Van de Redactie. Een dag uit het leven van Jan Pasmooij. IT-Auditors bijeen: The devil is in the details

Maat: px
Weergave met pagina beginnen:

Download "Van de Redactie. Een dag uit het leven van Jan Pasmooij. IT-Auditors bijeen: The devil is in the details"

Transcriptie

1 de EDP-Auditor olofon De EDP-Auditor is een uitgave van de Nederlandse Orde van Register EDP-Auditors Redactieraad drs. M.A. Bongers RE RA drs. H.A. Kampert RE RA drs. E. Koning RE RA ISA prof. ir. E.F. Michiels prof. dr. ir. J.A.E.E. van Nunen J.. Vos RA H. de Zwart RE RA Redactie M. M. Buijs RE RA drs. Th.M.J.Gerritse RE drs. W.T. Houwert RE prof. dr. G.J. van der Pijl RE drs. E.J.M Ridderbeekx RE ISA drs. R.J.Steger RE RA ir.. L. Wauters EMEA drs. Th. Wijsman RE Eindredactie prof. dr. G.J. van der Pijl RE Bureauredactie D. Mensink (Lensink Van Berkel ommunicatie) Uitgever Reed Business Information BV Postbus AD Amsterdam Tel.: Abonnementen De EDP-Auditor wordt kosteloos aan de leden van de NOREA verzonden. De abonnementsprijs voor niet-leden bedraagt voor ,50 excl. btw. De verzendtoeslag voor België bedraagt 6,95 en voor de Nederlandse Antillen en overige landen 21,55. De prijs van losse nummers is 22,60 excl. btw. Per jaar verschijnen 4 nummers. Een abonnement kan worden beëindigd door schriftelijk vóór 1 november van een lopend jaar op te zeggen. Bij niet-tijdige opzegging wordt het abonnement met een jaar verlengd. Abonnementenadministratie en lezersservice Reed Business Information BV Postbus 4, 7000 BA Doetinchem Tel.: Fax: klantenservice@reedbusiness.nl opyright Het geheel of gedeeltelijk overnemen van artikelen, schema s of tekeningen uit deze uitgave is slechts toegestaan na voorafgaande schriftelijke toestemming van de uitgever. ISSN Bijdragen De redactie nodigt lezers uit een bijdrage te leveren aan de EDP-Auditor. U kunt uw bijdrage sturen naar de bureauredactie. Advertenties Elsevier Media Amsterdam Tel.: Fax: info.ema@reedbusiness.nl Geldend advertentietarief Vormgeving Studio Putto BNO, De Rijp Inhoud Van de Redactie olumn Thea Gerritse Informatiebeveiliging een gedragsbenadering Marcel Koers en Arno Nuijten Business Activity Monitoring; de centrale bron van real-time managementinformatie Gabriel avalheiro Interview Michel Bouten Een dag uit het leven van Jan Pasmooij IT-Auditors bijeen: The devil is in the details Boekbespreking: A new Era Without Data Warehouses, An Architectural Vision Andrew heung IT-Auditors bijeen: Denk je iets af te weten van SAS70 verklaringen en Third Party Mededelingen? Risisco s van IT-outsourcingprojecten beperken met Transition Realtime IT-auditing Leon Dohmen Van de NOREA: NOREA-richtlijn oordelen van gekwalificeerde IT-auditors 4jaargang

2 Van de redactie Opleving Voor u ligt alweer het laatste nummer van De EDP-Auditor van Daarmee ligt een jaar achter ons waarin we een opleving van de vraag naar IT-auditing hebben gezien. Externe kantoren en interne IT-audit-groepen zoeken soms wanhopig naar versterking, studentenaantallen in de opleidingen trekken aan. Een deel van de werkzaamheden wordt gedreven door de implementatie van IT-governance als onderdeel van de in de SOX-wetgeving nagestreefde corporate governance. Niet alleen grote op de Amerikaanse beurzen genoteerde bedrijven, maar in hun kielzog ook kleinere organisaties streven naar verbetering van de control van business en IT. In dit nummer komt op een aantal manieren naar voren dat voor het goed functioneren van organisaties meer nodig is dan het implementeren, aanscherpen en navolgen van steeds nieuwe regelgeving. Zo benadrukt Thea Gerritse in haar column dat regels en procedures het belang van goed vakmanschap niet mogen verdringen. Marcel Koers en Arno Nuijten laten in hun bijdrage zien dat ook informatiebeveiliging niet uitsluitend een zaak is van het treffen van goed gedocumenteerde beveiligingsmaatregelen maar dat ook en misschien wel vooral op andere manieren het beveiligingsgedrag van mensen is te beïnvloeden. Gabriel avalheiro wijst op een heel ander besturingsprobleem, namelijk het feit dat in veel gevallen real time managementinformatie ontbreekt. Hij bespreekt de mogelijkheden van het Gartnermodel voor Business Activity Monitoring. Leon Dohmen stelt dat ook in het geval van outsourcingprojecten rekening moet worden gehouden met harde en zachte kanten van de transitie. In het interview met Michiel Bouten betoogt deze dat IT-auditors een belangrijke bijdrage kunnen leveren aan de totstandkoming van de elektronische overheid. Totstandkoming van een goede architectuur, semantiek en open standaarden zijn daarbij van essentieel belang. Tot slot in dit nummer een verslag van de vijfde Rijksbrede IT-Audit Dag en van een bijeenkomst van de NOREA regio Apeldoorn. Uiteraard kent ook dit nummer een boekbespreking. Ditmaal komt in deze rubriek een boek aan de orde waarin de interessante stelling wordt geponeerd dat in navolging van de ontwikkelingen in de fysieke logistiek ook in de gegevenslogistiek tussenvoorraden zouden moeten worden afgeschaft. Niet alle bijdragen in dit blad zullen eenzelfde impact hebben als het in nummer 2 van dit jaar gepubliceerde artikel van Ed Ridderbeekx over de beveiliging van stemmachines, dat een duidelijke rol heeft gespeeld in de maatschappelijke discussie op dit terrein. Niettemin denken wij u ook met dit nummer weer een lezenswaardig geheel voor te leggen. 4 de EDP-Auditor nummer

3 Elk kwartaal het beste advies FISAAL ADVIES NU MET 20% KORTING! Aanbieding: Eén jaar Fiscaal Advies voor 25,50 ELSEVIER FISAAL ADVIES Praktisch en toegankelijk. Houdt u vier keer per jaar op de hoogte van het belangrijkste fiscale en financiële nieuws. Bevat veel bijdragen van de auteurs van de Fiscale Almanakken en is dé actuele aanvulling op uw almanakken. Bevat o.a. concrete tips en adviezen, achtergrondanalyses, ontwikkelingen op het gebied van inkomsten- en loonbelasting, fiscale rechtspraak, wetsvoorstellen, wetwijzigingen en interviews met fiscale en financiële kopstukken. BESTEL DIRET! KIJK OP OF BEL ,50 incl. BTW (normale prijs: 31,95) Verschijnt: 4x per jaar Elsevier Fiscale Media. Gemaakt om mee te werken.

4 column Intensieve Menshouderij Thea Gerritse Ook dít jaar gingen weer de nodige boeken mee in de vakantiekoffer. Zoals meestal een aantal literaire romans, maar deze keer óók op aanraden van een goede vriend het boek Intensieve Menshouderij. 1 Klinkt deze titel op zichzelf al uitdagend, de ondertitel Hoe Kwaliteit oplost in Rationaliteit doet dat niet minder. En dat het boek kennelijk iets losmaakt blijkt, als je de titel intypt in Google dat levert meer dan hits! Intensieve Menshouderij het is inmiddels kennelijk een begrip. Waar gaat het over in dit boek? De titel roept associatie op met het begrip Intensieve landbouw en dat is dan ook de eerste aanwijzing die we van de auteurs krijgen. Aan de hand van de metafoor van de intensieve landbouw willen de auteurs ons iets laten zien van organisaties waar mensen werken. Want wat er gebeurt in de landbouw, gebeurt ook in organisaties! In de intensieve landbouw is sprake van vervreemding. Een boer brengt steeds meer tijd door achter de computer, het beeldscherm toont hem kengetallen. Zelf neemt hij de groei van de gewassen of het gedrag van de dieren niet meer direct waar. Van (natuurlijke) onkruidbestrijding of het verbeteren van de grondconditie is geen sprake meer. Dat is ook niet nodig, want onkruid kan effectief worden bestreden met chemische middelen. En als de grond niet vruchtbaar genoeg is, wordt dankbaar gebruik gemaakt van kunstmest. De kwaliteit van landbouwproducten c.q. de voedingswaarde loopt de laatste decennia drastisch terug. Volgens de kengetallen op het beeldscherm is het allemaal in orde, maar ondertussen is de Kwaliteit met een grote K erg laag. Volgens een groeiende groep kritische mensen komen er door het tekort aan mineralen steeds meer ziekten voor als kanker, hartaandoeningen, type II diabetes en zwaarlijvigheid. In organisaties nemen we dezelfde ontwikkeling waar als in de intensieve landbouw. Door meten willen we weten, maar de aldus getoonde resultaten zeggen weinig over de kwaliteit van de producten en de tevredenheid van de medewerkers. Kengetallen spelen een steeds grotere rol en we kennen de populariteit van benchmarks. De roep om vermindering van regeldruk en afbouw van de controletoren ten spijt, zien we onverminderd gedetailleerde regelgeving, procedures, handboeken, richtlijnen, protocollen, standaarden, voorschriften en contracten. Organisaties worden nog steeds gekenmerkt door een nadruk op rationele en economische principes als controle, efficiëntie en winstmaximalisatie. Het gaat er niet om dat mensen hun vakkennis inzetten om hun werk goed te doen, maar dat ze volgens de regels werken om vooraf vastgestelde resultaten te halen. In organisaties waar deze vervreemding is opgetreden is sprake van Intensieve Menshouderij. Zulke organisaties hebben een aantal kenmerken waarvan ik er twee hier wil noemen, omdat ze mij triggerden tot het schrijven van deze column. Eén kenmerk is dat vakmanschap steeds minder belangrijk wordt gevonden. Het tweede kenmerk is dat voorschriften, regels en procedures de werkwijze precies vastleggen. Binnen de Intensieve Menshouderij heerst de merkwaardige opvatting dat organiseren pas goed is gebeurd als er volgens regels wordt gewerkt. De ISO 9000-normen zijn daar prachtige voorbeelden van. Volgens de auteurs van het boek is het een misvatting om goed organiseren op één lijn te stellen met goed geregeld en daarmee met massa s handboeken, normen, procedures, regels en andere vormen van voorschriften. Zij stellen: Als er sprake is van vakmanschap in de organisatie, zijn veel van deze expliciete regels overbodig. Goede monteurs kijken nooit in de handboeken. Wat erin staat weten ze en de dingen die ze niet weten, staan er niet in en zullen proefondervindelijk moeten worden ontdekt. Hun conclusie is dan ook dat de betekenis van vakmanschap vaak wordt onderschat. Erger nog: als je vakmensen onderwerpt aan een overdosis regels ontmoedig je en beledig je hen niet alleen, maar ontneem je hen ook de noodzakelijke vrijheid om hun vak goed uit te oefenen. Ik moet zeggen dat ik hierdoor aardig aan het denken werd gezet. ontrole en beheersing, voorschriften, regels en procedures, het zijn de zaken waar we in ons vakgebied van de IT-auditing dagelijks mee te maken hebben. Ik vroeg me af in hoeverre wij, IT-auditors, meedoen aan de gesignaleerde trend of zelfs mede schuld hebben aan het ontstaan en laten vóórtbestaan van de Intensieve Menshouderij bij onze klanten. Welke auditor kent het niet uit de eigen praktijk je krijgt het verzoek om opzet en bestaan vast te stellen. Met normering, controlewerkprogramma en vragenlijstje in je achterhoofd vraag je naar beleid, procedures, procesbeschrijvingen, werkinstructies, administratieve organisatie, beheerhandboeken. Maar hoe vaak is dat er allemaal? Up-to-date? Volledig? 6 de EDP-Auditor nummer

