Overslaan en naar de inhoud gaan

Blogs

Zou een emissieschandaal à la Volkswagen ondenkbaar zijn in de met regels dichtgetimmerde luchtvaartsector?
Inhoud Kun je deze en andere risico's voorspellen? Hoe geef je risicogestuurd werken eigenlijk handen en voeten? En helpt het om een grote risicoafdeling op te tuigen? Immers, 'veiligheid ontstaat niet door regels of procedures, maar door het handelen van mensen'. Kwaliteitsmanagement, risicomanagement en procesmanagement, ze raken steeds meer in elkaar vervlochten. Waarbij de methodologische kant teveel nadruk krijgt, en de menskant te weinig. Daar zijn luchtvaartexpert Benno Baksteen en wetenschapper c.q. adviseur Martin van Staveren het over eens. De risico-experts spreken beiden op 19 november a.s. tijdens het Jaarcongres Procesmanagement over risicomanagement.Meer processen, meer complexiteit  In de luchtvaart is risicomanagement bottom-up gegroeid, schetst Baksteen: ‘Veiligheid is in onze sector een levensvereiste: maak je een fout, dan kun je neerstorten en overlijden. Goede processen rond risicomanagement ondersteunen de handelende mens, slechte processen proberen te voorkomen dat iets misgaat. Bij die laatste zie je in praktijk vaak dat mensen zich indekken, niet de schuld ergens van willen krijgen. Het maakt hen niet uit wat er gebeurt, als zij maar geen verantwoordelijkheid hoeven te nemen.’ Het gevolg: bonafide gedrag verandert dan makkelijk in malafide gedrag, zoals we onlangs zagen bij het emissieschandaal rond Volkswagen. ‘In de luchtvaart is dat automatisch op een goede manier gegroeid; piloten en ander personeel moeten verantwoordelijkheid nemen en indien nodig achteraf verantwoording afleggen. Veiligheid ontstaat niet door regels of procedures, maar door het handelen van mensen.’ In het algemeen ziet Baksteen dat organisaties in hun risicomanagement processen te makkelijk op elkaar stapelen. ‘Daarmee maak je het complexer, meer rigide. In veel bureaucratische organisaties redeneren medewerkers: als ik me nou maar aan de regels houd, ben ik nooit het haasje; dan kan het probleem nooit mijn probleem zijn’, aldus Baksteen.Werken aan eigen overbodigheid  Grote risico-afdelingen optuigen helpt dan ook niet, vult Van Staveren aan: ‘Dat hebben we goed kunnen zien bij de banken. Daar ging de afgelopen jaren van alles mis, onder het toeziend oog van complete afdelingen Risk Management en Compliance. Het ‘wegstoppen’ van risicomanagement in aparte afdelingen is een fundamentele fout: ‘Je moet allemaal bezig zijn met risico’s, van hoog tot laag. Want wat is nou eigenlijk een risico precies? Dat is een effect van onzekerheid op de doelen van een organisatie. Dus dat is in wezen neutraal. Omdat iedere medewerker zijn specifieke taken heeft om bij te dragen aan realisatie van die doelen, is iedere medewerker ook verantwoordelijk voor de effecten van onzekerheden om die doelen te bereiken.’ Oftewel, als iedereen dat nou maar gestructureerd en expliciet doet, heb je helemaal geen risicoafdeling of kwaliteitsmanager meer nodig. Idealiter zouden die functies eigenlijk moeten werken aan hun eigen overbodigheid. ‘Met als eindstation dat hun vakgebied integraal onderdeel uitmaakt van de lijn’, stelt Van Staveren. ‘In de overgangsfase heb je wel mensen nodig die dit stimuleren en begeleiden. Een mooie rol voor de huidige risico- en kwaliteitsmanagers.’Bron: Sigma OnlineHoe complex en rigide is risicomanagement binnen uw organisatie? En zijn alle medewerkers daar bezig met risico's, van hoog tot laag? Download hier de whitepaper over integraal risicomanagement
Vijf archetypen van digitale disruptie
Inhoud Onderzoek van MIT naar succesvolle digitale bedrijfsvoeringen – vastgelegd in het recente boek ‘Leading Digital’- heeft opgeleverd dat er vijf duidelijk onderscheidbare archetypen van digitale disruptie zijn.   Platformverschuiving Het fundamenteel herschikken van een markt door het introduceren van een nieuw platform voor vraag en aanbod. Uber doet het voor het taxivervoer, Airbnb voor hotelverblijven en Spotify en iTunes voor muziek. In alle gevallen wordt een digitaal platform geïntroduceerd dat zowel aantrekkelijk is voor kopers als aanbieders en dat de bestaande manieren van het koppelen van vraag en aanbod vermijdt. Als zo’n platform eenmaal een bepaalde kritische massa heeft bereikt, is de economische kracht ervan heel moeilijk te bestrijden door de gevestigde orde. ‘Platforms eten de wereld’, daar komt het op neer.    Digitaal vervangen Het volledig vervangen van cruciale producten en diensten door een nieuw, digitaal formaat. Er zijn maar weinig beperkingen aan technologie en daarom zijn er uiteindelijk ook maar weinig limieten aan wat er allemaal gedigitaliseerd kan worden. En of het nu gaat om boeken, muziek, brievenpost of 3D-printing, er zal altijd een bepaalde vorm van kannibalisme plaatsvinden om van het ene formaat naar het andere te komen. Vraag maar aan Netflix, dat vroeger videocassettes per post naar de klant stuurde.    Digitale extra’s Nieuwe technologieën kunnen de mogelijkheid bieden een bestaand portfolio van producten en diensten uit te breiden met digitale extensies, zodat er nieuwe, heel andere inkomstenbronnen worden aangeboord. Gevestigde bedrijven zijn hier zelfs in het voordeel omdat ze de kans hebben voort te borduren op de kracht van het merk en bestaande producten. Bedrijven als Nike en New Balance hebben bijvoorbeeld laten zien hoe een lijn van sportkleding succesvol kan worden verrijkt met ‘wearables’.    Keten veranderen De manier waarop een bedrijf door middel van een keten waarde produceert, kan met digitale inspiratie volledig anders worden ingericht. Denk aan andere kanalen om contact te maken met klanten, partners of toeleveranciers, zoals social media. Niet zelden zullen tussenpersonen buiten spel worden gezet, kijk maar naar verzekeringen, retail en reizen. Maar het kan ook anders: Volvo gebruikt de ‘connected car’ om zelf dichter bij klanten te komen, maar gebruikt de inzichten ook om het dealerkanaal beter te ondersteunen.    Propositie vernieuwen Het gaat bij het verzinnen van nieuwe bedrijfsmodellen niet altijd om volledig nieuwe concepten. Je kunt ook een nieuw perspectief hanteren op bestaande producten, diensten en de bedrijfskolom. Er zijn als verzekeraars die mobiele technologie en real-time data gebruiken om ‘on time’ verzekeringen aan te bieden voor heel specifieke situaties en doeleinden. Zo boren ze nieuwe, tot nu toe onafgedekte klantbehoeftes aan. Maar soms kan een bedrijf ook zitten op een schat die nog niet ontdekt is. Mediabedrijf Entravision had zoveel relevante data verzameld over de kijkvoorkeuren van zijn klanten dat het besloot een geheel nieuwe bedrijfsvoering op te zetten rond ‘customer analytics’. Met veel succes. Auteur: Ron Tolido
De vier pijlers van Aegon
Inhoud Jos van der Have, Business Information Manager bij Aegon, gaat tijdens het Jaarcongres Information Management in op de wens van deze verzekeraar om een digitaal klantbedrijf te worden, waar de klant zelf aan het stuur zit. Daartoe zet Aegon data om naar kennis over de klant. Dit proces wordt versneld door de toename van het directe klantcontact, waarbij klanten steeds meer informatie willen ontvangen om zelf te kunnen beslissen. Van der Have geeft aan hoe vier pijlers de digitale transformatie bij Aegon ondersteunen. De eerste behelst een verandering van cultuur, waarbij het er om gaat de klant zelf keuzes te laten maken. KPI’s zorgen er voor dat kwaliteitsverbetering te meten is, tot op het niveau van de individuele medewerker. Processen vormen een tweede pijler. Waren deze vroeger intern gericht, nu is ook hier de klant centraal komen te staan. De verbetercyclus wordt gevoed door feedback van de klant. En dan IT, als derde pijler. Hier staat het CRM-systeem centraal, dat in de woorden van Van der Have de klant een ‘effortless experience’ moet leveren. Aan de vierde pijler besteedt Van der Have de meeste tijd, alhoewel hij duidelijk aangeeft dat de vier pijlers hetzelfde belang hebben: ‘Er moet evenwicht zijn.’ Aegon heeft in zijn databeleid het opleiden van analisten als speerpunt. Datakwaliteit is een ander belangrijk aandachtspunt. Gegeven de heterogeniteit van data is dit een opdracht die almaar complexer wordt. Ook hier kijkt de verzekeraar naar het meetbaar maken met behulp van KPI’s, maar zo ver is het nog niet. Data is voor Aegon de grondstof voor de transformatie naar een digitaal klantbedrijf. En data is kennis. Van der Have: ‘Kennis is de basis voor onder meer de net promoter score, de online experience van de klant, en voor het fact-based besturen van de organisatie.’Auteur: Arnoud van GemerenMeer weten over de vier pijlers van digitale transformatie? In deze animatie kunt u zien hoe het Novius B&IP Raamwerk® helpt bij het vertalen van uw bedrijfsstrategie naar concrete acties en projecten.
