Bewust Vitaal. Een handreiking voor het ontwikkelen van een Security Awareness programma

Maat: px
Weergave met pagina beginnen:

Download "Bewust Vitaal. Een handreiking voor het ontwikkelen van een Security Awareness programma"

Transcriptie

1 Bewust Vitaal Een handreiking voor het ontwikkelen van een Security Awareness programma

2 2

3 Wat is het NAVI In het Nationaal Adviescentrum Vitale Infrastructuur (NAVI) werken overheid en bedrijfsleven samen aan de verbetering van de bescherming van de vitale infrastructuur in Nederland tegen moedwillig menselijk handelen. Deze bescherming heet security. In haar activiteiten richt het NAVI zich op fysieke, personele, organisatorische en digitale dreigingen. Het NAVI ondersteunt beheerders en eigenaren van de vitale infrastructuur en de overheden op drie manieren: Veilig platform voor informatie-uitwisseling Het NAVI geeft de gelegenheid om binnen een vertrouwde omgeving, met elkaar informatie uit te wisselen. Dit gebeurt zowel in een grotere openbare setting als in kleine besloten bijeenkomsten. Het NAVI brengt partijen bij elkaar, bijvoorbeeld via het organiseren en ondersteunen van kennis- en informatieknooppunten. Hierin komen partijen bij elkaar om informatie te delen en over beveiligingsonderwerpen te spreken. Aanbieden van kennis en expertise Het NAVI biedt zelf kennis en expertise aan en stelt de betrokken partijen in staat om kennis en informatie binnen de vitale sectoren in Nederland te delen. Kennis en informatie worden op verschillende manieren beschikbaar gesteld, onder meer door het organiseren van bijeenkomsten, via de website en via een kennisbank. Nationaal en internationaal contactpunt Het NAVI is een nationaal en internationaal contactpunt voor vragen en advies over security binnen de vitale infrastructuur en onderhoudt en ontwikkelt een breed netwerk. Tevens fungeert het NAVI als ontmoetingsplek voor de betrokken partijen binnen de vitale infrastructuur voor zowel overheidspartijen, kennisinstellingen in binnen- en buitenland, als bedrijven. Voor meer informatie over het NAVI kunt u terecht op de website: 3

4 4

5 Inhoudsopgave Inhoudsopgave 5 1. Inleiding Definities Wat is een Handreiking Security Awareness Waarom deze handreiking Voor wie is deze handreiking Volwassenheidsniveaus Volwassenheidsniveaus van de doelgroep Stadia van bekwaamheid en bewustzijn van medewerkers Doelgroep (on)bekwaam en (on)bewust Relatie met andere literatuur Verbeteringen na het eerste openbare concept Leeswijzer De componenten van SA: Training, bewustzijn en opleiding Is veiligheid wel belangrijk? Een bewustwordingsprogramma sluit aan bij het totale beveiligingsprogramma Het bewustwordingsprogramma richt zich op alle medewerkers van een organisatie Bewustwordingsprogramma wordt aangeboden in de vorm van een training of opleiding Duidelijk communiceren over nut en noodzaak van veiligheidsmaatregelen en veilig handelen Bewustwordingsprogramma richt zich op verandering van gedrag en vergroting van kennis Een bewustwordingsprogramma is op maat gesneden Een bewustwordingsprogramma bevat alle psychologische componenten Fase 1: De ontwerpfase Inleiding Structureren van een programma Belangen- en behoeftebepaling op basis van een risicoanalyse Opstellen van een plan Zet enthousiaste medewerkers in Stellen van prioriteiten Mate van complexiteit moet worden afgestemd op gebruiker: hou het zo simpel mogelijk Commitment en draagvlak bij zowel management als medewerkers Budgettering Fase 2: De ontwikkeling van materiaal Inleiding Selecteren van onderwerpen voor bewustwording De vorm van het bewustwordingsmateriaal Bronnen voor materiaal YouTube als informatiebron Uitbesteden of zelf doen? Partnerschap met soortgelijke organisaties 29 5

6 5. Fase 3: De implementatiefase Wijze van communiceren Technieken om de boodschap over te brengen Management en communicatie Sancties en beloningen Fase 4: De evaluatie- en onderhoudsfase Meten van de deelname en de effectiviteit Evaluatie en feedback Veranderingen in het bewustwordingsprogramma doorvoeren Verhogen van het niveau van het bewustwordingsprogramma Commitment van het management Meerjarenplanning Social Engineering als nul-meeting Inleiding Social Engineering en psychologie Wederkerigheid: het aloude geven en nemen en nemen Commitment en consistentie: innerlijke spookbeelden Sociale bewijskracht Sympathie: de vriendelijke dief Autoriteit Schaarste: de regel van het tekort 43 Bijlage: Voorbeelden 45 Voorbeeld 1: Enkele voorbeelden van posters 45 Voorbeeld 2: Een bewustwordingstoolkit 45 Voorbeeld 3: NAVI coördineert uitwijkoefening 47 Voorbeeld 4: NCTb Security Awareness workshop voor bedrijven 48 Literatuuroverzicht 51 6

