risicobeheer

Tirannie – Twintig lessen uit de twintigste eeuw

admin

Auteur: Timothy Snyder

De auteur gebruikt in dit boek zijn grote kennis van geschiedenis, om in de nasleep van de verkiezingen van 2016, waarbij een nieuwe Amerikaanse president in het voetlicht trad, het Amerikaanse volk te waarschuwen. Zijn eerste zin in de proloog zegt precies de essentie van hoe het boek moet gelezen worden: “De geschiedenis herhaalt zich niet, maar bevat wel lessen.” Sommigen leren daar uit, anderen herhalen een aantal fouten, met negatieve afloop als gevolg. Hij stelt 20 levenslessen of geleerde lessen voor als mogelijke (intermenselijke) maatregelen aan ons allen, burgers zowel als politiekers.

De 20 lessen zijn:

  1. Gehoorzaam niet bij voorbaat
  2. Verdedig een instituut
  3. Verhinder de eenpartijstaat
  4. Neem uw verantwoordelijkheid voor het aanzien van de wereld
  5. Vergeet uw beroepsethiek niet
  6. Kijk uit voor paramilitairen
  7. Denk goed na als u bewapend met zijn
  8. Verzet u
  9. Koester onze taal
  10. Geloof in de waarheid
  11. Ga op onderzoek uit
  12. Maak oogcontact en praat met elkaar
  13. Wees fysiek politiek actief
  14. Zorg voor een privéleven
  15. Geef aan goede doelen
  16. Leer van anderen in andere landen
  17. Onderken gevaarlijke woorden
  18. Blijf kalm als het ondenkbare gebeurt
  19. Wees een patriot
  20. Wees zo moedig als u kunt

Doorheen het boek laat de auteur duidelijk doorschemeren dat hij het niet zo heeft met de huidige president van de USA.

Een principe van risicoanalyse dat hier wordt toegepast is dus de terugblik in het verleden. Voor risicoanalyses in het algemeen kan dit van belang zijn om ernst en frequentie in te schatten, maar ook om uit de geschiedenis kennis te nemen van maatregelen die toen genomen werden, en of ze effectief en efficiënt waren. (Daarom dat ik er ook voor pleit om risicobeheer niet aan een persoon over te laten, maar om een polyvalent team te betrekken met de juiste spirit. – nvdr)

De auteur werkt deze 20 lessen uit aan de hand van concrete veelzeggende voorbeelden, die de meesten onder ons kennen. Zo komt het nazisme meermaals aan bod, alsook het fascisme.

Wanneer deze voorbeelden tegen het licht van de hedendaagse gebeurtenissen gehouden worden, wordt de relevantie van verschillende gevaren overduidelijk door simpele analogie.

We hebben echter een groot voordeel: naarmate de tijd vordert hebben we steeds meer geschiedenis waarvan we kunnen leren.

De 4 geboden van risicomngt, de waarden van een organisatie en Informatieveiligheid

admin

Auteur: Manu Steens en Joris Bouve met dank aan Hilde Van Nijen

De belangrijkste bedoeling van informatieveiligheid is m.i. het risico-besef (awareness) van de medewerkers. De mens is immers de zwakste schakel. Risico-besef gaat zowel in twee richtingen. Enerzijds gaat dit over awareness van de business m.b.t. informatieveiligheid: waar knelt het schoentje en wat kan technisch en wat moet je zelf doen. Anderzijds gaat het ook over de awareness van de ICT mensen: wat moeten zij weten dat de business belangrijk vindt en wat niet. Meer doen is dikwijls onverantwoord en geeft aanleiding tot “geld over de balk gooien”.

Wat & Waarom?

Het doel van informatieveiligheid is zorgen voor de betrouwbaarheid van informatiesystemen.  Die betrouwbaarheid wordt bekeken vanuit volgende drie invalshoeken:

  • Vertrouwelijkheid (Confidentiality): het waarborgen dat informatie alleen toegankelijk is voor diegenen, die hiertoe zijn geautoriseerd
  • Integriteit (Integrity): het waarborgen van de correctheid en volledigheid van de informatie.
  • Beschikbaarheid (Availability): het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot de informatie/informatiesystemen

Dit kan natuurlijk alleen maar door een samenhangend pakket van maatregelen te treffen, te onderhouden en te controleren. Het gaat over het algemeen over informatie die is opgeslagen in informatiesystemen, maar ook opgeslagen kan zijn in papieren dossiers.

Het informatieveiligheidsbeleid van de organisatie is erop gericht om, op basis van risicomanagement, te verzekeren dat de informatie van de organisatie correct en volledig is en tijdig toegankelijk voor de geautoriseerde personen.

Hoe?

Om op een adequate wijze aan informatieveiligheid, te doen, moeten maatregelen uitgewerkt worden om de confidentialiteit (C), integriteit (I) en de beschikbaarheid (A: availability) te kunnen borgen.
Het is niet eenvoudig om hiervoor algemeen geldende criteria vast te leggen, omdat deze kunnen verschillen van departement tot departement binnen een organisatie, zelfs tussen teams binnen een departement kunnen de noden anders liggen.

Deze maatregelen moeten bovendien inspelen op volgende domeinen:

  • Mensen en Middelen,
  • Inhoud,
  • Systemen
  • Samenwerking (op procesniveau en overkoepelend).