3 Grootste uitdagingen voor IT
Inhoud Het beheer van afzonderlijke silo’s, het bijhouden van vernieuwingen en het adequaat reageren op nieuwe aanvragen zijn de grootste uitdagingen voor IT-afdelingen. Hierop duidt onderzoek van Telindus onder 376 IT-professionals. De respondenten gaven aan welke moeilijkheden zij tegenkomen bij de serviceverlening van de eigen IT-afdeling. De resultaten liggen dicht bij elkaar, wat de complexiteit van het runnen van een IT-afdeling goed weergeeft. Naast de drie bovengenoemde uitdagingen zijn het vinden van gekwalificeerd personeel, de groei van omgevingen en de integratie van nieuwe technologieën en vergrijzing van het personeel knelpunten. Harm de Haan, manager consultancy & lid van de Advisory Board bij Telindus, licht de resultaten toe: “In 2015 moet de IT-afdeling stappen zetten naar een creatieve organisatie die zelf ideeën aandraagt om de business slagvaardiger te maken; dit noemen we Adaptive IT. Een grote uitdaging met het oog op de complexiteit van het beheer vandaag de dag.  Het feit dat de IT-infrastructuur in veel gevallen nog opgedeeld is in silo’s zorgt ervoor dat er te veel tijd en budget gespendeerd wordt aan het laten draaien van de IT-omgeving. IT-afdelingen komen hierdoor niet toe aan het introduceren van nieuwe ideeën om de business te laten groeien. Daarnaast wordt dit bemoeilijkt door het tekort aan IT-specialisten en de vergrijzing. Dit alles zorgt ervoor dat steeds meer organisaties ervoor kiezen het technisch beheer uit te besteden om zo de slagkracht alsnog te vergroten.” Bron: IT Executive
IKEA klaar voor digitale tijdperk?
Inhoud Digitale technologieën en oplossingen veranderen de manier waarop mensen leven, hoe ze omgaan met bedrijven en tal van andere zaken ingrijpend. De internationale retailer van meubels en woonartikelen IKEA neemt de digitale transformatie zeer serieus. Oud CIO Paolo Cinelli is een van de belangrijkste managers die deze nieuwe toekomst voor IKEA vormgeeft.U bent dit jaar overgestapt van een traditionele CIO-rol naar een chief digital officer-positie. Hoe geeft u die digitale toekomst vorm? "Ik zie het als een evolutionaire stap in mijn carrière en de toekomst van het bedrijf. In mijn zes jaar als CIO van IKEA zijn er veel veranderingen geweest in de manier waarop we de vraagkant van ICT hebben ingericht. Ik wilde graag een andere rol en het bedrijf stond open voor de nieuwe positie die ik ambieerde. Het sturing geven aan IKEA's digitale toekomst geeft me een enorme kans om als manager technologie naar een volgend niveau te brengen en daarmee groei voor het bedrijf te creëren. Als voormalig CIO zal ik het nodige realisme meebrengen. Om specifiek te zijn, ik zal genoeg aandacht vragen voor de informatie-architectuur die nodig is om goed te kunnen innoveren. Daarnaast zal ik het juiste tempo aanbrengen in de innovatie. We moeten technologie gebruiken die klaar is voor massaproductie. Met mijn CIO-ervaring als achtergrond ben ik er ook van doordrongen dat innovatie niet door één persoon te realiseren is. Het is een collectieve roadmap die met een team van getalenteerde mensen gerealiseerd wordt."Wat is essentieel in een digitale transformatie? "Het veranderprogramma is momenteel vooral gericht op het verbeteren van de klantervaring. Onlangs zijn er een aantal investeringen in verkoop- en marketingtechnologieën gedaan. We verzamelen veel informatie over interactie met de klant om de klantervaring online en in de winkels te verbeteren. Maar door het verzamelen wordt deze informatie ook een activia op zich, die we in de toekomst op een andere manier kunnen inzetten. Als klanten een aankoop afronden, willen we informatie aanbieden over andere producten die ook relevant kunnen zijn voor hun slaapkamer of keuken. We willen koopsuggesties creëren en een klantrelatie opbouwen die verder gaat dan die ene verkooptransactie. Een ander toepassingsgebied is het ingrijpend verbeteren van de productkwaliteit door te monitoren hoe deze producten het doen als ze thuis gebruikt worden."Wat zal de impact van het Internet of Things op de digitale transformatie zijn? "IoT stelt ons in staat om producten in een waardeketen via internet te ontsluiten. In een productie-omgeving zet een aantal van onze leveranciers dit al in om zeer geavanceerde technieken in te kunnen voeren. Qua logistiek zie je bijna volledig geautomatiseerde magazijnen. Robots zijn ver ingevoerd bij de productie. Verbetering van productinformatie in zo'n logistieke keten door deze beschikbaar te stellen en de toepassing uit te breiden is belangrijk. Naarmate de informatie over producten verfijnder is, kun je het inzetten voor betere en snellere inzichten. In de toekomst zal IoT ook een middel zijn om dichter bij de klant te komen. We kunnen spelen met slimme meters, het vastleggen van omgevingscondities in huis waar producten in gebruik zijn en sensordata inzetten om klanten een beter product te bieden. Voor mij is het niet één trend, zoals digitalisering, die een verschil maakt. Het is een combinatie van trends die innovatieve technologie zijn kracht heeft. Neem robotisering en het gebruik van ingebedde digitale productgegevens. Voor de koppeling van een maatschappelijke trend als vergrijzing met digitalisering geldt hetzelfde. Het is juist de combinatie die nieuwe creatieve oplossingen mogelijk maakt." We zijn erg optimistisch over de kans van slagen, maar tegelijkertijd ook bescheiden. We leren veel en zullen veel moeten leren. Dat betekent nieuwe persoonlijke vaardigheden voor mezelf. Je hebt leidinggevende ervaring nodig om over de grenzen van verschillende business-dimensies heen te kunnen begrijpen wat de gevolgen en mogelijkheden van deze nieuwe technologie zijn. Met zo'n insteek kun je de juiste ingrediënten voor een digitale transformatie aanwijzen. Maar ook het team en het bedrijf zullen moeten leren. Heeft IKEA voldoende vaardigheden en business-analisten om bijvoorbeeld de tsunami aan informatie die we zullen verzamelen aan te kunnen? Daarnaast willen we samen met externe partijen innoveren en overwegen onze nu nog gesloten IT-omgeving open te zetten. Het is de bedoeling om dit in gang te zetten, maar we hebben nog een lange reis voor de boeg."Auteur: Sytse van der Schaaf Is uw organisatie klaar voor het digitale tijdperk? En bent u al bezig met digitale transformatie?
Veiligheid digitale keten krijgt veel te weinig aandacht
Inhoud Steeds meer bedrijven, overheden, systemen en applicaties worden met elkaar verbonden, maar er wordt nauwelijks nagedacht over de digitale veiligheid in deze keten. Dat zegt de nationale Cyber Security Raad, die oproept niet alleen de risico’s binnen organisaties in kaart te brengen, maar ook in de keten.   Onderdeel van de digitale keten Bedrijven en overheden staan nauwelijks stil bij het feit dat zij voor het ontwikkelen of leveren van producten en diensten onderdeel uitmaken van een digitale keten. Zij zijn aan de ene kant van het productie- of dienstverleningsproces digitaal verbonden met leveranciers en aan de andere kant met afnemers: bedrijven die op hun beurt wéér een bewerking van gegevens uitvoeren of eindgebruikers.   Internet of Things Als gevolg van het IoT neemt de onderlinge afhankelijkheid tussen organisaties toe. Steeds meer productiemachines, apparatuur, consumentenproducten en sensoren worden met internet verbonden en gekoppeld aan bedrijfsnetwerken. Deze netwerken worden daardoor kwetsbaarder en in potentie is het effect van een cyberaanval daardoor groter.   Cyber Security Raad De Cyber Security Raad roept alle bedrijven, overheden en sectoren op te onderzoeken van welke digitale ketens zij deel uitmaken, welke risico’s zij lopen en welke beveiligingsmaatregelen zij moeten treffen. Daarvoor moeten organisaties antwoord krijgen op vragen als wie van wie afhankelijk is en welke kritieke IT-systemen er zijn. En welke risico’s de verschillende partijen in de sector lopen en welke digitale veiligheidsmaatregelen er genomen moeten worden. “Al die vragen hebben ons anders naar onze bedrijfscontinuïteit laten kijken. Je kunt de fysieke processen wel op orde hebben, maar de digitale informatiestromen zijn zeker zo belangrijk. Uitval bij de een kan zo maar leiden tot uitval bij de ander”, zegt Ben Voorhorst, operationeel directeur bij TenneT en lid van de Cyber Security Raad namens de Nederlandse kritieke infrastructuur. Samen met Shell, Gasunie, Nuon, Alliander en het Nationaal Cyber Security Centrum heeft Voorhorst een risicoanalyse cybersecurity uitgevoerd binnen de energiesector. Omdat er geen effectieve analysemethode bestond voor digitale ketenveiligheid, heeft de energiesector deze zelf ontwikkeld. Deze is gratis te downloaden via de website van de Cyber Security Raad.Bron: IT Executive
Privacy by design
