Topmanager ziet risico’s van ICT niet

Voor veel van ons eigenlijk een bericht met weinig nieuwswaarde, wij weten dit immers al jaren en vechten al langer tegen deze bierkaai. Maar toch kan het geen kwaad om een dergelijk bericht aan te halen. Al was het alleen maar omdat er nu een aantal instituten achter zitten die misschien wel gelooft worden.

Topmanagers van bedrijven zien geen verband tussen ict-risico’s en bedrijfsrisico’s voor hun onderneming. Dat is de belangrijkste conclusie uit het Governance Report 2012 dat securityleverancier RSA samenstelde in samenwerking met het onderzoeksinstituut CyLab van de Carnegie Mellon Universiteit. Leidinggevenden blijken geen zicht te hebben op de rol van computersystemen en data binnen hun bedrijf. Zij realiseren zich niet hoe ict-risico’s de bedrijfsresultaten kunnen ondermijnen (bron).

Ik kan natuurlijk alleen maar aansluiten bij een dergelijk bericht. Het gaat ook helemaal niet om informatiebeveiliging en al helemaal niet om de IT. Nee, het gaat, zoals al veel vaker is geroepen, om de bedrijfscontinuïteit. Maar op de een of andere manier blijft dat een vies woord voor veel managers.

Persoonlijk vind ik het dan ook niet zo spannend dat men de koppeling tussen IT en bedrijf niet ziet. Nee, wat ik veel interessanter zou vinden is als het ons lukt om de echte redenen daarvan te vinden. Managers (over het algemeen) zijn natuurlijk niet de domste mensen van deze planeet. En als ze er een keer goed over na zouden denken dan zien zij echt de koppeling tussen de verschillende risico’s wel. Vraag is echter of ze dat interesseert. Waarom zouden ze daar wakker van liggen? Hun eigen bonus is veel belangrijker dus daar moet alles voor wijken.

Misschien dat die managers te weinig het gevoel hebben dat ze echt een bijdrage leveren aan de continuïteit van de organisatie. Ze managen wel van alles maar vragen zichzelf ook wel eens af wat hun bijdrage nu bijdraagt aan het collectief. Zo bezien is het dus ook geen beveiligingsrisico dat er geen koppeling wordt gelegd tussen IT-risico en bedrijfsrisico. Nee, eerder is het een organisatorisch of bedrijfskundig risico waar het topmanagement een belangrijke rol in speelt.

Als voor een manager of een afdeling duidelijk is welke bijdrage ze leveren aan de totale organisatie, als voor hen duidelijk is welke informatie zij daarbij nodig hebben en als dan ook nog duidelijk wordt op welke IT-systemen die informatie draait, ja dan zou het ze misschien interesseren. Maar zolang de IT intern is “uitbesteed” aan een andere afdeling en zolang de persoonlijke bonus er niet op aangepast wordt overzien we het geheel niet meer.

Dat kun je een manager (volgens mij) niet kwalijk nemen. Nee, daarvoor moet je risicomanagement en informatiebeveiliging via een top-down benadering goed inregelen. En eerlijk is eerlijk: dat is makkelijker gezegd dan gedaan.

Bedrijven slecht voorbereid op netwerkuitval

Bijna driekwart van de Europese bedrijven heeft er weinig vertrouwen in dat ze alle computersystemen en gegevens kunnen herstellen na netwerkproblemen. Dat blijkt uit onderzoek van IT-aanbieder EMC. Het Europese bedrijfsleven lijkt dus niet goed voorbereid op een IT-ramp, terwijl 54 procent van de ondervraagde bedrijven toegeeft de afgelopen twaalf maanden gegevens te zijn kwijtgeraakt of te maken heeft gehad met niet-werkende systemen (bron).

Ik weet niet of het jullie de laatste weken ook is opgevallen, maar er lijkt toch meer en meer informatie te komen over de status van informatiebeveiliging. Meer en meer incidenten worden onder de aandacht gebracht en meer en meer onderzoeken worden openbaar gemaakt.

De strekking van de nieuwsberichten is veelal hetzelfde: het is niet goed geregeld met de informatiebeveiliging.

