Verander complexiteit: Risico analyse en risico management

Vandaag gaan we in op de complexiteitsfactor: Risico analyse en risico management

We gaven het in het vorige punt (complexiteitsfactor) al aan en we hebben risico analyse een afzonderlijk onderdeel gemaakt. In die analyse hebben we de meest voorkomende risico’s bij veranderingen al expliciet voor je benoemd. Het voordeel hiervan is dat je niet meer zelf op zoek hoeft naar al die risico’s die zich voor kunnen doen.

Uiteraard moedigen we je aan om je eigen aanvullingen op de standaard risico’s ook mee te wegen. Wie weet zijn er binnen jouw branche of organisatie specifieke risico’s te onderkennen. Dan moet je die uiteraard ook inzichtelijk maken.

We kunnen een risico bepalen door naar de kans en de impact te kijken. Hebben we die risico’s eenmaal bepaald dan kunnen we de controle maatregelen bepalen. Daarbij houden we rekening met de risico management strategie die we voor de specifieke risico’s toe willen passen (accepteren, overdragen, mitigeren, monitoren).

Denk ook aan de mogelijkheid om een verandering in zijn geheel niet door te voeren. Als bijvoorbeeld de business case minimaal en het belang minimaal zijn, terwijl de complexiteit en de risico’s hoog zijn dan moet je je afvragen of je deze verandering wel door wilt zetten.

Waarom mislukken projecten

Waarom mislukken projecten? Dit is een vraag die veel managers zichzelf stellen. Als je een project opstart dan zorg je er immers voor dat alle parameters in de goede richting staan. Je maakt een inschatting van de benodigde capaciteit en middelen, je maakt een planning en toch mislukt uiteindelijk het project. Waarom mislukken projecten dan toch terwijl je de voorbereiding zo goed hebt gedaan?

Als je een nieuw project wilt starten dan ga je er van uit dat het beoogde resultaat zal worden behaald. Daarvoor stel je alles in het werk om het voor elkaar te krijgen. Toch lukt het vaak niet om het vooraf vastgestelde resultaat te behalen. Dit heeft een aantal oorzaken. De meeste problemen concentreren zich rondom de volgende onderdelen van een project:

  1. Projectplanning mislukt
  2. Te weinig draagvlak voor het project
  3. Buiten de procedures om werken
  4. Projectrisico’s negeren
  5. Te veel informatie
  6. Geen goede business case
  7. Te weinig geld, tijd of capaciteit
  8. Geen commitment

Met CORE (Complexity & Risk Exposure) brengen we daar verandering in. We kijken vooraf naar de Complexiteit en daarna naar de risico’s die het resultaat in de weg kunnen staan.

(Groot) MKB doet weinig aan risico analyse

Ondernemen is risico nemen”: zo wordt vaak gezegd. Maar blind risico’s nemen is niet voldoende om een succesvolle organisatie te runnen. Als we deze stelling combineren met de uitspraak: “hoe hoger het risico, hoe hoger het rendement”, dan zouden we al snel kunnen concluderen dat we enorme risico’s moeten lopen om maar zoveel mogelijk rendement te halen. Er is een keerzijde aan het nemen van risico’s en juist de risico’s die je niet (vooraf) hebt gezien of verkeerd hebt ingeschat, zijn de risico’s die je wel eens duur kunnen komen te staan.

De oplossing is simpel: voer risico analyse in en de risico’s worden beheersbaar. Binnen het (groot) MKB wordt echter nog weinig aan risico analyse gedaan. De redenen daarvoor zijn diffuus en een aantal van die redenen zijn in dit artikel verwerkt en worden beantwoord.

Omdat wij geloven dat het volgende motto veel beter is: Ondernemen is risico’s beheersen!

Download het hele artikel hier:

Cybercriminaliteit kost Nederland miljarden

Cybercriminaliteit kost de Nederlandse samenleving jaarlijks zeker 10 miljard euro. Dat is 1,5 tot 2 procent van het Nederlands bruto binnenlands product. Dat blijkt uit een gepubliceerde raming door onderzoeksorganisatie TNO. Inbreuken op intellectuele eigendom zijn met 3,3 miljard euro de grootste schadepost. Industriële spionage kost Nederland jaarlijks 2 miljard euro, gevolgd door belasting- en uitkeringsfraude met 1,5 miljard euro. (bron).

Voor iedereen die dacht dat cybercriminaliteit nog niet zoveel voorstelde, draagt een dergelijk bericht als het goed is bij aan het bewustzijn. Nu is het nog de vraag wat we daar als Nederlandse samenleving dan aan willen veranderen. Het gevaar van een dergelijk bericht is dat men nog steeds denkt dat het eerder een ander zal overkomen en dat het aan onze deur wel voorbij zal gaan.

