Brandweer bij 1 op de 3 branden te laat

De brandweer is bij 33 procent van de branden te laat. Uit een nog vertrouwelijk onderzoek van de Inspectie Veiligheid en Justitie blijkt dat de brandweer juist bij de branden waar het risico op slachtoffers het grootst is, bijvoorbeeld in woningen en scholen, het vaakst te laat komt. Het duurt te lang voordat de meldkamer aard en adres van een noodsituatie doorgeeft aan de brandweer. Vervolgens duurt het te lang voor de brandweer uit kan rukken (bron).

Nu kunnen we, aan de hand van een dergelijk bericht, natuurlijk een wijzende vinger richten naar de brandweer. Maar wat mij betreft is dit een gevolg van de bezuinigingen die we de afgelopen jaren hebben doorgevoerd en de komende jaren nog door zullen voeren. Het is wachten op het moment dat de brandweer bij de helft van de branden te laat komt of het moment waarop we de tijd waarin ze aan moeten rijden verlengen. De normtijd is zo’n 8 minuten (en de aanrijtijd kan per gemeente verschillen).

Als de brandweer bij 1 op de 3 branden te laat komt, dan passen we de normtijd toch gewoon aan naar 12 minuten? Grote kans dat ze de norm dan wel halen en we er geen extra geld in hoeven te stoppen. Ook een grote kans trouwens dat we veel meer gevolgschade en meer slachtoffers hebben, maar ja, als je je kop in het zand steekt dan merk je daar weinig van.

De komende jaren zullen we meer en meer moeten bezuinigen en ook de hulpdiensten zullen hun steentje bij moeten dragen. Dat zal zijn gevolgen hebben. De aanrijtijden van Ambulance, Brandweer en Politie zullen niet meer gehaald worden en de kwaliteit van hun dienstverlening zal verlagen. Geen prettig vooruitzicht, als je het mij vraagt.

Genoeg is genoeg, zou ik zeggen en als ik onderdeel uitmaakte van dergelijke hulpdiensten dan zou ik toch een noodkreet laten horen voordat er vanuit een ivorentoren wordt opgelegd dat er nog meer bezuinigd moet worden.

Normen, best practices en richtlijnen

We hebben al goed nagedacht over onze aanpak op het gebied van informatiebeveiliging. Het zogenaamde “low hanging fruit” hebben we inmiddels wel geplukt en gaan nu meer en meer aanlopen tegen wat meer specifieke vragen. Hoe gaan we dit nu weer oplossen? Hoe gaan we daar nu weer mee om? Geen nood, er is genoeg informatie beschikbaar en die kan ons erg goed van pas komen. Op naar deze vraag dan maar:

Wordt bij de inrichting van de beveiliging gebruik gemaakt van normen en/of best practices en richtlijnen uit de branche of van organisaties met gelijke typologie voor standaardisatie van de integrale beveiliging?

We hebben het al eerder aangehaald, misschien heeft onze branchevereniging of hebben onze concurrenten nog wel interessante informatie beschikbaar die ons goed verder kunnen helpen. Niet geschoten is altijd mis, dus niet gevraagd is ook geen antwoord.

Ok, nu willen we niet als onwetend overkomen bij onze concurrenten dus eerst gaan we ons eigen desk research doen. Wel zo fair, toch? Beginnen we met de Code voor Informatiebeveiliging, dat is al een belangrijk raamwerk om ons verder te helpen. Niet door alles wat daarin staat zomaar te implementeren, maar wel om volgens een bepaalde structuur te werken. Een belangrijk aspect daarbij is het eerste deel van die Code (27002). Sla de eerste 4 hoofdstukken niet over om direct met de maatregelen te beginnen, maar lees juist die eerste hoofdstukken extra goed. Daarin staan de kaders, daarin staat de aanpak…en daarin staat ook dat de Code vertaald moet worden naar de eigen organisatie en dat daarbij keuzes gemaakt moeten worden.

Google ook eens op de Code voor Informatiebeveiliging. Voor de Code zelf moet betaald worden maar er is genoeg geschreven over hoe andere organisaties het aanpakken. Er is genoeg herbruikbaar materiaal te vinden. Beter goed gejat dan slecht verzonnen, zou ik zeggen.