Inhoud Vaak wordt een privacy statement pas achteraf toegevoegd aan een nieuw IT-systeem of een beoogde verwerking van persoonsgegevens. Regelgeving en actievere toezichtsorganen vereisen een proactieve aanpak van privacy compliance: privacy by design.   De regelgeving rond persoonsgegevens beschermt de rechten van individuele personen ten aanzien van het verzamelen, gebruiken en verstrekken van persoonsgegevens. Dit valt allemaal onder de noemer ‘verwerking van persoonsgegevens’. In de praktijk wordt dit vaak gezien als het sluitstuk van een proces waarbij persoonsgegevens worden verwerkt. Dat kan van alles zijn: een nieuwe commerciële actie, het aanbieden van een klanten- of voordeelkaart of het centraliseren van werknemersgegevens binnen een multinational. Vaak wordt pas achteraf een privacystatement opgesteld, waarin wordt opgenomen voor welke doeleinden persoonsgegevens worden verwerkt, welke gegevens het betreft en aan wie die gegevens ter beschikking worden gesteld. Daarin wordt vaak (en logischerwijs) alleen de verwerking van persoonsgegevens beschreven zoals die in het proces is geïmplementeerd. Er is weinig ruimte voor aanpassing van dat proces om beter aansluiting te vinden bij (de geest van) de regelgeving rond bescherming van persoonsgegevens. Bovendien heeft de betrokkene (degene van wie de persoonsgegevens worden verwerkt) vaak geen keuze: hij of zij moet instemmen met de voorwaarden, anders kan geen gebruikgemaakt worden van bijvoorbeeld de klantenkaart.   Toekomstige regelgeving Toekomstige privacyregelgeving vereist echter een geheel andere aanpak. De voorgestelde nieuwe EU-privacyverordening gaat uit van het principe van privacy by design. De bescherming van persoonsgegevens moet daarbij al bij het ontwikkelen van een nieuw IT-systeem of een nieuw product waarbij persoonsgegevens worden verwerkt, in ogenschouw worden genomen. Dit dwingt organisaties (bedrijven, overheden en andere instellingen) om privacystandaarden en controlemechanismen voor betrokkenen in te bouwen in de kern van het nieuwe systeem of proces. Al bij de analyse van de wijze waarop een nieuw systeem wordt opgezet en ingericht, moet de bescherming van persoonsgegevens een belangrijke rol spelen. Daarbij kan worden gedacht aan dataminimalisatie (zo min mogelijk persoonsgegevens verzamelen), pseudonimisering of anonimisering van persoonsgegevens, het scheiden van persoonsgegevens in verschillende bestanden en het sneller verwijderen van (delen van) verzamelde persoonsgegevens gedurende het verwerkingsproces.   Hoe privacy by design implementeren? Het implementeren van privacy by design begint bij het creëren van bewustwording en kennis van privacyregelgeving bij IT-ontwikkelaars en marketing- en business development-teams binnen organisaties. Op die manier kan de bescherming van persoonsgegevens vanaf de start worden meegenomen bij het opzetten van het systeem of product. Dataminimalisatie en bescherming van verzamelde persoonsgegevens vormen dan een integraal onderdeel van het systeem of product en zijn standaard ingeschakeld. Betrokkenen hoeven geen actie te ondernemen om de bescherming van persoonsgegevens te activeren.   Voordelen van privacy by design De voordelen van privacy by design worden in toenemende mate erkend. Recentelijk hebben privacytoezichthouders van over de hele wereld opgeroepen om privacy by design toe te passen bij big data-verwerkingen. Privacy by design kan daarnaast kostenvoordelen meebrengen, doordat minder gegevens worden verwerkt en niet achteraf aanpassingen hoeven te worden gedaan aan een al ontwikkeld systeem of product. Ook vermindert privacy by design het risico op datalekken (verlies of ongeautoriseerde toegang tot persoonsgegevens). Dat levert ook voordelen op vanuit het oogpunt van reputatiemanagement. Een organisatie die robuuste privacycompliance-processen implementeert, zal waarschijnlijk het vertrouwen in de organisatie en producten bij zowel toezichthouders als het publiek zien groeien.   Waarom privacy by design omarmen? Overheden en privacytoezichthouders van over de hele wereld hebben steeds meer aandacht voor de bescherming van persoonsgegevens. Dit is vaak gedreven door de wens om consumenten beter te beschermen. Ook de opkomst van big data en het internet der dingenleveren een bijdrage. Zeker binnen de EU is er grote aandacht voor de versterking van de bescherming van persoonsgegevens. Het huidige concept van de EU-privacyverordening benoemt expliciet privacy by design als een van de belangrijkste manieren om persoonsgegevens te beschermen en daarbij te voldoen aan de eisen van de verordening.   Dreigende reputatieschade De beoogde sanctie op niet-nakoming van de verordening zijn fors: een boete bedraagt maximaal honderd miljoen euro, of vijf procent van de wereldwijde omzet (de hoogste van beide). Daarnaast kan een onderzoek (al dan niet gevolgd door een boete) leiden tot reputatieschade. Privacytoezichthouders worden steeds actiever en werken bovendien steeds meer samen. Recentelijk hebben toezichthouders uit de EU bijvoorbeeld een gecoördineerde cookie sweep gehouden, waarbij websites zijn gecontroleerd op compliance met de cookiewetgeving. Ook vanuit de politiek is er meer aandacht voor de bescherming van persoonsgegevens.   Vertrouwen consument vergroten Organisaties doen er goed aan om te anticiperen op de aanstaande wijzigingen in de regelgeving op het gebied van de bescherming van persoonsgegevens. Door privacy by design te omarmen, kunnen bedrijven niet alleen sancties voorkomen, zij kunnen ook het vertrouwen van de consument vergroten door hier open en transparant over te communiceren.Auteurs: Marc Elshof & Barry BreedijkHoe goed zijn uw persoonsgegevens beschermd? En wat zijn volgens u de belangrijkste risico's en grootste gevaren van een gebrekkige persoonsbescherming?
Innoveer omdat het moet
Inhoud Veel grote bedrijven willen wel vernieuwen, maar kunnen het vaak niet. CEO’s zien regelmatig nieuwe marktkansen, maar hebben tegelijkertijd angst deze te omarmen of komen andere struikelblokken tegen. Desondanks is innovatie onontbeerlijk. Begin ermee voor het te laat is, is het devies van Gartner-analist Stephen Prentice.   Met name bij succesvolle en grotere organisaties wordt innovatie gezien als een bedreiging van door de aandeelhouders en bestuurders zo gewenste stabiliteit en winstgevendheid, stelt Prentice, die een van de keynote-sprekers zal zijn op het Jaarcongres Innovatie en Transformatie dat op 17 september wordt gehouden in Fort Voordorp. (www.innovatietransformatie.nl/). Kleine organisaties kunnen niet anders dan innovatief zijn, omdat ze veelal nog een bescheiden marktpositie hebben en zich zullen moeten onderscheiden om te kunnen overleven of een doorbraak in de markt te realiseren.   Democratisering Door de democratisering van IT zijn nieuwe technologische ontwikkelingen bijna even toegankelijk voor kleine startende ondernemingen als voor grote concerns. Die trend dwingt bestuurders en IT-verantwoordelijken van grote, succesvolle firma’s om ook een innovatieve modus aan te nemen. Internet en cloud maken het voor kleine organisaties immers mogelijk om te acteren en opereren als waren het grote jongens. Gevestigde bedrijven hebben daarmee ineens een totaal nieuwe categorie concurrenten.   En het tempo van verandering zit er flink in, aldus Prentice. “Als je teruggaat naar het jaar 1960 hadden de organisaties met een beursnotering aan de S&P een levensduur van 75 jaar. Tegenwoordig zijn dit soort organisaties minder dan tien jaar oud. Dergelijke marktcijfers tonen als geen ander aan dat verandering bittere noodzaak is om te kunnen overleven.”   Negeer je deze realiteit, dan wacht het gevreesde Nokia-scenario van een ‘burning platform’ waarbij innovatie nog slechts geldt als laatste redmiddel. Zover wil geen enkele CEO of CIO het laten komen. Hoe vlieg je innovatie aan? Het is niet een kwestie van het veranderen, het is een kwestie van beginnen, meent Prentice. “Hoe je dat doet, verschilt van organisatie tot organisatie. Sommige concerns hebben een grote, interne onderzoeks- en ontwikkelafdeling. Andere organisaties schurken tegen een ecosysteem van starters aan en vernieuwen door succesvolle bedrijven op te kopen als zij op het punt van een doorbraak in de markt staan.   Welke vorm je ook kiest, je realiseert alleen waardevolle innovatie als je dit onderdeel weghoudt van de reguliere processen en van de bedrijfspolitiek. En je moet als organisatie en manager bereid zijn om mislukkingen toe te geven. Mark Field, de CEO van Ford, is een voorbeeld van een bestuurder die de nederigheid kon opbrengen om uitgebreid en openlijk te spreken over zijn fouten.”   Rol van de CIO Wat voor rol ziet Prentice weggelegd voor IT-managers? “Juist deze managers hebben de nodige uitdagingen om innovatie door te kunnen voeren”, zegt Prentice. “Zij moeten zoveel aandacht geven aan de dagelijkse operatie dat er geen ruimte meer is voor innovatie.   Sommige organisaties kunnen dit door hun omvang ondervangen door het operationeel beheer van ICT bij een aparte manager operations onder te brengen. De CIO heeft hierdoor veel meer ruimte voor innovatie. Andere CIO’s werken in een kleinere setting en zullen er zelf voor moeten zorgen dat zij aan innovatie toekomen. Een eerste vereiste is dan dat de dagelijkse gang van zaken vlekkeloos verloopt. Alleen dan kun je met een stip op de horizon waardevolle langetermijnvernieuwing aanboren.”Auteur: Sytse van der SchaafHoe wordt er binnen uw organisatie ruimte gecreëerd voor innovatie? Aan welke middelen en uitdagingen om te komen tot meer innovatie ontbreekt het IT-managers volgens u?   