Maar wat als grote organisaties getroffen worden door cybercriminaliteit? Is dan de kans niet enorm dat je als middelgrote organisatie binnenkort ook aan de beurt komt? Als die grote organisaties het al niet voor elkaar krijgen om de beveiliging op orde te hebben., hoe is het dan gesteld bij de middelgrote organisaties?

Het antwoord op die vraag zou tweeledig kunnen zijn:

  1. of de middelgrote bedrijven lopen een minder groot risico omdat ze minder aantrekkelijk zijn voor cybercriminelen en omdat hun infrastructuur nu eenmaal gemakkelijker te beveiligen is,
  2. of de middelgrote bedrijven lopen een veel groter risico omdat het ze aan kennis op het gebied van informatiebeveiliging ontbreekt waardoor er voor cybercriminelen eerder wat te halen valt.

Eerlijk is eerlijk, het definitieve antwoord op deze vraag heb ik ook niet en ik vraag me ook af of we het allemaal zo gemakkelijk kunnen generaliseren. Zou het niet zo zijn dat het ene middelgrote bedrijf het inderdaad veel beter voor elkaar heeft terwijl het bij het andere middelgrote bedrijf juist veel slechter gesteld is? Een combinatie dus van beide antwoorden dat hiermee situationeel afhankelijk is.

Ik geloof zelf dat het laatste antwoord er nog het best bij in de buurt komt: de status van de beveiliging is inderdaad situationeel afhankelijk. Bijkomend issue is dat we als organisatie onze beveiliging dus nog eens goed moeten doorlopen. We kunnen wel stellen dat we dat 10 jaar geleden ook al gedaan hebben, maar de bedreigingen, de risico’s, de kans en de impact zijn in die 10 jaar toch echt veranderd.

Neem nu bijvoorbeeld het risico op informatie kidnap. Wie had daar 10 jaar geleden al over gehoord? Sterker nog: wie heeft daar vandaag de dag over gehoord? Een cybercrimineel breekt in en versleuteld als het ware de informatie, jouw informatie. Natuurlijk wil hij er best voor zorgen dat die informatie weer ontsleuteld wordt, alleen moet je er dan wel eerst even flink voor betalen.

Zat deze bedreiging nog niet standaard in de risico analyse? Dan wordt het misschien tijd om dat toch te overwegen. Niet alleen omdat cybercriminelen van buitenaf een dergelijke actie zouden kunnen ondernemen maar ook interne medewerkers zouden wel eens kunnen besluiten om kritische informatie te versleutelen en daarna de sleutels weg te gooien (of te vergeten). Staat er binnenkort weer een reorganisatie voor de deur? Dan wordt het risico hierop alleen nog maar groter. Maar goed, je bent gewaarschuwd.

Voor nu sluiten we af met dit voorbeeld. Een voorbeeld van een dreiging die er 10 jaar geleden nog niet was (of nog niet opportuun was). Kijk nog eens naar jouw risicolijstje, moeten we dat niet weer eens updaten om de juiste risico’s inzichtelijk te hebben?

Pas op: de printer staat in de brand

Studenten aan de de Universiteit van Columbia zijn er in geslaagd om de besturing van printers op afstand te beïnvloeden. Zij toonde ook aan dat het vrij eenvoudig is om via een printer in te breken in computernetwerken. Zelfs het op afstand in de brand zetten van een printer, is mogelijk. Daarvoor laat je de printerkop steeds op 1 plek printen met het doel dat deze oververhit raakt en in brand vliegt.(bron)

Natuurlijk weten wij al jaren dat het via printers, kopieerapparaten, koffiezetautomaten en allerlei andere randapparatuur mogelijk is om op het netwerk in te breken. Dat zijn niet de automaten waar we het eerst aan denken als we aan informatiebeveiliging gaan doen maar we moeten ze niet uit het oog verliezen.

Maar dat het ook mogelijk is om op afstand een printer in de brand te steken was ook voor mij wel weer even een eye opener. Op zich natuurlijk ook wel weer logisch maar dit risico stond ook nog niet op mijn “standaard lijstje”. Eigenlijk is het wel erg simpel: zorg ervoor dat de printer oververhit raakt en na verloop van tijd zal hij in de brand vliegen.

We moeten nu dus niet alleen vrezen voor een inbraak via dergelijke apparatuur waarbij onze informatie op straat raakt maar we moeten er ook voor waken dat er geen brand uitbreekt want dan zijn de gevolgen al helemaal niet meer te overzien.

