook duidelijk te maken wat de taken, bevoegdheden en verantwoordelijkheden op het gebied van de beveiliging van dat informatiesysteem zijn. Op papier allemaal niet zo ingewikkeld maar laten we vooral die taken, bevoegdheden en verantwoordelijkheden niet zomaar over de schutting gooien.

Formeel is de verantwoordelijke ook verantwoordelijk voor de beveiliging, want beveiliging was immers een lijnverantwoordelijkheid. Maar laten we diegene daarin watertrappelen dan is de kans groot dat beveiliging het ondergeschoven kindje wordt. Nee, het is de taak van de security manager om de kaders te ontwikkelen, de formats, de standaarden, de richtlijnen en vooral ook om een luisterend oor te zijn voor de organisatie.

We kunnen het niet genoeg benadrukken: beveiliging moet het werken niet lastiger maken dan nodig, nee we moeten keuzes maken over het niveau van beveiliging…en die keuzes worden toch echt gemaakt door degene die we verantwoordelijk maken voor de informatiesystemen. Zijn wij het vanuit de beveiligingsoptiek het niet eens met de gemaakte keuzes dan gaan we eerst in overleg, leggen onze beweegredenen uit en laten eventueel een hoger echelon de definitieve hamerklap geven.

De kritische bedrijfsprocessen (en objecten)

  door

Voor dat we verder gaan is het goed om even in te zoomen op de kritische bedrijfsprocessen en de kritische objecten. We moeten immers wel de juiste zaken beschermen omdat we anders alsnog uit het veld kunnen worden geslagen. Niet geheel verrassend is de volgende vraag dan ook:

Zijn de kritische bedrijfsprocessen (en bedrijfsobjecten) van de organisatie inzichtelijk?

Hanteren we een top-down benadering op het gebied van integrale beveiliging dan moeten we ook redeneren vanuit de kritische bedrijfsprocessen die zo zijn ingericht dat we de doelstellingen van de organisatie (in termen van winst of omzet) kunnen realiseren. Omdat we geen oneindig beveiligingsbudget voor handen hebben moeten we goed kijken naar de wijze waarop we het budget inzetten. Daarbij moeten we natuurlijk die zaken als eerste aanpakken die voor het voortbestaan van onze organisatie van groot belang zijn. Oh ja, nog even voor de zekerheid: we implementeren geen maatregelen maar kijken natuurlijk eerst naar de operationele risico’s.

Nogal logisch is het kritische bedrijfsproces het primaire proces, maar was het maar zo eenvoudig. Veel organisaties hebben meerdere primaire processen. Kortweg: de processen waar we ons geld mee verdienen. Maar ja, die processen staan niet op zich en worden weer ondersteund door de secundaire processen. Kortweg: de processen die ons geld kosten. Het kan dus best zijn dat een secundair proces van groot belang is voor het voortbestaan van onze organisatie. Daarom moeten we dus niet alleen kijken naar de primaire processen maar juist ook naar de secundaire.

We gaan het nog een stukje ingewikkelder maken, ben ik bang. Een proces op zicht is niets, dat is slechts de term die we ergens aan hangen (ja, ja procesdeskundigen zullen het misschien anders omschrijven, sorry in dat geval). Processen worden ondersteund door informatie (geautomatiseerd en niet geautomatiseerd), assets (of materieel) en personen. Je kunt er allerlei definities aan hangen maar dat is op zich niet zo van belang. Het gaat hier om de uitgangspunten.

Willen we dus de kritische bedrijfsprocessen beveiligen dan kijken we nu naar de primaire en secundaire processen maar ook naar de informatie, assets en het personeel dat voor de uitvoering van die processen van belang is.

Het klinkt misschien allemaal ingewikkeld en niet zozeer als een taak die de Security Manager uit moet voeren om zijn of haar werk te kunnen doen. Toch zou het theoretisch allemaal wel mee moeten vallen. Als het goed is zijn de kritische bedrijfsprocessen en ondersteunende middelen namelijk al inzichtelijk. Hoe bestuurt de directie anders de organisatie?

We hoeven hiervoor dus misschien niet eens zelf de kritische bedrijfsprocessen inzichtelijk te maken maar kunnen misschien wel gebruik maken van de gegevens die in het kader van kwaliteitsmanagement of IT al eens inzichtelijk zijn gemaakt. Voordat we dus deze lastige oefening zelf uit gaan voeren moeten we eerst even op zoek wat er allemaal al beschikbaar is.