5 Juist! Heel vaak is het er niet, of niet up-to-date en volledig. Maar laten we eens heel eerlijk zijn hoe vaak betekent dit dat het in de organisatie een chaos is en dat processen werkelijk niet worden beheerst? Veel minder vaak dat is tenminste mijn ervaring. Meestal kom ik heel kundige mensen tegen, die precies weten wat ze moeten doen en dat ook doen. Hun verantwoordelijkheidsgevoel en loyaliteit blijkt niet uit datgene wat er allemaal is opgeschreven en vastgelegd maar uit betrokkenheid bij hun dagelijkse activiteiten, hun oog voor details en adequaat reageren in uitzonderingssituaties. Het zijn de medewerkers die a tempo op de hoogte willen blijven van nieuwe ontwikkelingen en hun werkzaamheden daar op aanpassen. Dat zijn nu eenmaal niet de mensen die graag alles vastleggen in procedures en instructies, maar liever bij een nieuwe versie van de programmatuur nog extra even wat uitzonderingssituaties testen om zeker te weten dat het allemaal goed gaat verlopen. Opzet: -, bestaan: +! En dús de aanbeveling om het allemaal netjes op te schrijven én een procedure te bedenken om de beschrijvingen up-to-date en volledig te houden! Drs. Th. M.J. (Thea) Gerritse RE is senior auditor bij EDP AUDIT POOL Noot 1 Jaap Peters & Judith Pouw, Intensieve Menshouderij : Hoe Kwaliteit oplost in Rationaliteit ; uitgegeven bij Scriptum En wij zelf, vroeg ik me vervolgens af. Ons beroep is ook onderworpen aan regels, procedures, richtlijnen et cetera. In de organisatie waar ik werk is een kwaliteitsbeleid waarmee invulling is gegeven aan de richtlijnen die door de beroepsorganisatie zijn opgesteld. We kennen allemaal het gemak van standaard normenkaders en controlewerkprogramma s. Maar laten we met de waarschuwing van Peters en Pouw in het achterhoofd ervoor waken dat deze onze eigen verantwoordelijkheid en ons eigen vakmanschap niet gaan overnemen! 7 de EDP-Auditor nummer

6 Artikel Informatiebeveiliging een gedragsbenadering Marcel Koers en Arno Nuijten Organisaties worden geconfronteerd met de problematiek rond informatiebeveiliging. Managers en security officers zijn verantwoordelijk voor het structureren en implementeren van beveiligingsmaatregelen en moeten in toenemende mate daarover verantwoording afleggen aan belanghebbende partijen en toezichthouders. IT-auditors spelen een belangrijke rol in het beoordelen van de mate waarin de organisatie haar beveiligingsrisico s beheerst. Om op een gestructureerde en marktconforme wijze de beveiligingsmaatregelen in te richten en te beoordelen wordt vaak de ode van Informatiebeveiliging (ofwel ISO17799:2005) gehanteerd. Zoals figuur 1 weergeeft, bakent de ode domeinen af en beschrijft het een groot aantal te treffen beheersmaatregelen ( controls ). Aan de basis van het treffen van maatregelen staat een analyse van beveiligingsrisico s. Drs A.L.P. Nuijten RE werkt als zelfstandig IT-auditor en adviseur. Hij is docent en onderzoeker bij de Erasmus Universiteit. Daarbij richt hij zich vooral op de vraag hoe informatie over IT-risico s de besluitvorming beïnvloedt. Dhr. A.F. Koers werkt als management consultant en IT-auditor bij Ordina Security & Risk Management. Figuur 1. Positionering ode van Informatiebeveiliging Voor ieder domein van de ode van Informatiebeveiliging neemt de organisatie een aantal technische, procedurele en organisatorische maatregelen zodat een veilige organisatie wordt bewerkstelligd. De IT-auditor beoordeelt per domein van de ode of de maatregelen daadwerkelijk getroffen zijn. Hierin zit de veronderstelling dat het geheel aan getroffen maatregelen conform de ode een effectieve bijdrage levert aan een veilige organisatie. Wij vragen ons echter af of een organisatie die de ode toepast daarmee automatisch de beveiligingsrisico s met betrekking tot het personeel effectief beheerst. Onder beheersen verstaan wij dat doelstellingen worden bepaald, maatregelen worden getroffen, effecten worden gemeten en dat wordt bijgestuurd, in dit geval op (on)veilig gedrag van medewerkers. 8 de EDP-Auditor nummer

7 In de ode wordt personeel namelijk als een verbijzonderd domein benaderd. Maatregelen binnen dit domein vinden we in de praktijk terug als bewustwordingscampagnes, flyers, e-learning modules en het communiceren van beveiligingsincidenten (hopelijk bij concurrenten). Deze maatregelen maken de mensen in de organisatie bewust van het belang van een adequate informatiebeveiliging. In de praktijk zien wij ook dat maatregelen gericht op het beveiligingsbewustzijn van personeel als een separaat traject worden ingericht. Ook de IT-auditor die de informatiebeveiliging toetst aan de ode zal voor maatregelen gericht op beveiligingsrisico s van het personeel veelal op zoek gaan naar de security-awareness programma s en vaststellen dat er een clean desk policy en een gedragscode is opgesteld en gecommuniceerd. Daarmee worden mogelijk de voorgeschreven maatregelen en aandachtspunten van het domein personeel geadresseerd en bij een formele toetsing door de IT-Auditor zelfs goedgekeurd. De kern van de problematiek wordt echter daarmee mogelijk onvoldoende geraakt, namelijk of het gewenste veilig gedrag wordt bereikt en beheerst. Dit is een onbevredigende constatering als je in ogenschouw neemt dat: Daarmee de doelmatige inzet van budgetten op het gebied van informatiebeveiliging onvoldoende wordt zeker gesteld; Veel van de beveiligingsincidenten die de laatste jaren in de publiciteit zijn gekomen, juist werden veroorzaakt door menselijke fouten of onachtzaamheid (onveilig gedrag); De effectiviteit van technische en procedurele beveiligingsmaatregelen veelal onderhevig is aan (on)veilig gedrag van de medewerkers, met als voorbeelden het onzorgvuldig omspringen met Pincode, toegangspas, , USB-sticks en notebooks. Daarom vinden wij het van belang om in dit artikel informatiebeveiliging te beschouwen vanuit het perspectief veilig gedrag van medewerkers binnen een organisatie. Dit is dus een ruimere scope dan alleen het domein personeel binnen de ode. Omdat medewerkers actoren zijn binnen de vele processen en beheersmaatregelen uit de overige domeinen (bijvoorbeeld wijzigingsbeheer, toegangsbeveiliging en beschikbaarheidsbeheer) strekt de problematiek van onveilig gedrag zich ook uit over die domeinen. De centrale vraag voor dit artikel is daarom of er vanuit een gedragsinvalshoek een model kan worden uitgewerkt dat bijdraagt aan een betere beheersing van (informatie)risico s door onveilig gedrag van het personeel. Voor de beantwoording van deze vraag worden in dit artikel de volgende deelvragen onderzocht: a) Is volgens de literatuur gedrag van mensen in organisaties te beïnvloeden en door middel van welke variabelen/factoren is dit gedrag te beïnvloeden? b) Is op basis hiervan een model uit te werken gericht op de beheersing van risico s door onveilig gedrag van de medewerkers. De indeling van dit artikel volgt deze vraagstelling. Paragraaf 2 beantwoordt de vraag of veilig gedrag van medewerkers te beïnvloeden is en via welke variabelen. In paragraaf 3 wordt dit uitgewerkt tot een beheersingsmodel gericht op veilig gedrag van medewerkers. Om het model operationeel te maken wordt in paragraaf 4 een voorbeeld uitgewerkt waarin wordt ingegaan op doelstellingen, maatregelen, meting en bijsturing van risico s van onveilig gedrag. In paragraaf 5 sluiten wij dit artikel af met conclusies ten aanzien van de vraagstelling van dit artikel. Daarbij beschrijven wij in welke zin het uitgewerkte model voor security officers en IT-auditors een aanvulling zou kunnen vormen op de ode van Informatiebeveiliging. Daarbij worden tevens kanttekeningen geplaatst bij het beschreven model. Beïnvloedingsfactoren van (on)veilig gedrag In deze paragraaf staat de vraag centraal of veilig gedrag van medewerkers te beïnvloeden is en welke factoren/variabelen daarbij een rol zouden kunnen spelen. Voor de beantwoording van deze vraag hebben wij literatuur onderzocht op het gebied van organisatiecultuur, omdat collectief gedrag in organisaties daarmee wordt geassocieerd. Daarnaast is onderzocht of literatuur uit het vakgebied behavioral control inzicht verschaft in eventuele factoren die (on)veilig gedrag binnen organisaties zouden kunnen verklaren en wellicht beïnvloedbaar maakt. ultuur Allereerst gaan wij na of literatuur over organisatiecultuur duidelijke aanknopingspunten geeft voor het verklaren en beïnvloeden van (on)veilig gedrag binnen organisaties. Daarbij dient natuurlijk eerst vastgesteld te worden wat onder cultuur wordt verstaan en in hoeverre de gedragscomponent daarin wordt belicht. Hofstede (Hofstede,1980) definieert cultuur als de collectieve programmering van de geest die de ene groep mensen van een andere onderscheidt. Simons (Simons,1992) geeft een soortgelijke definitie, namelijk het systeem van door leden gedeelde zingeving, waardoor de ene organisatie zich van de ander onderscheidt. Beide definities zien cultuur niet als gedrag, maar als gedeelde normen en waarden onder mensen en hoe die zich manifesteren (onder andere in gedrag). Het tweede element uit de definitie betreft dat juist cultuur groepen mensen van elkaar onderscheidt. Schein (Schein, 1992) komt met de volgende definitie van cultuur: a pattern of shared basic assumptions that the group learned as it solved its problems of external adaptation and internal integration, that has worked well enough to be considered valid and, therefore, to be taught to new members as the correct way you perceive, think, and feel in relation to those problems. 9 de EDP-Auditor nummer

8 Geen enkele van bovenstaande definities stelt specifiek gedrag van de medewerker of groepen medewerkers centraal. ultuur wordt gezien als collectieve normering over dat wat gangbaar is in een organisatie, of juist niet. Een normering ook die volgens Schein aan verandering onderhevig is en kan worden aangeleerd (door nieuwe medewerkers). Ons literatuuronderzoek leert dat organisatiecultuur zeker van invloed is op het gedrag (en dus wellicht ook veilig/ onveilig gedrag) van medewerkers. Het verband tussen cultuur en gedrag resulteert echter niet in de beïnvloedingsfactoren voor gedrag waarnaar wij op zoek zijn. Omdat in de literatuur (Morgan, 1997) ook naar voren komt dat beïnvloeding van de organisatiecultuur complex is, lijkt het niet voor de hand liggend dat beïnvloeding van gedrag van medewerkers het meest direct en meetbaar te realiseren is via een cultuurverandering. ultuur biedt daarom onvoldoende aanknopingspunten voor een uit te werken beheersingsmodel. Gedrag Studie van gedragsliteratuur levert op dat motivatie een belangrijke factor is die het gedrag van mensen bepaalt en die te beïnvloeden is. Motivatie wordt door Thierry (Thierry, 1989) omschreven als het proces dat zowel datgene betreft waarop een mens zich oriënteert als het specifieke handelen (gedrag) om dat doel te bereiken. In de motivatietheorieën zijn 2 stromingen te onderkennen: de zogenoemde need theorieën en goal theorieën (Vroom, 1964). De need theorieën nemen als uitgangspunt dat als op een bepaald gebied of in een bepaalde behoefte bij de medewerker een tekort ontstaat, deze persoon gemotiveerd raakt om die behoefte te bevredigen. De goal theorieën redeneren vanuit het feit dat een medewerker bepaalde doelen of opbrengsten aantrekkelijk vindt, waardoor hij zich inzet om deze te bereiken. Motivatie zou een beïnvloedbare factor kunnen zijn gericht op het bewerkstelligen van veilig gedrag bij medewerkers. Dit veronderstelt echter dat medewerkers een intrinsieke behoefte hebben aan informatiebeveiliging, zodat deze behoefte of een tekort aan informatiebeveiliging hen motiveert tot veilig gedrag. Deze veronderstelling wordt in de praktijk niet bevestigd. Informatiebeveiliging wordt eerder als lastig dan als aantrekkelijk ervaren. Anders was er geen probleem geweest. Motivatietheorie lijkt derhalve onvoldoende aanknopingspunten te geven voor het beïnvloeden van veilig gedrag van medewerkers. De (negatieve) attitude die velen hebben ten opzichte van informatiebeveiliging zal onderdeel moeten uitmaken van het gedragsmodel. Een in de jaren 70 en 80 ontwikkeld model van Fishbein en Ajzen (Fishbein, 1975) beschouwt attitude als één van de factoren die van invloed kan zijn op het gedrag van mensen. Hun model staat bekend onder de naam Theory of Reasoned Action (TRA) en heeft zich geëvolueerd tot de Theory of Planned Behavior (TPB). Zij voegen een schakel toe tussen attitude en gedrag. Leidt een veranderende attitude niet direct tot ander gedrag, dan zeker wel tot een andere intentie bij de persoon dat gedrag te willen vertonen. Attitude omschrijven zij als het gevoel van iemand, negatief of positief, bij het verrichten van een bepaald gedrag (Fishbein, 1975). Plausibel is, dat iemand die een negatieve attitude ten opzichte van beveiliging erop nahoudt, zeker niet bereid is een inspanning te leveren voor veilig gedrag. Plausibel is ook, dat als iemand eerder last ondervindt van bepaalde veiligheidsmaatregelen, hij of zij een negatieve attitude vormt. Intenties vormen in het model van Fishbein en Ajzen de belangrijkste determinant voor gedrag, daarmee de gedachte gedrag Figuur 2. Gedragsmodel voor informatiebeveiliging 10 de EDP-Auditor nummer