7 7

8 8

9 1. Inleiding Voor u ligt Bewust Vitaal, de handreiking Security Awareness (SA) van het NAVI. Deze handreiking beschrijft welke activiteiten ondernomen moeten worden om te komen tot een bewustwordings- of Security Awareness (SA) programma. Het bevat naast een stappenplan ook een plan van aanpak, een voorbeeld van een meerjarenplanning en veel creatieve ideeën om een bewustwordingsprogramma op te zetten en te onderhouden. Er wordt een groot aantal praktische voorbeelden gegeven hoe oplossingen gevonden zijn voor binnen een bedrijf aanwezige praktische problemen. De eerste paragraaf behandelt in het kort de definities van veiligheid en bewustzijn. Verder wordt beschreven waarvoor en voor wie deze handreiking bedoeld is en hoe deze gebruikt kan worden. Er wordt ingegaan op de achtergrond van dit document en de relatie met andere literatuur. Tot slot worden verbeteringen behandeld die zijn aangebracht op het eerste openbare concept van de handreiking die eind 2008 is gepubliceerd Definities Deze handreiking beschrijft de activiteiten om te komen tot een bewustwordings- of Security Awareness programma (het proces). Het bewustwordingsprogramma moet leiden tot bewustzijn (het beoogde doel). Zoals met veel begrippen, circuleren ook voor het begrip beveiligingsbewustzijn en veiligheid veel verschillende definities. Hieronder zijn gangbare definities opgenomen van begrippen die in deze handleiding gebruikt worden. Veiligheid is de mate van: -- afwezigheid van potentiële oorzaken van een gevaarlijke situatie of -- aanwezigheid van beschermende maatregelen tegen deze potentiële oorzaken. Beveiligingsbewustzijn is de mate waarin elke medewerker: -- het belang van beveiliging voor de organisatie begrijpt; -- het noodzakelijke niveau van beveiliging dat voor de organisatie vereist is begrijpt en er ook naar handelt. Veiligheidsbewustzijn heeft dus te maken met het besef van het bestaan van gevaar en hoe dit is af te wenden of de kans erop zo klein mogelijk te houden. Dit besef ontstaat door herhaling van de boodschap en door herhaalde versterking (conditionering). Social Engineering (SE): Het misleiden van mensen door middel van list, bedrog en psychologische trucs met het doel (vertrouwelijke) informatie te verkrijgen. Bij SE wordt de mens als zwakste schakel in de beveiliging gezien. Door de mens te misleiden kunnen technische en fysieke beschermingsmaatregelen omzeild worden. Bruce Schneier; Beyond fear Over the last years we ve become obsessed with security, and put in place a whole host of policies and procedures that will do... exactly what? The key is to think of security not in absolutes, but in terms of sensible trade-offs, whether on a personal or global scale. Security yes, but down to earth, without the mumbo jumbo, without shouting in utter Panic: Barbarians at The Gate. Boodschap: overdrijf niet en zorg voor afweging tussen veiligheid en werkbaarheid. 9

10 1.2. Wat is een Handreiking Security Awareness? De Handreiking Security Awareness is een hulpmiddel bij de totstandkoming van een bewustwordingsprogramma. Het neemt degene die verantwoordelijk is gesteld mee in zijn proces om problemen te onderkennen, doelen te definiëren en oplossingen te creëren. Het is nadrukkelijk geen keurslijf, geen voorschrift. Het beoogt het proces te beschrijven, niet de inhoud. Dat laatste wordt overgelaten aan de creativiteit van de verantwoordelijke manager en is sterk afhankelijk van het bedrijf of de sector waarvoor dit bewustwordingsprogramma wordt geschreven Waarom deze handreiking? Het NAVI heeft ervaren dat er een grote diversiteit bestaat in de mate waarin bedrijven binnen de vitale sectoren hun bewustwordingsprogramma op orde hebben. Bewustwording en bewustzijn zijn voorwaarden voor veiligheidsbewust handelen. Door een medewerker inzage te geven in de dreigingen en de achtergronden van de genomen maatregelen, zal zijn houding en gedrag ten opzichte van security en het naleven van de maatregelen positief beïnvloed worden. De handreiking Security Awareness is een hulpmiddel voor bedrijven uit de vitale infrastructuur om een gedegen bewustwordingsprogramma op te zetten waarin de stappen om medewerkers bewust te maken worden opgenomen Voor wie is deze handreiking? Om aan te geven voor wie deze handreiking bedoeld is wordt in deze paragraaf ingegaan op de volwassenheidsniveaus van bedrijven, de volwassenheidsniveaus van de doelgroep en de stadia van bekwaamheid en bewustzijn van de medewerkers. SE als nul-meeting U wilt weten hoe het gesteld is met het naleven van veiligheidsmaatregelen in uw organisatie? Overweeg dan eens te starten met een security audit die gebaseerd is op Social Engineering (SE). Hierbij proberen auditors door middel van list en psychologische trucs om uw medewerkers (per telefoon of op locatie) te verleiden af te wijken van veiligheidsprocedures en vertrouwelijke informatie te verstrekken of toegang te verlenen tot locaties, netwerken en archieven. Zo komt u er ook achter of ongenode gasten mee kunnen liften bij de toegang tot het pand. Deze auditors tonen op deze manier aan tot welke vertrouwelijke informatie of (proces)systemen zij toegang kunnen krijgen. Lees meer over Social Engineering en het gebruik van psychologische trucs om medewerkers te misleiden in hoofdstuk Volwassenheidsniveaus Bedrijven kunnen worden ingedeeld in de verschillende volwassenheidsniveaus. De mate van volwassenheid kan op hoofdlijnen worden onderverdeeld in drie niveaus, variërend van laag tot middel tot hoog. De situaties die bij de onderstaande volwassenheidsniveaus beschreven worden, hoeven niet allemaal voor te komen of in dezelfde mate aanwezig te zijn; het is slechts een methode om te komen tot een globale indeling. Volwassenheidsniveau Laag: -- Bedrijven hebben geen strategisch beleid en/of structureel budget voor een bewustwordingsprogramma. -- Er is nog geen of slechts incidenteel een bewustwordingsprogramma gerealiseerd. -- De verantwoordelijkheid voor het uitvoeren van een bewustwordingsprogramma is niet of slechts beperkt belegd bij een daarvoor aangewezen medewerker. -- Opvolging van een eerder uitgebracht programma strandt door het ontbreken van beleid, budget en/of creativiteit. -- Incidentregistratie wordt niet of niet volledig uitgevoerd. 10