Gemeenten moeten werk maken van bewustwording informatiebeveiliging
Inhoud Nederlandse gemeenten moeten aan de slag met het risicobewustzijn van ambtenaren en bestuurders rond informatiebeveiliging, zegt BDO Accountants & Adviseurs in het rapport Informatiebeveiliging Nederlandse gemeenten 2016. Bij de beveiliging van digitale informatie volgen de meeste gemeenten de letter van de wet, maar daar is dan ook alles mee gezegd. De meeste risico’s schuilen in de menselijke factor. Nederlandse gemeenten hebben overigens betrekkelijk vaak een veiligheidsfunctionaris in dienst, maar deze heeft vaak niet de juiste papieren. De uitkomsten zijn volgens de opstellers van het rapport zorgwekkend nu gemeenten steeds meer taken van de landelijke overheid overnemen. Steeds meer gevoelige gegevens van burgers worden daardoor bij gemeenten opgeslagen. Ook groeit het aantal samenwerkingen waarbinnen persoonsgegevens en privacygevoelige data onderling worden uitgewisseld. Denk aan medische dossiers die gemeenten en zorginstellingen met elkaar delen.   Ketenpartners “Het is de vraag hoe ver je daar als gemeente mee wilt gaan, want je neemt een risico”, zegt Frank van der Lee, partner en specialist op het gebied van de publieke sector bij BDO en een van de samenstellers van het rapport. “Gemeenten zouden er ook voor kunnen kiezen kaders op te stellen en daarbinnen zorginstellingen of andere ketenpartners, zoals woningcorporaties, te vertrouwen. Dan hoeft dit soort gevoelige data minder vaak gedeeld te worden.” Gemeenten moeten beseffen dat informatiebeveiliging verder gaat dan de IT-afdeling. “De medewerker die een usb-stick naar huis neemt en onderweg verliest, is haast een klassiek voorbeeld geworden,” zegt Robert van Vianen, partner en specialist cybersecurity bij BDO. “De meeste datalekken zijn het gevolg van menselijk handelen. Informatiebeveiliging is een mensenkwestie, geen systeemkwestie. Dat besef ontbreekt in veel gevallen. De meeste gemeenten beperken de databeveiliging tot maatregelen die de IT-afdeling neemt.”   Datalekken bij driekwart gemeenten Uit een peiling van BDO blijkt dat driekwart van de Nederlandse gemeenten de afgelopen twee jaar minimaal één keer te maken heeft gehad met een datalek. Bij 42% ging dit om privacygevoelige informatie. Zo’n 14% kwam daarachter via de media. In het kader van de Meldplicht Datalekken raadt BDO gemeenten aan een vaste commissie aan te stellen die snel kan bepalen of de Autoriteit Persoonsgegevens ingelicht moet worden bij een datalek. Zo worden boetes voorkomen en worden burgers tijdig op de hoogte gesteld. Nederlandse gemeenten hebben volgens Van Vianen nog veel werk op het gebied van databeheer te verzetten. “Velen kennen de nieuwe en aankomende wetgeving niet goed genoeg, laten data wegsijpelen en nemen nog onvoldoende maatregelen. In een gemeenteraad zal het ook niet snel gaan over het vrijmaken van budget voor een informatiebeveiligingsprogramma om het bewustzijn te vergroten. Databeheer wordt teveel gezien als een ambtelijke aangelegenheid, en dan ook nog eens beperkt tot de IT-afdeling.”Bron: IT ExecutiveWeten hoe u deze risico’s rond informatiebeveiliging nu op uw eigen organisatie projecteert? Deze online sessie geeft u handvatten hoe u risico’s in kaart kunt brengen en welke vervolgstappen u kunt nemen. Van risico analyse tot awareness.
DEEN Supermarkten: IT in dienst van customer engagement
Inhoud De concurrentie in de retail is de laatste jaren sterk toegenomen, waarin 'supermarktoorlogen' elkaar in hoog tempo opvolgen. Zo gebruikt Deen Supermarkten de digitalisering om voor te blijven. Zeker in tijden van economische crisis is de trouw van klanten minimaal, en betrokken bij de supermarkt waar ze boodschappen doen zijn ze al helemaal niet. Toch is het niet onmogelijk om als supermarkt de band met de klant te bevorderen, zegt Jan Koen, CIO bij Deen Supermarkten sinds 2005. En IT blijkt bij het bevorderen van de 'Customer Engagement' een sleutelrol te kunnen vervullen. De competitief ingestelde supermarktketen Deen (vooral groot in Noord Holland) streeft de komende jaren naar vergroting van het marktaandeel door een hogere klantentevredenheid. Deze strategie kan op allerlei manieren worden ondersteund. "Zo richten wij ons sterk op medewerkerstevredenheid, vanuit de gedachte dat de tevredenheid van medewerkers zal overslaan op klanten", zegt Koen.   Digitale transformatie in de supermarkt Ook IT kan bijdragen aan de groei door klanttevredenheid. Sterker nog, Deen is bezig met een 'digitale transformatie' waarbij steeds wordt gekeken of aanpassingen in de IT-systemen wel bijdragen aan een grotere 'Customer Engagement'.  Koen is bezig het oude, betrouwbare maar rigide ERP-systeem te vervangen door een systeem rondom Microsoft Dynamics AX en CRM. Het is de bedoeling dat alle oude 'legacy'-applicaties stapsgewijsin de loop van dit jaar worden overgezet op het nieuwe systeem en er nieuwe functies worden toegevoegd. "Dit wordt per applicatie bekeken maar is nog niet uitgevoerd. Als onderdeel van het nieuwe ERP zijn eerst alle applicaties gekoppeld om later individueel beoordeeld te worden", aldus Koen. Elke applicatie wordt in 'real time' getest. Om de implementatie veilig te laten verlopen draaien oude en nieuwe applicaties nog naast elkaar.   Focus op flexibiliteit Het oude systeem (Erp Scope) is ruim twintig jaar geleden door de ict-afdeling ontwikkeld. Waar bij dat oude systeem het accent lag op stabiliteit en continuïteit - het belangrijste was dat het systeem bleef 'draaien' - ligt de focus nu in toenemende mate op flexibiliteit. Flexibel wil zeggen: makkelijk te vervangen of aan te passen, doordat meerdere externe partijen modules of applicaties voor het platform kunnen ontwikkelen. Maar ook: dat applicaties makkelijk kunnen worden aan of afgekoppeld. En flexibel impliceert ook dat het systeem makkelijk kan worden overgezet naar de cloud en goed in staat is om data uit allerlei bronnen te integreren, denk aan leveranciers- en klantdata.   "IT'ers moeten ook kennis van en affiniteit hebben met de retail" Waarom die flexibiliteit zo belangrijk is dat ligt vooral aan de 'voorkant'. Daar waar het contact met de klanten plaatsvindt. "Omdat je tegenwoordig zo snel moet kunnen handelen", zegt Koen. Uiteraard is het niet de bedoeling dat kassa's uitvallen, maar de IT-afdeling moet er ook aan bijdragen dat het bedrijf goed voorbereid is op de toekomst en snel kan inspelen op nieuwe ontwikkelingen. "IT'ers moeten daarom ook kennis van en affiniteit hebben met de retail, willen ze werkelijk weten hoe ze de business kunnen ondersteunen. Als je niets hebt met de retail, kun je als IT'er veel minder goed aansluiting vinden en de grootste moeite hebben om het hoge tempo dat de retail eigen is bij te houden", aldus Koen, die niet voor niets zelf een opleiding supermarktmanagement heeft gevolgd.   Klantinformatie centraal Nu al beschikt Deen over de nodige klantinformatie: zowel informatie die afkomstig is van klantenpanels als de kennis die uit het ERP-systeem komt over wat mensen in de winkel of webstore van Deen hebben gekocht. Aanvullende informatie over klik- en zoekgedrag in de webshop komt daar nog bij. Een compleet beeld van z'n klanten heeft Deen niet, zeker niet van de mensen die in de fysieke winkels boodschappen doen. Deen weet wel wat daar wordt verkocht, maar niet wie er wat koopt. "We zouden natuurlijk een vaste klantenkaart kunnen introduceren, maar ik weet niet of we dat zullen doen. Vooral in de fashion en de non-food lijkt dat me van groot belang." Ook de online-winkel van Deen is nog niet gekoppeld aan het nieuwe ERP-systeem.   Commercie Toch is Deen al zover dat het informatie van klanten commercieel kan aanwenden. Om te bepalen hoe de schappen in de supermarkt moeten worden gevuld, bijvoorbeeld. "Wij kunnen heel snel nieuwe producten introduceren. Zelfs zonder eerst uitgebreid te onderhandelen met leveranciers, zoals gebruikelijk is. We plaatsen ze gewoon in de schappen, en kijken wat de klanten ervan vinden: hoeveel producten er zijn verkochten, welke omzet we hebben geboekt en welke waarde dit heeft opgeleverd. Wekelijks introduceren we op deze manier nieuwe producten in de winkels. Of we plaatsen producten net wat anders. Zo blijkt dat thee en chocola allebei beter verkopen als je ze dicht bij elkaar zet. En we halen natuurlijk ook producten uit de schappen, als ze geen geld opleveren. Door de enorme concurrentiedruk in onze sector is de omloopsnelheid veel groter dan vroeger."   Continu op de hoogte De directie van Deen kan nu bijna 'in real time' (met een vertraging van een kwartier) zien wat er in elk filiaal op de winkelvloer gebeurt en blijft zo continu op de hoogte en kan kijken of er misschien moet worden ingegrepen. "Ik heb meegemaakt dat een directielid aan zijn dashboard zag dat een product dat in de aanbieding was in een bepaald filiaal slecht liep, en meteen de verantwoordelijke supermarktmanager opbelde of hij de bak met koopjes niet ergens anders in zijn winkel moest plaatsen om meer te verkopen."Bron: Management TeamMeer weten over de digitale transformatie bij DEEN Supermarkten? Bekijk hier het interview dat wij hadden met Deen's CIO, Jan Koen.