In een volwassen organisatie is al veel beschikbaar en op basis daarvan kunnen we ook een volwassen aanpak van beveiliging inrichten. Is de organisatie in zijn totaliteit nog niet zo ver dan moeten we ook even goed beseffen dat de beveiliging wel aan moet sluiten bij de volwassenheid van de totale organisatie.

Kijken we naar bijvoorbeeld de Capability Maturity Modellen (CMM) en komen we met de gehele organisatie op level 2 uit, dan heeft het nu nog niet zoveel zin om de beveiliging op level 4 of 5 in te richten (als we dat al ooit willen en kunnen bereiken). Sluit aan bij het volwassenheidsniveau van de organisatie en groei daar mee mee. Dan zijn we geen vreemde eend in de bijt en begrijpt iedereen ook waar we mee bezig zijn en waarom we dat doen.

70% personeel steelt van werkgever bij vertrek

  door

Volgens onderzoek zou 70% van het personeel stelen bij vertrek of ontslag…onzin natuurlijk. Nee niet omdat het niet waar is, maar omdat volgens mij het percentage vele malen hoger ligt. Maar goed, het exacte percentage doet er niet toe, wat er wel toe doet is dat men nog teveel naar de buitenwereld kijkt. Ben je eenmaal gescreend dan mag je verder overal bij en alles doen, zo lijkt het.

Een groot deel van de Britse werknemers is van plan om bij een mogelijk vertrek bij hun werkgever iets mee te nemen. Met name intellectueel eigendom (27%) en klantgegevens zijn populair (17%), zo blijkt uit onderzoek. Zeventig procent loopt met het idee om iets van de zaak mee te nemen mochten ze van baan wisselen of ontslagen worden. Ongeveer de helft van de werknemers zegt de bedrijfsgegevens al in bezit te hebben. Voornamelijk uit voorzorg mochten ze van baan veranderen (bron).

Aan de hand van dit soort gegevens zie je maar weer dat er nog een hoop werk te doen is op beveiligingsgebied. Niet alleen het beter beschermen van je eigendommen maar juist het bewust maken van de managers van dit soort risico’s. Geloof me, het wordt nog zwaar onderschat.

Het lastige is dat het hier wel gaat om diefstal maar dat de gegevens daarna niet weg zijn, nee ze zijn gekopieerd en daar komen veel organisaties niet of te laat achter. Was het maar zo dat de gegevens echt weg waren, dan wist je het en kon je alarm slaan.

Informatiebeveiliging ontwikkeld nog steeds maar in veel organisatie lopen we achter de feiten aan. We installeren een firewall, anti-virus en anti-spam en geloven het verder wel. We zijn nu toch veilig en de buitenwereld kan niet zomaar op ons netwerk. Op zich kan dat kloppen, maar de grootste dreiging komt niet van buiten, nee die komt van binnen.

We kunnen wel blijven denken dat ons personeel integer is en dat kan ook onder normale omstandigheden best zo zijn, maar hoe gaan ze zich gedragen als ze boventallig worden? Zijn ze dan nog steeds zo loyaal? Waarschijnlijk niet. Daar kunnen we allerlei onderzoek naar doen, maar volgens mij zit dat gewoon in het oerinstinct van de mens. Zij moeten overleven en daarbij maken ze graag gebruik van de gegevens waar ze bij kunnen.

Willen we als organisatie aansluiten bij de modernere informatiebeveiliging dan zullen we twee kanten op moeten. Namelijk die van het denken in zogenaamde “enterprise risks”, dus meer abstract vanuit de impact op onze omzet en kosten. En anderzijds moeten we meer gaan denken in het beveiligen van onze data. Dat kan bijvoorbeeld door encryptie en toegangsrechten maar dat weerhoudt geauthoriseerd personeel er niet van om bij de gegevens te kunnen.

Nee, inmiddels zijn er ook tools waarmee je de data kunt volgen in de tijd, waarmee je kunt zien wie welke informatie heeft ingezien, wie wat heeft gekopieerd en waarmee je op afstand informatie kunt vernietigen. In Nederland heb ik ze nog niet veel gezien, in Amerika zijn ze daar al verder mee. En nee, ik heb niet direct de naam van de tool op mijn netvlies maar als je daar behoefte aan hebt wil ik best nog eens Googlen voor je.