Risicomanagement

Informatieveiligheid bij de Overheid

admin

Auteur: Ivan Stuer

Cybercriminaliteit is in deze dagen. Daarvan moet iedereen zich inmiddels bewust zijn. Maar waarom zijn dan bijv. zo weinig sites reeds bestand tegen DDOS aanvallen? Wanneer weten mensen dat informatieveiligheid een must is? Meestal als het te laat is. Daarom bestaan er een aantal wetten en normen over: om mensen te helpen zich te realiseren dat bijv. privacy belangrijk is. Ook voor de overheid.

Zoals de auteur van dit boekje zegt, is het best doenbaar om een hele bibliotheek te vullen over het onderwerp. Zijn doel is om de veiligheidsconsulenten een paar handvatten te geven voor het opzetten van een ISMS (Integrated security management system).

Het boekje dateert van 2015, dus van voor de wijziging van de Europese privacywetgeving in de GDPR. Veiligheidsconsulenten worden daarin vervangen door Data Protection Officers, die nog veel meer specialistische kennis zullen moeten hebben.

Wat bleef er bij?

Het wetgevend kader van de privacy maakt van een aantal voorstellen van acties uit ISO 27001, en ISO 27002, waarop het gebaseerd is, een verplichting. Daarbij is nu meer de nadruk op de beveiliging van het geheel van de processen, in plaats van op de onderdelen. Ook wordt Business continuïteitsmanagement steeds belangrijker als een kapstok waaraan informatieveiligheid kan worden opgehangen binnen het ISMS. (Zie daarvoor ook de toekomstige versie van de Good Practice Guidelines van The Business Continuity Institute dat op dat onderwerp aan het voortborduren is.) Tevens lijkt het er op dat het te ontwikkelen ISMS moet streven naar een overkoepelend gebeuren van alle veiligheidsdisciplines.

Tevens is het niet slecht om over de muurtjes te kijken en eens te kijken wat andere normen/raamwerken als COSOS en COBIT te bieden hebben. Ook een goede algemene kennis van projectmanagement en andere managementdisciplines is aangeraden.

Naar het einde van het boekje richt de auteur zijn aandacht op de CLOUD en de diensten die daarbij kunnen dienen. Daarna geeft hij een stappenplan om een informatieveiligheidsbeleid uit te werken.

Hoewel er enkele termen gebruikt worden zoals ISMS, ITIL, en ander licht vakjargon, is het boekje geschikt voor niet-ICTers. Het boekje is daarmee als dusdanig verhelderend voor een veiligheidsconsulent-in-spe omdat het een aantal aandachtsgebieden raakt waarin hij/zij zich zal moeten verdiepen.

Guide To Effective Risk Management 3.0

admin

Auteurs: Alex Sidorenko en Elena Demidenko

Dit boek over risk management is anders dan de andere boeken die ik al las over het onderwerp. Het is een e-book dat niet alleen werkt met tekst. De teksten, doorgaans een pagina per onderwerp als appetiser, worden afgewisseld met to do checklists, en vele lijsten met doorklikmogelijkheden naar video’s op youtube en URL’s met webpagina’s met verdere uitleg. Het is een handig boek vol tips van do’s en dont’s van taken die binnen risicomanagement thuishoren. Deze checklijsten vormen een handige takenlijst voor een CRO in een onderneming.

De opbouw gebeurt in 3 grote objectieven: 1) Drive risk culture; 2) Help integrate risk management into business; 3) Become a trusted advisor. Wat is me bijgebleven?

