Tag: risico’s

Waarom mislukken projecten – de belangrijkste redenen

  door

Waarom mislukken projecten? Dit is een vraag die veel managers zichzelf stellen. Er zijn veel artikelen te vinden over waarom projecten mislukken. Als je al deze lijstjes bij elkaar optelt dan ben je nog wel even bezig en kun je voorlopig niet aan je project beginnen. Maar met CORE(BI) hebben we het meeste werk al voor je gedaan. Wij hebben flink wat artikelen en wetenschappelijke onderzoeken samengevoegd tot een gebruiksvriendelijke methodiek.

In ieder geval moeten we rekening houden met de volgende redenen waarom projecten mislukken:

  1. Projectplanning mislukt
  2. Te weinig draagvlak voor het project
  3. Buiten de procedures om werken
  4. Projectrisico’s negeren
  5. Te veel informatie
  6. Geen goede business case
  7. Te weinig geld, tijd of capaciteit
  8. Geen commitment

11 doemsignalen bij IT-projecten

  door

Van een aantal projecten die mislukten zijn er achteraf voldoende redenen aan te wijzen waarom het misging. Maar voorkomen is beter dan genezen, dus let op deze 11 tekenen, gepubliceerd op ComputerWorld, dat een IT-project de verkeerde kant op dreigt te gaan.

Signaal 1: Goedkeuring van bovenaf en budget ontbreken
Signaal 2: Geen gedetailleerd projectplan
Signaal 3: Vergaderingen waar geen rekening wordt gehouden met beschikbaarheid
Signaal 4: Gebruikers zijn niet of nauwelijks betrokken
Signaal 5: Het project stelt minimale hardware-eisen
Signaal 6: Weinig aandacht voor de testfase
Signaal 7: Geen recoveryprocedure als het misgaat
Signaal 8: Deskundigen worden genegeerd zonder afwijkingen te testen
Signaal 9: De livegang is in een weekend of op een feestdag
Signaal 10: Er zijn verkeerde verwachtingen gecreëerd
Signaal 11: Er is bezuinigd op training

Bovenstaande signalen mogen dan specifiek gelden voor IT-projecten maar er zijn natuurlijk signalen die ook voor andere projecten wijzen op een mogelijke mislukking. Wees je daarvan bewust en breng de complexiteit en risico’s in een zo vroeg mogelijk stadium in kaart zodat ze beheersbaar worden.

7 verplichte vaardigheden voor IT-projectmanagers

  door

Dinsdag keken we nog naar de indicaties voor een vergiftigd projectteam. Maar er zijn natuurlijk ook eisen te stellen aan de project manager. Op CIO worden in ieder geval de volgende 7 genoemd:

1. Goed georganiseerd en een uitstekend multitasker
2. Geboren leider
3. Effectieve communicator
4. Goede onderhandelaar
5. Oog voor detail
6. Probleemoplossend vermogen
7. Voldoende technische vaardigheden

Wij gaan graag met de gekozen project manager in gesprek om gezamenlijk met hem of haar de complexiteit en de risico’s van het project te bespreken. Hiermee helpen we de project manager om beter “in control” te komen over het project.

Project Risico Analyse

  door

Organisaties bestaan bij de gratie van processen, programma’s en projecten. Deze aspecten dragen immers bij aan het succes van de organisatie maar ze kunnen dat succes ook gruwelijk in de weg staan als de risico’s onvoldoende inzichtelijk zijn. Risico analyse kan op vele onderwerpen worden toegepast maar juist van de projecten willen we de risico’s inzichtelijk hebben omdat het activiteiten zijn met een eenmalig karakter. In dit artikel gaan we daarom in op de “project risico analyse” die helpt bij het succesvoller uitvoeren van projecten.

Laten we beginnen met een tweetal definities:

  • Een project is een, in tijd en middelen begrensde, activiteit om iets te creëren. Het onderscheidt zich door zijn eenmalige karakter van een programma of proces.
  • Een project risico is een (negatieve) gebeurtenis of activiteit die invloed kan hebben op de voortgang of het resultaat van een project. Dit risico kan bepaald worden aan de hand van de impact en de kans.