De komende maanden en jaren staan ons dus nog veel, heel veel, incidenten te wachten. Meer bedrijven zullen erachter komen dat ze niet meer om informatiebeveiliging heen kunnen. We gaan meer in de gaten krijgen waar we het nu eigenlijk allemaal voor doen…en dat is en blijft de continuïteit van onze dienstverlening of productie.

Uiteraard vind ik het goede signalen, want insiders weten al jaren hoe het gesteld is met de status van informatiebeveiliging binnen ondernemingen. Maar ook hierbij wil ik weer graag de waarschuwing plaatsen dat we niet in de val moeten trappen.

We moeten niet in blinde paniek besluiten dure technische maatregelen te implementeren. Nee, we moeten rust behouden en goed kijken naar wat nu eigenlijk ons primaire proces is. Waar verdienen we als organisatie ons geld mee? Zodra we dat inzichtelijk hebben, kunnen we ook kijken naar de ondersteunende middelen die we nodig hebben om die processen goed te laten draaien.

De ondersteunende middelen bestaan inderdaad veelal uit informatie, maar bedenk dat we dan nog wel onderscheid moeten maken in de digitale en de analoge informatie. Bedenk ook dat we naast de informatie nog over andere ondersteunende middelen moeten kunnen beschikken. Zo zijn er onze medewerkers die een belangrijke rol spelen, maar natuurlijk ook onze “assets” (denk aan: de gebouwen, de hardware, productiestraten en ga zo maar door).

Voordat we dus grijpen naar de maatregelen gaan we eerst een top-down benadering invoeren. We nemen even afstand van onze organisatie en de dagelijkse gang van zaken en gaan eens goed bekijken wat nu echt belangrijk is voor onze organisatie. Grote kans dat we tot de conclusie komen dat we de afgelopen jaren wel veel hebben gedaan aan informatiebeveiliging, maar niet altijd de goede dingen.

Er is een gevoel van schijnveiligheid ontstaan en als we niet oppassen worden we binnenkort zelf ook verrast door incidenten. We halen het (slechte) nieuws en ons imago loopt een enorme deuk op.

Ik kan er niet genoeg op wijzen: beveiliging is niet het doel maar een ondersteunend middel om een hoger liggend doel te bereiken. Wat mij betreft is dat hoger liggende doel de continuïteit van onze organisaties. we moeten dan ook onze oogkleppen af doen en vanuit beveiliging de operationele risico’s inzichtelijk maken die die continuïteit kunnen verstoren.

We lijken, vanuit het nieuws, meer en meer ondersteuning te krijgen, het advies is om die ondersteuning ook te gebruiken. Informeer het management, gebruik cases van je concurrenten, haal nieuwsberichten aan. Niet om maar zoveel mogelijk budget te krijgen maar om het bewustzijn bij het topmanagement te stimuleren.

Lukt het ons om de managers op alle lagen te betrekken bij beveiliging en hanteren we ook nog eens een reële aanpak op basis van risicomanagement dan worden we wellicht een volwaardig gesprekspartners van dat management. Als dat lukt is in ieder geval een deel van onze missie geslaagd…waar wachten we nog op?

En natuurlijk weet je me te vinden, mocht ik je er mee kunnen helpen dan is een seintje genoeg en bespreken we snel de aanpak die voor jouw organisatie het best passend is.

Beveiliging en de afstemming op de processen

Inmiddels beginnen we steeds meer te denken aan het beschermen van de processen om de continuïteit van onze organisatie beter te borgen. We hebben inmiddels ook wel door dat het helemaal niet draait om allerlei technische beveiligingsmaatregelen als firewalls, anti-virus en intrusion detection. Nee, inmiddels weten we dat de keuzes die we maken draait om het verhogen van de omzet, het verlagen van de kosten en het beschermen van ons imago. Dat we daarvoor uiteindelijk allerlei beveiligingsmaatregelen moeten nemen geloven we wel en is meer een zaak van de IT- en Facility-afdeling.