11 Volwassenheidsniveau Middel: -- Er is beleid en beschikbaar budget ten aanzien van bewustwording en er worden bewustwordingsprogramma s uitgevoerd. -- De verantwoordelijkheid hiervoor is belegd bij een medewerker van het bedrijf. -- Er vindt incidentregistratie plaats en er worden analyses op de incidenten uitgevoerd. -- Het bedrijf is zich bewust van de incidenten die het gevolg zijn van niet beveiligingsbewust handelen van medewerkers, maar heeft moeite om voortdurend aandacht te blijven vragen voor het onderwerp beveiligingsbewustwording. -- Budgetten staan onder druk, de relatie naar een verlaging van het aantal incidenten is niet duidelijk of er zijn andere oorzaken, waaronder een gebrek aan creativiteit. Volwassenheidsniveau Hoog: -- Er is beleid en beschikbaar budget ten aanzien van bewustwording en er worden bewustwordingsprogramma s uitgevoerd. -- De verantwoordelijkheid hiervoor is belegd bij een medewerker of een afdeling van het bedrijf. -- Over de stand van zaken wordt regulier gerapporteerd aan het management. -- Er vindt incidentregistratie plaats en er worden analyses op de incidenten uitgevoerd. -- Het bedrijf is zich bewust van de risico s die het gevolg zijn van niet beveiligingsbewust handelen van medewerkers. -- De bewustwordingsprogramma s maken gebruik van vernieuwende en creatieve middelen en zijn daardoor in staat de aandacht van de medewerkers voor beveiligingsissues vast te houden. -- Medewerkers begrijpen de intentie achter maatregelen en zijn daardoor in staat beveiligingsbewust te handelen in alle voorkomende situaties Volwassenheidsniveaus van de doelgroep Deze handreiking Security Awareness richt zich op (security managers van) bedrijven die zich qua volwassenheid op de niveaus Laag of Middel bevinden, dus bedrijven die een bewustwordingsprogramma willen starten of een bestaand programma willen uitbreiden. Aan de hand van korte casusbeschrijvingen zal de ervaring van bedrijven die zich op het volwassenheidsniveau Hoog bevinden, worden meegenomen; deze korte beschrijvingen worden in de tekstblokken weergegeven. Dit verhoogt niet alleen het draagvlak van het bewustwordingsprogramma maar draagt ook bij tot het uitdragen van kennis, ervaring en creativiteit Stadia van bekwaamheid en bewustzijn van medewerkers Medewerkers maken bij het doorlopen van het bewustwordingsprogramma, een groei door tot een veilige medewerker via een viertal stadia. Hierin zijn twee aspecten van belang: (on)bewustzijn en (on)bekwaamheid die met elkaar verbonden zijn volgens de hiernaast getoonde diagram. ONBEWUST 1 BEKWAAM 4 BEWUST 2 3 ONBEKWAAM Figuur: De stadia van bewustzijn 11

12 Kenmerkend voor een lage mate van beveiligingsbewustwording is dat mensen fouten maken zonder dat zij zich er van bewust zijn (stadium 1. Onbewust onbekwaam). In dit stadium worden veel fouten gemaakt. Indien er binnen de organisatie een regeling is om fouten te rapporteren, zal blijken dat er vaak geen oorzaak van kan worden vastgesteld. Het is echter aannemelijker dat fouten helemaal niet herkend worden en dat het bedrijf er zich dus niet van bewust is dat (vertrouwelijke) informatie verloren gaat of er grote risico s gelopen worden. Het doel van bewustwordingstrainingen is initieel om medewerkers zich er van bewust te maken dat zij fouten maken of gemaakt hebben en te laten ervaren waarom dit handelen als fout getypeerd wordt (stadium 2. Bewust onbekwaam). In dit stadium kunnen medewerkers zich realiseren dat hun gedrag potentieel gevaarlijk is voor de veiligheid van de organisatie. Het is daarom noodzakelijk dat de organisatie uitstraalt dat gemaakte fouten niet bestraft worden, maar gebruikt worden om toekomstig gedrag te verbeteren en daardoor de veiligheid te vergroten. Aan dit belangrijke cultuuraspect wordt in komende hoofdstukken nader aandacht besteed. Nadat het de medewerkers duidelijk is wat fout gedrag is, kan hen het juiste gedrag aangeleerd worden. De medewerker wordt zich bewust van de risico s van zijn gedrag en handelt zoals hem dit wordt aangeleerd (stadium 3. Bewust bekwaam). De medewerker kan nu veiligheidsbewust handelen, maar hij zal in dit stadium nog steeds moeten nadenken om dit te realiseren. Langzamerhand zal het aangeleerde gedrag en het besef van de onderliggende risico s, leiden tot een meer natuurlijk gedrag van de medewerkers. Strenge maatregelen bij bewust overtreden van voorschriften Bruce Schneier: Fire someone who breaks security procedure, quickly and publicly. That ll increase security awareness faster than any of your posters or lectures or newsletters. If the risks are real, people will get it. In de hoogste mate van bewustwording is het veilig handelen van de medewerker een regulier onderdeel van zijn dagelijks functioneren. Hij herkent verdachte situaties en handelt in overeenstemming met wat hem is geleerd. Hij is in staat om het aangeleerde ook in andere vergelijkbare situaties toe te passen zonder dat hij daarbij bewust moet nadenken (stadium 4. Onbewust bekwaam). Een alternatieve maar krachtige manier om de eerste twee stadia te omschrijven is: -- wie niets weet en weet dat hij niets weet -- weet veel meer dan iemand -- die niets weet en niet weet dat hij niets weet Doelgroep (on)bekwaam en (on)bewust Deze handreiking richt zich op een bewustwordingsprogramma dat gericht is op medewerkers die onbewust onbekwaam zijn (nog niet weten dat zij fouten maken) of al bewust onbekwaam zijn (weten dat zij fouten maken). Voor beide doelgroepen geldt dat zij door middel het programma gebracht worden naar de situatie waarin zij weten hoe gehandeld moet worden, waar de risico s liggen en dat ten minste bewust uitvoeren (dus bewust bekwaam zijn). 12