Van projecten zijn de kosten (en hopelijk ook de beoogde opbrengsten en resultaten) inzichtelijk omdat er gewerkt wordt met business cases. We kunnen projecten dan ook als investering zien: de kosten zijn relatief hoog en moeten met het uiteindelijke resultaat terugverdient worden. Toch zien we dat van veel projecten de kosten oplopen, de tijd overschreden wordt en/of de resultaten niet behaald worden. Een gemiste kans.

De oplossing is simpel: voer project risico analyse in en de risico’s worden beter beheersbaar. Als we structureel de risico’s voor de projecten in kaart brengen en gedurende de uitvoeringsfase monitoren dan kunnen we beter sturen. Hiermee neemt de Return on Investment sterk toe omdat de kosten en tijd beheersbaar zijn en het beoogde resultaat bereikt wordt.

Download het hele artikel hier:

[wpdm_file id=9]

(Groot) MKB doet weinig aan risico analyse

  door

Ondernemen is risico nemen”: zo wordt vaak gezegd. Maar blind risico’s nemen is niet voldoende om een succesvolle organisatie te runnen. Als we deze stelling combineren met de uitspraak: “hoe hoger het risico, hoe hoger het rendement”, dan zouden we al snel kunnen concluderen dat we enorme risico’s moeten lopen om maar zoveel mogelijk rendement te halen. Er is een keerzijde aan het nemen van risico’s en juist de risico’s die je niet (vooraf) hebt gezien of verkeerd hebt ingeschat, zijn de risico’s die je wel eens duur kunnen komen te staan.

De oplossing is simpel: voer risico analyse in en de risico’s worden beheersbaar. Binnen het (groot) MKB wordt echter nog weinig aan risico analyse gedaan. De redenen daarvoor zijn diffuus en een aantal van die redenen zijn in dit artikel verwerkt en worden beantwoord.

Omdat wij geloven dat het volgende motto veel beter is: Ondernemen is risico’s beheersen!

Download het hele artikel hier: [wpdm_file id=8]

Nederland mist urgentie in aanpak cyberdreiging

  door

Het niet nemen van bekende basismaatregelen is de grootste bedreiging voor de cyberveiligheid van Nederland. Dat meldt het Cybersecuritybeeld 2011 van het Nationaal Cyber Security Center (bron).

Hoe meer we ons verdiepen in beveiliging, hoe ingewikkelder onze aanpak wordt. We kiezen voor allerlei technisch hoogstaande maatregelen die ons moeten helpen bij het beter beveiliging van onze organisatie. Prima, uitstekend…maar niet voordat we de basis goed geregeld hebben en niet voordat we daadwerkelijk begrijpen dat het gaat om de juiste combinatie van technische, organisatorische en procedurele maatregelen.

Er lopen op dit moment zeer veel initiatieven binnen bedrijven om de beveiliging te verbeteren. In het verleden hebben we een beetje teveel bezuinigd op informatiebeveiliging, dus die achterstand moeten we maar snel inhalen met de nieuwste technische snufjes.

Toch zien we dat organisaties vergeten om even afstand te nemen van hun huidige situatie en situatie die ze uiteindelijk willen bereiken. Zouden organisaties wel de tijd nemen om hun beveiligingsstrategie goed uit te denken dan zou dat niet alleen heel veel geld schelen maar zou er ook nog eens voor zorgen dat de beveiliging vele malen beter wordt.

Het is geen kunst om honderduizenden euro’s in beveiliging te stoppen. Het is wel een kunst om met zo min mogelijk maatregelen een zo goed mogelijk niveau van beveiliging te bereiken. Daarvoor grijpen we niet naar maatregelen maar redeneren we vanuit de risico’s. Weten we die risico’s (en de kans en impact) dan kunnen we bepalen welke risico’s we accepteren en voor welke risico’s we maatregelen willen nemen.