Internationale security-specialisten adviseren: "Denk vooruit!" | 3 concrete aanbevelingen
Inhoud Bedrijven hebben steeds vaker te maken met cyberdreiging, bedrijfsspionage en -sabotage. Security-teams zijn zich hiervan bewust en richten zich op het beperken van de impact door er bijvoorbeeld voor te zorgen dat de aanvallers het beoogde doel niet bereiken. Maar hoe kan een security-team nog succesvol zijn in een tijdperk waarin cyberaanvallen aan de orde van de dag zijn? Is het mogelijk om daar een plan voor te ontwikkelen of blijven we achter de feiten aanlopen? Welke tools en technologie zijn beschikbaar die nodig zijn om succes te boeken? En hoe kan de beveiliging verbeteren en daadwerkelijk waarde leveren voor het bedrijf? RSA, de security-divisie van EMC, heeft een rapport gepubliceerd dat inzicht geeft in de grote verschuiving in de wereld van informatiebeveiliging. De Security for Business Innovation Council (SBIC) pleit enerzijds voor drie belangrijke focusgebieden waarop bedrijven moeten focussen. Daarnaast bevat het rapport een reeks aanbevelingen voor sterkere bescherming tegen dreiging wat tevens ten goede komt aan de productiviteit van de organisatie. Security-specialisten De SBIC bestaat uit een groep security-specialisten van de duizend grootste bedrijven ter wereld. Deze bespreken belangrijke security-vraagstukken en onderzoeken hoe het gebruik van informatiebeveiliging ingezet kan worden om bedreigingen aan te pakken en innovatie te stimuleren. Om de beveiliging te versterken, benoemt het SBIC drie strategische gebieden waarin bedrijven moeten investeren: weerstand tegen cyberdreigingen, optimalisatie gebruikerservaring en cloud-security. Het SBIC concludeert dat nieuwe technologieën niet snel genoeg worden ontwikkeld en geïmplementeerd. Security-teams zijn nog te veel gericht op het beperken van de impact in plaats van te focussen op nieuwe technologie om makkelijker aanvallen te detecteren en te reageren. Gebaseerd op dit advies geeft het council drie concrete aanbevelingen om bedrijven te helpen nieuwe technologieën succesvol toe te passen en de investeringen in security te maximaliseren:1. Kijk ten minste drie jaar vooruit Door het gebruik van SWOT-analyses, afgestemd met IT en de business, en accountants erbij te betrekken, creëert u een Big Data-strategie voor de hele organisatie. Hierdoor kunnen organisaties plannen maken en bepalen welke security-maatregelen genomen moeten worden om bescherming te bieden tegen een dynamisch cyberlandschap.2. Het bereiken van een groter geheel door integratie De investering in security-technologie betaalt zich vaak pas echt uit bij het aansluiten en consolideren van informatie uit verschillende toepassingen. Technologieën die nu beschikbaar zijn, maken het makkelijker om systemen te integreren zoals data analyse, security intelligence en GRC-platformen.3. Meer waarde realiseren door vastgelegde ontwikkelingen Security-teams die bekend zijn met de valkuilen van veranderingen in technologie, financiële tekortkomingen en het falen van nieuwe producten, adviseren duidelijk afgesproken benaderingen bij de implementatie van nieuwe technologie om proactief de risico’s te kunnen beheren.Bron: DatacenteredHoe succesvol is uw security-team in dit tijdperk waarin cyberaanvallen aan de orde van de dag zijn en welke concrete aanbevelingen heeft u?
Trend zet door: minder investeringen in technologische innovatie
Inhoud Nederlandse bedrijven realiseren meer innovaties, maar de daling van investeringen in technologische innovatie zet zich voort. Dat is de belangrijkste bevinding van onderzoek door onderzoeksinstituut INSCOPE van de Erasmus Universiteit Rotterdam. Terwijl het innovatievermogen van Nederlandse bedrijven is gestegen, zijn de investeringen in r&d en in ict dit jaar opnieuw gedaald. Deze ogenschijnlijk tegenstrijdige resultaten werden vorige week bekendgemaakt door Prof. Dr. Henk Volberda, die de leiding heeft over het onderzoek dat jaarlijks wordt gepubliceerd in de de Concurrentie en Innovatie Monitor van INSCOPE.   Innovatievermogen gestegen De hoeveelheid product- en dienstinnovaties van Nederlandse bedrijven is het afgelopen jaar gestegen. De hoeveelheid totaal nieuwe producten en diensten ('radicale innovatie') die Nederlandse bedrijven hebben geïntroduceerd is gestegen met 3,5% over het afgelopen jaar. De hoeveelheid verbeterde producten en diensten ('incrementele innovatie') is in dezelfde periode toegenomen met 5,2%. Door een aantrekkende economie en een toenemend consumentenvertrouwen durven bedrijven weer meer product- en dienstinnovaties te introduceren, aldus Volberda, die aangeeft dat de stijging in de realisatie van product- en dienstinnovaties vooral verklaard kan worden "doordat de meeste bedrijven managementlagen hebben geschrapt, minder hiërarchisch georganiseerd zijn, en vaak samenwerken met externe partners om hun innovatiesnelheid te verhogen". Deze 8% toename in aandacht voor de zachte kant van innovatie (sociale innovatie) heeft er toe geleid dat investeringen in Onderzoek & Ontwikkeling in Nederland beter renderen en vaker leiden tot de introductie van nieuwe producten en diensten.   Minder investeringen r&d en ict De hoeveelheid geld die Nederlandse bedrijven gemiddeld in r&d steken is het afgelopen jaar met 1,9% gedaald naar gemiddeld 2,4% van de omzet. Bij ict is er een daling te zien van 1% naar 2,2% van de omzet. Deze dalende trend in investeringen in technologische innovatie is al gaande sinds 2009. Volgens Volberda kan deze trend bedreigend zijn voor het innovatie- en concurrentievermogen van het Nederlandse bedrijfsleven. “Het duurt minstens 5 à 10 jaar voordat een investering in een nieuwe technologie leidt tot een commercieel succesvol product of dienst. Het lage niveau van investeringen in technologische innovatie door Nederlandse bedrijven voorspelt een laag innovatieniveau in de toekomst."   Disruptieve innovatie Voor ontwrichting is meer nodig dan alleen technologische innovatie. Topsectoren richten zich te eenzijdig op technologische vernieuwing, aldus het onderzoek. INSCOPE heeft onderzocht welke eigenschappen van bedrijven kunnen leiden tot de introductie van disruptieve innovaties. De dominante opvatting is dat investeringen in nieuwe technologieën zoals het IoT, big data, 3D printing en robotisering de belangrijkste voorwaarde is voor disruptieve innovatie. De onderzoeksresultaten laten daarentegen zien dat technologische innovatie relatief gezien voor 40% bijdraagt aan de realisatie van disruptieve innovaties. Innovatieve manieren van managen, organiseren, werken en samenwerken, dat wil zeggen sociale innovatie, dragen voor 60% bij aan de realisatie van disruptieve innovaties. Volberda zegt hierover: "Bedrijven die gekenmerkt worden door visionair leiderschap, continu op zoek zijn naar nieuwe businessmodellen en samenwerken met klanten, leveranciers en kennisinstellingen, realiseren tot gemiddeld 45% meer disruptieve innovaties. De topsectoren zouden hier lessen uit moeten leren en zich niet eenzijdig moeten richten op technologische vernieuwing.”   High tech en startups Vooral bedrijven in de high tech-sector zijn met gemiddeld 18,7% meer actief met disruptieve innovatie ten opzichte van het landelijke gemiddelde. Bedrijven in de sectoren energie, logistiek, en financiële dienstverlening/verzekering zijn relatief weinig actief met disruptieve innovaties. Volgens Volberda vergroten de hoge mate van ontwikkelingen in de high tech-sector de mogelijkheden en de noodzaak om disruptieve innovaties te realiseren om zo een relevante marktspeler te blijven. Daarnaast komen disruptieve innovaties vooral voor bij startups (gemiddeld 11% boven het landelijk gemiddelde) en juist minder naarmate organisaties ouder worden. Dit laat zien dat startups meer geneigd zijn om disruptieve innovaties te realiseren waardoor ze voor grote bedrijven een interessante optie zijn om hun innovatiesnelheid te verhogen, aldus Volberda.   Werkvloer Het in beschouwing nemen van de behoeften, gevoelens, en opvattingen van medewerkers door het management is van relatief groot belang om radicale product- en dienstinnovaties te realiseren. Van de vier afzonderlijk bekeken stakeholders – aandeelhouders, concurrenten, medewerkers, klanten – draagt een focus op medewerkers met 44% bijna de helft bij aan radicale innovaties. Aandacht voor medewerkers over wat er leeft binnen de organisatie is van belang om barrières voor radicale innovatie weg te nemen, aldus Volberda. “Medewerkers staan veel dichter bij de klant of leverancier en hebben daarom vaak goede ideeën die onvoldoende worden benut."   Beursbedrijven innoveren minder radicaal Bedrijven die aan de beurs zijn genoteerd, realiseren in vergelijking met andere organisaties gemiddeld 3,5% minder radicale innovaties. Uit het onderzoek komt ook naar voren dat deze organisaties gemiddeld 6% minder vernieuwend leiderschap vertonen en minder actief zijn (tussen de -4,2% en -6,8%) met maatschappelijk verantwoord ondernemen. Ook zijn deze organisaties gemiddeld 9,7% meer gericht op concurrenten, 4,7% minder gericht op klanten, en 3,5% minder gericht op hun medewerkers. "Beursgenoteerde bedrijven zijn over het algemeen meer gericht op kortetermijnprestaties”, zegt Volberda. “Dit vermindert de relatieve focus op investeringen en activiteiten die gericht zijn op de langere termijn, zoals radicale innovaties.   MVO Terwijl maatschappelijk verantwoord ondernemen tot meer product- en diensteninnovaties leidt én tot meer disruptieve innovaties, vraagt het vooral om innovatieve manieren van managen en organiseren (sociale innovatie). Bedrijven die de intentie hebben om maatschappelijk verantwoord te ondernemen en die zich daarnaar gedragen realiseren respectievelijk tussen de 22,5% en 29,8% meer radicale innovaties dan bedrijven die nauwelijks deze intentie hebben, noch die er zich naar gedragen. Bij disruptieve innovatie is dit verschil achtereenvolgens 22,3% en 23,4%. Bij incrementele innovatie betreft dit verschil respectievelijk 20,2% en 15,9%. De bedrijven die maatschappelijk verantwoord ondernemen zitten vooral in de life sciences & health sector en in de bouwnijverheid/vastgoed. Sociale innovatie draagt relatief gezien 77% bij aan maatschappelijk verantwoord ondernemen. Technologische innovatie draagt 23% hier aan bij. Henk Volberda: "Vernieuwend leiderschap draagt bij aan maatschappelijk verantwoord ondernemen door medewerkers meer bewust te maken van de maatschappelijke bijdrage van het bedrijf, en hen te motiveren en ruimte te geven voor initiatieven. Door samen te werken met klanten, leveranciers en externe stakeholders (co-creatie) krijgen organisaties meer kennis en begrip over hoe maatschappelijk verantwoord ondernemen ingevuld of aangepast kan worden."   Eindhoven Een laatste belangrijke uitkomst van het onderzoek is dat disruptieve innovaties bovengemiddeld vaak worden gerealiseerd in de regio Midden-/Oost-Brabant en in de regio Drenthe/Achterhoek/Twente. Deze twee regio's scoren respectievelijk 9,8% en 7,3% hoger op disruptieve innovatie ten opzichte van het landelijk gemiddelde. De regio Midden-/Oost-Brabant (regio Eindhoven) scoort bovengemiddeld hoog op verschillende andere typen innovatie; radicale innovatie (+9,9%), incrementele innovatie (+5,6%), en sociale innovatie (+3,1%). Volberda geeft aan dat "de samenwerking in de regio Eindhoven zich uitbetaalt in een hogere mate van sociale innovatie, en product- en dienstinnovaties."Bron: IT Executive
Wat gaat het winnen? De angst voor de hacker of voor de toezichthouder?
