Tag: strategie

Verander complexiteit: De doelstellingen (missie en strategie) van de organisatie

  door

Vandaag gaan we in op de complexiteitsfactor: De doelstellingen (missie en strategie) van de organisatie

Iedere organisatie heeft een bepaalde missie en strategie om die missie uiteindelijk te bereiken. Soms heel expliciet omschreven, soms impliciet of tussen de oren van het management. Dit zijn lange termijn doelen die we niet vandaag op morgen bereiken maar waar we continu naar streven. Dit hakken we op in kleinere, overzichtelijkere, brokken die we doelstellingen noemen. De komende jaren of het komende jaar willen we minimaal deze doelstellingen bereiken. Daar maken we geld voor vrij.

De verandering die we inzetten moet aansluiten bij de doelstellingen. Staat de verandering daar haaks op dan wordt het moeilijk om hier voldoende aandacht en budget voor vrij te krijgen. Past het naadloos in of is het zelfs randvoorwaardelijk voor het behalen van de doelstellingen dan kunnen we meer steun van het management verwachten.

Als een organisatie besluit het komende jaar haar website volledig aan te passen dan is het gemakkelijker om geld vrij te krijgen voor een gloednieuwe server. Vinden we onze website echter goed genoeg dan gaan we alleen geld steken in die nieuwe server als de oude het begeeft. Probeer je een nieuwe server aan te schaffen omdat dan de performance van de website verbeterd terwijl het management daar geen issue ziet? Dan wordt het een lastig verhaal.

Het wil niet zeggen dat je het dan niet mag proberen, maar verwacht meer weerstand. Zoek dus altijd een link tussen de doelstellingen en de verandering. Kun je de verandering randvoorwaardelijk maken dan maak je een veel grotere kans.

De juiste keuzes maken? 8 slimme technieken

  door

Het is crisis en hoe kom je daar uit? Iedere beslissing over je strategie moet raak zijn! Acht methoden om tot betere beslissingen te komen.

  1. De pareto-analyse
  2. De gepaarde vergelijking
  3. Voor doordenkers: de grid-analyse
  4. De beslissingsboom: legt vertakkingen bloot
  5. PMI: Plussen, minnen en implicaties
  6. De zes denkende hoedjes
  7. De krachtenveldanalyse
  8. De kosten-batenanalyse

Natuurlijk raden we je aan om het hele artikel op Sprout te lezen. Maar als je er liever hulp bij wil dan helpen wij je natuurlijk ook graag om de juiste keuzes te maken en de juiste techniek toe te passen.

Nederland mist urgentie in aanpak cyberdreiging

  door

Het niet nemen van bekende basismaatregelen is de grootste bedreiging voor de cyberveiligheid van Nederland. Dat meldt het Cybersecuritybeeld 2011 van het Nationaal Cyber Security Center (bron).

Hoe meer we ons verdiepen in beveiliging, hoe ingewikkelder onze aanpak wordt. We kiezen voor allerlei technisch hoogstaande maatregelen die ons moeten helpen bij het beter beveiliging van onze organisatie. Prima, uitstekend…maar niet voordat we de basis goed geregeld hebben en niet voordat we daadwerkelijk begrijpen dat het gaat om de juiste combinatie van technische, organisatorische en procedurele maatregelen.

Er lopen op dit moment zeer veel initiatieven binnen bedrijven om de beveiliging te verbeteren. In het verleden hebben we een beetje teveel bezuinigd op informatiebeveiliging, dus die achterstand moeten we maar snel inhalen met de nieuwste technische snufjes.

Toch zien we dat organisaties vergeten om even afstand te nemen van hun huidige situatie en situatie die ze uiteindelijk willen bereiken. Zouden organisaties wel de tijd nemen om hun beveiligingsstrategie goed uit te denken dan zou dat niet alleen heel veel geld schelen maar zou er ook nog eens voor zorgen dat de beveiliging vele malen beter wordt.