En voor die risico’s waarvoor we besluiten om maatregelen te nemen komen we dan weer terug bij de juiste combinatie van technische, organisatorische en procedurele maatregelen.

Helaas allemaal een utopie. In de praktijk hebben we het gevoel dat we risico’s lopen. Welke dat zijn weten we eigenlijk niet maar de nieuwste technische snufjes moeten ons helpen. Zo gaat het niet werken en zijn we de komende jaren misschien wel bezig om achterstallig onderhoud op het gebied van informatiebeveiliging weg te werken…maar veel veiliger zullen we daar helaas niet door worden.

Zo heeft een audit natuurlijk geen zin…

  door

De titel triggerde mij om het blog van Roger A. Grimes te lezen, zoals dat op Computerwereld gepubliceerd werd.

Maar ook de inleiding van het blog gaf voldoende aanleiding om door te lezen:
Om de beveiliging van het bedrijfsnetwerk te verhogen, richten sommige IT-beveiligers zich op één aspect en vergeten ze de rest. Toch is dat meer dan de meeste organisaties doen (bron). Een eenvoudige zin, maar lees hem nog eens en laat hem op je inwerken.

Nu ga ik hier natuurlijk niet het hele blog herschrijven, want ik raad je gewoon aan dat blog ook eens te lezen, maar ik voel me wel zo vrij om daarop door te borduren.

Heel herkenbaar zoals het geschreven wordt. Er worden allerlei adviezen gegeven en toch lijkt het maar niet te lukken om de beveiliging ook echt op orde te krijgen. Niet door een top-down benadering maar ook niet door een bottom-up benadering. Sterker nog, hoe uitgebreider jouw advies, hoe kleiner de kans dat het opgevolgd wordt. Men ziet letterlijk door de bomen het bos niet meer en als men al komt tot prioritering dan is de kans groot dat na twee of drie maatregelen de managers hun interesse hebben verloren.

Toevallig (toeval bestaat niet, maar toch) had ik hier kort geleden nog een interessant gesprek over bij een opdrachtgever. We hameren er vanuit onze visie op dat we niet moeten redeneren vanuit beveiligingsmaatregelen maar juist vanuit operationele risico’s (en het liefst nog vanuit “enterprise risks”).

Dat is nog steeds helemaal waar, maar het grote gat zit hem in het feit dat organisaties vergeten de combinatie te maken. Ofwel ze redeneren vanuit operationele risico’s en het lukt maar niet om daar de juiste maatregelen bij te treffen. Of ze redeneren steeds vanuit beveiligingsmaatregelen zonder die te koppelen aan de operationele risico’s.

Wat hier nu zo interessant aan is, zul je je afvragen. Nou, het was voor mij weer eens een bevestiging dat we ons verhaal en ons advies af moeten stemmen op onze doelgroep. Dat proberen we natuurlijk altijd, maar het is goed om daar weer eens aan herinnert te worden. We moeten er dus voor zorgen dat we de managers informeren over operationele risico’s maar we moeten er ook voor zorgen dat we degene die het uit moeten voeren (functioneel beheerders bijvoorbeeld) concreet aan de slag laten gaan met maatregelen.

Zij hoeven niet het denk werk te doen over het “wat”, nee, dat moeten wij voor ze doen. Laat hun aan de slag gaan met het “hoe” en we zijn “on speaking terms” Houden we dan ook nog in de gaten dat het advies geen 100 pagina’s dik mag zijn, dan zijn we weer een stukje verder. Wij weten dan misschien wat ze de komende 3 tot 7 jaar allemaal moeten doen om “in control” te raken, maar dat wil nog niet zeggen dat we ze al die informatie in een keer moeten geven.