Willen we de uitvoerende afdelingen hun werk goed kunnen laten doen dan moeten we op tactisch niveau de kaders stellen waarbinnen zij kunnen opereren. Daarom de volgende vraag:
Zijn de eisen ten aanzien van de waarborging van de beschikbaarheid, exclusiviteit en integriteit op processen (bedrijfsvoering) afgestemd?

Denken we aan continuïteit van de bedrijfsprocessen en informatiesystemen dan denken we al snel aan de beschikbaarheidseisen die de waaraan moeten stellen. Meestal drukken we die uit in percentages als 95%, 98% of 99,9% die we doorvertalen naar brons, zilver en goud, omdat de klant die percentages helemaal niet wil horen. De percentages kunnen we meten en de IT-afdeling kan daar mooi verantwoording over afleggen. Hoewel dit allemaal makkelijker gezegd is dan gedaan, is er nog niet echt iets nieuws onder de zon.

Maar naast de beschikbaarheid moeten we ook kijken naar de eisen die we stellen aan exclusiviteit en integriteit. Exclusiviteit gaat in op de wijze waarop we ervoor zorgen dat alleen geautoriseerde personen of systemen toegang krijgen tot de informatie, terwijl integriteit juist ingaat op de juistheid, volledigheid en tijdigheid van de informatie.

Stellen we geen of de verkeerde eisen aan de exclusiviteit dan kan dat ervoor zorgen dat de informatie door ongeautoriseerde personen benaderbaar is en onze informatie al snel op straat komt te liggen. We lopen hiermee het risico dat ons imago een flinke deuk oploopt.

Hebben we te weinig zicht op de integriteit van de informatie dan kan dat er bijvoorbeeld voor zorgen dat we verkeerde keuzes maken op basis van onbetrouwbare informatie. Dit kan ons veel omzet schelen maar kan ook voor enorme kosten zorgen. Verkeerde keuzes kunnen ook leiden tot imagoschade. Denk maar aan het geval waar een arts op basis van de verkeerde informatie het verkeerde been van een patiënt amputeert.

Willen we dus continuïteit van onze organisatie en haar bedrijfsprocessen dan stellen we beschikbaarheids-, exclusiviteits, en integriteitseisen aan de informatiesystemen. Daarbij laten we de kosten en baten weer meewegen want hoe meer maatregelen we nemen, hoe meer kosten dat met zich meebrengt en hoe moeilijker de medewerkers hun werk kunnen doen. De kunst is niet om lukraak de eisen te stellen maar juist om het optimum te vinden waarbij de eisen zo goed mogelijk aansluiten bij de missie van onze organisatie. Daarbij moeten we zeker in de gaten houden dat het allemaal wel werkbaar moet blijven omdat de medewerkers er anders omheen gaan werken.

De eisen die we stellen kunnen per organisatie verschillen. Zo zal een geheime dienst andere eisen stellen dan de bakker om de hoek (als die laatste al eisen stelt). Maar ook per informatiesysteem kunnen de eisen verschillen. De kritische informatiesystemen krijgen wellicht hogere eisen opgelegd dan een niet kritisch systeem. Hierbij houden we uiteraard weer de relatie tussen de bedrijfsprocessen en informatiesystemen goed in het oog en leiden we het een en ander af uit de missie van onze organisatie. Wel stellen we graag eisen die haalbaar zijn, we maken ze SMART om te voorkomen dat het er op papier allemaal leuk uit ziet, maar in de praktijk nooit gaat werken.

Calamiteiten-, continuiteitsplannen en uitwijkmogelijkheden

Integrale beveiliging heeft nu toch wel onze aandacht en we zijn lekker proactief bezig om de operationele risico’s af te dekken. Nu komt het er op aan dat we onmogelijk alle risico’s af kunnen dekken. We moeten dus accepteren dat we nooit 100% beveiligd zullen zijn. Juist daarom is het ook van belang om te kijken naar de calamiteiten-, continuïteitsplannen en uitwijkmogelijkheden. De vraag die we daar natuurlijk bij stellen is:

Zijn er calamiteiten-, continuïteitsplannen en uitwijkmogelijkheden voor de garantstelling van het voorbestaan / de voortgang van de organisatie?