Het is geen kunst om honderduizenden euro’s in beveiliging te stoppen. Het is wel een kunst om met zo min mogelijk maatregelen een zo goed mogelijk niveau van beveiliging te bereiken. Daarvoor grijpen we niet naar maatregelen maar redeneren we vanuit de risico’s. Weten we die risico’s (en de kans en impact) dan kunnen we bepalen welke risico’s we accepteren en voor welke risico’s we maatregelen willen nemen.

En voor die risico’s waarvoor we besluiten om maatregelen te nemen komen we dan weer terug bij de juiste combinatie van technische, organisatorische en procedurele maatregelen.

Helaas allemaal een utopie. In de praktijk hebben we het gevoel dat we risico’s lopen. Welke dat zijn weten we eigenlijk niet maar de nieuwste technische snufjes moeten ons helpen. Zo gaat het niet werken en zijn we de komende jaren misschien wel bezig om achterstallig onderhoud op het gebied van informatiebeveiliging weg te werken…maar veel veiliger zullen we daar helaas niet door worden.

Security op de managementtafel

  door

Gisteren hebben we afgesloten met de opmerking dat we niet uit kunnen sluiten dat we voldoende aandacht krijgen als we die onderwerpen kunnen raken waar het management van wakker ligt. Een mooie overweging voor vandaag.

Formeel gezien, zou het management natuurlijk wakker moeten liggen van de enterprise risks. Of, in gewoon Nederlands: de risico’s waardoor we omzet mislopen, waardoor we een stijging in kosten zien of waardoor ons imago een deuk op kan lopen.

Onze drietrapsraket: stap 1: risk management, stap 2: security management (gericht op preventie en detectie) en stap 3 business continuity (repressie en correctie) zou daar dan op gericht moeten zijn.

Uitdaging hierbij is dat we enterprise risks maar moeilijk direct kunnen beïnvloeden. Wij zijn immers de security-afdeling en moeten ons vooral niet bemoeien met de missie, visie, strategie en doelstellingen van de organisatie. Het management is daar verantwoordelijk voor en zal ons daarbij niet betrekken.

Daar kun je natuurlijk wakker van liggen. Maar dat is helemaal niet nodig. We moeten ons ook niet willen bemoeien met dat soort zaken. Wij moeten ons druk maken om onze bijdrage aan die missie, visie, strategie en doelstellingen. Hoewel we ons er dus niet mee moeten bemoeien, moeten we er niet onverschillig tegen over staan. Nee, sterker nog: wij moeten haarfijn weten wat ze zijn om onze aanpak van risk management, security management en business continuity management daar zo goed mogelijk bij aan te laten sluiten.

Als het in de praktijk voor alle organisaties en alle managers op deze manier zou werken, dan was het “verkopen” van security een stuk eenvoudiger. Maar wat het lastig maakt is het feit dat de belangen van de managers niet altijd overeen komen met de belangen van de organisatie.

Helemaal geen security issue maar veel meer een organisatorisch issue. Mensen komen naar hun werk, maar wat drijft hen en waarom komen ze eigenlijk? Misschien omdat ze inderdaad een zinvolle bijdrage willen leveren aan de organisatie, maar misschien ook omdat ze aan het eind van de maand toch gewoon een salaris nodig hebben.

Wat de persoonlijke doelstelling van de medewerkers ook is, we moeten ze zien te achterhalen als we beveiliging de aandacht willen geven die het nodig heeft.

Maar we kunnen natuurlijk niet alleen naar de ander blijven wijzen. We moeten ook goed in de spiegel kijken. We moeten dus niet negatief staan tegenover ontwikkelingen en we moeten niet bij voorbaat alles verbieden. Nee, we moeten realistisch zijn als we kijken naar de risico’s. Deze moeten we bezien in het licht van de missie, visie, strategie en doelstellingen.

Vervolgens moeten we proberen de operational risks te koppelen aan de enterprise risks (steeds met realiteitszin). Daarbij kunnen we het management onafhankelijk adviseren. Wij geven ze inzicht in de risico’s, de kans en de impact daarop, de kosten voor preventieve, detectieve, repressieve en/of correctieve maatregelen.