We kunnen natuurlijk de schuld leggen bij de organisatie, want beveiliging is nu eenmaal een lijnverantwoordelijkheid, toch? Maar laten we de schuld eerst bij onszelf zoeken. Blijkbaar managen we vanuit security de boel nog niet goed. En dat is een constatering die ikzelf meermalen heb gedaan. We zijn wel druk bezig maar doen we ook de juiste dingen en doen we de dingen juist op basis van een meerjaren plan?

Lukt het ons om draagvlak te creëren bij het management? Rapporteren we met de juiste informatie aan het juiste niveau? Hebben wij de prioriteiten gesteld zodat de uitvoerders daar niet mee lastig worden gevallen en gewoon aan de slag kunnen? Communiceren wij met de juiste bewoording naar de personen? Het zijn zomaar een aantal vragen die we onszelf kunnen stellen.

“Zo heeft een audit natuurlijk geen zin…” kan ik alleen maar onderschrijven. Voordat we aan die audit beginnen moeten we het toch op de juiste manier gaan managen. We eten de olifant toch ook niet in een keer op? Waarom proberen we dat met die kudde olifanten, die we gemakshalve security zullen noemen, dan wel?

Nou, nog een mooie metafoor dan uit het blog:
Je vindt beveiliging prioriteit hebben, maar je acties geven anders te kennen. Je bent net zoals die kerel die, met zijn goede voornemens in gedachten, in januari een jaarabonnement bij de sportschool neemt en in maart stopt.

Ach, security, het is allemaal niet zo ingewikkeld, als we het maar op de juiste wijze managen en ook daadwerkelijk beginnen met de eerste stappen te zetten. De marathon wordt een stuk makkelijker als we niet nadenken hoever de finish wel niet is maar gewoon beginnen met rennen (althans, dat is me verteld, ik heb nog nooit een marathon gelopen…die finish is me echt te ver en ik begin liever die kudde olifanten op te peuzelen). En vergeet niet dat er genoeg mensen zijn die starten met de marathon om nooit de finish te halen.

Is dat erg? Nou, in ieder geval kunnen ze zeggen dat ze er aan zijn begonnen…en veel bedrijven kunnen dat op dit moment nog niet met droge ogen beweren.

Succes BYOD hangt af van beveiliging

  door

Nog even in een notendop: De almaar groeiende populariteit van persoonlijke mobiele apparatuur verandert de manier waarop technologie binnen het bedrijfsleven gebruikt wordt. Steeds meer werknemers nemen eigen apparatuur mee naar kantoor. Het is aan de organisatie om te zorgen dat hun data op een veilige manier aan deze toestellen aangeboden wordt (bron).

Voor de zekerheid: BYOD gaat over het Bring Your Own Device-principe. Dus niet meer een vaste werkplek of laptop van je baas maar er gewoon lekker zelf voor zorgen dat je over de juiste apparatuur beschikt die je nodig hebt voor je werk. Op zich natuurlijk niet zo’n gekke gedachte en het kan de organisatie een berg geld schelen omdat ze minder aan beheer hoeven te doen.

Het risico zit hem er in dat je verschillende soorten apparatuur op je netwerk krijgt waar je geen controle over hebt en de informatie waar jij eigenaar van bent wordt gemakkelijk opgeslagen op diezelfde apparatuur (waar je dus nog steeds geen controle over hebt).

Zoals we al vaker hebben aangehaald is informatie voor veel organisaties het nieuwe goud. De informatie is noodzakelijk voor het voortbestaan er van. Maar ja, als we een paar euro kunnen besparen dan zijn we al snel vergeten wat de waarde van die informatie is.

Maar we willen natuurlijk niet terugvallen in de oude patronen van beveiliging. We keren niet terug naar het 1.0 scenario. Nee, wij zijn niet tegen ontwikkelingen. Dus ook niet tegen de ontwikkeling die we BYOD noemen. We willen wel graag dat we goed nadenken over de risico’s die nieuwe ontwikkelingen met zich meebrengen. Hebben we die risico’s eenmaal in kaart gebracht dan kunnen we ook keuzes maken.