Ik benadruk het nog maar eens: er staat nergens in de Code dat je alle maatregelen moet implementeren, er staat dat je goed moet nadenken over de specifieke risico’s voor jouw organisatie en dat de Code je daarbij behulpzaam kan zijn. Kortom: niet zomaar maatregelen implementeren maar eerst nadenken over de mogelijke risico’s.

Maar hoe gaan we nu om met die specifieke punten waar jij met je organisatie tegenaan loopt? Ook daarvoor geldt “Google is your friend” (ja ik weet het, er wordt door sommigen anders over gedacht). Loop je ergens op vast, Google dan eens met de juiste termen en je komt al snel hele bergen informatie tegen. Desk research is met de intrede van internet alleen maar makkelijker geworden en er komt nog steeds veel bruikbare informatie bij. Na de desk research kun je altijd nog even met je concurrent schakelen om na te gaan hoe zij met aspecten zijn omgegaan. Ook kun je altijd nog een specialistische interne afdeling benaderen of extern advies inhuren als dat wenselijk is.

We hebben het al vaker geschreven: als we het wiel opnieuw uit gaan vinden dan zal dat wiel ongetwijfeld weer rond worden. Dat hoeven we dus niet te doen. Nee, hergebruik wat beschikbaar is en vertaal dat naar de eigen organisatie. Een wiel is inderdaad rond, maar een wiel van een tractor zal moeilijk passen op het frame van een fiets. Heb je echt zulke grote wielen nodig of kan het ook wel een maatje kleiner? Daar zit hem wellicht de belangrijkste vraag.

Normen, best practices en richtlijnen

Gisteren hebben we vriendschap gesloten met onze auditafdeling. Eigenlijk zijn het helemaal niet van die nare (of rare) mensen, toch? Nee, eigenlijk hebben zij ook wel het beste voor met de organisatie. Aan deze vernieuwde samenwerking gaan we nog veel plezier beleven. Maar we nemen uiteraard wel onze eigen verantwoordelijkheid en proberen de informatiebeveiliging eerst zo goed mogelijk zelf in te richten. Daarmee zijn we aangekomen bij vraag 4.

De vierde vraag die we moeten stellen is:
Is bij de inrichting van de integrale beveiliging gebruik gemaakt van normen, best practices en richtlijnen uit de branche?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Inmiddels weten we dat we informatiebeveiliging serieus moeten nemen, maar waar moeten we beginnen? Geen nood, er zijn genoeg hulpmiddelen beschikbaar om de eerste paar stappen goed te zetten. Maar, voordat je je verstapt, wil ik je er nog wel even op wijzen dat het niet zozeer gaat om de beveiligingsmaatregel maar juist om het afdekken van een risico. Houden we dat voor ogen dan gaan we niet domweg allerlei standaard normenkaders implementeren (die een overkill aan maatregelen veroorzaken).

Nee, uitgaande van de risico’s, die per organisatie, per business unit, per locatie, per proces, per land, per gebouw en ga zo nog maar even door kunnen verschillen. Nu kunnen we allerlei normen, best practices en richtlijnen gebruiken om de meest effectieve en efficiënte wijze van beveiligen te bepalen.

De bekendste norm is waarschijnlijk de Code voor Informatiebeveiliging (ISO27001/27002 of voor de gezondheidszorg: NEN7510). Een uitstekende basis, zou ik zo zeggen, maar er is meer. Google er eens lustig op los en je zult zien dat er al veel, heel veel, geschreven is over informatiebeveiliging. Kijk bijvoorbeeld ook eens wat er beschikbaar is vanuit National Institute of Standards and Technology (NIST) en Federal Information Processing Standards (FIPS). Wat houd je tegen om dat her te gebruiken? Is het niet beter goed gejat dan slecht verzonnen?