Dat werpt toch weer een heel ander licht op het volgende artikel dat ik tegen kwam: De schade door grote branden bedroeg in 2011 circa 345 miljoen euro. Dit zijn branden met een geschatte schade van meer dan één miljoen euro(bron).

Hier ging het om 91 gevallen die voor een gezamenlijke schade van 345 miljoen zorgen, dat betekent dus zo’n 3,8 miljoen euro per geval. Daar kunnen we natuurlijk snel overheen stappen, maar we kunnen dit soort cijfers ook in ons achterhoofd houden bij onze risico analyses.

We klagen vaak dat er te weinig gegevens beschikbaar zijn om de kans en impact van een dreiging te kunnen berekenen. Met dit gemiddelde schadebedrag komen we misschien weer een stapje verder. En vraag je eens af: overleeft jouw organisatie een grote brand met een schade van 3,8 miljoen? En zo ja, hoe lang kunnen we dan zonder ons gebouw en welke omzet lopen we mis in die periode? Grote kans dat de organisatie een grote brand helaas niet overleefd.

We weten nu in ieder geval dat we ook goed moeten kijken naar onze printers en de brandveiligheid daarvan. Niet dat de kans nu ineens zo enorm vergroot is dat we ons acuut zorgen moeten maken, want laten we wel reëel blijven. Het is dus slechts informatie die we toe kunnen voegen aan onze standaard risico analyse. Weer wat geleerd, zullen we maar zeggen.

Richtlijnen voor mobiel werken

De afgelopen 124 blogs zijn we door vragen gelopen om meer zicht te krijgen op de status van informatiebeveiliging binnen jouw organisatie. We zijn nu aanbeland bij de laatste vraag die in gaat op de richtlijnen voor mobiel werken. Ik wil zeker niet beweren dat je met het beantwoorden van de gestelde vragen alle aspecten van de beveiliging hebt afgedicht, maar ga wel beweren dat je al een redelijk beeld hebt en weet waar nog aandachtspunten liggen.

Met het nieuwe werken ontstaan er weer nieuwe vragen en risico’s. Daarom is de laatste vraag ook geen onverwachte:
Zijn er richtlijnen voor mobiel werken (thuiswerken, telewerken)?

Ook voor deze vraag geldt weer dat we vanuit beveiliging ontwikkelingen niet tegen moeten willen houden. Sterker nog, we kunnen ze niet eens tegenhouden al zouden we willen. We kunnen dus beter accepteren dat we er iets mee moeten. En het zal je inmiddels niet verrassen: het begint allemaal weer met het in kaart brengen van de risico’s.

De vraag die we stellen en die we beantwoord moeten zien te krijgen is bijvoorbeeld welke risico’s thuis werken met zich meebrengt. Daarnaast kunnen we nog kijken naar het mobiele werken. Er is verschil en er zijn dus ook verschillende risico’s.

Bij thuis werken willen we natuurlijk niet dat de werkplek ook door de zoon des huizes gebruikt wordt om eens lekker over het internet te surfen. Voor je het weet is de laptop target geworden van hackers en licht onze informatie op straat. Bij het mobiele werken willen we bijvoorbeeld niet dat iemand over de schouder van een medewerker mee leest.

Zijn dit alle risico’s en zijn de risico’s onoverkomelijk? Nee, dat zeker niet. We moeten ze alleen in kaart brengen, risico’s accepteren en waar nodig aanvullende beveiligingsmaatregelen implementeren. Niet om een onneembare vesting te maken, maar om het nieuwe werken op een zo veilig mogelijke wijze mogelijk te maken. Zo nieuw is dat nu ook weer niet, toch?

Dat vergt een andere aanpak van informatiebeveiliging. Maar het vergt ook een andere manier van managen. We zullen zien dat de gevolgen van vele risico’s zich uiten in beveiligingsincidenten. De oorzaak zal echter vaak buiten het beveiligingsveld liggen. Ook voor de risico’s van het mobiele werken moeten we dus naar de oorzaak, de echte oorzaak.

Kwestie van doorvragen dus. Doen we dat goed dan zullen we zien dat ook het mobiele werken gewoon past binnen de andere ontwikkelingen. Wie kent de tijd nog dat we het mainframe verlieten. De wereld was te klein en de risico’s te groot. Inmiddels zijn we al een aantal stappen verder en al vaker hebben we geroepen dat er onacceptabele risico’s genomen worden. Na verloop van tijd hebben we de risico’s redelijk tot goed in het vizier en weten we ook weer hoe we ze moeten managen. De rust keert terug en het is wachten op de nieuwe veranderingen…om vervolgens weer in dezelfde stress te schieten.