13 1.5. Relatie met andere literatuur Bewustwordingsprogramma s zijn er in vele geuren en kleuren. Ze hebben allemaal gemeen dat ze geschreven zijn voor een bepaald bedrijf of bedrijfstak, ieder met zijn eigen cultuur, problemen en risico s. Bewustwordingsprogramma s kunnen daarom niet zonder meer worden gekopieerd van andere bedrijven maar moeten dus vaak zelf ontwikkeld of aangepast worden. Handleidingen om te komen tot de ontwikkeling van een bewustwordingsprogramma die zich specifiek richten op de bedrijven in Nederland in de vitale sectoren, zijn er niet. Natuurlijk is er wel veel over geschreven in diverse publicaties, maar de benodigde informatie is te verspreid om een eenduidig beeld te geven. De bundeling van de informatie voor deze doelgroep is daarom uniek. In het literatuuroverzicht zijn voorbeelden opgenomen van publicaties die waardevolle aanvullende informatie kunnen geven. De handreiking SA van het NAVI is niet hetzelfde als het NCTb-programma Zeker van je Zaak dat in oktober 2009 is gepresenteerd. De handreiking en het programma richten zich op verschillende niveaus binnen de organisatie maar vullen elkaar daardoor prima aan. Meer informatie over het NCTB-programma staat in de bijlage met voorbeelden Verbeteringen na het eerste openbare concept Zoals in de inleiding is geschetst, heeft het NAVI zich tot doel gesteld om een handreiking te maken die breed toepasbaar is om een bewustwordingsprogramma op te zetten of verder uit te bouwen. De start van de ontwikkeling van deze handreiking is begonnen in De vervolgstap, namelijk het verwerken van het binnengekomen commentaar tot een breder gedragen en toepasbare handreiking heeft inmiddels plaatsgevonden. Uit de commentaren is gebleken dat de (concept) handreiking op hoofdlijnen en in de details voldoet aan een behoefte. Op een aantal onderwerpen is meer diepgang gewenst, of is het wenselijk om meer en uitgebreidere voorbeelden te geven. Verder is de behoefte geuit om aan te geven hoe een bewustwordingsprogramma kan worden opgenomen in een meerjarenplanning of als doorlopend programma in stand kan worden gehouden. De uitwerking van dit onderwerp wordt in het hoofdstuk 6 (Evaluatie- en onderhoudsfase) beschreven. It is not my problem Professionals en hun organisaties zijn bereid om grote investeringen te doen om technische maatregelen te implementeren (techniek): veelal de eerste volwassenheidsfase. Professionals komen er achter dat techniek alleen niet genoeg is. Procedures dienen volledig te zijn, gecommuniceerd te worden kortom: beveiliging dient georganiseerd te worden. De tweede volwassenheidsfase. En als het dan georganiseerd is, en de techniek is afgesteld, dan blijkt veelal dat mensen het gewoon niet zo doen. En Nederlanders al helemaal niet. Nederlanders hebben een hekel aan beveiligingsmaatregelen: Waar is het voor nodig?, Hier gebeurt nooit wat, Laten ze maar eerst bij zichzelf beginnen en andere uitvluchten, samen te vatten tot It Is Not My Problem. Bron: Lezing van het Platform voor Informatiebeveiliging Het mag duidelijk zijn dat een bewustwordingsprogramma voor een bank andere eisen stelt dan die voor de petrochemische Industrie, al was het alleen maar omdat de bedrijfsvoering van een geheel andere aard is. Toch is gebleken dat deze handreiking generiek toepasbaar is ook al leidt het opzetten van een bewustwordingsprogramma tot een totaal verschillend resultaat per bedrijf of vitale sector. 13

14 Het poldermodel in security Veiligheidsregel van bedrijven worden soms onbewust maar ook regelmatig bewust overtreden. In tegenstelling tot andere landen zijn Nederlanders over het algemeen geneigd om hun eigen mening omtrent security ook toe te passen in de bedrijfsomgeving. Regels waarvan nut en noodzaak niet bekend zijn of niet onderschreven wordt, worden dan bewust niet opgevolgd. Bij het opzetten van een programma moet daarom niet alleen op de focus op de inhoud liggen, maar ook op de noodzaak van het opvolgen van veiligheidsregels en de sancties/ consequenties van het overtreden van de regels Leeswijzer Deze paragraaf geeft de lezer een handvat om de handreiking makkelijker te gebruiken. Het beschrijft, als aanvulling op de inhoudsopgave, in welk hoofdstuk welke onderwerpen aan de orde komen en hoe die in het proces van het komen tot een bewustwordingsprogramma passen. In deze handreiking worden vier kritische fasen onderkend om te komen tot een bewustwordingsprogramma. Nadat in het hierna volgende Hoofdstuk 2 de componenten van SA: training, bewustzijn en opleiding worden beschreven, worden deze vier fasen behandeld; 1. De ontwerpfase waarin het doel en de behoefte wordt bepaald en waarin een strategie wordt ontwikkeld (hoofdstuk 3); 2. De ontwikkeling van trainingsmateriaal, afgestemd op de mogelijkheden, het budget en de beschikbare kennis (hoofdstuk 4). In dit hoofdstuk worden diverse soorten materiaal besproken zoals web-based training, video, workshops, etc; 3. De implementatie van het programma en de rol van communicatie daarin (hoofdstuk 5); 4. Evaluatie en onderhoud van de actualiteit en effectiviteit van het programma (hoofdstuk 6). In hoofdstuk 7 wordt gedetailleerder ingegaan op een methode om door middel van Social Engineering een nul-meting te houden. Deze vorm van security audit kan op heldere manier duidelijk maken waar het veiligheidsbewustzijn van mensen tekortschiet en leidt tot onveilig gedrag. In de bijlagen zijn voorbeelden opgenomen van (delen van) bewustwordingsprogramma s, waaronder voorbeelden van posters en een programma dat bescherming biedt tegen het verstrekken van vertrouwelijke informatie door medewerkers aan onbekende personen. In de gekleurde tekstboxen die her en der in het document zijn opgenomen, vindt u steeds voorbeelden van creatieve oplossingen van bedrijven of andere relevante informatie. In een aantal tekstboxen wordt Bruce Schneier geciteerd. Schneier is een autoriteit op het gebied van (informatie)beveiliging, is auteur van een groot aantal boeken over dit onderwerp en staat vooral bekend om zijn pragmatische insteek bij het oplossen van problemen. 14