Proactief zijn we bezig geweest en preventief hebben we al een berg leed voor de organisatie voorkomen. Maar dan, ineens, geheel onverwachts en uit het niets, breekt er een incident uit. Alle maatregelen lijken ineens niet meer te werken en het gaat van kwaad tot erger. Totdat we niet meer te redden zijn en we de brand alleen nog maar gecontroleerd uit kunnen laten blussen (bij wijze van spreken). We kunnen de deuren sluiten, we hebben een paar mooie jaren gehad maar onze continuïteit is nu echt tot een stilstand gekomen.

Een rampenscenario, wellicht, maar ook hiervoor kunnen we proactief iets doen. We kunnen calamiteitenlannen, continuïteitsplannen en uitwijkmogelijkheden creëren om onze continuïteit te borgen. Daarmee moeten we niet wachten tot het incident zich aandient, nee, dan moeten alle zeilen bij gezet worden, we moeten daar al in een vroeg stadium mee beginnen.

Overigens willen we niet zeggen dat er allerlei dikke papieren plannen in de kast liggen te wachten totdat er iets gebeurt. De kunst is nu juist om tijdens een incident snel te kunnen handelen, de eerste paar minuten en uren zijn cruciaal. We hebben helemaal geen tijd om die dikke plannen door te worstelen. We moeten de handen uit de mouwen steken. Daarom is het ook goed om de plannen vooraf te testen en steeds bij te stellen. Zijn de telefoonnummers nog wel actueel? Weet iedereen nog wat hij moet doen? Wie mag er beslissingen nemen?

Geen dikke plannen dus, maar korte lijstjes die de mensen bijna kunnen dromen. Een naslagwerkje dat ze erbij kunnen pakken als ze het in het heetst van de strijd even niet meer weten.

Wat nog belangrijk is om te melden is dat de calamiteitenplannen, continuïteitsplannen en uitwijkmogelijkheden breder moeten zijn dan alleen de informatietechnologie. We moeten wederom de bedrijfsprocessen als uitgangspunt nemen. Die moeten worden gecontinueerd en daarvoor hebben we naast de informatiesystemen ook de assets en medewerkers weer nodig.

Hopelijk blijft jouw organisatie gespaard van grote incidenten, maar de kans dat er iets gebeurt kunnen we helaas niet helemaal uitsluiten. Daarom is het goed om voorbereid te zijn en de medewerkers goed op de hoogte te houden van hun taken, bevoegdheden en verantwoordelijkheden…ook bij het uitbreken van een incident.

Kritische bedrijfsprocessen en gegevens

Gisteren hebben we al gezien dat we onze risicostrategie aan moeten passen aan hoe kritisch het bedrijfsproces is of de gegevens zijn. Leuk gezegd, maar wat zijn dan die kritische processen en gegevens? Ho, ho, niet zo snel, dat is nu juist de vraag waar we vandaag naar kijken.

De achtste vraag die we moeten stellen is:
Zijn de kritische bedrijfsprocessen en gegevens inzichtelijk en zijn er continuïteitsplannen en uitwijkmogelijkheden voor deze processen?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

We moeten dus gaan kijken en onderzoeken van welke bedrijfsprocessen de organisatie echt afhankelijk is. We kunnen daarvoor het bedrijfsprocessen model van de organisatie gebruiken (voor zover die er is) maar we moeten ook zeker niet vergeten dat er veel processen zijn die niet duidelijk gedefinieerd zijn maar waar we wel heel erg van afhankelijk zijn.

Ik wil hier niet belanden in een discussie over wat nu exact de definitie is van een proces maar neem nu email eens als voorbeeld. In de feitelijke vorm niet echt een proces, maar wel een middel waar we erg van afhankelijk zijn geworden. Daarmee kunnen we direct de conclusie trekken dat we wel zicht moeten hebben op de kritische processen, maar dat we een proces op zich niet echt goed kunnen beveiligen.

Nee, we moeten de risico’s voor zo’n proces bepalen, maar we moeten uiteindelijk maatregelen nemen om de geautomatiseerde en de niet geautomatiseerde data, de assets en de mensen te beveiligen. Een proces wordt immers ondersteund door die middelen. Zonder die middelen geen proces, toch?