9 vormgevend dat de mens bewust bepaald gedrag vertoont. Intenties van mensen zijn volgens Fishbein en Ajzen wel degelijk te beïnvloeden. Intentie wordt volgens hen niet alleen gevormd door de attitude, maar tevens door subjectieve groepsnorm 1, en de behoefte van een individu zich hieraan te conformeren. In een later stadium is door Ajzen nog perceived behavior control of self efficacy toegevoegd. Het denkbeeld bij het individu over hoe moeilijk het is bepaald gedrag succesvol te vertonen, beïnvloedt ook zijn of haar gedrag. Gedragsmodel voor informatiebeveiliging Het model van Fishbein & Ajzen is toepasbaar voor informatiebeveiliging. De gedachte dat intenties van medewerkers, en daarmee gedrag, te beïnvloeden is, biedt goede aanknopingspunten voor het uit te werken beïnvloedings - model. In het toepasbaar krijgen van het model zijn die factoren van belang waarop invloed kan worden uitgeoefend, en die meetbaar zijn. Attituden en subjectieve normen zijn aan verandering onderhevig en te meten, bijvoorbeeld door de toepassing van de Likert-schaal. Vanuit het vakgebied informatiebeveiliging spelen nog enkele specifieke zaken die intenties bij medewerkers beïnvloeden. Bewustwording is bijvoorbeeld een belangrijk thema, gezien de dominante betekenis die aan awarenesscampagnes wordt toegekend. Als algemeen onderkende problemen worden een gebrek aan kennis over informatiebeveiliging onder medewerkers of een verkeerde risicoperceptie over de eventuele gevolgen van bepaald gedrag bij medewerkers genoemd (Wouters, 2002). Het model Fishbein en Ajzen gekoppeld aan de specifieke aandachtspunten voor bewustwording over informatiebeveiliging levert een model op voor gedragsbeïnvloeding, zoals weergegeven in figuur 2. In dit model zijn de mogelijkheden voor het beïnvloeden van de intentie van een individu of groepen individuen: de kennis van een individu op het gebied van informatiebeveiliging; wat zijn kenmerkende bedrijfsrisico s, hoe is de classificatie van de informatie waarmee men werkt, wat is het huidige beleid, welke maatregelen zijn van kracht; kennis is toetsbaar en bijvoorbeeld te beïnvloeden door middel van trainingen en bij het aannemen van personeel; de risicoperceptie die een individu ervaart ten aanzien van informatieverlies of -schade; risicoperceptie is te meten en is bijvoorbeeld te beïnvloeden door middel het verschaffen van risico-informatie; de attitude van een individu waarmee hij of zij beveiligingszaken waardeert of niet waardeert; attitude is te meten en bijvoorbeeld te beïnvloeden door positieve ervaringen met beveiliging; de subjectieve norm van een individu die ontstaat door hoe hij of zij denkt dat de directe omgeving bepaald gedrag waardeert of niet waardeert; deze subjectieve norm is te meten en bijvoorbeeld te beïnvloeden door duidelijkheid te creëren over wat wel en niet toelaatbaar wordt geacht. Of de medewerker het gedrag ook daadwerkelijk vertoont, of intenties worden omgezet naar gedrag, kan afhangen van andere stimuli, vooral door sancties en beloningen. Verder worden gewoonten of habits genoemd als een belangrijke determinant voor het feitelijke gedrag. Gewoonten zijn vormen van gedrag die onbewust plaatsvinden en waarbij de medewerker geen verdere afweging maakt over waarom hij of zij dit doet. De deur op slot draaien thuis, belangrijke papieren direct opbergen, zijn vormen van gewoonten. Het beïnvloeden van gewoontes volgens Maslow (Maslow, 1954) kan plaatsvinden door mensen eerst bewust te maken van onveilig gewoontegedrag, hen er vervolgens toe aan te zetten dat zij bewust veilig gedrag gaan vertonen, die vervolgens onderdeel gaat uitmaken van hun (onbewust) veilig gewoontegedrag. In deze paragraaf hebben wij aan de literatuurstudie over gedrag een model ontleend dat bruikbaar wordt geacht voor het beïnvloeden van (on)veilig gedrag in organisaties. Besturingsmodel voor veilig gedrag Nu we enig inzicht hebben verkregen in de beïnvloedbaarheid van veilig gedrag binnen een organisatie, is nu de vraag of een structurele en doelgerichte beïnvloeding van veilig gedrag mogelijk is. Daarbij hebben wij niet de illusie dat alle veilig gedrag maakbaar is, maar een zekere mate van management-control over de risico s door onveilig gedrag binnen de organisatie is wenselijk en interessant genoeg om uit te werken. Daartoe doen wij in deze paragraaf een aanzet, op basis van de eerder uitgewerkte beïnvloedingsfactoren. Management control vereist dat sprake is van een continu cyclisch proces van doelen bepalen, maatregelen implementeren, effecten meten en het bijstellen van doelen en maatregelen. Een eenmalige of periodieke losstaande awareness campagne of andersoortige gedragsinterventie leidt daarom niet tot management control. Onderstaand werken wij ons model uit, waarin de onderwerpen doelbepaling, implementatie, meting en bijsturing aan de orde komen. Doelbepaling Doelbepaling is noodzakelijk om budgetten en instrumenten ter beïnvloeding van veilig gedrag effectief en efficiënt in te zetten. Daarom dienen we te bepalen welk veilig gedrag van medewerkers we nastreven (of onveilig gedrag we willen voorkomen). Aan welke vormen van (on)veilig gedrag we in een organisatie prioriteit wensen te geven kan niet worden los gezien van de karakteristieken van de organisatie en het 11 de EDP-Auditor nummer

10 beleid voor informatiebeveiliging ( wat vinden we belangrijk ). De ode geeft vele handreikingen over wat onder veilig gedrag kan worden verstaan, zoals clear desk, het classificeren van informatie, het veiligstellen van informatiemiddelen, het gebruik van screensavers, bewustzijn over wat waar tegen wie wordt gezegd, tijdig je gegevens veiligstellen door backups et cetera. Deze zijn echter veeleer gekoppeld aan maatregelen dan aan gedragsdoelen. Vanuit het beleid van informatiebeveiliging en analyse van beveiligingsrisico s bepalen wij gedragsdoelen: welk veilig gedrag willen we realiseren en welk onveilig gedrag willen we voorkomen. Niet van alle individuen in de organisatie wordt hetzelfde gedrag verwacht. Leidinggevenden hebben bijvoorbeeld een voorbeeldfunctie en een aansturende rol. Zij sanctioneren en belonen bepaald gedrag. Een buitendienstmedewerker werkt met andere informatie en gebruikt andere middelen dan de persoon op de crediteurenadministratie. De IT-ontwikkelaars binnen het bedrijf dienen veilige programma s en web-sites te bouwen. Wat de organisatie van verschillende medewerkers verwacht in termen van veilig gedrag, is verschillend. Door doelgroepen te onderscheiden in het stellen van gedragsdoelen kan veilig gedrag expliciet gemaakt worden. Op deze manier worden de doelen gerelateerd aan de werkbeleving van specifieke groepen medewerkers en hun specifieke gebruik van informatie of informatiemiddel. Gedragsdoelen dienen zo gekozen te worden, dat het past binnen de mogelijkheden van de medewerker zich er aan te kunnen houden, hetgeen Fishbein en Ajzen aanduiden als Perceived Behavioral ontrol. Los van het bovenstaande blijft overeind dat bepaalde vormen van veilig gedrag organisatiebreed gelden (denk bijvoorbeeld aan de toegangsregeling tot panden, het gebruik van USB-geheugen, et cetera). In figuur 3 vindt u een schematische weergave van het bepalen van gedragsdoelen voor veilig gedrag. Daarbij worden deze gedragsdoelen tevens gekoppeld aan de eerder beschreven beïnvloedingsfactoren. Hierdoor kan worden nagegaan of verbeteringsimpulsen op kennis, attitude et cetera een zinvolle bijdrage leveren aan het gewenste veilig gedrag. Meting en bijsturing Meten vormt een logisch beginpunt voor het treffen van maatregelen. Het is zinvol om na het formuleren van een gedragsdoel eerst de huidige situatie vast te stellen. Het meetinstrumentarium richt zich op de intentievaria belen onder de medewerkers of groepen medewerkers. Enquêtes of ander vormen van metingen maken duidelijk waaraan het schort. Het geeft aan wat het probleem is door vast te stellen of het onkunde is, gebrek aan kennis, een attitude probleem of het ontbreken van een groepsnorm? Een combinatie van bovenstaande intentievariabelen is ook mogelijk. De diagnose leidt tot een probleemdefinitie als startpunt voor een interventieprogramma (Gerichhauzen, 1994). Hetzelfde meetinstrumentarium wordt na het uitvoeren van het pakket van interventies ingezet om de verandering te meten. Het meet de effecten van de ondernomen acties. Op basis van dit vervolgonderzoek wordt de probleemstelling bijgesteld en dit vormt het startpunt van een nieuw pakket aan interventies met de leerpunten van en de aanpassingen op de eerste cyclus. Implementatie van maatregelen Implementatie van maatregelen gericht op gedragsverandering vindt plaats in de vorm van interventieprogramma s (Gerichhauzen, 1994), zijnde een pakket van maatregelen die in samenhang bijdragen tot de beoogde gedragsverandering. Om de maatregelen binnen een interventie-programma in samenhang te brengen (zodat ze elkaar over en weer versterken) gebruiken wij het 7S-en model van McKinsey (Peters, 1982), voor deze specifieke toepassing enigszins aangepast, zoals weergegeven in figuur 4. entraal in dit zogenoemde bollen -model staat het gewenste gedragsdoel, het doel van gestructureerd interveniëren. Figuur 3. Van Beleid naar veilig gedrag Het model plaatst de genoemde maatregelen of best practices uit de ode in een ander daglicht. De maatregelen uit de ode kunnen worden opgevat als interventies. Door deze te relateren aan gedragsdoelen, ontstaat op de eerste plaats een 12 de EDP-Auditor nummer