15 15

16 16

17 2. De componenten van SA: Training, bewustzijn en opleiding In dit hoofdstuk wordt besproken uit welke componenten een goed bewustwordingsprogramma is opgebouwd en hoe de verschillende componenten van een succesvol SA programma zich tot elkaar verhouden Is veiligheid wel belangrijk? Hoe is het gesteld met het aspect veiligheid in het bedrijf? Is het wel een belangrijk onderwerp en op grond waarvan wordt dat geconstateerd? Om deze vraag goed te kunnen beantwoorden kunnen een aantal basisvragen gesteld worden: -- Staat het onderwerp veiligheid permanent op de agenda van de directie? -- Is er iemand verantwoordelijk gesteld voor veiligheid (Security Officer)? Zo ja, zit deze persoon hoog genoeg in de organisatie en adviseert hij rechtstreeks aan de directie? -- Is de naleving van veiligheidsgerelateerde maatregelen onderwerp van het periodieke functioneringsgesprek? -- Wordt de aandacht voor veiligheid (naar belang) verdeeld over alle gebieden (productieveiligheid, fysieke veiligheid, ICT-veiligheid, personele veiligheid, etc.)? -- Wordt er over veiligheid actief gecommuniceerd in bijvoorbeeld het bedrijfsblad? Als de antwoorden op deze vragen leiden tot een beeld dat veiligheid kennelijk meer in woorden dan in daden beleden wordt, dan is het zaak om zich initieel in een bewustwordingsprogramma te richten op het management. De directie moet er van bewust gemaakt worden dat veiligheid hoger, veel hoger, op de agenda moet komen te staan. Als antwoorden op deze vragen leiden tot een beeld dat veiligheid wél belangrijk is, dan kan het bewustwordingsprogramma zich richten op de medewerker. De directie zal in dat geval wel regelmatig het beeld uitdragen dat grote waarde wordt gehecht aan veiligheid. KSF 1 : Het thema veiligheid heeft in de organisatie topprioriteit en is in de organisatie geborgd. Informele organisatie De socioloog Erving Goffman beschrijft in zijn boek The Presentation of Self in Everyday Life op fascinerende wijze de manier waarop we blijven geloven dat de mens zich schikt naar de formele realiteit: De wetten, de regels, de Security Policies, de bewustwordingstrainingen, de seminars, etc. Er bestaat echter een informele, vaak ontkende organisatie, waarin, zelfs in autoritaire instituties met total control (gevangenissen, psychiatrische ziekenhuizen, het leger, religieuze ordes), mensen hun weg vinden om regels te buigen en hun eigen realiteit te creëren om drugs, alcohol, sex, sigaretten etc. te bemachtigen. Dit buigen van regels is menselijk en gebeurt in elke organisatie. Het is aan te raden om met deze informele organisatie rekening te houden bij het formuleren van (soms complexe) veiligheidsprocedures Een bewustwordingsprogramma sluit aan bij het totale beveiligingsprogramma Een succesvol beveiligingsprogramma bestaat in de basis uit vier elementen: -- een strategie die gebaseerd is op de belangen en behoeften van de organisatie en afgestemd is op de bestaande en onderkende risico s; -- een op die belangen en risico s toegesneden combinatie van fysieke, logische (digitale) en organisatorische beveiligingsmaatregelen vastgelegd in een Security Management System (SMS) en een Operator Security Plan (OSP) 2 ; -- medewerkers die geïnformeerd zijn over hun taken en verantwoordelijkheden zoals die zijn vastgelegd in beveiligingsdocumentatie en procedures; -- processen die het programma periodiek impulsen geven, bewaken en evalueren. 1 KSF; Kritische Succes Factor, een voorwaarde voor het slagen van een programma. 2 Voor hulp bij het opstellen van een SMS en een OSP heeft het NAVI handreikingen gemaakt. Deze zijn te downloaden van de website van het NAVI (www.navi-online.nl). 17