Verder zijn er vast ook nog wel richtlijnen uit de branche die we kunnen hergebruiken. Beveiliging heeft misschien vele nadelen, maar een groot voordeel is er ook. Veel organisaties zien het (nog) niet als onderscheidend vermogen ten opzichte van de concurrentie. Benchmarken in de branch is daarom vaak niet zo’n probleem. Waar je normaliter zwaar concurreert kan het zomaar zo zijn dat de Security Manager van je concurrent graag met je samen werkt. Waarom? Nou, simpelweg omdat hij of zij met dezelfde problemen in de maag zit.

Zo, de concurrentie is ook geen probleem meer en we weten nu dat we via internet en allerlei beschikbare normeringen al een aardig stuk op weg zijn. Nu moeten we er alleen nog voor oppassen dat we het vakgebied straks niet echt leuk gaan vinden want dan is het hek van de dam. Maar goed, we zijn weer een stap verder en kunnen met een gerust hart op weg naar vraag 5.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Je betaalt niet meer je creditcard…als je dit hebt gelezen

De creditcardgegevens van kaarthouders in Nederland liggen zo goed als op straat. Uit onderzoek van Tripwire, een wereldwijde verstrekker van IT Security en compliance oplossingen, blijkt dat slechts 8 procent van de Nederlandse organisaties die credit- en debetcards gebruiken, voldoet aan de normen op gebied van de Payment Card Industry Data Security Standard (PCI DSS). Ook is 5 procent bezig om mogelijke zwaktes te identificeren en compliant te worden.

Burgerlijke (of eigenlijk zakelijke) ongehoorzaamheid of met name onbekendheid met de eisen bij organisaties? Feit is wel dat het schrikbarende cijfers zijn en we kunnen er van op aan dat dit niet op korte termijn is opgelost. We kunnen natuurlijk de schuld gemakkelijk leggen bij de organisaties, maar misschien moeten we ook nog eens kijken naar de hulpmiddelen die we bieden, maken we het allemaal ook niet erg onwerkbaar met al onze regeltjes? De grote winst is te halen in combinatie van de verschillende regels…maar daarover later meer.

Daarnaast komt naar voren dat 36 procent zich bewust is van het feit dat ze niet compliant zijn en niet van plan is om dit te worden (bron).

Zo te lezen worden de organisaties een beetje moe van de regelgeving, de normenkaders, het compliant worden en ga zo maar even door. Het is ook niet niks, we moeten voldoen aan SOx, De Code voor Informatiebeveiliging en nu ook nog PCI DSS. Toch hoeft het allemaal geen probleem te zijn, als we maar vooraf goed nadenken over hoe we de verschillende normen kunnen combineren en hoe we de juiste maatregelen kunnen treffen.

Daarbij komt eigenlijk weer een van mijn stokpaardjes tevoorschijn: we moeten niet compliant willen zijn, nee we moeten “in control” willen zijn. Nemen we dat als uitgangspunt dan zullen we zien dat we de genoemde normenkaders goed als uitgangspunt kunnen gebruiken, er vervolgens ons eigen sausje overheen kunnen gooien en als we dan ook daadwerkelijk “in control” zijn, dan is er geen vuiltje aan de lucht, dan voldoen we namelijk direct aan deze en alle andere normen.

Gelukkig gaat het artikel ook verder in op de risico’s:
Het aantal gevallen van creditcardfraude neemt ook in Nederland steeds meer toe. Voor zowel gebruiker als organisatie zijn er aanzienlijke risico’s, zoals hoge boetes en het verliezen van de mogelijkheid om via bepaalde creditcardmerken te kunnen betalen. Maar nog belangrijker zijn de grote imagoschade, het verlies van klanten en de hoge financiële kosten die beveiligingsproblemen met zich mee kunnen brengen. Een organisatie waarvan bekend is dat zij niet zorgvuldig met de creditcardgegevens van haar cliënten omgaat, zal aanzienlijke reputatieschade oplopen waarbij het voortbestaan van de organisatie in het geding kan komen.

Voor een vrijdag natuurlijk een veel te serieus bericht, dus we stoppen er voor vandaag maar weer snel mee want de inspiratie is nu echt op. Ik denk er nog eens rustig over na en betaal de komende tijd gewoon cash.