11 goede afweging of de manier van interveniëren wel past binnen de diagnose en opgestelde probleemdefinitie, en of de maatregelen leiden tot het gewenste effect. Vanuit de vijf bollen zijn allerlei vormen van interventies op te starten. Een aantal trefwoorden voor het doen van interventies worden genoemd in de kaders van het bollen -model. De eerste bol is Structuur. Deze bol definieert alle elementen van de formele organisatie. Voorbeelden van interventies voor informatiebeveiliging op dit gebied betreffen een gedragscode, functiescheiding, beleid, standaarden, instructies et cetera. Succesvolle interventies op dit gebied zijn vooral van invloed op de intentievariabelen kennis en subjectieve norm. Instructies en standaarden zijn vormen van kennis waarlangs (informatie)processen plaatsvinden. Ook wordt daarmee door de organisatie aan de medewerker een norm opgelegd: zo moet het. Leiderschap in het bollenmodel richt zich op de formele leiding van de organisatie, of het management. Vooral direct leidinggevenden zullen commitment ten opzichte van het veranderdoel moeten tonen, door bijvoorbeeld voorbeeldgedrag, overdragen van kennis, belonen, sanctioneren en toezicht. Dergelijke handelingen worden in het model opgevat als interventies. oaching en ondersteuning door de Security Officer is daarbij van belang. Hier geldt dat succesvolle interventies op dit gebied vooral van invloed zijn op de intentievariabele subjectieve norm. De derde bol is ultuur. Na de eerdere verhandeling over cultuur is het een terechte vraag hoe dit begrip als een middel terugkomt. De bol ultuur geldt hier echter als een containerbegrip aan interventies met vooral een visuele uitwerking. Soeters in (Gerrichhauzen, 1994) kent cultuur een aantal dimensies toe, waaronder vorm. Bij de verdere invulling van deze dimensies sluit hij aan bij de indeling van Hofstede in symbolen, helden, rituelen en waarden. Waarden zijn niet als beïnvloedingsinstrument in te zetten, maar visualisatie in de vorm van symbolen, helden en rituelen wel. Zo kunnen posters, kubussen of andere speeltjes met boodschappen op het gebied van informatiebeveiliging, worden opgevat als symbolen, het benoemen van ambassadeurs onder medewerkers als helden en een maandelijkse terugkerende stiptheidsactie voor clear desk als een ritueel. Door te werken met symbolen, helden en rituelen als denkkader kan met de nodige creativiteit interventies worden verzonnen die inzetbaar zijn als onderdeel van een veranderingstraject. De intentievariabelen die hiermee worden beïnvloed, betreffen vooral de subjectieve norm in de organisatie en de attitude van de medewerker. De vierde bol is de bol Mensen. Het zijn de medewerkers die uiteindelijk invulling geven aan het gedragsdoel. Denkend in de intentievariabelen betreffen het hier vooral interventies op het gebied van kennis en risico perceptie. Deze bol is bedoeld de medewerkers een meer diepgaand begrip over de noodzaak van het gestelde gedragsdoel te geven, eventueel uitgebreid met verdergaande instructies. Trainingen in de vorm van bijvoorbeeld workshops zijn vooral bedoeld samen met de medewerker een goed beeld van de risico s te creëren. Afhankelijk van het te stellen gedragsdoel zijn interventies meer of minder intensief. Figuur 4: bollenmodel 13 de EDP-Auditor nummer

12 De laatste bol is de bol Middelen. De bol neemt een bijzondere plaats in. Onder deze bol worden alle technologische of andere middelen bedoeld, die ingezet worden om een bepaald gedragsdoel te bereiken. De bol is bijzonder, omdat door goed gekozen interventies gedrag direct afgedwongen wordt. Een smartcard voor het inloggen op het netwerk betekent dat naast het wachtwoord ook een toegangskaart nodig is. Daarmee is verondersteld dat een hoger niveau van veiligheid wordt bereikt doordat het delen van elkaars wachtwoord aan banden wordt gelegd. Omdat natuurlijk altijd nog de toegangskaart met elkaar gedeeld kan worden, is het van belang om deze beveiligingsmaatregelen te blijven relateren aan (onveilig) gedrag. Verzekeringsbedrijf Het beschreven model wordt als voorbeeld uitgewerkt voor een verzekeringsmaatschappij. Er worden hoge eisen gesteld aan de interne bedrijfsvoering van verzekeringsbedrijven. Regelgeving is aan ingrijpende veranderingen onderhevig met belangrijke gevolgen voor de interne administratie van de verschillende verzekeringsvormen, zoals medische zorg, pensioen en arbeidsongeschiktheid. Tegelijkertijd stappen klanten makkelijker over naar de concurrent en is er sprake van reorganisaties en fusies. Een significant deel van de activiteiten van een verzekeringsmaatschappij is mensenwerk (bijvoorbeeld het te woord staan van klanten, beoordelen van dossiers) waarbij gebruik gemaakt wordt van gevoelige informatie. Het mag duidelijk zijn dat het zorgvuldig en veilig omgaan met klantgegevens cruciaal is voor een verzekeringsmaatschappij. Vandaar dat in deze branche intensief gewerkt wordt aan informatiebeveiliging, vaak conform de ode voor Informatiebeveiliging. De vraag is of middelen daarmee effectief en doelmatig worden ingezet. Dragen de ingerichte maatregelen daadwerkelijk ertoe bij dat veiliger wordt gewerkt? Wordt het gedrag van medewerkers echt beïnvloed? Kortom, zijn interventies effectief? Binnen het verzekeringsbedrijf onderkennen we de volgende doelgroepen: Het management De verzekeringsmedewerkers De IT-medewerkers Op basis van de risicoanalyse conform de ode voor Informatiebeveiliging kwam naar voren dat een tweetal beveiligingsrisico s prominent aanwezig zijn: het gebruik van voor het versturen van vertrouwelijke informatie; het gebruik van mobiele gegevensdragers, in het bijzonder USB-sticks. Het versturen van De zorg over het gebruik van richt zich op de doelgroepen: het management (informatie over de bedrijfsresultaten), de verzekeringsmedewerkers (informatie over klanten en schades) en de IT-medewerkers (informatie-uitwisseling met IT-leveranciers over projecten en systemen). Analyse van het verkeer heeft geleerd dat medewerkers niet altijd gebruik maken van de procedure om vertrouwelijke informatie voldoende beveiligd te versturen. Het gedrag staat in contrast met het gestelde beleid. Op basis hiervan wordt het volgende gedragsdoel vastgesteld: Management, verzekeringsmedewerkers en IT-medewerkers versturen geen vertrouwelijke informatie per naar derden zonder de inzet van aanvullende beveiligingsmaatregelen. Nader onderzoek is nodig voor het opzetten en inrichten van een interventieprogramma dat deze situatie bewerkstelligt. Met een enquête wordt het volgende over de intentievariabelen vastgesteld: Intentievariabele Kennis Risico perceptie Attitude Subjectieve norm Bevinding Doelgroepen hebben onvoldoende kennis over de spelregels in het gebruik van . Dit komt omdat de regels onvoldoende zijn uitgewerkt en niet gecommuniceerd. Ook is het voor betrokkenen niet duidelijk wanneer informatie vertrouwelijk is. Doelgroepen ervaren niet als onveilig. Het feit dat berichten onderschept kunnen worden of niet juist bezorgd, zien zij als een gering gevaar dat sporadisch optreedt. Doelgroepen staan niet negatief tegenover nader te stellen regels over het gebruik van verkeer. Zij zien wel de risico s als mailverkeer in de verkeerde handen komt. Zij hebben nooit stilgestaan bij het gebruiken van en over wat wel kan of niet kan. Doelgroepen geven aan elkaars gedrag nooit ter discussie te stellen, nooit elkaar hierop aan te spreken. Er is geen sprake van een groepsnorm op het gebied van verkeer. Uit onderzoek naar het gebruik van in termen van de intentievariabelen blijkt dat het probleem zich vooral manifesteert door een gebrek aan kennis, een onjuist risico perceptie en de subjectieve norm. Een op te stellen interventieaanpak richt zich op deze elementen. De interventieaanpak is een sociotechnisch verandertraject met het zwaartepunt van interventies in de bollen Leiderschap, Mensen en ultuur. De volgende interventies worden verricht: 14 de EDP-Auditor nummer

13 Bol Structuur Leiderschap Interventies lassificatiemodel dat aangeeft welke informatie vertrouwelijk is. verkeer opnemen in de gedragscode, met daarin de sancties bij foutief gebruik. Actief uitdragen van de norm door de directie van de onderneming door communicatie hierover en voorbeeldgedrag. Periodieke terugkoppeling aan directie over stand van zaken en vastgestelde overtredingen (incidenten). Het beveiligingsbeleid geeft in algemene termen richtlijnen over het gebruik van mobiele gegevensdragers. Dit is vertaald in het voorschrift dat USB-sticks niet toegestaan zijn voor zakelijk gebruik. Onderzoek stelt vast dat het gebruik van USB-sticks veelvuldig voorkomt, in de vorm van privé aangeschafte USBmemorysticks of in de vorm van mp3-spelers of ipods. De USB-stick is zelfs opgenomen in de interne productencatalogus. Kenmerkend is dat deze USB-sticks niet beveiligd zijn met encryptie of biometrie. De USB-poorten op de werkplekken zijn niet afgeschermd voor het gebruik van extern geheugen op de USB-sticks. Op basis hiervan wordt het volgende gedragsdoel vastgesteld: Mensen ultuur Techniek Brochure met uitleg over hoe binnen de organisatie wordt gebruikt, de risico s van verkeerd gebruik, de gedragscode en verdere uitleg van het product. Screensavers met een compacte boodschap over hoe te gebruiken. Terugkerende boodschap aan doelgroepen in het personeelsblad. Melding in de headers van s of elektronische communicatie indien het vertrouwelijke informatie betreft en niet naar buiten mag. wordt altijd voorzien van classificatie voordat het kan worden verstuurd. Techniek voorkomt dat vertrouwelijke informatie naar buiten gaat. Monitoring van mailverkeer op juiste toepassing van het classificatiemodel door gebruikers (door scan op steekwoorden). Management, Verzekeringsmedewerkers en IT-medewerkers gebruiken geen USB-sticks voor zakelijke doeleinden. Met een enquête wordt het volgende over de intentievariabelen vastgesteld: Intentie variabele Kennis Risico perceptie Bevinding Doelgroepen weten dat USB-sticks die ze gebruiken onveilig zijn in geval van verlies of diefstal. Het is voor betrokkenen niet duidelijk wanneer informatie vertrouwelijk is. Doelgroepen weten uit de krant dat het verlies van een USB-stick negatieve publiciteit heeft. Dit beïnvloedt hun gedrag voor enkele dagen, echter ze vervallen daarna weer terug naar het oude gedrag. Zij achten de kans dat zij zélf een USB-stick verliezen lager in dan de kans dat een collega deze verliest. De techniek is hier niet leidend, maar eerder ter ondersteuning. Het doel is vooral een subjectieve norm te ontwikkelen onder gebruikers, zodat in het gebruik van rekening wordt gehouden met de vertrouwelijkheid van het verstuurde. De techniek voorkomt dat toch vertrouwelijke informatie via naar buiten gaat en helpt in het verzamelen van informatie hierover. Na een jaar vindt toetsing plaats van de interventieaanpak door de enquête te herhalen, worden de resultaten beoordeeld, en wordt besloten over een vervolg. Het gebruik van USB-sticks De zorg over het gebruik van USB-sticks richt zich op medewerkers die de USB-stick mee naar huis nemen om daar aan documenten te werken. Dit komt voor bij het management (concept documenten over de interne organisatie en bedrijfsresultaten), de verzekeringsmedewerkers (bijvoorbeeld het verslag van een schadeopname) en ITmedewerkers (systeembeschrijvingen, testresultaten, projectverslagen etc). Attitude Subjectieve norm Doelgroepen vinden dat beveiliging nodig maar hinderlijk is. Het verbieden van USBsticks en controle op het gebruik ervan wordt als betuttelend ervaren. Doelgroepen spreken elkaar niet aan op het gebruik van onveilige USB-sticks, ook omdat het management gebruik maakt van de USBsticks en ze in de inkoopcatalogus zijn opgenomen. De norm USB-sticks mogen niet is niet zo zwart-wit. Geconstateerd mag worden dat USB-sticks niet zijn weg te denken in een innovatieve organisatie maar dat het gebruik ervan niet onder controle is. Verbieden past niet bij de cultuur en wordt teniet gedaan als blijkt dat ook leidinggevenden (en zelfs beveiligingsfunctionarissen) de USB-sticks gebruiken. 15 de EDP-Auditor nummer