Op basis van wat we als kritisch zien voor het voortbestaan van de organisatie kunnen we prioriteiten stellen. Maar dat niet alleen, nee we kunnen ook kijken naar die processen (en ondersteunende middelen) waar we continuïteitsplannen en uitwijkmogelijkheden voor nodig hebben. Begrijp me niet verkeerd want een uitwijkmogelijkheid is daarbij, in mijn ogen, meer dan een uitwijklocatie met ICT voorzieningen. Uitwijk moet er voor zorgen dat het gehele proces doorgaat, niet alleen de systemen.

Bij het bepalen van hoe kritisch we een proces ervaren kunnen we bijvoorbeeld kijken naar de tijd waarna we dat proces echt gaan missen of voelen (in onze portemonnaie). Hoeveel omzet lopen we mis als een proces uit de lucht gaat? Hoeveel imagoschade levert ons dat op? En hoeveel kosten zullen we moeten maken om weer zo snel mogelijk in de lucht te zijn?

Als onze hele uitwijkoperatie € 100.000,- kost na een incident en we lopen in die periode “slechts” € 10.000,- mis, dan moeten we ons toch nog eens achter de oren krabben en kijken of we niet een bedrijfseconomisch betere oplossing kunnen bedenken.

We hebben nu weer het een en ander in perspectief geplaatst en gezien dat de maatregel niet meer mag kosten dan het probleem (tenzij we risicomijdend zijn natuurlijk, maar goed dat is weer een ander verhaal). Nog twee vragen en we hebben we belangrijkste aspecten inzichtelijk, nog even volhouden dus want morgen gaan we naar vraag 9.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Detailhandel verliest terrein aan internet

In hoeverre het nu echt nieuws is en of het niet een onderzoek is naar de bekende weg is laat ik hier even in het midden. Het is wel belangrijk genoeg om duidelijk te maken aan ondernemers omdat de continuïteit van hun organisatie anders echt in gevaar komt.

Het aantal zelfstandige ondernemers in de woon- en modebranche zal de komende tien jaar fors dalen. Consumenten kopen producten steeds vaker via internet. Een grote groep ondernemers beseft dit onvoldoende en verliest het contact met de klant (bron).

Vorige week hadden we het al over het faillissement van de videotheken, helaas hebben zij te lang gewacht om met de nieuwe economie mee te kunnen doen. Dit gevaar ligt echter ook op de loer voor vele zelfstandige ondernemers in het MKB en dan echt niet alleen in de woon- en modebranche.

Deze trend zien we natuurlijk al langer aan komen, maar er zijn nog teveel ondernemers in het MKB die: of hun kop in het zand steken, of met de handen in het haar zitten omdat ze echt niet weten wat ze moeten doen om over een aantal jaar nog te bestaan.

Juist, dit is niet zozeer een beveiligingsrisico (hoewel je daar bij nieuwe ontwikkelingen dan weer wel rekening mee moet houden), nee dit is een direct continuïteitsrisico en dat is misschien nog wel vele malen erger.

Toevallig help ik in mijn beperkte vrije tijd ook wat MKB-ers om ideeën op te doen voor de nieuwe economie. Waarom? Omdat ik daar rijk van wordt? Nee want het is allemaal liefdewerk oud papier. Nee ik doe dat om deze MKB-ers te helpen en mezelf te dwingen om me in deze nieuwe ontwikkelingen te blijven verdiepen.

Ik geef het je te doen om als kleine zelfstandige het op te nemen tegen de grote jongens. Jij hebt al genoeg sores met je winkel. Toch is het verstandig om niet al te lang te wachten met nieuwe ontwikkelingen, voor je het weet ben jij de volgende videotheek en moet je je faillissement aanvragen.

Er zal een hoop gebeuren de komende jaren, daar heb je geen onderzoek voor nodig. De vraag is hoe de kleine zelfstandigen daar mee omgaan. Ik denk dat ze hun krachten moeten bundelen en gezamenlijk naar een oplossing moeten zoeken. Jij met je ene winkeltje op de hoek (niet denigrerend bedoeld overigens want ik heb juist groot respect voor alle MKB-ers, ga er maar aan staan) gaat het anders niet redden.