Als hulpinstrument hebben wij hiervoor onderstaande matrix uitgewerkt. In deze matrix worden de vier domeinen benaderd vanuit de drie invalshoeken. Voor elke combinatie hebben wij een aantal richtvragen opgesteld. Voor deze richtvragen hebben wij ons geïnspireerd op de “vier geboden van risicomanagement” (zie verder). Met deze richtvragen kan ieder personeelslid aan de slag. Maar deze richtvragen zijn ook uitermate geschikt om een duidelijker zicht te krijgen op informatieveiligheid (zowel vanuit het standpunt van de “business” als vanuit het standpunt van IT).

Mensen en middelen Samenwerking op procesniveau en overkoepelend Systemen Inhoudelijk
C Wat deel je met wie? Welke toegangen heb je nodig? Kent iedereen de veiligheids-verantwoordelijke? Wat is de bedoeling van het management met hun informatieveilig-heidsbeleid? Blijft de vertrouwelijke informatie binnen vertrouwelijke kringen? Zijn deze kringen door iedereen gekend? Welke zaken moet je kunnen om tot de systemen toegelaten te worden? Is hiervoor een achtergrond-onderzoek nodig? Wie coördineert dit? Aan welke veiligheidsgerelateerde wetten moet je organisatie voldoen  (privacy, ISO-normen, BCM,…)?
I Heeft iedereen goede bedoelingen? Is hiervoor een achtergrond-onderzoek nodig? Zijn de processen uitgetekend en gecontroleerd op bugs en fouten? Werd de flow van het proces getest? Worden de systemen regelmatig onderhouden en getest? Is dat nodig? Hoe belangrijk is de juistheid van de inhoud? Gebruik je vrijwillige foutenintroductie ten behoeve van de vertrouwelijkheid?
A Welke mensen en zaken heb je nodig om je werk veilig te kunnen doen? Wat met een uitval van systemen? Mensen? Gebouwen? Faciliteiten? Leveranciers? Is er een Risicoanalyse gemaakt voor informatieveiligheid? Wie heeft fysieke toegang tot welke systemen? Wie heeft logische toegang tot welke systemen? Wanneer? Is er een SLA met leverancier? Wanneer heb je de informatie nodig? Zijn deze afhankelijk van het tijdstip in het jaar?

 

Antwoorden op deze vragen zijn dan de criteria waaraan informatieveiligheid binnen de organisatie moet voldoen.

De vier geboden van risicomanagement en vier waarden: openheid, daadkracht, vertrouwen en wendbaarheid

Risico-beseffend gedrag is terug te brengen tot de volgende vier geboden:

  1. Berokken jezelf geen schade, tenzij je er beter van wordt;
  2. Berokken niemand schade, tenzij hij/zij er beter van wordt;
  3. Maak niets stuk, tenzij je met de onderdelen iets beter kan maken;
  4. Grijp je kansen, tenzij dit in strijd is met regels 1, 2 of 3.

Deze vier geboden zijn

  • eenvoudig
  • gemakkelijk te onthouden
  • duidelijk toepasbaar

Bovendien zijn deze geboden vrij eenvoudig te linken aan de waarden van een organisatie. Ter illustratie geven we hier hoe deze passen binnen de waarden openheid, daadkracht, vertrouwen en wendbaarheid.

Openheid:

Regel 2: berokken niemand schade is hierop van toepassing. Bijvoorbeeld openheid van bestuur is maar geldig zolang iemand betrokken partij is. Ook de privacywetgeving huldigt dit principe dat een persoon beroep kan aantekenen tegen de verwerking van zijn gegevens. Bovendien staat de privacywetgeving vooral toe om met statistieken naar buiten te komen, niet om hart en ziel van een individu tegen zijn zin bloot te leggen. Er mag dus transparantie zijn, maar met de juiste mate: de mate waarin je niemand kwetst.

Daadkracht:

Regel 3: maak niets stuk en regel 4: grijp uw kansen. Daadkracht binnen de organisatie is scheppend bedoeld. Om de klant beter te dienen kan het evenwel nodig zijn om daadkrachtig te zijn en bestaande structuren af te breken en betere structuren te bouwen. Daarvoor moet men de wegen binnen de organisatie kennen om doeltreffend op te kunnen treden. En als men de doelen kent en de weg er naar toe, is het zaak om de kansen te grijpen.

Vertrouwen:

Regel 2: berokken niemand schade en regel 1: berokken jezelf geen schade. In de organisatie is het van ultiem belang dat iedereen in hen vertrouwen heeft. Dit geldt zowel voor de klant als voor de medewerkers. Je moet voldoende zelfvertrouwen hebben dat je de goede kant uit gaat met wat je voor de markt doet. Indien daarbij mensen elkaar zinloos pijn doen, zal dit vertrouwen snel geschonden worden.

Wendbaarheid:

Dit betekent dat bij regels 1 tem 4 steeds uitzonderingen kunnen horen.

Maar het betekent ook regel 4: grijp je kansen. Even afdwalen van de gekozen weg kan een aantal voordelen opleveren die je anders had laten liggen. Goed uitkijken naar opportuniteiten en deze aanpakken is dus eveneens de boodschap !