18 Een effectief bewustwordingsprogramma sluit aan bij dit beveiligingsprogramma. Zowel de inhoud als het gebruikte instructiemateriaal is gebaseerd op de strategie en beveiligingsplannen van de organisatie, alsook de gebruikte procedures. Dit vormt de basis voor een bewustwordingsprogramma dat afgestemd is op de organisatie en aansluit bij de belevingswereld van de medewerkers Het bewustwordingsprogramma richt zich op alle medewerkers van een organisatie Een bewustwordingsprogramma richt zich niet alleen op de medewerker op de werkvloer maar op alle medewerkers van een organisatie, inclusief de beheerders en het (top)management. Het management heeft daarbij de bijzondere taak om voorbeeldgedrag te vertonen. Goed voorbeeldgedrag is een noodzaak om te communiceren dat het management de navolging van veiligheidsregels belangrijk vindt en onderschrijft. Slecht voorbeeldgedrag van het management wordt door medewerkers op de werkvloer gezien als excuus om zelf de veiligheidsregels niet na te hoeven leven. De effectiviteit van een bewustwordingsprogramma is hier in grote mate van afhankelijk. KSF: De betrokkenheid en het goede voorbeeldgedrag van alle niveaus, maar met name van het management, is een voorwaarde voor het slagen van een bewustwordingsprogramma Bewustwordingsprogramma wordt aangeboden in de vorm van een training of opleiding Veiligheidsvoorschriften en procedures zijn vaak voor alle medewerkers beschikbaar, op het Intranet of fysiek als bundel in een archiefkast. Instructie over nut en noodzaak en de beoefening van de procedures wordt echter vaak achterwege gelaten of overgelaten aan de medewerker zelf. De medewerker krijgt in dat geval opdracht om zich de procedures zelf eigen te maken, maar zal daar geen prioriteit aan geven. Impliciet wordt dit ook vaak door het bedrijf geaccepteerd (zie ook 2.2 Is veiligheid wel belangrijk?). Een bewustwordings-, opleidings- en trainingsprogramma is essentieel in de verspreiding van noodzakelijke informatie die gebruikers, inclusief management, nodig hebben om hun werk veilig uit te kunnen voeren. Het kan gezien worden als communicatiemiddel in de verspreiding van veiligheidsmaatregelen Duidelijk communiceren over nut en noodzaak van veiligheidsmaatregelen en veilig handelen Een effectief bewustwordingsprogramma legt op heldere wijze uit waarom een bepaald gedrag van een medewerker verwacht wordt. Het geeft de noodzaak, de achtergronden en de mogelijke gevolgen aan van de veiligheidsmaatregelen. In het bewustwordingsprogramma zal ook aandacht besteed moeten worden aan een sanctiemodel indien een medewerker de veiligheidsmaatregelen niet opvolgt. Van gebruikers mag worden verwacht dat zij zich houden aan de veiligheidsregels en deze naleven. Zij moeten dan wel op de hoogte zijn van deze veiligheidsregels en deze beoefend hebben. Zij moeten zich bewust zijn van de noodzaak en achtergronden van deze maatregelen en weten welke mogelijke sancties staan op het niet opvolgen of naleven van deze maatregelen. Praatje, plaatje, daadje Hoe blijft de boodschap het beste hangen? De volgende wijsheid kan daarbij helpen: Vertel het me en ik zal het vergeten. Laat het me zien en ik zal het onthouden. Laat het me doen en ik zal het begrijpen. 18

19 2.6. Bewustwordingsprogramma richt zich op verandering van gedrag en vergroting van kennis Bewustwordingsprogramma s worden ontworpen om gedrag te veranderen en kennis van beveiligingsmaatregelen en procedures te vergroten. In een bewustwordingsprogramma wordt de aandacht gevestigd op veiligheid. Dit kan zowel in de vorm van een presentatie zijn (overdracht van kennis) als in de vorm van training waarin naast kennisoverdracht ook de handelingen beoefend worden en vaardigheden worden aangeleerd Een bewustwordingsprogramma is op maat gesneden Voor een deel van de medewerkers volstaat een algemeen bewustwordingsprogramma alleen niet. Medewerkers die specifieke of specialistische kennis op het gebied van beveiliging nodig hebben, volgen veelal een externe opleiding die in veel gevallen zal leiden tot certificering. Op de Nederlandse markt is een groot aantal aanbieders van internationaal erkende opleidingen actief die opleiden tot een eveneens internationaal bekende en erkende titel Een bewustwordingsprogramma bevat alle psychologische componenten Een goed bewustwordingsprogramma richt zich op alle relevante psychologische componenten: kennis (d.m.v. interne of externe opleidingen), houding (bewustzijn en competenties) en gedrag (d.m.v. herhaalde oefening en training). Indien aan één van deze drie componenten niet of onvoldoende aandacht wordt besteed, functioneert een bewustwordingsprogramma niet naar behoren en is het op termijn gedoemd te mislukken. 19

20 20

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014 Sebyde Security in een organisatie A3 Management Workshop 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security

Nadere informatie

De kracht van een sociale organisatie

De kracht van een sociale organisatie De kracht van een sociale organisatie De toegevoegde waarde van zakelijke sociale oplossingen Maarten Verstraeten. www.netvlies.nl Prinsenkade 7 T 076 530 25 25 E mverstraeten@netvlies.nl 4811 VB Breda

Nadere informatie

6.6 Management en informatiebeveiliging in synergie

6.6 Management en informatiebeveiliging in synergie 6.6 Management en informatiebeveiliging in synergie In veel organisaties ziet men dat informatiebeveiliging, fysieke beveiliging en fraudemanagement organisatorisch op verschillende afdelingen is belegd.