Inhoud De impact van cybercrime is groter geworden, niet alleen doordat digitalisering de economie afhankelijker heeft gemaakt van technologie. Wat Nederlandse organisaties minstens evenveel kopzorgen baart is de nieuwe meldplicht datalekken. Privacy-toezichthouder CBP, die een reputatie gevestigd heeft met een strenger dan streng cookiebeleid, mag in 2016 forse boetes uitdelen aan Nederlandse bedrijven bij een hack van persoonsgegevens. Daar wordt het nodige van verwacht zo bleek op de bijeenkomst Innovating NL die gewijd was aan het onderwerp cybersecurity. Wat gaat het winnen: de angst voor een discutabel imago, wat een speelgoedfabrikant als Vtech kan bevestigen, of een overijverige toezichthouder? Deze vraag speelde een centrale rol tijdens de bijeenkomst Innovating NL die op donderdag 3 december gehouden werd in het kantoor van The Hague Security Delta (HSD) in Den Haag. Gastvrouw Ida Haisma, directeur van HSD, kreeg de eer de middag te openen en wees op de driehoek van overheidsorganisaties, marktpartijen en onderwijs en onderzoeksinstellingen die gezamenlijk cybercrime op de internationale kaart hebben gezet. Het heeft nieuwe succesvolle starters voortgebracht zoals Autasas, maar minstens even belangrijk zijn nieuwe opleidingen. Het Haagse ROC Mondriaan heeft een aparte cybercrime-opleiding en recent zijn de Universiteit Leiden, de Technische Universiteit Delft en De Haagse Hogeschool de Stichting Cyber Security Academy (CSA) gestart om meer professionals met een cyber security-specialisme op te leiden.   Het nieuwe goud Digitalisering en een versnellende innovatie belooft geweldige mogelijkheden. Maar om die te kunnen benutten is een nieuwe aanpak van (cyber) security noodzakelijk. Dat stelde generaal (b.d.) Dick Berlijn, aan Deloitte verbonden als specialist binnen de Enterprise Risk Services praktijk. Systemen moeten “secure by design” zijn opgezet en er moet vanuit worden gegaan dat het breken van digitale beveiliging een reële mogelijkheid is. Incrementele verbetering wordt de nieuwe norm, maar ook internationale samenwerking en het opstellen van normen verdient de aandacht. Al deze zaken zijn volgens Berlijn een uitvoeringskwestie. Belangrijk aandachtspunt is dat Nederlandse organisaties zich er onvoldoende bewust van zijn dat data het nieuwe goud is. Je kunt er de mooiste dingen mee doen maar het kan ook van je gestolen worden als je niet goed oplet.   Wat gaat het winnen: de angst voor een discutabel imago of een overijverige toezichthouder? En wat kan er dan gebeuren? Gerrit-Jan Zwenne, hoogleraar Recht en de Informatiemaatschappij aan de Universiteit Leiden en partner van internationaal advocatenkantoor Bird & Bird, wijst op de nieuwe meldplicht datalekken die vanaf begin 2016 Nederlandse organisaties verplicht om inbreuken op persoonsgegevens door een hack te melden bij toezichthouder College Bescherming Persoonsgegevens en bij de betrokkenen. “Het gaat pijn doen en het hacken van databestanden met persoonsgegevens komt in de krant te staan”, aldus Zwenne. “Het CPB kan sancties opleggen als zaken niet goed beveiligd zijn. Dat gaat om forse bedragen: 10 procent van de jaaromzet of 810 duizend euro. Een lek is heel ruim gedefinieerd. Zo valt het verliezen van een usb-stick met persoonsgegevens in de trein er ook onder. Dat is best ruim voor een wet die doordringt tot in de haarvaten van de bedrijfsvoering.”   Openhartig Zwenne stelt dat het CBP openhartigheid verwacht van bedrijven en uitgaat van 60 duizend meldingen per jaar. Hun beleid is om bij twijfel meteen al aan de bel te trekken. Maar die melding kan een onaangenaam staartje krijgen, als een organisatie geen passende technische en organisatorische maatregelen heeft genomen om de persoonsgegevens goed te beschermen. Is dat het geval dan kan het CBP met een boete dreigen. Om zo'n boete daadwerkelijk uit te kunnen delen moet het CBP eerst een bindende aanwijzing geven. Zijn er dan nog geen afdoende maatregelen genomen dan kan die boete ook daadwerkelijk opgelegd worden. Op de vraag wat passende maatregelen zijn, valt moeilijk een antwoord te geven. Versleuteld opslaan van persoonsgegevens wordt als een belangrijke maatregel gezien. In dialoog met de zaal wordt ook de richtlijn ISO 27001 genoemd die organisaties handvatten biedt om beveiliging procesmatig te verankeren. Op het moment dat organisaties dit certificaat op de deur mogen plakken, is te veronderstellen dat informatiebeveiliging serieus genomen is. Maar een garantie is het niet en voor kleinere organisaties is zo'n certificering een onhaalbare kaart. Doorslaggevend is de beveiligingsmaatstaf in een bepaalde branche. De medische sector krijgt hogere verwachtingen opgelegd. Hetzelfde geldt voor organisaties die kritieke infrastructuren in beheer hebben.   Aansprakelijk Ben je als organisatie juridisch aansprakelijk te stellen als je de informatiebeveiliging niet op orde hebt? Evelyn Tjon-En-Fa, advocaat en partner bij Bird & Bird, betoogt van wel. Ze haalt het voorbeeld aan van Diginotar, de leverancier van beveiligingscertificaten voor grote delen van de Nederlandse overheid die in 2011 failliet is gegaan na een desastreuze hack. Door het gebruik van verouderde software, het niet versleutelen van wachtwoorden en het niet toepassen van verschillende netwerksegmenten elk met hun adequate beveiligingsmaatregelen konden hackers ongestraft toegang krijgen tot de beveiligingssleutels.  “Als je weet dat je zo kwetsbaar bent, dan kun je daarvoor aansprakelijk gesteld worden, zeker als de gevoeligheid van de data tot grote schade kan leiden bij een lek”, aldus Tjon-En-Fa. “De benodigde maatregelen gaan verder dan het installeren van de meest dringende patches. Als gegevens kwetsbaar zijn dan kunnen zwaardere eisen worden gesteld aan beveiligingsmaatregelen. Anders kun je met succes aansprakelijk gesteld worden, zoals blijkt uit het voorbeeld van Diginotar. Daarbij moest de verkoper van de aandelen in Diginotar schadevergoeding betalen aan de koper voor de waardeloos geworden aandelen, wegens schending van contractuele garanties rondom de IT-beveiliging. De Amsterdamse rechtbank is daarbij diep in de technische aspecten van de beveiliging gedoken.”   Driekwart van de mkb'ers weet niks van cybersecurity en vindt het de verantwoordelijkheid van de IT-leverancier Is de schade die voortkomt uit cybercrime te verzekeren inclusief een boete die het CBP uitdeelt? Dat blijkt het geval. Er zijn op dit moment al cybersecurity polissen in de markt waarmee risico's breed af te dekken zijn. Dat kan gaan om kosten voor het vinden en repareren van het datalek, schade die voortvloeit door het platleggen van processen, maar ook het in waarde verminderen van bedrijfsgeheimen door het uitlekken van deze vertrouwelijke informatie en eventueel geleden imagoschade. Ook een eventuele boete van het CBP valt onder de verzekering, mits geen sprake is van opzet. Dit soort schade is niet of maar zeer ten dele gedekt onder traditionele verzekeringen. De geleden schade kan fors oplopen doordat incidenten als een olievlek ook andere organisaties in een waardeketen raakt. Naast dit soort gespecialiseerde cyber-polissen valt hoofdelijke aansprakelijkheid van bestuurders voor cyber-incidenten onder gangbare bestuurdersaansprakelijkheidsverzekeringen.   Kleine lettertjes Sla de kleine lettertjes in de verzekeringspolissen zeker niet over, raadt Tjon-En-Fa aan. Ze noemt het een zachte, nieuwe markt waarbij verzekeraars graag nieuwe polissen willen verkopen. Kijk wel goed naar wat er van de dekking is uitgesloten en vergelijk verschillende aanbieders. Naast dergelijke nieuwe verzekeringsproducten is het ook raadzaam om de leveringsvoorwaarden van bestaande leveranciers te screenen op hun aansprakelijkheid wat betreft de schade die voortvloeit uit cyber-incidenten. Het is raadzaam om meer en expliciete garanties te vragen rondom de informatiebeveiliging op het moment dat een organisatie voor het eigen functioneren afhankelijk is van de infrastructuurdiensten van deze partij.   Bewustwording En dan komt de dialoog in de zaal op een voor de IT-sector interessant punt. Bij de vraag van dagvoorzitter Ferry Mingelen of de IT-leverancier verantwoordelijk is voor de informatiebeveiliging steekt een overgrote meerderheid van de deelnemers in de zaal een groene kaart op. De leverancier wordt er blijkbaar op aangesproken als de beveiliging niet op orde is, terwijl dit in eerste instantie een verantwoordelijkheid van de gebruiker is. Bij grotere organisaties die met uitbestedingsopdrachten werken wordt die verantwoordelijkheid meestal goed afgekaart. Bij kleinere organisaties die IT-diensten afnemen is dat minder goed geregeld en afgesproken. Afnemers willen over het algemeen voor een dubbeltje op de eerste rang zitten en gaan er stilzwijgend van uit dat de leverancier de beveiliging op orde heeft. De leverancier brengt het onderwerp niet ter sprake omdat er aanvullende maatregelen nodig zijn en hiervoor een extra factuur gestuurd moet kunnen worden. Hier zit een spanningsveld. Dat bevestigt Frans van de Wetering die vanuit zijn bedrijf Threadstone betrokken is geweest bij een bewustwordingscampagne van MKB Nederland rondom cybersecurity. “Het animo om mee te doen aan deze scan onder mkb'ers naar kwetsbaarheden was laag”, aldus Van de Wetering. “Driekwart van de ondernemers weet niks van cybersecurity af en vindt dat de verantwoordelijkheid hiervoor in zijn geheel ligt bij de IT-leverancier. Die zou net als een autofabrikant verborgen gebreken als een slechte beveiliging kosteloos moeten repareren als deze zich voordoen. Gevolg is dat tal van kleinere bedrijven niet goed beveiligd zijn tegen verlies, diefstal of misbruik van persoonsgegevens. Naast de schade kan hen dat straks ook nog op een bestuurlijke boete komen te staan. Meer ruchtbaarheid aan deze meldplicht is geen overbodige luxe.”   