Het is dat ik te weinig tijd en technische kennis heb, maar welke partij staat op om al die kleine zelfstandigen een platform te bieden om hun eigen internet winkel te beginnen? Een virtueel winkelcentrum, zal het er ooit van komen?

Nieuwe NEN 7131 norm voor managen veiligheid

Met de NEN 7131 norm zijn bedrijven en instellingen in staat om maatregelen te treffen voor risico’s die de bedrijfscontinuiteit in gevaar kunnen brengen. NEN 7131 gaat uit van een kwaliteitscyclus (Plan-Do-Check Act), het voorkomen van incidenten, maar ook om de gevolgen te beheersen mocht zich een incident voordoen, zodat de bedrijfscontinuiteit verzekerd blijft (bron).

Het ziet er naar uit dat we binnenkort weer een avondje moeten studeren om een nieuwe norm onder de knie te krijgen. Ik ben in ieder geval zeer benieuwd hoe deze nieuwe norm er uit komt te zien en of bedrijven hem ook echt gaan omarmen. Dit biedt wat mij betreft weer enorme kansen en een leuke uitdaging om bedrijven te helpen met hun bedrijfscontinuiteit.

Over de inhoud van de norm kan ik natuurlijk nog niks zeggen, ik kan alleen maar hopen dat we er slim mee omgaan. Te vaak zien we dat de maatregelen uit een norm (kijk maar naar de Code voor Informatiebeveiliging) domweg geimplementeerd worden zonder dat we de achterliggende gedachte proberen te doorgronden.

Ik zeg het wel vaker, maar dan toch nog maar een keer: het gaat niet om het implementeren van maatregelen…nee het gaat om het afdekken van risico’s. Of dat nu informatiebeveiligingsrisico’s zijn of risico’s voor de bedrijfscontinuiteit doet eigenlijk niet ter zake. Sterker nog, volgens mij zouden de informatiebeveiligingsrisico’s een afgeleide moeten zijn van die bedrijfscontinuiteit (wat heeft het anders voor zin?).

Tegen alle bedrijven die deze norm gaan implementeren wil ik graag zeggen: “hold your horses”, denk eerst even goed na over de methodiek voordat je hard gaat hollen met een pakket maatregelen onder je arm.

Oh ja, en als je er hulp bij nodig hebt mag je me natuurlijk altijd even over bellen.

Nederland laat recessie achter zich

Hoewel het misschien wat ver af lijkt te staan van de doel van dit blog (risk, security, continuity) is het wel degelijk belangrijk: Nederland laat de recessie achter zich. Dat is goed nieuws voor de continuity van organisaties. Dus ook hier mag ik wat van vinden, al zeg ik het zelf. Ik zie weer allerlei kansen in ieder geval.

Spread the word, zou ik zeggen. Bedrijven en consumenten, het is nu weer tijd om het geld te laten rollen. Voor de consumenten komen Sinterklaas en de feestdagen er aan (ook zo benieuwd wat je krijgt) en bedrijven hebben vast hun budgetten nog niet opgemaakt. Volop investeren in nieuwe ontwikkelingen en projecten dan zijn we snel weer boven Jan (Peter).

Want ja de kritiek die “onze” Jan Peter te verduren kreeg kan hij nu ook weer achter zich laten en hij kan met een gerust hart gaan voor de positie van President van Europa. Go for it. Krijgen wij de mogelijkheid om een nieuw bewind te gaan voeren en zijn we ook nog eens flink vertegenwoordigd in de EU. DAt is nou wat je zegt echt twee vliegen in een klap. Balkenende for president.

Oh ja en vergeet de beveiliging bij die investeringen, ontwikkelingen en projecten niet. Kom maar op.