Nadere informatie

Communicatieplan WTH Vloerverwarming in het kader van de CO2-Prestatieladder

Communicatieplan WTH Vloerverwarming in het kader van de CO2-Prestatieladder Communicatieplan WTH Vloerverwarming in het kader van de CO2-Prestatieladder Communicatieplan, 22 Augustus 2014 1 Voorwoord Duurzaamheid is geen trend, het is de toekomst. Het is niet meer weg te denken

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

Peter Konings (Belastingdienst), Rutger Heerdink (UWV), Rene Backer (SVB), Sjoerd Weiland (RDW)

Peter Konings (Belastingdienst), Rutger Heerdink (UWV), Rene Backer (SVB), Sjoerd Weiland (RDW) Werkgroep Borging: Peter Konings (Belastingdienst), Rutger Heerdink (UWV), Rene Backer (SVB), Sjoerd Weiland (RDW) November 2013 Deze sheets bevatten achtergrondinformatie bij het plan Borging awareness

Nadere informatie

Introductie stakeholdermanagement. SYSQA B.V. Almere

Introductie stakeholdermanagement. SYSQA B.V. Almere Introductie stakeholdermanagement SYSQA B.V. Almere Organisatie SYSQA B.V. Pagina 2 van 14 Inhoudsopgave 1. Inleiding... 3 2. Hoe herken je stakeholders?... 4 3. Drie kenmerken... 5 3.1 Macht... 5 3.2

Nadere informatie

6. Project management

6. Project management 6. Project management Studentenversie Inleiding 1. Het proces van project management 2. Risico management "Project management gaat over het stellen van duidelijke doelen en het managen van tijd, materiaal,

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Verbetercheck ongewenst gedrag VVT Workshop ongewenst gedrag

Verbetercheck ongewenst gedrag VVT Workshop ongewenst gedrag Verbetercheck ongewenst gedrag VVT Workshop ongewenst gedrag Vul deze verbetercheck in om zicht te krijgen op waar uw organisatie staat met de aanpak rond ongewenst gedrag. Aan de hand van de scores kunt

Nadere informatie

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. Balanced Scorecard Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 DE

Nadere informatie

BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT

BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT WHITEPAPER BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT RISICOMANAGEMENT IN BALANS Ondernemen betekent risico s nemen om de

Nadere informatie

Lange cursus beschrijving van de cursus: ITIL basics

Lange cursus beschrijving van de cursus: ITIL basics Lange cursus beschrijving van de cursus: ITIL basics ALGEMEEN Het inrichten van een ICT Beheerorganisatie is een complexe en tijdrovende aangelegenheid. Het resultaat is afhankelijk van veel aspecten.

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Inhoudsopgave. Bewust willen en kunnen 4. Performance Support 5. Informele organisatie 5. Waarom is het zo moeilijk? 6

Inhoudsopgave. Bewust willen en kunnen 4. Performance Support 5. Informele organisatie 5. Waarom is het zo moeilijk? 6 Inleiding De afgelopen vijftien jaar hebben we veel ervaring opgedaan met het doorvoeren van operationele efficiencyverbeteringen in combinatie met ITtrajecten. Vaak waren organisaties hiertoe gedwongen

Nadere informatie

Handleiding communicatie rondom voorzieningen

Handleiding communicatie rondom voorzieningen Handleiding communicatie rondom voorzieningen Inleiding Betrokkenheid speelt een belangrijke rol bij het opzetten en/of in stand houden van gemeenschapsvoorzieningen. Communicatie is daarbij een kritische

Nadere informatie

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen GEDRAGS- CODE Gebruik van elektronische communicatiemiddelen 2 3 Gedragscode voor het gebruik van elektronische communicatiemiddelen Inhoud 1. Doel van de regeling 2. Werkingssfeer 3. Algemene gedragsregels

Nadere informatie

Internationale veiligheidsrichtlijnen Hoofdstuk 6 voor binnentankschepen en terminals. Hoofdstuk 6 BEVEILIGING

Internationale veiligheidsrichtlijnen Hoofdstuk 6 voor binnentankschepen en terminals. Hoofdstuk 6 BEVEILIGING Hoofdstuk 6 BEVEILIGING Binnenvaarttankers laden of lossen vaak op faciliteiten waar zeevaarttankers worden behandeld en waar dus de International Ship en Port Facility Security (ISPS) Code van toepassing

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Contract Awareness voor staf- en bureaumedewerkers

Contract Awareness voor staf- en bureaumedewerkers Workshop Contract Awareness voor staf- en bureaumedewerkers Succesvol voorbereiden, opstellen en bewaken van contractuele afspraken. Alle rechten voorbehouden. Niets uit deze uitgave mag zonder schriftelijke

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INHOUDSOPGAVE Paragrafen Inleiding... 1-4 Reikwijdte en doelstellingen van de interne audit... 5 Verhouding

Nadere informatie

Leeftijdbewust personeelsbeleid Ingrediënten voor een plan van aanpak

Leeftijdbewust personeelsbeleid Ingrediënten voor een plan van aanpak Leeftijdbewust personeelsbeleid Ingrediënten voor een plan van aanpak Inhoud Inleiding 3 Stap 1 De noodzaak vaststellen 4 Stap 2 De business case 5 Stap 3 Probleemverdieping 6 Stap 4 Actieplan 8 Stap 5

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Concept Communicatieplan

Concept Communicatieplan Concept Communicatieplan DATUM AUTEUR VERSIE Pagina 1 van 7 Inhoudsopgave 1 Inleiding... 3 1.1 Achtergrond... 3 1.2 Doelstelling... 3 1.3 Randvoorwaarden... 3 2 Communicatiestrategie... 4 2.1 Doelgroepen...

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

nemen van een e-depot

nemen van een e-depot Stappenplan bij het in gebruik nemen van een e-depot CONCEPT VOOR FEEDBACK Bijlage bij Handreiking voor het in gebruik nemen van een e-depot door decentrale overheden 23 juli 2015 Inleiding Dit stappenplan

Nadere informatie

Wat zijn de succescriteria voor een partnership?