14 Zowel de attitude onder medewerkers als de subjectieve norm is anders dan het beleid en het gedragsdoel voorschrijft. Uit de analyse komt een ander beeld dan het geval in het gebruik van . Daar betrof het probleem vooral een gebrek aan voorlichting. In het geval van USB-sticks is sprake van een andere opvatting over veiligheid. De interventieaanpak is daarom anders. De kern van de aanpak richt zich niet op de opvattingen onder het personeel, maar op het voorkomen dat medewerkers gebruik maken van onbeveiligde USB-sticks. Het wordt als zinloos ervaren het gebruik volledig te verbieden en af te schermen. Het initiële gedragsdoel wordt bijgesteld: Management, Verzekeringsmedewerkers en IT-medewerkers gebruiken alleen met biometrie beveiligde USB-sticks. Door de inzet van middelen kan toch een veilige situatie worden gecreëerd, met het gebruik van de volgende interventies: Bol Structuur Leiderschap Mensen ultuur Techniek Interventies lassificatiemodel dat aangeeft welke informatie vertrouwelijk is. - Gebruik van mobiele gegevensdragers wordt opgenomen in de gedragscode, met daarin de sancties bij foutief gebruik. USB-sticks worden uitgedeeld door senior medewerkers op de afdelingen. Medewerkers worden getraind in het classificatiemodel. Elke medewerker krijgt een nieuwe beveiligde USB-sticks. De USB-stick wordt daarmee ook als een symbool van beveiliging ingezet, dat beveiliging leuk en innovatief kan zijn. Gekozen wordt voor een met biometrie uitgeruste USB-stick. Er komt slechts één type in omloop. Deze wordt opgenomen in de productencatalogus. Werkplekken worden uitgerust met een security patch dat alleen dit type USB-sticks toestaat. Na een periode van een jaar wordt opnieuw het gedragsdoel gemeten en eventueel het interventieprogramma op de uitkomsten van deze meting aangepast. onclusies In dit artikel is op basis van literatuuronderzoek vastgesteld via welke factoren (on)veilig gedrag van medewerkers binnen een organisatie te beïnvloeden is. Dit beïnvloedingsmodel is vervolgens uitgewerkt tot een model waarin op een doelgerichte, planmatige en gestructureerde wijze interventieprogramma s worden uitgevoerd gericht op vastgestelde gedragsdoelen, gevolgd door meting van resultaten en bijsturingacties. Daarmee wordt invulling gegeven aan een zekere mate van management control op risico s van (on)veilig gedrag in organisaties, zonder de illusie te willen wekken dat hiermee het risico van onveilig gedrag wordt gemitigeerd. Het beschreven model wordt een zinvolle aanvulling geacht op de ode van Informatiebeveiliging, doordat de beheersingsmaatregelen ( controls ) uit het domein Personeel maar ook uit andere domeinen van de ode worden geplaatst tegen het licht van gedragsdoelstellingen en risico s. Daarnaast worden maatregelen uit de ode ondergebracht in een pakket van maatregelen die elkaar wederzijds versterken en daarmee aan effectiviteit winnen. In tegenstelling tot de ode strekt het analyseren en sturen van veilig gedrag zich in dit model dus uit tot alle domeinen van de ode, dus ook de gedragscomponent binnen bijvoorbeeld wijzigings beheer, toegangsbeveiliging of beschikbaarheidbeheer. Daarmee wordt veilig gedrag van personeel minder een losstaand subsysteem (domein) maar meer een aspect van informatiebeveiliging dat in alle domeinen van belang is. Voor de security officer is het model bruikbaar om beperkte financiële middelen effectief en efficiënt te benutten. Voor de IT-auditor is het model een zinvolle aanvulling op de ode voor Informatiebeveiliging, omdat niet de aanwezigheid van controls maar de management control van gedragsrisico s en de effectiviteit van maatregelen centraal kan worden gesteld in de beoordeling. Naast deze voordelen zijn er echter ook kanttekeningen te plaatsen bij het beschreven model: het model is conceptueel afgeleid uit literatuuronderzoek en is nog slechts in beperkt toegepast in de praktijk. Het is daarom niet bedoeld als recept voor veilig gedrag, maar wel als denk- en toetsingsmodel om de juiste vragen te stellen en de juiste acties te treffen; Gedragsveranderingen zijn niet te realiseren met enkelvoudige en eenmalige interventies: de kracht zit in de herhaling. Daar waar traditionele beveiligingsprogramma s afgerond worden als beveiligingsmaatregelen zijn ingericht, richt dit model zich op een het inrichten van een jaarlijkse cyclus van meten, plannen, handelen, bijstellen en weer meten. In perceptie kan dit leiden tot langer durende programma s. Literatuurlijst (Fishbein,1975) M. Fishbein & I. Aizen - Belief, Attitude, Intention, and Behavior: An Introduction to Theory and Research, Addison-Wesley, 1975 (Gerrichhauzen,1994) J. Gerrichhauzen, A. Kamperman en F. Kluytmans - Interventies bij Organisatieverandering, de EDP-Auditor nummer

15 (Hofstede,1980) G. Hofstede - ulture s consequences, International differences in work-related values, 1980 (Maslow,1954) A.H. Maslow Motivation and Personality, 1954 (Morgan,1997) G. Morgan - Images of Organisation, Sage, 1986/1997 (Peters,1982) Peters and Waterman - In search for excellence, 1982 (Schein,1992) E.H. Schein Organizational ulture & Leadership, Jossey-Bass, 1992 (Simons,1992) S. Simons, Gedrag in organisaties, Prentice Hall, 1992 (Thierry, 1989) H. Thierry en A. Koopman-Iwema, Motivatie en satisfactie uit het handboek arbeids- en organisatie-psychologie, redactie P. Drenth, H. Thierry, P. Willems, h. De Wolff, 1989 (Vroom,1964) H. Vroom, Work and Motivation, Wiley, 1964 (Wouters,2002) E. Wouters - Alle zegen komt van boven, in Jaarboek Informatiebeveiliging 2001/2002; Eindnoot Dit artikel is gebaseerd op het afstudeer referaat van de heer Koers aan de EDP Audit opleiding van de Erasmus Universiteit te Rotterdam. Aan de thematiek en oplossingsrichting is mee-ontwikkeld vanuit het advies bureau Xion onsulting bv te Amstelveen, waar hij gedurende het schrijven van zijn referaat werkzaam was. Noot 1 Het begrip en de meetbaarheid van een subjectieve groepsnorm is uit te leggen aan de hand van hoe onze maatschappij omgaat met roken. Vroeger was roken op de werkplek heel normaal, keek hier niemand van op. Tegenwoordig is de subjectieve groepsnorm dat dit niet kan, roken op de werkplek. Het gebeurt ook niet meer. De overheid is o.a. door wetgeving zeer actief geweest in het veranderen van deze norm, met succes. 17 de EDP-Auditor nummer

16 Artikel Business Activity Monitoring; de centrale bron van real-time managementinformatie Gabriel avalheiro Dit artikel gaat in op het Gartner-model voor Business Activity Monitoring (BAM) dat een organisatie de mogelijkheid biedt om het real-time managementinformatieproces te versterken. Daarnaast komen de eigenschappen en voorbeeldtoepassingen van BAM oplossingen uitgebreid aan bod. Het artikel is gebaseerd op de afstudeerscriptie: Defining Business Activity Monitoring; Understanding a Real-Time Event-Driven Infrastructure (Faculteit Techniek, Bestuur en Management, TU Delft). ir. G (Gabriel) avalheiro is werkzaam bij Ernst & Young als junior EDP auditor. Voorheen heeft hij onderzoekstage gedaan bij het enter for Process Innovation (EPRIN) van Georgia State University in Atlanta, USA, met als onderwerp Business Activity Monitoring (BAM). Door ontwikkelingen zoals toenemende intensiteit van concurrentie, druk van aandeelhouders om hogere winstgevendheid en toename van complexiteit en dynamiek van interne processen, is het noodzakelijk voor organisaties om hun operationele kosten te minimaliseren. Aangezien afwijkingen zoals het plaatsen van last-minute -orders, de vertraging of annulering van een vlucht of de overschrijding van een service level agreement (SLA) vaak een doorslaggevende invloed hebben op de financiële performance van operationele processen, is het van groot belang om tot effectieve reactie op afwijking te komen. Proceseigenaren dienen derhalve in staat te worden gesteld om effectief te reageren op afwijkingen die potentiële bedreigingen en kansen vormen. Een effectieve reactie betekent vaak dat beslissingen sneller genomen dienen te worden. Ondanks de groeiende behoefte aan bruikbare en solide real-time management informatie, blijkt dat de beschikbare managementinformatie vaak niet voorziet in de behoeften van proceseigenaren. Dit komt omdat de meeste organisaties met ongeschikte informatievoorzieningen kampen die niet in staat zijn om real-time inzicht te geven in de performance van operationele processen. In feite zijn de meeste organisaties afhankelijk van informatiesystemen die onvoldoende inzicht in de huidige toestand van operationele processen geven. Steeds meer operationele processen worden ondersteund door transactiesystemen die effectief zijn in het uitvoeren van transacties op een snelle en betrouwbare manier, maar niet ontworpen zijn om managementrapportages te maken. Om de performance van bedrijfsprocessen te monitoren, maken veel organisaties gebruik van datawarehouses [INMO99]. Datawarehouses zijn gevuld op basis van ETL-processen (Extracting, Transforming & Loading) die te karakteriseren zijn als batch-verwerking van data met refresh-cycles die variëren van uren tot een aantal dagen [KIMB04]. Hierdoor is het verstrekken van de juiste data uit de datawarehouse een tijdrovend proces dat vaak niet in de behoeften van proceseigenaren voorziet. Om tot een effectieve reactie op afwijkingen te komen, dienen organisaties derhalve hun operationele processen real-time te monitoren. Met het oog op een grote markt voor software oplossingen die in deze informatiebehoefte van proceseigenaren voorzien, heeft een aantal softwareproducenten zich in de afgelopen jaren intensief beziggehouden met de vraag: hoe kunnen proceseigenaren effectiever reageren op afwijkingen in hun bedrijfsprocessen? Door nieuwe 18 de EDP-Auditor nummer

17 ontwikkelingen - zoals de toenemende mate van integratie en betere analytische tools - was het mogelijk voor diverse softwareontwikkelaars om analytische oplossingen te ontwikkelen die het real-time managementinformatieproces versterken. Door deze ontwikkelingen te observeren, kwam Gartner met de term Business Activity Monitoring op de proppen [AVA05]. BAM kan worden getypeerd als een real-time systematisch en gestructureerd proces van informatieverwerving en -verwerking. BAM wordt omschreven door de Gartner Group als: systemen die real-time toegang geven tot kritische prestatie-indicatoren om de snelheid en effectiviteit van operationele processen te verhogen [MA02]. Uitgangspunt is overigens dat BAM-oplossingen gegevens verzamelen uit diverse bronsystemen in een separate omgeving, waarmee vervolgens real-time alerts gegenereerd kunnen worden. Op deze manier hebben BAM-oplossingen geen invloed op de operationele gegevensverwerking. BAMoplossingen zijn derhalve systemen die ervoor kunnen zorgen dat proceseigenaren tijdig geïnformeerd worden over de toestand van hun bedrijfsprocessen zodat potentiële bedreigingen en kansen vroegtijdig gesignaleerd kunnen worden. In tegenstelling tot datawarehouses gaat het niet om oude en gedetailleerde managementinformatie, maar om waarschuwingen over geconstateerde afwijkingen die proceseigenaren ondersteunen bij het ondernemen van corrigerende vervolgacties. Hierdoor, als we een analogie trekken naar het menselijke lichaam, vormen BAM-oplossingen het zenuwstelsel van organisaties. Het artikel heeft als doel om inzicht te verschaffen in de invloed van de implementatie van BAM-oplossingen op het auditwerk. In dit artikel zal ingegaan worden op de eigenschappen van het Gartner-model voor BAM. Vervolgens komen voorbeeldtoepassingen en het implementatieproces van BAM-oplossingen uitgebreid aan bod. BAM model Om BAM-oplossingen weer te geven, heeft Gartner een conceptueel model ontwikkeld voor BAM in 2002, dat als denkkader kan dienen. Dit model bestaat uit drie lagen die als een BAM oplossing te karakteriseren zijn: Event Absorption, Event Processing and Filtering en Event Delivery and Display [GASS04]. In figuur 1 wordt het Gartner BAM-model weergegeven. Event Absorption In de laatste jaren hebben zich ingrijpende veranderingen voorgedaan in de informatievoorziening van organisaties. In de meeste organisaties was er sprake van een veranderingsproces, waarbij vooral systeemintegratie een belangrijke rol speelt. Informatiesystemen zijn steeds vaker verbonden met andere informatiesystemen binnen en buiten de organisatie [SUER02]. Door de toenemende mate van systeemintegratie kunnen BAM-oplossingen gegevens accepteren uit diverse bronsystemen [GASS04]. Op deze manier accepteert de Figuur 1: Gartner BAM-model Event Absorption laag van de BAM-oplossing gegevens uit online transactieverwerkende systemen en e-business-applicaties en het internet, maar ook uit wireless sensoren, zoals GPS en RFID [AVA05]. Event Processing and Filtering Na het verkrijgen van real-time gegevens worden de volgende stappen doorlopen. Ten eerste, dienen de gegevens verzameld te worden in een aparte omgeving zodat de operationele gegevensverwerking niet wordt verstoord. Het gaat hier om het tijdelijk opslaan van de geïntegreerde gegevens in een off-line database. Doordat gegevens uit meerdere systemen samengevoegd dienen te worden, is het noodzakelijk om conversies uit te voeren om de gegevens in het benodigde formaat te krijgen voor analyse- en rapportage processen. Door de verschillende conversiestappen in een workflow vast te leggen is het mogelijk om gegevens continu te controleren. Vervolgens dienen events geanalyseerd te worden. Hier dienen voorgedefinieerde prestatie-indicatoren gefilterd te worden om te bepalen of het noodzakelijk is om een actie te ondernemen. Indien de prestatie-indicatoren bepaalde grenswaarden overschrijden, wordt automatisch een alert gegenereerd dat uiteindelijk in een off-line database terechtkomt. Om de filters te ontwerpen en testen, bevatten BAM-oplossingen ingebouwde ontwerptools [GASS04]. Heel vaak bevatten BAM-oplossingen ook een ingebouwde rapportagefunctie met volledige drill-down. Event Delivery and Display De Event Delivery and Display -laag kan gezien worden als de interface tussen de BAM-oplossing en de gebruiker of de ontvanger van BAM-alerts. Deze laag zorgt in de praktijk voor het grafisch afbeelden van de gedetecteerde afwijkingen zodat proceseigenaren op diverse manieren kunnen worden geïnformeerd over afwijkingen en de noodzaak van een vervolgactie. Datavisualisatie kan plaatsvinden via dashboards, waarin processen en activiteiten op een grafische wijze getoond worden, maar ook via SMS indien de proceseigenaar op verschillende locaties werkt. In figuur 2 wordt een voorbeeld van een dashboard weergegeven. 19 de EDP-Auditor nummer

