Tag: top-down

Zes sluipmoordenaars van langdurig succes

  door

De meeste bedrijven slagen er niet in een geweldig concurrerende organisatie te worden. De oorzaak volgens Management Team? Deze 6 silent killers. Voor langdurig succes zijn drie pijlers essentieel, zo zegt organistiepsycholoog Michael Beer: prestaties, psychologie en verandering.

  1. VAAGHEID: In prioriteiten, strategie en/of waarden: als medewerkers niet weten wat voorrang heeft en heldere standaarden ontbreken om hun werk aan te toetsen.
  2. SLECHT FUNCTIONEREND MANAGEMENTTEAM: Als het team te weinig tijd samen doorbrengt, nauwelijks tijd aan strategie besteedt en niet luistert naar de problemen van de werkvloer.
  3. TOP-DOWN OF LAISSEZ-FAIRE LEIDERSCHAP: Als managers óf te veel willen dicteren wat er moet gebeuren, óf juist te veel op zijn beloop laten.
  4. SLECHTE HORIZONTALE COÖRDINATIE EN COMMUNICATIE: Als personen, afdelingen en regio’s langs elkaar heenwerken en niet van elkaar weten wat ze doen.
  5. TE WEINIG LEIDERS OP DE WERKVLOER: Als het met name op het middenniveau ontbreekt aan geschoolde, ervaren managers en er te weinig gebeurt aan leiderschapsontwikkeling.
  6. SLECHTE VERTICALE COMMUNICATIE: Als er te weinig mogelijkheden zijn voor eerlijke communicatie tussen medewerkers en hun leidinggevenden, wat frustrerend werkt voor medewerkers en verlammend is voor de organisatie als geheel.

Beveiliging SharePoint veelal omzeild

  door

Uit onderzoek blijkt dat bijna de helft van SharePoint-gebruikers gevoelige of vertrouwelijke documenten kopieert naar niet beveiligde hard-drives, usb-sticks, of deze zelfs naar een externe mailt. (bron)

Nu kunnen we natuurlijk hele discussies voeren over Sharepoint en hoe veilig we Sharepoint wel of juist niet kunnen maken. Dan komen we al snel op vragen als: wie mag vanuit welke rol bij welke informatie en op welk moment dan? Hoe gaan we ons autorisatiemanagement inrichten en hoe vaak gaan we de rechten van gebruikers controleren.

Allemaal hartstikke belangrijke vragen waarop we nog belangrijkere antwoorden zullen moeten vinden. Maar daarmee zijn we er nog niet. Nee, hier blijkt maar weer eens uit dat we echt niet kunnen zonder een integrale aanpak op basis van risicomanagement.

We moeten dus uitgaan van die risico’s. En natuurlijk kunnen we dan technische risico’s voor Sharepoint benoemen. De kans en de impact van een ongeautoriseerde toegang tot het systeem. Uiteraard moeten we daar maatregelen tegen nemen. Maar hoe zit het nu met die geautoriseerde toegang?

Hoe voorkomen we nu dat medewerkers die geautoriseerd zijn er met onze gegevens vandoor gaan (bewust of onbewust). Het risico is dus naast ongeautoriseerde toegang juist ook de risico’s die je loopt met de informatie. Daar gaat het om. Dus wat is de kans en de impact als onze informatie bijvoorbeeld verloren gaat omdat die bij iemand lokaal op zijn laptop staat?

Maar ook hier kunnen we nog niet stoppen. Die informatie is ondersteunend aan onze bedrijfsprocessen. Daar verdienen we immers ons geld mee. We moeten dus kijken welke informatie van belang is voor de bedrijfsprocessen. We moeten nagaan wat de kans en impact voor het stil vallen van die processen is als gevolg van het verloren gaan van informatie.

Als die informatie echt zo belangrijk is voor de ondersteuning van onze bedrijfsprocessen dan moeten we er dus voor zorgen dat die informatie niet zomaar verloren kan gaan. En als we vervolgens besluiten om die informatie via Sharepoint te delen dan moeten we ook nagaan hoe we ongeautoriseerde toegang gaan voorkomen.