Hogere eisen In de discussie gaan fabrikanten en leveranciers zeker niet vrijuit. Succesvolle hacks bestaan bij de gratie van kwetsbaarheden in veel gebruikte software. Afnemers kunnen hun opdrachtgevers eisen opleggen rond het uitbrengen en uitrollen van patches om deze kwetsbaarheden tijdig en adequaat te repareren. Bij het ontwikkelen van nieuwe software is het verstandig om expliciet te vereisen dat het eindproduct tal van maatregelen en hulpmiddelen bevat om informatie goed te kunnen beveiligen. Hetzelfde gebeurt voor de huidige en toekomstige consumentenproducten die op de markt gebracht zullen worden. Steeds meer apparaten krijgen een ip-adres, waardoor ze aan internet gekoppeld zijn met bijkomende gevolgen voor de bescherming van deze informatie. Aan dit soort nieuwe producten mogen hoge eisen gesteld worden rond de beveiliging.   Meldplicht Met ingang van 1 januari 2016 treedt een wijziging van de Wet bescherming persoonsgegevens (Wbp) in werking die een meldplicht regelt voor datalekken. Deze meldplicht houdt in dat bedrijven, overheden en andere organisaties die persoonsgegevens verwerken datalekken moeten melden aan het College bescherming persoonsgegevens (CBP). Een organisatie mag de melding aan de betrokkenen achterwege laten als aantoonbaar passende technische beschermingsmaatregelen genomen zijn. Belangrijkste maatregelen is het versleutelen van de informatie zodat de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden.   Legacy besmettelijk Het Nationaal Cyber Security Center (NCSC) waarschuwt bedrijven voor de risico's van legacysystemen. Deze zijn groter omdat legacysystemen kwetsbaarder zijn. De gebruikte technologie wordt niet of nauwelijks meer ondersteund door externe leveranciers of de eigen organisatie. Als er zich wel een incident of probleem voordoet, is er vaak binnen de eigen organisatie niet meer voldoende kennis aanwezig om het op te lossen. Daarnaast zijn veel legacysystemen inmiddels gekoppeld aan andere systemen of aan het internet, koppelingen waar de systemen oorspronkelijk niet voor zijn ontworpen. Het kenniscentrum voor cybersecurity heeft een self-assessment ontwikkeld om deze risico's inzichtelijk te maken.Auteur: Sytse van der Schaaf
Expertise én de juiste tooling onontbeerlijk voor privacy
Inhoud Privacy staat volop in de belangstelling. Niet gek, gezien de mogelijkheden die digitale dienstverlening biedt. Organisaties vragen zich steeds vaker af of ze privacy binnen hun organisatie wel goed hebben georganiseerd en waar mogelijkheden en grenzen aan het gebruik van informatie liggen. Martijn van der Veen, eigenaar van privacy-adviesbureau Procis, juicht deze ontwikkeling toe. Volgens hem ligt in een goede omgang met privacy de sleutel naar nieuwe kansen en innovatie.In control Sinds Martijn zich in 2008 volledig toelegde op privacy heeft hij de aandacht voor privacy zien veranderen. “Privacy was lange tijd iets dat er een beetje bij hing. Nu willen organisaties en bedrijven ‘in control’ zijn als het om privacy gaat. Ze moeten ook wel. Bedrijven beloven aan hun klanten dat ze zorgvuldig met hun gegevens omgaan, maar het wordt steeds moeilijker om die belofte te houden. Niet alleen blijft de rol van ICT toenemen, ook wetgeving stelt hogere eisen. Klanten worden steeds kritischer op bedrijven die hun zaken niet op orde hebben.” Martijn vervolgt: “Wil je in control zijn, dan moet je drie zaken op orde hebben. Als eerste privacy compliance. Je moet aantoonbaar voldoen aan privacywet- en regelgeving zoals de Wet Bescherming Persoonsgegevens en de Telecommunicatiewet. De basis daarvoor is weten welke persoonsgegevens je organisatie verwerkt, door wie en hoe je processen en beheersmaatregelen zijn ingericht. Als tweede moet je kunnen acteren op veranderingen van je processen, je ICT en nieuwe wetgeving. Kortgezegd, je wilt je privacy-governance op orde hebben. Als derde moeten je medewerkers integer omgaan met de gegevens. Je wilt dat je mensen de juiste keuzes maken en het belang van klanten niet schaden”, legt Martijn uit. “We moeten niet vergeten waar privacy om gaat. Het gaat uiteindelijk om de mensen over wie de gegevens gaan. Soms gaat het om mensen in een kwetsbare of afhankelijke positie, dan zal je extra zorgvuldig moeten werken.”Wat houdt organisaties tegen om deze drie zaken op orde te krijgen? “Bedrijven lopen vaak aan tegen het probleem dat privacy gefragmenteerd is over verschillende onderdelen van een organisatie. Bij een eenvoudig proces zijn al snel minimaal meerdere business units, de afdeling ICT en juridische zaken betrokken. Al die losse elementen en aantallen betrokkenen maakt afstemming en een integraal beleid rond privacy lastig, terwijl je daar wel naar moet streven. Ook missen veel bedrijven het inzicht in hoe ze omgaan met privacy. Als je niet weet waar risico's zitten zal je niet goed weten wat je moet verbeteren.” Om organisaties te ondersteunen bij hun privacyvraagstukken ontwikkelde Procis een Privacy Framework. Met dit Framework kan een organisatie volledig zicht krijgen op privacy en een integraal beeld van maatregelen in beheer brengen. Daarmee wordt het eenvoudig om aan te tonen dat de organisatie handelt volgens de geldende normen. Door meteen governance-processen in te richten worden resultaten geborgd wat de kosten voor het beheer van privacy verlaagt.Privacy Framework Voor de inrichting van het Privacy Framework gebruikt Procis de informatiemanagementsoftware van Mavim, Rules. “Het Privacy Framework is een template waarin alle elementen zijn opgenomen die van belang zijn bij het ‘in control’ raken en blijven. Denk aan privacywetgeving, normeringen zoals de ISO27000 en de gemeentelijke BIG norm, aangevuld met rapportages en analyses”, vertelt Martijn. “ Voor de verbinding tussen processen en wetgeving gebruiken we Rules. Wil je kunnen toetsen of de dagelijkse gang van zaken voldoet aan wet- en regelgeving zal je de relevante processen in kaart moeten hebben”, licht Martijn toe. Op de vraag waarom hij heeft gekozen voor Rules als technische ondersteuning voor het Framework, antwoordt Martijn: “Rules kwam als beste uit de bus in mijn onderzoek. Ik heb bewust gezocht naar tooling om het inrichten en beheer van privacy te ondersteunen. De tooling moest voldoen aan een aantal requirements. Ik vind het essentieel dat ondersteunende techniek ‘licht’ in gebruik is”, vervolgt Martijn. “Rules is gebaseerd op de Microsoft Office Suite wat het heel herkenbaar en intuïtief in gebruik maakt. Bovendien kan je direct met bestaande documenten van een klant aan de slag. Verder was een van mijn eisen dat de software flexibel in te richten moest zijn, dus zonder dwingend karakter. Voor iedere klant wil ik een passende oplossing kunnen bieden. Iedere klant is uniek, die wil niet vastzitten aan strakke richtlijnen of beperkingen van de ICT. Daarnaast speelde schaalbaarheid een belangrijke rol. Het Privacy Framework kan ik updaten. Het beheer van privacy is een continu proces en klanten willen niet bij iedere verandering een compleet project moeten opstarten. De software van Mavim maakt privacy compliance makkelijker en goedkoper voor klanten. Dat is winst voor mijn klanten en winst voor privacy.”Toegevoegde waarde Best handig zo’n Privacy Framework! Zou iedere organisatie zelf haar privacy beleid en –beheer met wat technische ondersteuning in kunnen richten? “Ja, in principe kan dat”, onderkent Martijn, “maar goede tooling is maar het halve verhaal. De benodigde expertise die bij de inrichting van privacy komt kijken, moet niet worden onderschat. Privacy is een vakgebied op zich. En dat vakgebied verandert snel, dus up-to-date kennis is lang niet bij iedere organisatie aanwezig.” “Wanneer ik het Privacy Framework inzet, profiteren organisaties van een ‘best practice’ model, gebaseerd op ervaringen in de markt, met voorgedefinieerde content. Daarmee is de basis meteen gelegd en maken klanten een vliegende start. Doordat het Framework up-to-date is, kan ik die korte doorlooptijd van twee tot drie maanden toezeggen.” Privacy is een breed begrip. Hoe positioneert Procis zich? “De basisdienstverlening is gericht op de implementatie van het Privacy Framework. Het gaat dan om het