18 Voorbeeldtoepassingen van BAM Figuur 2: onceptvoorbeeld van event display dashboard BAM-oplossingen dienen toegepast te worden om bedrijfsprocessen te monitoren, waarin systematische afwijkingen voorkomen die een negatieve impact hebben op de performance van bedrijfsprocessen [AVA06]. We kunnen dan diverse situaties onderscheiden in verschillende sectoren die een tijdige reactie van proceseigenaren vergt. Op deze plaats noemen wij een aantal voorbeeldtoepassingen, waarin BAM een duidelijk toegevoegde waarde oplevert. Van elk van deze voorbeelden wordt een korte beschrijving gegeven. Walkthrough BAM-implementatieproces BAM-implementatieprocessen beginnen bij het in kaart brengen van de performance-indicatoren die inzicht geven in de kwaliteit en voortgang van bedrijfsprocessen. Deze zijn van groot belang voor de uitbouw van een effectieve BAM-applicatie, want deze prestatie-indicatoren dienen in informatiebehoeften van de proceseigenaren te voorzien [GASS04]. Door na te gaan welke prestatie-indicatoren real-time gecontroleerd dienen te worden, is het mogelijk belangrijke afwijkingen te inventariseren [IBAR05]. Toepassing Weight & balance Beschrijving Door prestatie-indicatoren zoals het gewicht en positie van lading van vliegtuigen te monitoren, is het mogelijk om bij het laden en lossen significante wijzigingen in het zwaartepunt van vliegtuigen te detecteren en de piloten te waarschuwen. all management Het sturen van de helpdesk bij de afhandeling van calls. Herhaalde pogingen om een helpdesk te bellen die via een call center bereikbaar is, kunnen aangeven dat het om een belangrijke belangrijk issue gaat. Health surveillance and disease control In deze toepassing in de gezondheidszorg, dienen gegevens met betrekking tot patientopnames uit verschillende ziekenhuizen real-time te worden verzameld en geanalyseerd om de beginfase van epidemieën sneller te signaleren Inventory management Retailorganisaties (supermarkten) die terugkoppeling nodig hebben om beslissingen te ondersteunen ten aanzien van bevoorrading. Employee monitoring Het detecteren van niet-toegestane handelingen van werknemers op computers. Supply chain management Ondersteuning bij de handling van kort houdbare producten zoals bloemen en melkproducten. Freight refusal Waarschuwing over onbenutte ladingcapaciteit vóór het vertrekken van vrachtwagens, treinen en schepen binnen logistieke ketens. Enterprise performance prediction Met behulp van real-time inputs bij simulatiemodellen van bedrijfsprocessen kunnen voorspellingen gedaan worden om capaciteitsplanning te ondersteunen door inzicht te krijgen in verwachte bezettingsgraden. Service level management Het real-time monitoren van SLA s. ontinuous auditing Door een toenemend aantal vragen vanuit toezichthouders door boekhoudschandalen en terroristische activiteiten is het verstrekken van real-time informatie aan toezichthouders een nieuwe optie om transparantie in de bedrijfsvoering drastisch te verhogen (voorkomen van het witwassen van zwartgeld). Financiële transacties kunnen real-time gefilterd worden op basis van afwijkingslijsten om verdachte transacties te onderscheppen en te rapporteren. Tabel 1: Voorbeeldtoepassingen van BAM 20 de EDP-Auditor nummer

19 Zodra de prestatie-indicatoren en grenswaarde gedefinieerd zijn, kunnen de filters worden ingericht en getest. Aandachtspunt bij de implementatie is dat de filters dienen te worden getest om het risico van false-positive BAM-alerts te minimaliseren. Hiervoor dienen applicaties getest te worden. Dit gebeurt door applicaties te draaien met historische data uit bijvoorbeeld log files. Als laatste kan nog opgemerkt worden dat de ontwikkeling van filters binnen een BAM-oplossing voorzichtig dienen te worden gehanteerd. Indien er teveel filters worden aangemaakt en teveel BAM-alerts worden gegenereerd, kan een proceseigenaar een aantal belangrijke BAM-alerts negeren. Dit komt omdat mensen een beperkte capaciteit hebben om informatie te analyseren. Dit probleem wordt de cognitieve overload van de ontvanger van BAM-alerts genoemd [GOVE02]. Meer alerts betekent om die reden niet een betere reactie op afwijkingen. De hoeveelheid managementinformatie die proceseigenaren bereikt kan namelijk te groot zijn. Theory of BAM into a Working Reality. Gartner, [IBAR05] Ibarra, F., The Evolution of BAM. Business Integration Journal, [INMO04] Inmon, W.H., Imhoff,., en Sousa, R., orporate Information Factory. Wiley, New York, [KIMB04] Kimball, R., en aserta, J., The Data Warehouse ETL Toolkit; Practical Techniques for Extracting, leaning, onforming and Delivering Datas. Wiley, New York, [MA02] Mcoy, D., Business Activity Monitoring, alm before the Storm. Gartner, Atlanta, [MA04] Mcoy, D., The convergence of BPM and BAM. Gartner, Atlanta, [SUER02] Suerink, H., en J. van Praat, Inleiding EDP-auditing. Ten Hagen Stam, Den Haag, onclusies De ontwikkelingen in de omgeving van organisaties maken het noodzakelijk om steeds sneller te reageren op afwijkingen. Daarnaast zijn de organisaties sterk afhankelijk van transactieverwerkende systemen. Hierbij bestaat in diverse sectoren de behoefte aan geïntegreerde informatie en gaat de ontwikkeling van real-time geprogrammeerde controles een steeds prominentere rol spelen in organisaties. Dit komt doordat proceseigenaren in staat dienen te zijn om vroegtijdig en gefundeerd keuzes te maken in het aansturen of bijsturen van hun bedrijfsprocessen. De informatievoorziening van organisaties kan worden verbeterd door de toevoeging van BAM-oplossingen aan hun controleomgevingen. Het gaat daarbij om het proces van real-time definiëren, vergaren, analyseren en communiceren van managementinformatie. Hierdoor kunnen BAM-oplossingen een belangrijke bijdrage leveren aan de verbetering van de interne controle van geautomatiseerde gegevensverwerking door het real-time managementinformatieproces verder te versterken. Hiertoe dienen BAM-oplossingen beoordeeld te worden om de betrouwbaarheid van BAMalerts veilig te stellen. Met de komst van deze nieuwe vorm van real-time geprogrammeerde controles, krijgt het auditproces derhalve een steeds belangrijkere functie. Referenties [AVA05] avalheiro, G., Defining Business Activity Monitoring, Understanding a real-time event-driven infrastruture. TU Delft, [AVA06] avalheiro, G., Dahanayake, A., en Welke, R., ombining Business Activity Monitoring with the Data Warehouse for Event-ontext orrelation, Examining the Applicability of this BAM approach. IEIS, [GASS04] Gassman, B., How the Pieces in a BAM architecture work. Gartner, [GOVE02] Govekar, M., Mcoy, D., Dresner, H., en orreia, J., Turning the 21 de EDP-Auditor nummer

20 Interview Met e-architectuur op weg naar de overheidsdienstverlening van de toekomst hris Wauters en Thea Gerritse Architectuur is het toverwoord binnen de Elektronische Overheid stelt Michel Bouten, plaatsvervangend directeur en programmamanager van de ITU. Al een kleine tien jaar is hij zeer intensief betrokken bij het opzetten van de Elektronische Overheid in Nederland. Bouten heeft zelf een audit-achtergrond en volgens hem kan de auditor bij het creëren van de Elektronische Overheid niet vroeg genoeg in het proces worden betrokken. In dit interview geeft hij zijn visie op de ontwikkeling van de Elektronische Overheid en de rol die de auditor hierin kan spelen. De Elektronische Overheid moet ervoor zorgen dat burger en bedrijfsleven in control is van de overheidsdienstverlening vindt Bouten. Stichting ITU (zie kader) bouwt daarom mee aan de e-overheid met omvangrijke programma s als bijvoorbeeld architectuur Elektronische Overheid, modernisering Gemeentelijke Basis Administraties en DigiD. Elektronische Overheid is volgens Bouten geen doel op zich. Uiteindelijk gaat het om het verbeteren van de performance van de overheid in zijn geheel door gebruik te maken van IT. Architectuur speelt hierin een essentiële rol, want binnen de Elektronische Overheid hangt alles met elkaar samen. Met een goede architectuur kunnen de bouwstenen in de juiste samenhang worden gebracht. Daarbij, zegt hij, speelt ook informatie-uitwisseling binnen de overheid een zeer belangrijke rol. Goede informatie-uitwisseling is bijvoorbeeld dé uitdaging in de jeugdketen, de justitiële keten, in de zorg maar ook binnen het onderwijs. Volgens Bouten gaat het erom dat overheden dezelfde taal gaan spreken. Je moet in de eigen werkprocessen ook kunnen omgaan met de diensten van collega-overheden. Door een goede architectuur, semantiek en open standaarden met elkaar af te spreken zorgen we ervoor dat overheden efficiënter en effectiever kunnen werken. Burgerperspectief Burgers worden terecht steeds veeleisender. Om hierin tegemoet te komen krijgt iedere burger over enige tijd zijn eigen Persoonlijke Internet Pagina van de Overheid (PIP). Dit is dé portal voor de burger waar hij of zij interactie heeft met de overheid. Bedrijven hebben tegenwoordig al een vergelijkbare communicatievoorziening via de Overheids Transactie Poort (OTP) en het bedrijvenloket waarmee ze met de overheid informatie kunnen uitwisselen. Stichting ITU De stichting ITU werd op 11 april 2001 opgericht door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en de Vereniging voor Nederlandse Gemeenten. ITU is een instelling van en voor overheden. De verantwoordelijkheid voor het beheer van ITU ligt primair bij het ITU-bestuur, waarin alle overheidslagen zijn vertegenwoordigd. Het werkveld van ITU is de Elektronische Overheid die zorgt voor het verbeteren van zowel de werkprocessen bij overheden als de dienstverlening aan de maatschappij en de interactie met burgers. Voor meer informatie zie 22 de EDP-Auditor nummer

Om op een gestructureerde en marktconforme wijze de

Om op een gestructureerde en marktconforme wijze de Artikel Informatiebeveiliging een gedragsbenadering Marcel Koers en Arno Nuijten Organisaties worden geconfronteerd met de problematiek rond informatiebeveiliging. Managers en security officers zijn verantwoordelijk

Nadere informatie

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie Inleiding 1-3 Doel van de opdracht tot het verrichten van overeengekomen

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Compliance Charter. Pensioenfonds NIBC

Compliance Charter. Pensioenfonds NIBC Compliance Charter Pensioenfonds NIBC Vastgesteld in bestuursvergadering 9 december 2016 Inleiding Pensioenfonds NIBC voert de pensioenregeling van NIBC Bank N.V. uit. Het pensioenfonds is een stichting

Nadere informatie

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services Gemeente Veenendaal ICT-beveiligingsassessment Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude Datum rapport: 6 april 2018 Rapportnummer: AAS2018-254 Dit rapport heeft 13 pagina s Inhoudsopgave

Nadere informatie

C E N T R A L E B A N K V A N C U R A Ç A O E N S I N T M A A R T E N

C E N T R A L E B A N K V A N C U R A Ç A O E N S I N T M A A R T E N C E N T R A L E B A N K V A N C U R A Ç A O E N S I N T M A A R T E N Simon Bolivarplein 1 Willemstad Telefoon: (599 9) 434-5500 Fax: (599 9) 461-5004 Curaçao E-mail: info@centralbank.cw Website: http://www.centralbank.cw