  • Drive risk culture: zorg dat je een geschikt framework hebt om aan risicomanagement te werken. Kennis van de regelgeving waaraan de onderneming moet voldoen is belangrijk. Daarbij kan ISO 31000 een handige norm zijn. Bovendien is het beheersen van geschikte risico analyse technieken een voordeel. Reeds van bij het begin van het boek wordt gesproken over Monte Carlo en scenario analyse. Zoals steeds is het betrekken van het top management een must. Alle klassiekers van risicomanagement komen aan bod. Maar er zijn ook handige tips zoals het feit dat je best risico’s per onderwerp bespreekt in de bestuursvergadering in plaats van risicomanagement een apart onderwerp te maken van deze meetings. Verder is een no-blame cultuur essentieel. Dat is ook logisch, want je moet nog samenwerken met anderen om de performantie van de organisatie te verbeteren. Een andere belangrijke psychologische tip is om risicomanagement verantwoordelijkheden te bepalen in de job descripties. Verder was het een eye-opener dat risicomanagement vooral een zaak is van change management voor de cultuur van de organisatie.
  • Help integrate risk management into business: het is belangrijk dat risicomanagement niet iets is dat er bij komt maar wat in het werk zelf in zit. Heel belangrijk is bijvoorbeeld dat het geïntegreerd is in het nemen van de verschillende soorten beslissingen. Een weloverwogen beslissing maakt immers steeds een afweging tussen de voordelen en nadelen (dus de impact) en de kansen dat deze zich voordoen. Daarom is het ook belangrijk dat de business en de CRO dezelfde taal spreken. En als het mis gaat moet de business op een eenvoudige manier kunnen escaleren.
  • Become a trusted advisor: ken de business, maar ken ook je risicomanagement technieken. Onderhoud je vaardigheden van scenario analyse, stress testen, Monte Carlo technieken, game theory, gedragspsychologie… zeer veel onderscheiden wetenschappelijke technieken kunnen van toepassing gemaakt worden. Die zorgen er mee voor, samen met een blik op de omgeving, dat je het management kunt verwittigen voor opkomende risico’s. Tot slot doe je het allemaal niet alleen. Je kan steunen op de hulp van mensen in de organisatie (risk champions) maar je kunt ook steunen op de kennis van collega’s in andere organisaties. Netwerken is dus de boodschap.

Het aantal topics is zeer omvangrijk, tevens met alle doorverwijzingen er in is het een zeer stevig boekwerk. Het is aangeraden om je tijd er voor te nemen en de video’s eveneens ter harte te nemen, als een andere vorm van leren. Door deze structuur hoeft het boek ook niet van voor naar achter gelezen te worden maar kan naargelang de noden van het moment op een bepaald punt aangevat worden.

Het boek is vrij verkrijgbaar op de website van RISK-ACADEMY:

https://www.risk-academy.ru/en/download/risk-management-book/

Pre-suation – een revolutionaire manier van beïnvloeden en overtuigen

admin

Auteur: Robert B. Cialdini

De twee kernwoorden van de auteur in dit boek zijn beïnvloeden en overtuigen. En overtuigen en beïnvloeden gebeurt ook in de openingszin van het eerste hoofdstuk van boek alleen al: “Als een soort geheim agent heb ik ooit trainingen geïnfiltreerd van allerlei verschillende beroepen die zich toeleggen om ons ‘ja’ te laten zeggen” en geef toe, wie legt niet de link tussen “geheim agent” en “overtuigen” en “spannend”? Daarmee alleen al overtuigt de auteur de lezer m.i. om in stormende vaart uit te lezen.

Maar ook na het lezen van dit boek, zoals bij veel andere boeken, ben je geen specialist, ‘Übung macht den Meister’ ook in dit verhaal. Maar dan heeft de lezer geluk: het boek is zo meeslepend geschreven dat je direct zin krijgt om ermee aan de slag te gaan en ermee te experimenteren, want geef toe, wie wil nu niet de anderen in zijn omgeving meesterlijk kunnen overtuigen en bespelen?

Om het spel mee te spelen zal ik vertellen wat ik ervan meegedragen heb, en wat ik nuttig acht voor het gebruik hiervan in awarenesswerking van risicomanagement.

Een eerste zaak die me bijbleef na het lezen van het boek komt al in hoofdstuk 2: bevoorrechte momenten. Het doel hiervan is om het moment, dat speciaal is door gebeurtenissen in de omgeving, uit te buiten in uw voordeel. Een voorbeeld hiervan voor veel organisaties zijn de terreuraanslagen van 22 maart 2016. Dat was het uitgelezen moment voor het uitwerken van een sterk crisismanagement team en risicomanagement- en BCM-werking bij uitstek.