Van een bottom-up benadering naar een top-down benadering dus en in dit geval gebruikten we Sharepoint even als voorbeeld, maar er is meer dan Sharepoint, er is meer dan informatie, er is meer dan bedrijfsprocessen. We komen toch weer terug op de continuïteit van onze organisatie. En alles dat bijdraagt aan die continuïteit moeten we serieus nemen.

Wereld geeft 25,7 miljard euro uit aan security

  door

Het is dat de 5 nog niet in de klok zit, anders trokken ik en vele concullega’s met mij nu per direct een flinke fles champagne open.

Er wordt in 2011 in totaal 25,7 miljard euro uitgegeven aan ict-security. Dat verwacht onderzoeksbureau Gartner. In 2010 werd er wereldwijd nog 22,8 miljard euro gespendeerd aan ict-beveiliging. In 2015 verwacht Gartner dat het bedrag flink oploopt naar 36 miljard euro. Dat komt doordat de beveiligingsmarkt grote veranderingen doormaakt (bron).

De afgelopen jaren zijn we geconfronteerd geweest met flinke bezuinigingen en op het moment van schrijven zitten we nog midden in de “double dip”. Vele marktsegmenten hebben daar de last van ondervonden en de informatiebeveiliging is daar geen uitzondering op. Weinig is er gedaan aan innovatie en als er al besteed is, dan is dat met name in vervanging van bestaande technische beveiligingsmaatregelen.

Als we inderdaad de komende jaren aan kunnen kijken tegen een groei in de investeringen in de informatiebeveiliging, dan hoor je mij daar niet over klagen. Maar, ik zou mezelf niet zijn als ik daar niet direct een kanttekening bij zou plaatsen.

Het gevaar schuilt hem er in dat we blijven investeren in technische beveiligingsmaatregelen zonder dat we de risico’s voor onze organisatie echt in de smiezen hebben. Voordat we dus de budgetten voor de komende jaren gaan bepalen lijkt het mij een goed idee om nog eens goed naar onze organisatie als geheel te kijken. Wat was onze missie ook alweer? Welke strategie voeren we daarbij? En welke doelstellingen willen we wanneer bereiken?

Dat zijn de uitgangspunten. Die moeten we als uitgangspunt nemen voor onze risico analyses. Als we dan toch uit de dip komen, dan kunnen we het beter gelijk goed doen. Goed doen, door nu eindelijk een top-down benadering te hanteren. Natuurlijk moeten we apparatuur, die aan het eind van de levensduur gekomen is, vervangen. Maar eigenlijk zijn we dan al te laat. Bij aanschaf konden we al weten dat de apparatuur een keer vervangen moest worden.

Het is zonde van het geld als we klakkeloos de apparatuur vervangen zonder te kijken naar de risico’s die we daarmee af willen dekken. Misschien zijn de risico’s wel anders dan een jaar of 5 geleden. Misschien is onze organisatie nu wel heel anders dan 5 jaar geleden en misschien is ook onze technische infrastructuur nu heel anders dan 5 jaar geleden.

Voordat we weer miljoenen (of als we Gartner mogen geloven: miljarden) over de balk smijten, zou ik toch liever zien dat we ook bij informatiebeveiliging planmatig te werk gaan. We mogen best een potje achter de hand houden voor als het fout gaat. Maar het grootste deel van het budget moeten we toch echt gaan reserveren voor preventie. En dat kunnen we alleen doen op basis van risico analyse en met de missie, strategie en doelstellingen in het achterhoofd.

Zo, iedereen die nu nog zegt dat er geen budget is voor informatiebeveiliging, verwijs ik graag naar het onderzoek van Gartner. Toch een goed aangeschreven naam. Grote kans dat je met een onderzoek van Gartner je management kan overtuigen van het feit dat de tijd achter ons ligt dat we niet meer in informatiebeveiliging investeerden.