Nadere informatie

Resultaten Onderzoek September 2014

Resultaten Onderzoek September 2014 Resultaten Onderzoek Initiatiefnemer: Kennispartners: September 2014 Resultaten van onderzoek naar veranderkunde in de logistiek Samenvatting Logistiek.nl heeft samen met BLMC en VAViA onderzoek gedaan

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

Lumina Life voor duurzame gezondheid en vitaliteit van mens en organisatie

Lumina Life voor duurzame gezondheid en vitaliteit van mens en organisatie Lumina Life voor duurzame gezondheid en vitaliteit van mens en organisatie Lumina Life is een uniek instrument dat medewerkers in de zakelijke markt helpt om duurzaam gezond en vitaal te kunnen blijven

Nadere informatie

Functieprofiel: Adviseur Functiecode: 0303

Functieprofiel: Adviseur Functiecode: 0303 Functieprofiel: Adviseur Functiecode: 0303 Doel (Mede)zorgdragen voor de vormgeving en door het geven van adviezen bijdragen aan de uitvoering van het beleid binnen de Hogeschool Utrecht kaders en de ter

Nadere informatie

6. Project management

6. Project management 6. Project management Studentenversie Inleiding 1. Het proces van project management 2. Risico management "Project management gaat over het stellen van duidelijke doelen en het managen van tijd, materiaal,

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

Grip op fiscale risico s

Grip op fiscale risico s Grip op fiscale risico s Wat is een Tax Control Framework? Een Tax Control Framework (TCF) is een instrument van interne beheersing, specifiek gericht op de fiscale functie binnen een organisatie. Een

Nadere informatie

Commitment without understanding is a liability

Commitment without understanding is a liability Commitment without understanding is a liability Accent Organisatie Advies Risicocultuur tastbaar maken Propositie van Accent Organisatie Advies Frank van Egeraat Januari 2017 Nederlandse Corporate Governance

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Informatie is overal: Heeft u er grip op?

Informatie is overal: Heeft u er grip op? Informatie is overal: Heeft u er grip op? Zowel implementatie als certificering Omdat onze auditors geregistreerd zijn bij de Nederlandse Orde van Register EDP-auditors (NOREA), kan Koenen en Co zowel

Nadere informatie

Risicomanagement en NARIS gemeente Amsterdam

Risicomanagement en NARIS gemeente Amsterdam Risicomanagement en NARIS gemeente Amsterdam Robert t Hart / Geert Haisma 26 september 2013 r.hart@risicomanagement.nl / haisma@risicomanagement.nl 1www.risicomanagement.nl Visie risicomanagement Gemeenten

Nadere informatie

2 volgens het boekje

2 volgens het boekje 10 balanced scorecard 2 volgens het boekje Hoeveel beleidsplannen leven alleen op de directieverdieping, of komen na voltooiing in een stoffige bureaula terecht? Hoeveel strategische verkenningen verzanden

Nadere informatie

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18 ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Inhoudsopgave. BLANCO SPACES ZUIDAS - 6TH FLOOR BARBARA STROZZILAAN HN AMSTERDAM T. +31 (0)

Inhoudsopgave. BLANCO SPACES ZUIDAS - 6TH FLOOR BARBARA STROZZILAAN HN AMSTERDAM T. +31 (0) Inhoudsopgave Inleiding... 2 1. Compliance Charter... 3 1.1. Definitie, missie en doel... 3 1.1.1. Definitie... 3 1.1.2. Missie en doel... 3 1.2. Reikwijdte... 3 1.2.1. Binnen scope... 3 1.2.2. Buiten

Nadere informatie

De nieuwe ISO norm 2015 Wat nu?!

De nieuwe ISO norm 2015 Wat nu?! De nieuwe ISO norm 2015 Wat nu?! Stichting QualityMasters Nieuwland Parc 157 3351 LJ Papendrecht 078-3030060 info@qualitymasters.com www.qualitymasters.com 02-2015 Inhoud Inleiding pagina 3 Van Oud naar

Nadere informatie

Interventies bij organisatieverandering Succesvol veranderen

Interventies bij organisatieverandering Succesvol veranderen Interventies bij organisatieverandering Succesvol veranderen Het succesvol doorvoeren van organisatieverandering vraagt nogal wat. De uitdaging is om de beoogde verandering werkbaar te maken en te borgen

Nadere informatie

Gemeente Alphen aan den Rijn

Gemeente Alphen aan den Rijn Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

NOREA Visie 2020. - Brigitte Beugelaar. 14 september 2015

NOREA Visie 2020. - Brigitte Beugelaar. 14 september 2015 NOREA Visie 2020 - Brigitte Beugelaar 14 september 2015 NOREA, de beroepsorganisatie van IT-auditors Opgericht in 1992 1635 registerleden 253 aspirant-leden, d.w.z. in opleiding 123 geassocieerde leden,

Nadere informatie

MVO-Control Panel. Instrumenten voor integraal MVO-management. Intern MVO-management. Verbetering van motivatie, performance en integriteit

MVO-Control Panel. Instrumenten voor integraal MVO-management. Intern MVO-management. Verbetering van motivatie, performance en integriteit MVO-Control Panel Instrumenten voor integraal MVO-management Intern MVO-management Verbetering van motivatie, performance en integriteit Inhoudsopgave Inleiding...3 1 Regels, codes en integrale verantwoordelijkheid...4

Nadere informatie

Informatiebeveiligingsbeleid extern

Informatiebeveiligingsbeleid extern ISO 27001:2013 Informatiebeveiligingsbeleid extern 25 oktober 2016 Status document: versie 1.0 Auteur: Frankie Lipsius CONCLUSION LEARNING CENTERS Postbus 85030 3508 AA Utrecht Nederland T +31 (0)30 744

Nadere informatie

Aangenaam kennis te delen Wij brengen de risico s voor u in kaart. www.zichtadviseurs.nl

Aangenaam kennis te delen Wij brengen de risico s voor u in kaart. www.zichtadviseurs.nl Aangenaam kennis te delen Wij brengen de risico s voor u in kaart www.zichtadviseurs.nl Het uitstippelen van een effectief risicoplan begint met elkaar leren kennen Ondernemen is risico lopen. Als ondernemer

Nadere informatie

Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR

Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR 26 SEPTEMBER 2018 INLEIDING Onderzoeksvraag: Zijn de persoonsgegevens en andere gevoelige informatie bij de gemeente

Nadere informatie

Lean management vaardigheden

Lean management vaardigheden Lean management vaardigheden Lean management : meer dan tools Je gaat met Lean aan de slag of je bent er al mee bezig. Je ziet dat Lean over een set prachtige tools beschikt en je beseft dat het ook een

Nadere informatie

Regelloos en toch in control?

Regelloos en toch in control? Workshop Regelloos en toch in control? Controllersbijeenkomst 1 februari 2017 1 februari 2017 1 Associatie Cultuur 2 Even voorstellen Sharona Glijnis Manager Internal Audit, Risk & Compliance Services

Nadere informatie

Inhoudsopgave. Bewust willen en kunnen 4. Performance Support 5. Informele organisatie 5. Waarom is het zo moeilijk? 6

Inhoudsopgave. Bewust willen en kunnen 4. Performance Support 5. Informele organisatie 5. Waarom is het zo moeilijk? 6 Inleiding De afgelopen vijftien jaar hebben we veel ervaring opgedaan met het doorvoeren van operationele efficiencyverbeteringen in combinatie met ITtrajecten. Vaak waren organisaties hiertoe gedwongen

Nadere informatie

Reglement Bestuur HOOFDSTUK 1 ALGEMEEN

Reglement Bestuur HOOFDSTUK 1 ALGEMEEN Reglement Bestuur HOOFDSTUK 1 ALGEMEEN Artikel 1 - begrippen Bestuur : bestuur van de RPO zoals bedoeld in artikel 2.60b van de Mediawet; Bestuurder : lid en tevens voorzitter van het Bestuur; Raad van

Nadere informatie

Nota Risicomanagement en weerstandsvermogen BghU 2018

Nota Risicomanagement en weerstandsvermogen BghU 2018 Nota Risicomanagement en weerstandsvermogen BghU 2018 *** Onbekende risico s zijn een bedreiging, bekende risico s een management issue *** Samenvatting en besluit Risicomanagement is een groeiproces waarbij

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Communicatieplan. Energie- & CO 2 beleid. Van Gelder Groep

Communicatieplan. Energie- & CO 2 beleid. Van Gelder Groep Van Gelder Groep B.V. Communicatieplan Energie- & CO 2 beleid Van Gelder Groep 1 2015, Van Gelder Groep B.V. Alle rechten voorbehouden. Geen enkel deel van dit document mag worden gereproduceerd in welke

Nadere informatie

TC- NLD - 1. medewerkers. maat. aanwezige. aardig onderstrepen illustreren normaal

TC- NLD - 1. medewerkers. maat. aanwezige. aardig onderstrepen illustreren normaal TC- NLD - 1 Het beveiligingsbewustzijn is het besef van het bestaan van beveiligingsmaatregelen. Zichzelf te realiseren wat dit betekent voor het gedrag, evenals het effect van het gedrag op het beperken

Nadere informatie

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC Toelichting NEN7510 Informatiebeveiliging in de zorg Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC Inhoud Toelichting informatiebeveiliging Aanpak van informatiebeveiliging

Nadere informatie

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM De tijd dat MVO was voorbehouden aan idealisten ligt achter ons. Inmiddels wordt erkend dat MVO geen hype is, maar van strategisch belang voor ieder

Nadere informatie

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4 Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen

Nadere informatie

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting xvii Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting Samenvatting IT uitbesteding doet er niet toe vanuit het perspectief aansluiting tussen bedrijfsvoering en IT Dit proefschrift is het

Nadere informatie

Stappenplan naar GDPR compliance

Stappenplan naar GDPR compliance Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation

Nadere informatie

Stichting Pensioenfonds Ecolab. Compliance Charter. Voorwoord

Stichting Pensioenfonds Ecolab. Compliance Charter. Voorwoord Stichting Pensioenfonds Ecolab Compliance Charter Voorwoord Het Compliance Charter beschrijft de definitie, doelstellingen, scope, en taken en verantwoordelijkheden van de betrokkenen in het kader van

Nadere informatie

spoorzoeken en wegwijzen

spoorzoeken en wegwijzen spoorzoeken en wegwijzen OVERZICHT OPLEIDINGEN OPBRENGSTGERICHT LEIDERSCHAP Opbrengstgericht leiderschap Opbrengstgericht werken en opbrengstgericht leiderschap zijn termen die de afgelopen jaren veelvuldig

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

1. FORMAT PLAN VAN AANPAK

1. FORMAT PLAN VAN AANPAK INHOUDSOPGAVE 1. FORMAT PLAN VAN AANPAK 1.1. Op weg naar een kwaliteitsmanagementsysteem 1.2. Besluit tot realisatie van een kwaliteitsmanagementsysteem (KMS) 1.3. Vaststellen van meerjarenbeleid en SMART

Nadere informatie

DATAKWALITEIT IN DE NEDERLANDSE VERZEKERINGSSECTOR

DATAKWALITEIT IN DE NEDERLANDSE VERZEKERINGSSECTOR IN DE NEDERLANDSE VERZEKERINGSSECTOR Deel 2 - door Rob van Gerven en Auke Jan Hulsker, September 2016 EEN PRAGMATISCHE OPLOSSING VOOR INLEIDING In deel 1 hebben we geschetst welke eisen er worden gesteld

Nadere informatie

Jade Beheer. Communicatieplan CO 2 Prestatieladder 3.C.1. 3.C.2 Invalshoek C: Transparantie Handboek CO2 Prestatieladder, versie 2.2 / 3.

Jade Beheer. Communicatieplan CO 2 Prestatieladder 3.C.1. 3.C.2 Invalshoek C: Transparantie Handboek CO2 Prestatieladder, versie 2.2 / 3. Jade Beheer Communicatieplan CO 2 Prestatieladder 3.C.1. 3.C.2 Invalshoek C: Transparantie Handboek CO2 Prestatieladder, versie 2.2 / 3.0 Document : Communicatieplan CO 2-prestatieladder Auteur : Jade

Nadere informatie

Hoe groot was de appetite voor risk appetite?