Het derde hoofdstuk richt zijn pijlen op het belang van aandacht en focus: om een goede beoordeling te krijgen moet je niet alleen de aandacht vestigen op de goede eigenschappen, maar de focus vooral laten richten op UW product. Want wat de focus heeft is belangrijk, ook al zijn er veruit betere producten. Die focus komt terug als onderwerp in het volgende hoofdstuk waar gebruik gemaakt wordt van de risico-analyse als middel om de focus van het management op risico’s te vestigen. Volgens mij is het risicoregister in de vorm van een rapport geschikter, maar het helpt ervoor zorgen dat het management de organisatie niet blind aanstuurt.

Een aantal hoofdstukken verder is er nog een ander fait-divers dat me helpt om aan awareness te doen: het fenomeen van advies vragen aan medewerkers van de organisatie, en dat kan bijvoorbeeld individueel of in een werkgroep. Let hierbij op. Vraag niet naar hun mening over de beveiliging en de veiligheid (want dat levert een situatie op van hun mening tov de uwe, en dus de muur wij-zij) maar hun advies en gebruik daarbij zeker het woord ‘advies’ zelf. Vraag dus niet ‘wat denk je ervan’ of zo want dan eindigt het gesprek in feite zonder echte medewerking. Als je hun advies hebt laten geven, vraag je hen om dat op mail te zetten. Volgens de psychologische experimenten zorgt een handeling, dat kan eender welke handeling zijn bovenop het mondeling geven van dat advies, voor een langer blijvend commitment. Belangrijk is wel dat het advies ook aantoonbaar ter harte genomen wordt. Dat geeft een extra boost, die de medewerker in een ‘medeplichtige’ verandert.

Tot slot blijft ook het fenomeen ‘locatiegebonden herinneringen’ bij. Bijvoorbeeld artsen zijn zeer moeilijke mensen. Als hen in de 19E eeuw gevraagd werd om de handen te wassen tussen elke twee patiënten  door, omwille van minder besmettingen, waren er velen die het niet deden. Het aanbrengen van een herinnering op de plaats van de behandeling van de patiënten deed hen echter deze handeling vaker doen. Gewoon omdat ze eraan herinnerd werden. Op de juiste plaats. Ik vermoed dan ook dat posters effectiever kunnen zijn als ze op de goede plekken worden opgehangen. Op de werkvloer dus eerder dan in de inkomsthal of het bedrijfsrestaurant.

Het boek is het tweede boek dat de auteur schreef over overtuigen. Zijn eerste boek over dit onderwerp droeg te titel ‘Invloed’.

De weg naar radicale verzoening

admin

Auteur: Jan Lippens in gesprek met Montasser AlDe’emeh

In dit boek ordent Montasser zijn gedachten over de situatie van de jongere Moslims in België, Europa, of de wereld… Overal vallen ze uit de boot, komen ze in een crisis van zelfontdekking en maken sommigen een in onze ogen verkeerde keuze. Zoals wel vaker gezegd wordt, is dit volkomen begrijpelijk, kan men vele onderdelen van de maatschappelijke systemen met de vinger wijzen, maar uiteindelijk, volgens Montasser, maken ze zelf de verkeerde keuze. Velen zijn daardoor naar Syrië gegaan.

Montasser zelf lijkt hen te beschouwen als een verloren groep. Hij wijst de huidige politici er op dat er beter niet teveel honing aan de verloren groep zijn baard wordt gesmeerd. Men kan beter kiezen voor het helpen gezonde keuzes maken door de jongeren nu en binnen 5 tot 10 jaar. Daar staat een enorme mensenmassa op ontploffen. Zeker nu IS oproept tot gewapend verzet met alle mogelijke middelen in de eigen landen, omdat IS op snel ritme terrein verliest.