modelleren van de processen met privacygevoelige gegevens, inventariseren van risico's en toewerken naar het management en beheer. Wanneer een klant zijn processen al in kaart heeft gebracht bouwen we daar natuurlijk op voort. Voor de technische installatie van Rules werken we samen met consultants van Mavim, of van andere Mavim Partners. Zo blijven wij doen waar we goed in zijn.” Nadat Procis de privacy in kaart heeft gebracht en de eerste analyses heeft gemaakt, vindt overdracht van expertise plaats. “Wat ons betreft zijn organisaties zo snel mogelijk in staat om zelf analyses te maken en risico’s te monitoren. Voor het onderhoud en beheer kan een klant kan ervoor kiezen het beheer van privacy in eigen beheer te nemen, te profiteren van updates van het Framework of het beheer volledig uit te besteden aan Procis. We bieden daarmee volledige ondersteuning.” De dienstverlening van Procis is met name gericht op business-to-consumer bedrijven en (semi) overheidsinstellingen. Binnen deze branches is het belang van de bescherming van persoonsgegevens het grootst.Toekomstvisie Martijn ziet het belang en vooral ook de complexiteit van informatie steeds verder toe nemen. “Wetgeving rond informatiebeveiliging en beveiliging van persoonsgegevens wordt steeds strenger. De Meldplicht Datalekken en het uitbreiden van de boetebevoegdheid van het College Bescherming Persoonsgegevens, de privacy waakhond, zijn hier concrete uitingen van. En laten we niet de komende Europese wetgeving vergeten. Naar verwachting wordt in 2015 de nieuwe Algemene Verordening Gegevensbescherming aangenomen. Deze legt de lat van informatiebeveiliging en privacy een stuk hoger dan nu het geval is.” Wat is de belangrijkste verandering van de Europese Wetgeving? “Op dit moment is veel privacywetgeving te negeren, de controle is beperkt. Het CBP wordt wel een waakhond zonder tanden genoemd. Onder het nieuwe regime liggen de eisen hoger. Voor een bedrijf is de boodschap straks helder: zorg dat je aantoonbaar compliant bent. Het staat er letterlijk. Boetes kunnen sneller worden uitgedeeld bij een datalek of niet voldoen aan de wetgeving.” Martijn benadrukt de importantie van kennis van zaken rond privacy beheer. “Heb je de juiste mensen binnen je organisatie? Privacy doe je er niet even bij, de juiste expertise en ervaring is onontbeerlijk. Een voorbeeld. De nieuwe Europese privacywetgeving stelt een DPO, een data protection officer, verplicht voor organisatie met meer dan 250 medewerkers. Nu is dat nog optioneel. Op dit moment zijn er in Nederland nog maar enkele honderden van terwijl je duizenden DPO's zou verwachten. Ik verwacht dan ook dat de behoefte aan dergelijke functionarissen toeneemt. Soms als voltijds functionaris, maar vaker zullen organisaties ondersteuning inhuren of dienstverlening op het gebied van privacy uitbesteden.” Martijn ziet de diensten van Procis stevig groeien. Het is daarbij zijn doelstelling om een vast netwerk te creëren van bedrijven en business analisten uit verschillende sectoren die de relaties tussen de bedrijfsprocessen en de privacy voorwaarden van een organisatie in kaart brengen. Met een team van privacy officers, ondersteund door het Privacy Framework, komen nieuwe privacy diensten in zicht."
Informatiebeveiliging: een complexe puzzel?
Inhoud Begin jaren tachtig was Rubiks kubus een ware rage. Overal waar je keek, zag je mensen in de weer met de puzzel. De gekleurde breinkraker was mateloos populair. Op het eerste gezicht lijkt Rubiks kubus een haast onoplosbare puzzel. Veel puzzelaars wagen zich er niet eens aan. Ook informatiebeveiliging is voor velen zo’n complexe puzzel die bovendien heel mooi in de vorm van een kubus is weer te geven. In deze blogpost ontdek je hoe je, aan de hand van Rubiks kubus, die complexe puzzel een stuk behapbaarder maakt. Daarvoor plaats je op elk van de kubusassen één aspect van informatiebeveiliging.De vorm van informatie Op de zijden van de eerste as projecteren we de diverse vormen van de informatie: digitaal, analoog en kennis.  Steeds meer informatie is tegenwoordig digitaal. In it-systemen, op het netwerk, maar ook op informatiedragers als disks, usb-sticks en back-uptapes. Toch wordt veel informatie ook nog op andere wijze vastgelegd. Denk aan papieren documenten en informatie op bijvoorbeeld whiteboards. Voor het gemak noem ik die informatie analoog. En tenslotte is informatie vaak opgeslagen in de hoofden van de medewerkers, in de vorm vankennis. Informatie over werkwijzen, collega’s en de organisatie. Maar ook fragmenten van de gegevens die in de eerder genoemde vormen vastgelegd is.De kernaspecten van informatiebeveiliging Op de zijden van de tweede as zetten we de kernaspecten van informatiebeveiliging: vertrouwelijkheid, integriteit en beschikbaarheid. De vertrouwelijkheid geeft de mate aan waarin alleen geautoriseerde personen of processen de informatie mogen kennen en gebruiken. De integriteit van informatie wordt bepaald door de juistheid, de volledigheid en de correctheid in tijd van (de verwerking van) informatie. In hoeverre is de informatie (nog) gelijk aan hoe die zou moeten zijn en bedoeld is? En de beschikbaarheid tenslotte, wordt bepaald door de mate waarin de informatie op de juiste momenten toegankelijk is voor de juiste personen en processen. De vertrouwelijkheids-, integriteits- en beschikbaarheidseisen (vib) van jouw informatiestromen bepalen mede welke beheersmaatregelen je moet treffen.Beheersmaatregelen Op de zijden van de derde as zetten we de beheersmaatregelen. Deze vallen typisch binnen drie categorieën: mens, techniek en organisatie. Je kunt bijvoorbeeld techniek inzetten om it-kwetsbaarheden aan te pakken, maar ook om ruimtes automatisch af te sluiten of ongeregeldheden snel te signaleren. Een ander belangrijk beheerselement is de mens zelf: het stimuleren van bewustzijn en training van medewerkers zijn menselijke maatregelen, maar bijvoorbeeld ook de fysieke surveillance. Tenslotte is ook organisatieeen beheerselement. Daarmee doel ik op taken, verantwoordelijkheden, afspraken, processen en procedures.De beveiligingskubus Met het invullen van deze drie dimensies van informatiebeveiliging is een complete beveiligingskubus gevormd. Deze beslaat in feite het hele speelveld van informatiebeveiliging voor elke afzonderlijke informatiestroom - een speelveld met 27 unieke aandachtsgebieden. Elk blokje vertegenwoordigt een combinatie van vorm, aspect en maatregel. Zo is er een blokje dat het raakvlak vertegenwoordigt van digitale informatie en de technische maatregelen die integriteit ervan moeten waarborgen, maar ook een blokje dat staat voor de organisatorische maatregelen die de beschikbaarheid van je analoge kennis moeten waarborgen. Ieder blokje van de kubus speelt zijn eigen rol in het informatiebeveiligingslandschap. Toch wordt het speelveld in de praktijk helaas vaak gereduceerd tot één enkel blokje. Onder invloed van de media, technologische actualiteiten en onterechte aannames, wordt er vooral gekeken naar de bescherming van de vertrouwelijkheid van digitale informatie en worden maatregelen uitsluitend in de techniek gezocht. Effectieve informatiebeveiliging geeft echter elk afzonderlijk blokje van de kubus de aandacht die het verdient. Toegegeven, in de praktijk zijn de afmetingen van de afzonderlijke blokken zelden gelijk. Zo kan bepaalde informatie binnen jouw organisatie bijvoorbeeld vooral in papieren vorm aanwezig zijn, terwijl andere informatie vooral digitaal is. Ook kan de beschikbaarheid van bepaalde informatie zwaarder wegen dan de integriteit ervan. Maar hoe je de puzzel ook wendt of keert: deze puzzel telt 27 blokjes en om de puzzel op te lossen moeten ze allemaal op de juiste plek zitten. Succesvolle informatiebeveiliging benadert de puzzel dus in zijn geheel. Door van tevoren al je informatiestromen te bestuderen en te classificeren, leg je de basis voor een succesvol informatiebeveiligingsbeleid. Een beleid dat rekening houdt met de verschillende behoeften van alle vormen van informatie en daaraan de juiste maatregelen koppelt. Alleen als je alle puzzelstukjes de aandacht geeft die zij verdienen, kun je de puzzel als geheel oplossen.Tot slot Wat veel mensen niet weten, is dat Rubiks kubus vanuit iedere willekeurige positie binnen slechts 20 draaiingen op te lossen is. De kunst, zo kan iedere fanatieke kubusdraaier je uitleggen, is om de complete kubus eerst goed te bestuderen. Als je van tevoren weet welke stappen je moet zetten om de puzzel op te lossen, kun je ze zo snel en effectief mogelijk zetten. Het wereldrecord kubusdraaien (5,55 seconden) kwam dan ook niet zomaar uit de lucht vallen. Omdat hij zich goed had voorbereid, wist Mats Valk precies wat hem te doen stond.Auteur: Gerard StroeveWeet u wat u te doen staat waar het om informatiebeveiliging gaat? En vindt u het belangrijker om alleen naar de bescherming van de vertrouwelijkheid van digitale informatie te kijken of spelen integriteit en beschikbaarheid een even belangrijke rol?

Copyright © 2024 Mavim B.V.