Hoe groot was de appetite voor risk appetite? Hoe groot was de appetite voor risk appetite? Hoe groot was de appetite voor risk appetite? In 2016 zijn de eerste bestuursverslagen gepubliceerd waarin ondernemingen de nieuwe RJ vereisten ten aanzien

Nadere informatie

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. Balanced Scorecard Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 DE

Nadere informatie

Certified ISO Risk Management Professional

Certified ISO Risk Management Professional Certified ISO 31000 Risk Management Professional informatie over de driedaagse training inclusief examen organisatie MdP Management, Consulting & Training website email mobiel KvK www.mdpmct.com info@mdpmct.com

Nadere informatie

Cultuurproef. Krijg inzicht in de cultuur van uw organisatie

Cultuurproef. Krijg inzicht in de cultuur van uw organisatie Cultuurproef Krijg inzicht in de cultuur van uw organisatie De cultuurproef Met de Cultuurproef kunt u de cultuur van uw organisatie in kaart brengen. Via een vragenlijst en een cultuurmodel onderzoekt

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Pagina 1/5 AGRESSIEBELEID

Pagina 1/5 AGRESSIEBELEID 1/5 AGRESSIEBELEID Inleiding Fysiek en verbaal geweld tegen medewerkers van MeerWonen is onacceptabel. Om het risico op agressie en geweld terug te dringen en de effecten ervan te beperken, is deze beleidsnotitie

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

VDZ Verzekeringen. Beloningsbeleid

VDZ Verzekeringen. Beloningsbeleid VDZ Verzekeringen Beloningsbeleid 2014 INHOUD 1. Inleiding... 3 Toezicht... 3 Inwerkingtreding... 3 2. Definities en begrippen... 3 De categorieën van medewerkers... 3 Beloning... 4 Vaste beloning... 4

Nadere informatie

WERELDS Diversiteits-trainingen

WERELDS Diversiteits-trainingen WERELDS Diversiteits-trainingen Diversiteitsmanagement Interculturele Communicatie Diversiteit voor politici Interculturele personele gespreksvoering Integreren in uw organisatie (voor allochtone medewerkers)

Nadere informatie

Lloyd s Register, LRQA België & Nederland Gent, 23 april 2014

Lloyd s Register, LRQA België & Nederland Gent, 23 april 2014 Lloyd s Register, LRQA België & Nederland Gent, 23 april 2014 Kris Winters Marcel de Bruijn Jürgen van Dueren den Hollander Maurits Dekker Improving performance, reducing risk Wie is Lloyd s Register,

Nadere informatie

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Informatiebeveiliging En terugblik op informatiebeveiliging 2016 Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen

Nadere informatie

Stappenplan naar GDPR compliance

Stappenplan naar GDPR compliance Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)

Nadere informatie

ISO 27001:2013 INFORMATIE VOOR KLANTEN

ISO 27001:2013 INFORMATIE VOOR KLANTEN ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en

Nadere informatie

Certified ISO Risk Management Professional

Certified ISO Risk Management Professional Certified ISO 31000 Risk Management Professional informatie over de driedaagse training inclusief examen organisatie MdP Management, Consulting & Training website email mobiel KvK www.mdpmct.com info@mdpmct.com

Nadere informatie

Richtlijn 1 Gebruik ICT-faciliteiten Zorggroep Synchroon

Richtlijn 1 Gebruik ICT-faciliteiten Zorggroep Synchroon Richtlijn 1 Gebruik ICT-faciliteiten Zorggroep Synchroon Inhoudsopgave 1. WAAROM DEZE RICHTLIJN... FOUT! BLADWIJZER NIET GEDEFINIEERD. 2. VOOR WIE... 2 3. INHOUD RICHTLIJN... 2 3.1 INLEIDING... 2 3.2 DOELGROEP...

Nadere informatie

Mogelijkheden zien waar niemand ze ziet. CPI Governance: pragmatische en transparante governance-oplossingen.

Mogelijkheden zien waar niemand ze ziet. CPI Governance: pragmatische en transparante governance-oplossingen. Mogelijkheden zien waar niemand ze ziet CPI Governance: pragmatische en transparante governance-oplossingen. Risicobeheersing begint aan de top CPI Governance CPI (Corporate, Public en Internal) Governance

Nadere informatie

REACTIE BRAINCOMPASS ONDERZOEKSRAPPORT AUTORITEIT PERSOONSGEGEVENS

REACTIE BRAINCOMPASS ONDERZOEKSRAPPORT AUTORITEIT PERSOONSGEGEVENS PRIVACY MEMO VAN: ONDERWERP: DIRECTIE BRAINCOMPASS (BC) REACTIE OP ONDERZOEKSRAPPORT AUTORITEIT PERSOONSGEGEVENS (AP); BEVINDINGEN VERWERKING BIJZONDERE PERSOONSGEGEVENS DATUM: 20 NOVEMBER 2017 Op 9 november

Nadere informatie

Rampen- en Crisisbestrijding: Wat en wie moeten we trainen

Rampen- en Crisisbestrijding: Wat en wie moeten we trainen Kenmerken van rampen- en crisisbestrijding Crisissen of rampen hebben een aantal gedeelde kenmerken die van grote invloed zijn op de wijze waarop ze bestreden worden en die tevens de voorbereiding erop

Nadere informatie

Beleid Informatiebeveiliging InfinitCare

Beleid Informatiebeveiliging InfinitCare Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Beschrijving van de generieke norm: ISO 27001:2013. Grafimedia en Creatieve Industrie. Versie: augustus 2016

Beschrijving van de generieke norm: ISO 27001:2013. Grafimedia en Creatieve Industrie. Versie: augustus 2016 Beschrijving van de generieke norm: ISO 27001:2013 Grafimedia en Creatieve Industrie Versie: augustus 2016 Uitgave van de branche (SCGM) INHOUDSOPGAVE INHOUDSOPGAVE... 1 INLEIDING... 4 1. ONDERWERP EN

Nadere informatie

Opzetten medewerker tevredenheid onderzoek

Opzetten medewerker tevredenheid onderzoek Opzetten medewerker tevredenheid onderzoek E: info@malvee.com T: +31 (0)76 7002012 Het opzetten en uitvoeren van een medewerker tevredenheid onderzoek is relatief eenvoudig zolang de te nemen stappen bekend

Nadere informatie

Stichting Bedrijfstakpensioenfonds voor de Houthandel;

Stichting Bedrijfstakpensioenfonds voor de Houthandel; Stichting Bedrijfstakpensioenfonds voor de Houthandel Reglement incidentenregeling Artikel 1 Pensioenfonds: Incident: Definities Stichting Bedrijfstakpensioenfonds voor de Houthandel; een gedraging, datalek

Nadere informatie

Beoordelingskader Dashboardmodule Betalingsachterstanden hypotheken

Beoordelingskader Dashboardmodule Betalingsachterstanden hypotheken Beoordelingskader Dashboardmodule Betalingsachterstanden hypotheken Hieronder treft u per onderwerp het beoordelingskader aan van de module Betalingsachterstanden hypotheken 2014-2015. Ieder onderdeel

Nadere informatie

Een Stap voorwaarts in Leiderschap.

Een Stap voorwaarts in Leiderschap. 5 daagse training in voorjaar van 2010 Een Stap voorwaarts in Leiderschap. Doelgroep : DA Filiaal leidsters en aankomende filiaalleidsters Lokatie : Leusden DA hoofdkantoor Dag : Maandag van 9.30u 17.00u

Nadere informatie

Functioneel meten en vakmanschap www.divosa.nl

Functioneel meten en vakmanschap www.divosa.nl De sociale dienst als lerende organisatie Functioneel meten en vakmanschap www.divosa.nl De sociale dienst als lerende organisatie Functioneel meten en vakmanschap Prof. dr. Roland Blonk, Chris Goosen

Nadere informatie

Privacy een ICT-ding? Juist niet!

Privacy een ICT-ding? Juist niet! Privacy een ICT-ding? Juist niet! Enkele praktijkvoorbeelden Even wat statistische gegevens... 29 % 35 % Menselijk oorzaken: Oorzaken datalekken 71 % Onwetendheid 35 % Slordigheid Bewuste overtredingen/inbreuken

Nadere informatie

Deze centrale vraag leidt tot de volgende deelvragen, die in het onderzoek beantwoord zullen worden.

Deze centrale vraag leidt tot de volgende deelvragen, die in het onderzoek beantwoord zullen worden. Aan: Gemeenteraad van Druten Druten, 27 juli 2015 Geachte voorzitter en leden van de gemeenteraad, In de eerste rekenkamerbrief van 2015 komt inkoop en aanbesteding aan bod. Dit onderwerp heeft grote relevantie,

Nadere informatie

Beleidsnota Misbruik en Oneigenlijk gebruik. Gemeente Velsen

Beleidsnota Misbruik en Oneigenlijk gebruik. Gemeente Velsen Beleidsnota Misbruik en Oneigenlijk gebruik Gemeente Velsen 2 Inhoudsopgave Inleiding blz. 4 Definities blz. 5 Kader gemeente Velsen blz. 7 Beleidsuitgangspunten blz. 7 Aandachtspunten voor de uitvoering

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V.

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Een kwaliteitsmanagementsysteem helpt bij de beheersing van risico s Want

Nadere informatie

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Tel: 088 288 2888 Fax: 088288 9711 www.deloitte.nl Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie

Nadere informatie

PROFESSIONEEL INTEGER DIENSTBAAR. Nederlands Compliance Instituut

PROFESSIONEEL INTEGER DIENSTBAAR. Nederlands Compliance Instituut PROFESSIONEEL INTEGER DIENSTBAAR Nederlands Compliance Instituut MISSIE VAN HET NEDERLANDS COMPLIANCE INSTITUUT We helpen organisaties met kennis, opleidingen, advies en detachering, om compliance en integriteit

Nadere informatie

Acceptatiemanagement meer dan gebruikerstesten. bridging it & users

Acceptatiemanagement meer dan gebruikerstesten. bridging it & users Acceptatiemanagement meer dan gebruikerstesten bridging it & users Consultancy Software Training & onderzoek Consultancy CEPO helpt al meer dan 15 jaar organisaties om integraal de kwaliteit van hun informatiesystemen

Nadere informatie

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie I T S X Understanding the Tools, the Players and the Rules Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie Voorwoord Ralph Moonen Arthur Donkers Mijn naam

Nadere informatie

Basissjabloon presentatie CASI

Basissjabloon presentatie CASI A d v i e s Basissjabloon presentatie CASI datum Parkeervak (Noteer hier alle ideeën en inzichten die gedurende het traject uit de groep komen zodat ze niet vergeten worden) 2 Doel van CASI (Omschrijf

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

Huidig toezicht GETTING SOFTWARE RIGHT. Datum Amsterdam, 30 augustus 2016 Onderwerp Reactie SIG op Discussiedocument AFM-DNB. Geachte dames en heren,

Huidig toezicht GETTING SOFTWARE RIGHT. Datum Amsterdam, 30 augustus 2016 Onderwerp Reactie SIG op Discussiedocument AFM-DNB. Geachte dames en heren, Datum Amsterdam, 30 augustus 2016 Onderwerp Reactie SIG op Discussiedocument AFM-DNB Geachte dames en heren, Naar aanleiding van het gepubliceerde discussiedocument Meer ruimte voor innovatie in de financiële

Nadere informatie

Cultuurmeting in de forensische praktijk. In samenwerking met GGZ Eindhoven

Cultuurmeting in de forensische praktijk. In samenwerking met GGZ Eindhoven Cultuurmeting in de forensische praktijk In samenwerking met GGZ Eindhoven Doel van een cultuurmeting Inzicht krijgen hoe de organisatie richting geeft aan cultuuraspecten met het oog op veiligheid en

Nadere informatie

staat is om de AVG na te komen.

staat is om de AVG na te komen. Vragenlijst nulmeting AVG mét toelichting door Security & Privacy Officer Koos Wijdenes Met onderstaande vragenlijst kunt u een nulmeting uitvoeren voor uw organisatie. De antwoorden geven inzicht in wat

Nadere informatie

FORMULIER FUNCTIEPROFIEL

FORMULIER FUNCTIEPROFIEL FORMULIER FUNCTIEPROFIEL Basisgegevens Datum 9-6-2015 Naam van de functie: HR Manager Plaats in de organisatie Rapporteert aan of werkt onder leiding van: directie Geeft leiding aan: afdeling P&O Doel

Nadere informatie

Informatiemateriaal Managementsysteem

Informatiemateriaal Managementsysteem Q3 Informatiemateriaal HSEQ Blijf alert tijdens alle werkzaamheden. Bij twijfel: stel je vraag, begin niet of leg het werk stil! Sinds de eerste succesvolle boring op het Nederlands continentaal plat in

Nadere informatie