Beveiliging in de vorm van business cases waarbij de beveiligingsbusiness case onderdeel moet zijn van de grotere business case. Is dit dan de makkelijkste weg? Nee, waarschijnlijk niet. De makkelijkste weg zal zijn om separaat van alles te blijven opereren. Lekker in die ivoren toren blijven zitten. Maar dat is misschien een oplossing voor de korte termijn.

Willen we een oplossing voor de lange termijn dan moeten we deze overwegingen (en die van gisteren bijvoorbeeld) nog eens goed uitdenken. Dat is nu juist wat het zo leuk maakt.

In ieder geval heb je dit weekend een tweetal overwegingen om eens over na te denken. Mocht je een mening hebben, laat het me gerust weten. Ik ben benieuwd. Heb je zelf andere overwegingen waar je eens iets over wilt schrijven? Dan mag dat natuurlijk hier ook, geen probleem, ik hoor graag van je.

Een mogelijke meldplicht voor digitale inbraken

  door

De discussie is al meerdere malen gevoerd en zal waarschijnlijk ook nog vaker gevoerd worden als de meldplicht voor digitale inbraken niet van de grond komt. Het blijft een interessant onderwerp met voors en tegens. Maar laten we iets verder kijken dan onze neus lang is.

De Europese Commissie wil vanaf volgend jaar richtlijnen om het vertrouwen in certificaat-autoriteiten als DigiNotar in de toekomst te herstellen. Eurocommissaris Neelie Kroes denkt verder na over een mogelijke meldplicht voor digitale inbraken…

Een Iraanse hacker kraakte dit jaar de Nederlandse ssl-autoriteit DigiNotar en wist daardoor honderden vervalste certificaten aan te maken. De kritiek op het handelen van DigiNotar was groot en het bedrijf ging failliet. Securitybedrijven pleiten als reactie op de problemen voor beveiligingsstandaarden. Verder denkt het Nederlandse parlement na over de oprichting van een zogeheten ‘ict-brandweer’. (bron)

Kijken we terug naar het bericht dat we gisteren aanhaalden. Dan is het niet zo gek dat de IT-managers het onderwerp zo stressvol vinden. Je gaat er toch vanuit dat jouw leverancier van certificaten het goed voor elkaar heeft. Helaas weten we inmiddels beter. Maar trek deze lijn eens door. Gaan we er ook niet vanuit dat onze energieleverancier het goed voor elkaar heeft? Willen we niet zeker zijn van een bepaalde stroomvoorziening?

Geloof me, deze vraag gaat veel verder dan je certificaat-leverancier en je energiemaatschappij. Het geldt uiteindelijk voor de gehele keten. Wij als organisatie kunnen het nog zo goed voor elkaar hebben, maar als onze leveranciers en afnemers er minder aan doen, dan komt het al snel onder druk te staan.

We hebben de leveranciers nodig om onze eigen producten en diensten te kunnen leveren. We hebben de afnemers nodig om onze producten en diensten aan te kunnen verkopen. Allemaal geen hogere wiskunde natuurlijk. Maar wat als we de leveranciers onder druk zetten? Zij moeten nog goedkoper gaan leveren omdat we anders niet op prijs kunnen concurreren. Drie keer raden waar zoal op beveiligd wordt.

We haalden het al vaker aan. Informatiebeveiliging is gewoon een bedrijfskundig onderdeel dat we af moeten stemmen op onze strategie. Daar zit hem, in de huidige economie, wellicht een knelpunt. Er zijn verschillende concurrentiestrategieën (focus, differentiatie en prijs).

Veel organisaties kiezen op dit moment voor een prijsstrategie. Blijkbaar kunnen zij zich onvoldoende onderscheiden en blijkbaar durven ze geen keuze te maken voor bepaalde marktsegmenten. Kiezen we inderdaad voor “prijs” dan moeten we de keten onder grote druk zetten om maar zo goedkoop mogelijk te leveren. Dan gaan we al snel bezuinigen op kwaliteit…en daar is informatiebeveiliging onderdeel van.