De methode om tot een oplossing te komen volgens Montasser is om aan radicale verzoening te werken. Hoewel hij in het boek geen mooi afgelijnd plan van aanpak voorstelt, zijn er wel enkele duidelijke kritieke succesfactoren waaraan gewerkt kan worden. Hieronder enkele punten die bijbleven:

  • Steek minimale energie in terugkeerders uit Syrië, zij zijn een verloren groep en horen thuis in een gevangenis voor misdaden tegen de menselijkheid.
  • Steek maximale energie in de jongeren van morgen. Doe hen nadenken over hun geloof, en niet zomaar aanvaarden wat er hen over de Islam verteld wordt.
  • Maak werk van een Europese Islam.
  • Maak gebruik van de Imam’s die hier zijn en waarvan geweten is wat ze denken.
  • Zend radicale Imams terug naar plaats van herkomst. Ook de radicale moslims. Of naar Saoedi Arabië, waar de Sharia wordt toegepast.
  • Roep Saoedi Arabië en aanverwante landen op om hun verantwoordelijkheid te nemen wat betreft vluchtelingenopvang. Mensen voelen zich beter bij anderen die ze zelf beter begrijpen.
  • Laat de Europese Gemeenschap werk maken van samenzitten met de Arabische landen, zodat ze zich niet meer kunnen verbergen betreffende het vluchtelingenprobleem.

Montasser zou misschien als expert een leidende politieke rol kunnen spelen hierin. Hijzelf zegt dat als ze hem vragen vanuit de politiek, hij hier misschien op in zal gaan. Wat spijtig is aan het boek dat het geschreven is met een bijna extreem rechts taalgebruik. Tevens is de kans reëel dat Montasser zal vermoord worden omwille van zijn standpunten, zo zegt hij zelf.

Handboek Risicomanagement – ERMplus een praktische toepassing van COSO ERM

admin

Auteur: Drs. Urjan Claassen

In dit boek bespreekt de auteur risicomanagement op een docerende, praktijkgerichte manier.

In de inleiding bespreekt hij het verschil tussen een “conformance” en een “performance” motief voor het overgaan van het klassieke risicomanagement naar een integraal risicomanagement. Het begrip “integraal risicomanagement” moet door de lezer echter vanaf de eerste bladzijde intuïtief begrepen worden als een risicomanagement dat geldt voor de hele organisatie, op alle niveaus. Hoe dat kan gebeuren wordt gaandeweg in het boek verder uitgewerkt. Daarbij is naar mijn gevoel het begrip van de 5 verdedigingslinies zeer belangrijk:

  • 1A: de operationele medewerkers, 1B het tactisch management, 1C het strategisch management.
  • 2 de interne audit
  • 3 de externe audit
  • 4 de accountant
  • 5 de toezichthouders.

Tevens wordt in de inleiding een aantal tekortkomingen van COSO aangereikt, samen met hoe ERMplus hiervoor een oplossing heeft.

Wat van dit boek speciaal bijblijft zijn volgende zaken:

  • Het belang van een gemeenschappelijke taal van risicomanagement. Zonder deze basis kunnen de verschillende spelers immers elkaar niet verstaan.
  • Dat er psychologische en sociologische aspecten zijn aan risicomanagement. Deze kunnen de besluitvorming beïnvloeden.
  • Dat naast de risicomatrix voor bedreigingen, er ook een dient opgesteld te worden voor de opportuniteiten.
  • Het enorme belang van audit en hoe het dient aangepakt te worden. Auditten is een project op zich met een eigen grondig plan van aanpak om het onderste uit de kan te halen.
  • We hebben ons risicomanagement, we hebben onze audit, en nu? Dan komt op t einde van het jaar het jaarverslag met “in-control” statements en een verklaring van het weerstandsvermogen.
  • De implementatie kan gebeuren vanuit verschillende startpunten, waarbij terug de vijf verdedigingslinies van belang worden.
  • Er zijn verschillende structuren mogelijk om toezicht te houden: de one-tier en two-tier governance modellen.

Wie risicomanagement wil uitwerken volgens het COSO model vindt in het “Handboek Risicomanagement – ERMplus een praktische toepassing van COSO ERM” zijn gading. Het vertelt een zeer doorgedreven heavy weight-aanpak van risicomanagement, dat zeer compleet is.