Bedrijven bezuinigen op beveiliging

De financiele crisis leidt bij veel bedrijven tot minder investeringen in informatiebeveiliging. Een op de vier organisaties heeft te maken met een verlaging van het beveiligingsbudget van vijf tot vijftig procent. En nog eens dertien procent wordt geconfronteerd met meer dan een halvering van het budget. In vergelijking met vorig jaar heeft een meerderheid van de organisaties de aandacht verlegd naar compliance, het voldoen aan wet- en regelgeving. Kostenreductie en kwaliteitsverbetering spelen op dit moment een veel minder belangrijke rol. Zo blijkt uit onderzoek.

Eerder bleek al dat bedrijven hun beveiliging afbreken. Juist nu meer medewerkers getroffen zullen worden door de financiele crisis (door ontslagrondes, door het ontbreken van bonussen, etc.) zou het toezicht alleen maar toe moeten nemen. Vertrouwen is goed, controle is beter, juist nu, maar daar denken de organisaties dus anders over.

Tel daarbij op dat het volwassenheidsniveau van veel organisaties op het gebied van beveiliging nog niet erg hoog was (het is misschien net uit de kinderschoenen, maar er zijn nog vele stappen te zetten), dat blijkt onder andere uit alle incidenten die we voorbij zien komen, dan ga ik me toch zorgen maken.

Het voldoen aan wet- en regelgeving krijgt de aandacht, maar moesten ze daar dan al niet aan voldoen? Hebben ze dan jaren de wet overtreden? En, daarbij, zoveel wet- en regelgeving op het gebied van informatiebeveiliging is er nu ook weer niet. Kostenreductie en kwaliteitsverbetering spelen op dit moment een veel minder belangrijke rol , zo wordt geconcludeerd. Kostenreductie kan, volgens mij, op meerdere manieren bereikt worden: bijvoorbeeld door alleen maar te voldoen aan wet- en regelgeving (die dus voor een groot deel nog ontbreekt) of door nu eens slim na te denken over de af te dekken risico’s en de te nemen maatregelen. Kostenreductie speelt dus wel degelijk een rol, maar dan op de eerste manier. Juist door slim te kijken naar risico’s en maatregelen kunnen niet alleen de kosten verminderd worden maar kan ook nog eens de kwaliteit toenemen. Jammer een gemiste kans voor veel organisaties en een erg korte termijn visie.

In plaats van preventieve maatregelen zullen nu meer kosten gemaakt moeten worden voor repressieve en correctieve maatregelen. Op zich niet erg, want ook dat kan je strategie zijn, alleen zijn die kosten vele malen moeilijker in te schatten en vele malen hoger dan de preventieve maatregelen. Wat kost het als je imago naar de haaien gaat? Wat kost het om de informatie die verloren gaat terug te krijgen (als dat al mogelijk is)? Wat kost het als de continuiteit in gevaar komt door foute bezuinigingen…uit eindelijk misschien wel je kop.

Tweede dode Mexicaanse griep in Nederland

In Nederland is een tweede persoon overleden aan de Mexicaanse griep. Het gaat om een 58-jarige man. Net als het eerste slachtoffer was hij al ernstig ziek voor hij griep kreeg. Zo meldt nu.nl

Er is al veel ophef gemaakt over de Mexicaanse griep en we moeten nog maar afwachten of het echt zo’n rampscenario wordt als voorspeld is. Voorlopig kunnen we in ieder geval de les trekken dat de instanties het eigenlijk ook allemaal niet weten. Ga je gezond naar de grieppoli (het nieuwe woord voor 2009?) kom je met Mexicaanse griep thuis. Raadt het RIVM je aan om vooral niet naar de huisarts te gaan, adviseert Minister Klink juist van wel.

Maar goed dit blog gaat over security en risk, wat heeft de griep daarmee te maken? De continuïteit van de bedrijfsvoering kan er ernstig door in gevaar komen. Is het niet omdat de medewerkers ziek zijn, dan wel omdat ze in quarantaine zitten (in dat geval is het middel erger dan de kwaal).

Aan de andere kant blijkt dat de Nederlandse Spoorwegen met iets meer dan 70% van de medewerkers nog treinen kan laten rijden. Als ik bij de NS werkte zou ik me ernstig zorgen gaan maken…ik zie een flinke bezuinigingsronde aankomen bij de spoorwegen.