Een geruststellende gedachte. Bij elke nieuwe ontwikkeling kunnen we weer de 125 gestelde vragen als uitgangspunt nemen. Misschien moeten we nog wat vragen toevoegen, maar de basis blijft gewoon geregeld.

Nu we alle vragen hebben gesteld gaan we natuurlijk niet stoppen met het schrijven over informatiebeveiliging. We gaan weer op zoek naar nieuwe onderwerpen en nieuwe vragen. Mocht je zelf een vraag hebben dan hoor ik die natuurlijk graag. Je kunt me bereiken via thimo@keizert.nl

Het verplaatsen van kwetsbare apparatuur en goederen

Na de risico analyses, de rondes door de gebouwen en aan de hand van onze CMDB weten we waar de kwetsbare apparatuur en goederen staan…of stonden, want weten we het nog echt of zijn er verplaatsingen geweest waar we ons niet van bewust zijn?

De vraag:
Zijn er voorschriften voor het verplaatsen van kwetsbare (kapitale) apparatuur/goederen?

We willen niet dat onze processen stil komen te liggen omdat iemand besluit dat die server mooier zou staan aan de andere kant van de serverruimte. We willen ook niet dat onze waardevolle goederen de organisatie verlaten omdat men ze ook wel mooi thuis op de schouw vindt staan.

We zullen dus voorschriften op moeten stellen en daarbij maken we onderscheid in die apparatuur die kritisch is voor onze bedrijfsprocessen en die waardevol zijn waardoor ze aantrekkelijk kunnen zijn voor medewerkers. Het moet voor een ieder duidelijk zijn dat we niet zomaar spullen in ons gebouw kunnen verhuizen. We willen zicht houden op waar deze zaken zich bevinden.

Het lijkt misschien of dit een non-issue is. Maar als het goed is hebben we het gebouw dusdanig ingericht dat de risico’s zo goed mogelijk beheerst worden. Daarom staan de servers in de serverruimte en zorgen we er met bouwkundige en elektronische maatregelen voor dat die serverruimte zo goed mogelijk beveiligd is. Stel dat we zomaar een server zouden verhuizen naar een andere ruimte dan wordt het risico profiel van die server anders. We lopen meer risico’s en moesten we bij wijzigingen in de omgeving niet de risico analyses opnieuw uitvoeren?

Natuurlijk is het helemaal niet erg om na verloop van tijd te besluiten de serverruimte te verhuizen. Maar dan wel op projectmatige wijze waarbij we de risico’s inzichtelijk maken. Zo voorkomen we dat er een mismatch ontstaat tussen de maatregelen die we genomen hebben en de apparatuur die we willen beveiligen.

Daarnaast willen we ook niet dat waardevolle of attractieve goederen ons gebouw verlaten zonder dat we er zicht op hebben. We willen niet dat ze door medewerkers voor langere tijd “geleend” worden, maar we willen ook niet dat we voorraden uitleveren zonder dat we dat goed administreren.

Laten we de medewerkers inderdaad toe om spullen te lenen, dan wel volgens de regels. Men mag misschien best de bedrijfswagen lenen om in het weekend te verhuizen. Maar dan willen we wel weten wie op welk moment de bestuurder was. We willen natuurlijk de bekeuring gewoon op het bordje van die medewerker kunnen leggen die de snelheidsovertreding veroorzaakt heeft.

Hebben we die regels niet opgesteld en niet gecommuniceerd, dan bevinden we ons al snel op een glijdende schaal. Mag die medewerker een pen mee naar huis nemen? Vast wel. Maar mag hij ook een pak papier mee nemen? Of koffiebekertjes als hij op vakantie gaat? Al snel worden toners mee naar huis genomen en voor je het weet verdwijnen de bijbehorende printers. Je begrijpt het al, voor je het weet staan er meer van jouw spullen bij je medewerkers thuis dan op kantoor.

Het gaat er continu om dat we de risico’s inzichtelijk hebben en daar waar nodig maatregelen nemen. Een risico analyse is dus ook geen eenmalige activiteit. Nee, periodiek moeten we kijken of de uitgangspunten nog kloppen, we moeten kijken of er geen gewijzigde omstandigheden zijn die zorgen voor nieuwe risico’s. Doen we dat op een goede manier dan levert dat een belangrijke bijdrage in het garanderen van de continuïteit van de bedrijfsprocessen.