Willen we die risico’s lopen en dus accepteren, willen we die risico’s afdekken of willen we die risico’s misschien verzekeren? Uiteindelijk kan de organisatie zelfs besluiten om BYOD voorlopig toch nog maar even niet in te voeren.

BYOD heeft dus best wat risico’s in zich en welke dat allemaal zijn, laat ik hier nog even in het midden. Maar als we het relativeren dan kunnen we natuurlijk ook gewoon concluderen dat BYOD een gewone ontwikkeling is, net als andere ontwikkelingen in het verleden en als ontwikkelingen in de toekomst.

Daar moeten we dus niet op tegen zijn, want stilstand is achteruitgang. We moeten dus nu al proactief beginnen met de risico’s in kaart brengen. Ook als er binnen jouw organisatie nog niet over BYOD gesproken wordt, weet je nu al dat het er aan zit te komen. Je kunt je er dus al op voorbereiden. Waar wacht je nog op?

Beveiliging SharePoint veelal omzeild

  door

Uit onderzoek blijkt dat bijna de helft van SharePoint-gebruikers gevoelige of vertrouwelijke documenten kopieert naar niet beveiligde hard-drives, usb-sticks, of deze zelfs naar een externe mailt. (bron)

Nu kunnen we natuurlijk hele discussies voeren over Sharepoint en hoe veilig we Sharepoint wel of juist niet kunnen maken. Dan komen we al snel op vragen als: wie mag vanuit welke rol bij welke informatie en op welk moment dan? Hoe gaan we ons autorisatiemanagement inrichten en hoe vaak gaan we de rechten van gebruikers controleren.

Allemaal hartstikke belangrijke vragen waarop we nog belangrijkere antwoorden zullen moeten vinden. Maar daarmee zijn we er nog niet. Nee, hier blijkt maar weer eens uit dat we echt niet kunnen zonder een integrale aanpak op basis van risicomanagement.

We moeten dus uitgaan van die risico’s. En natuurlijk kunnen we dan technische risico’s voor Sharepoint benoemen. De kans en de impact van een ongeautoriseerde toegang tot het systeem. Uiteraard moeten we daar maatregelen tegen nemen. Maar hoe zit het nu met die geautoriseerde toegang?

Hoe voorkomen we nu dat medewerkers die geautoriseerd zijn er met onze gegevens vandoor gaan (bewust of onbewust). Het risico is dus naast ongeautoriseerde toegang juist ook de risico’s die je loopt met de informatie. Daar gaat het om. Dus wat is de kans en de impact als onze informatie bijvoorbeeld verloren gaat omdat die bij iemand lokaal op zijn laptop staat?

Maar ook hier kunnen we nog niet stoppen. Die informatie is ondersteunend aan onze bedrijfsprocessen. Daar verdienen we immers ons geld mee. We moeten dus kijken welke informatie van belang is voor de bedrijfsprocessen. We moeten nagaan wat de kans en impact voor het stil vallen van die processen is als gevolg van het verloren gaan van informatie.

Als die informatie echt zo belangrijk is voor de ondersteuning van onze bedrijfsprocessen dan moeten we er dus voor zorgen dat die informatie niet zomaar verloren kan gaan. En als we vervolgens besluiten om die informatie via Sharepoint te delen dan moeten we ook nagaan hoe we ongeautoriseerde toegang gaan voorkomen.

Van een bottom-up benadering naar een top-down benadering dus en in dit geval gebruikten we Sharepoint even als voorbeeld, maar er is meer dan Sharepoint, er is meer dan informatie, er is meer dan bedrijfsprocessen. We komen toch weer terug op de continuïteit van onze organisatie. En alles dat bijdraagt aan die continuïteit moeten we serieus nemen.

Reclame oké in ruil voor gratis content

  door

Iets meer dan de helft (51%) van de Amerikaanse smartphone- en tabletbezitters vindt reclame op hun apparaten prima mits dat inhoudt dat ze gratis toegang krijgen tot content. Dat blijkt uit het State of the Media: Consumer Usage Report van bureau Nielsen (bron).