Nou, ik hoor het wel als de kogel door de kerk is en het budget is goedgekeurd. Ik denk graag met je mee over de risico’s en de wijze waarop je het budget zo efficiënt mogelijk kunt besteden. Kijken we echt met een top-down benadering en met een integrale beveiligingsvisie naar de toekomst dan is zelfs de kans aanwezig dat je flink budget over houdt…die we dan uiteraard weer netjes teruggeven aan het management.

Beveiliging: centraal of decentraal

  door

Gisteren hebben we al gezien dat het wiel dat we uitvinden rond is en dat we er daarom ook voor kunnen kiezen om te gaan werken met een basis beveiligingsniveau. Bovenop dat basisniveau implementeren we dan de aanvullende maatregelen die komen uit onze risico analyse (want die doen we, toch?).

Maar als we er dan toch voor kiezen om een aantal maatregelen standaard te implementeren. Dan is de volgende vraag een logisch vervolg:
Is vastgesteld welke beveiligingsmaatregelen centraal en/of decentraal genomen (moeten) zijn?

Gaan we werken vanuit een basisniveau, corporate security framework, beveiligingspolicy of weet ik welke naam er binnen jouw organisatie aan gegeven is, dan kunnen we ook onderscheid gaan maken in de maatregelen die we centraal of juist decentraal moeten nemen.

Een beleidsdocument dat geldt voor de gehele organisatie is logischerwijs natuurlijk al snel een centrale maatregel die we eventueel op lokaal (decentraal) niveau door kunnen vertalen naar de specifieke eisen, wensen, wet- en regelgeving. Stel dat we in het beleid bepalen dat we aan toegangsbeveiliging tot ons gebouw gaan doen, dan kunnen we lokaal kijken of we dat doen met een toegangscontrole systeem op basis van toegangspasjes of dat we er toch liever voor kiezen om een gewapende wacht met een kalashnikov voor de deur te zetten.

Je zult zien dat het abstractieniveau nodig is omdat we niet voor iedere locatie, ieder land, ieder systeem dezelfde maatregel voor kunnen schrijven. Die gewapende wacht met een kalashnikov is in het buitenland misschien heel normaal, maar in Nederland is het niet toegestaan. Daarmee zouden we dus de wet overtreden.

Maar het gaat om meer dan de wet overtreden. We haalden eerder al het voorbeeld aan waarbij we ervoor kozen om te werken met een inlognaam, pincode en toegangspas. Maar kunnen alle systemen daar wel mee over weg? Hebben we niet wat, inmiddels verouderde, systemen staan die met pijn en moeite met inlognaam en wachtwoord werken? Naast de mogelijke overtreding van wetgeving moeten we er dus ook naar kijken wat (technisch) haalbaar is.

Juist daarom is het dus de kunst om het abstractieniveau zodanig te kiezen dat het algemeen toepasbaar is, maar niet zo algemeen dat het niet meer de richting voor beveiliging aangeeft. Hebben we dat gedaan en komen we uit op allerlei standaard maatregelen die we minimaal implementeren dan kunnen we daarbij ook kijken wat we daarvan centraal beleggen en wat we aan de lijnorganisatie over laten.

Laten we teveel in de lijn liggen dan is er weinig uniformiteit en bestaat het risico dat het een allegaartje wordt. Doen we echter teveel op centraal niveau dan zal er in de organisatie weinig betrokkenheid bij het afdekken van risico’s ontstaan. Willen we het goed doen dan moeten we kijken naar de cultuur van de organisatie en kunnen we kijken naar hoe we het op andere vlakken hebben ingericht. Is voor P&O zaken bijvoorbeeld veel belegd op decentraal niveau, dan is dat misschien een goed voorbeeld voor de aanpak van beveiliging.

In de praktijk lijkt het er op dat een top-down benadering van beveiliging veelal wat meer centraal aangestuurd wordt, terwijl een bottom-up benadering juist meer activiteiten in de lijn belegd. Hoe is jouw organisatie ingericht en zegt ons dat al iets over de wijze waarop we beveiliging daarin in kunnen passen? Het advies is om het vooral niet anders in te richten dan de rest van de zaken in de organisatie, beveiliging is al lastig genoeg, dus we zitten niet op allerlei organisatorische afwijkingen te wachten, toch?