Het kan natuurlijk zo zijn dat Amerikaanse smartphone- en tabletbezitters totaal anders zijn dan de Nederlandse gebruikers. Toch is bovenstaand bericht nogal tegenstrijdig aan het bericht dat we gisteren al lazen.

Oké, dat ging dan meer om het afstaan van gegevens, maar wat mij betreft kunnen we het één niet los zien van het ander. Willen we gratis apps dan zal dat leiden tot veel reclame in die apps en zeer waarschijnlijk worden de gegevens die gegenereerd worden ook voor andere doeleinden gebruikt. Zolang dat anoniem gebeurt en niet terug te herleiden is naar een individu valt het allemaal nog wel mee.

Natuurlijk kun je een nickname aanmaken in die apps. Maar dan nog kunnen er waardevolle gegevens verzameld worden. Zo weet men je telefoonnummer en aan de hand van je telefoonnummer kunnen ze je volgen. 24-uur per dag. Daaruit kunnen dan weer interessante gegevens gehaald worden want wanneer was jij op welke locatie, kom je vaker op die locatie en wat is er dan zoal op die locatie?

Reclame in ruil voor gratis content lijkt meer op de zogenaamde gratis economie zoals we die nu zien. Men wil niet meer betalen als het ook gratis kan. Geen probleem zolang we ons er maar van bewust zijn en zolang we maar begrijpen dat we dan de reclames om de oren krijgen.

Maar het wordt erger als verschillende gegevens van verschillende gratis apps gecombineerd gaan worden en via je telefoonnummer aan de persoon te koppelen is. Bij het aanvragen van jouw telefoonnummer heb je behoorlijk wat gegevens door moeten geven aan de provider. Wat nu als die provider via de apps ook beschikt over jouw smartphone-gedrag? Wat nu als die provider de ontwikkelaars van de apps geld geeft voor die gegevens of wat nu als die provider een flinke smak geld betaald om eigenaar te worden van die app?

Onwaarschijnlijk? Nou, waarschijnlijk niet. Het is aan de orde van de dag dat dergelijke apps en websites verkocht worden. Zonder dat we dat overigens weten. Oké, als we al het digitale nieuws goed volgen dan staat er vast wel ergens een berichtje, maar veel van ons zal dat ontgaan.

Neem nu een onafhankelijke website voor verzekeringen. Laten we die Independer noemen. Daar kun je verzekeringen vergelijken zodat je automatisch bij de voor jou beste verzekering uit komt. Laten we nu ook eens aannemen dat een verzekeraar een meerderheidsbelang neemt in die website. Laten we de verzekeraar hier voor het gemak Achmea noemen en laten we zeggen dat die 77% van het belang overneemt. Hoe onafhankelijk is Independer nu nog?

Misschien kom je inderdaad tot de conclusie dat je vanaf heden misschien beter een andere onafhankelijke site kunt raadplegen als je verzekeringen wilt vergelijken. Maar hoe vaak heb je Independer gebruikt? Welke gegevens heb je daar allemaal ingevuld? En wat hebben zij met die gegevens gedaan? Sterker nog: heb je ooit wel eens hun privacy statement gelezen en in hoeverre is dat statement gewijzigd na verkoop van hun belang?

Juist. Ik wil helemaal niet zeggen dat het zo is gegaan bij Independer en/of Achmea maar ik haal het hier gewoon als voorbeeldje aan. Er zijn er natuurlijk veel meer. Werd Hyves niet ingelijfd in de Telegraaf Media Groep? Is Marktplaats jaren geleden niet al verkocht? Nou ja, je begrijpt de strekking.

Reclame dus inderdaad best oké in ruil voor gratis content maar we moeten ons wel bewust blijven van de wijzigingen die zich in de toekomst voordoen. Kun jij er zelf echt wat aan doen? Nou, nee. Want ook de betaalde content levert deze risico’s op.

Mooi, hè? Die digitale revolutie die al jaren gaande is?