Wat zijn de succescriteria voor een partnership? Wat zijn de succescriteria voor een partnership? Chemical Power Oil & Gas Wie zijn wij Arno Gerrets Agrifirm Manager Techniek Maries van Aert Stork Technical services Consultancy Manager Onderhoud en Investeringen

Nadere informatie

Key success actors. De rol van middenmanagement bij strategische veranderingen. Onderzoek door Turner en de Rotterdam School of Management

Key success actors. De rol van middenmanagement bij strategische veranderingen. Onderzoek door Turner en de Rotterdam School of Management Key success actors De rol van middenmanagement bij strategische veranderingen Onderzoek door Turner en de Rotterdam School of Management 1 Key success actors De rol van middenmanagement bij strategische

Nadere informatie

VOOR BESTUREN EN ORGANISATIES. Presentatie door: Kristel Van Ael, Namahn Caroline Van Cauwelaert, Yellow Window

VOOR BESTUREN EN ORGANISATIES. Presentatie door: Kristel Van Ael, Namahn Caroline Van Cauwelaert, Yellow Window VOOR BESTUREN EN ORGANISATIES Presentatie door: Kristel Van Ael, Namahn Caroline Van Cauwelaert, Yellow Window AGENDA WAT IS SERVICE DESIGN? OVER DEZE TOOLKIT HOE KUN JE DEZE TOOLKIT GEBRUIKEN? TOOLKIT

Nadere informatie

Maturity Matrix Duurzame Logistiek voor (potentiële) Lean & Green Awardwinnaars. Beschrijving & case

Maturity Matrix Duurzame Logistiek voor (potentiële) Lean & Green Awardwinnaars. Beschrijving & case Duurzame Logistiek voor (potentiële) Lean & Green Awardwinnaars Beschrijving & case Inhoud Inhoud beschrijving Kern van de tool Aanpak Mensen & middelen Resultaat Case beschrijving / best practice Toepassing

Nadere informatie

Jade Beheer. Communicatieplan CO 2 Prestatieladder 3.C.1. 3.C.2 Invalshoek C: Transparantie Handboek CO2 Prestatieladder, versie 2.2 / 3.

Jade Beheer. Communicatieplan CO 2 Prestatieladder 3.C.1. 3.C.2 Invalshoek C: Transparantie Handboek CO2 Prestatieladder, versie 2.2 / 3. Jade Beheer Communicatieplan CO 2 Prestatieladder 3.C.1. 3.C.2 Invalshoek C: Transparantie Handboek CO2 Prestatieladder, versie 2.2 / 3.0 Document : Communicatieplan CO 2-prestatieladder Auteur : Jade

Nadere informatie

Competentieprofiel. Instituut voor Interactieve Media. Competentieprofiel studenten Instituut voor Interactieve Media vastgesteld juni 2006

Competentieprofiel. Instituut voor Interactieve Media. Competentieprofiel studenten Instituut voor Interactieve Media vastgesteld juni 2006 Competentieprofiel Instituut voor Interactieve Media Competentieprofiel studenten Instituut voor Interactieve Media vastgesteld juni 2006 Aangepast in maart 2009 Inleiding De opleiding Interactieve Media

Nadere informatie

Sociale veiligheid binnen het onderwijs

Sociale veiligheid binnen het onderwijs Sociale veiligheid binnen het onderwijs Door een brede benadering is een systematische totaalaanpak van de veiligheidsproblematiek in en rond scholen mogelijk. Die focust niet alleen op de school, maar

Nadere informatie

Rapport over het werkprofiel van Software engineer (sr)

Rapport over het werkprofiel van Software engineer (sr) Rapport over het werkprofiel van Software engineer (sr) Identificatienummer: Publicatiedatum: 19 november 2015 Leeswijzer Dit rapport omschrijft het werkprofiel van 'Software engineer (sr)' zoals die door

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

De Uitdagingen van Mobiele Apparaten Managen

De Uitdagingen van Mobiele Apparaten Managen Kaseya Onderzoek De Uitdagingen van Mobiele Apparaten Managen 2011 www.kaseya.nl Over dit rapport In dit rapport worden de resultaten gepresenteerd van een onderzoek dat door Kaseya is geïnitieerd en uitgevoerd

Nadere informatie

Procestool; sleutel tot succes?

Procestool; sleutel tot succes? Procestool; sleutel tot succes? Gerard Hebenaar Gerard Hebenaar Adviesgilde 1 Even voorstellen.. Gerard Hebenaar Bedrijfskunde Adviesvaardigheden 15 jaar ervaring in de consultancy Verkoop en advies van

Nadere informatie

INHOUDSOPGAVE Gezamenlijk in één dag a Rough Guide to CSR schrijven

INHOUDSOPGAVE Gezamenlijk in één dag a Rough Guide to CSR schrijven INHOUDSOPGAVE Gezamenlijk in één dag a Rough Guide to CSR schrijven Stel je voor: CSR is het land dat je wilt bezoeken. Je pakt als eerste de Rough Guide om je in te lezen Hoofdstuk 1: CSR entry requirements

Nadere informatie

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006 Bart de Wijs Stappen ze bij u ook gewoon door de achterdeur binnen? All rights reserved. 5/17/2006 IT Security in de Industrie FHI 11 Mei 2006 Achterdeuren? Heeft u ook: Slide 2 Van die handige USB memory

Nadere informatie

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM De tijd dat MVO was voorbehouden aan idealisten ligt achter ons. Inmiddels wordt erkend dat MVO geen hype is, maar van strategisch belang voor ieder

Nadere informatie

Meer Business mogelijk maken met Identity Management

Meer Business mogelijk maken met Identity Management Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent

Nadere informatie

FUNCTIEFAMILIE 5.3 Projectmanagement

FUNCTIEFAMILIE 5.3 Projectmanagement Doel van de functiefamilie Leiden van projecten en/of deelprojecten de realisatie van de afgesproken projectdoelstellingen te garanderen. Context: In lijn met de overgekomen normen in termen van tijd,

Nadere informatie

MVO-PROFIEL Bedrijf X

MVO-PROFIEL Bedrijf X MVO-PROFIEL Bedrijf X 2008 BouwMVO De in deze uitgave vermelde gegevens zijn strikt vertrouwelijk en alle hierop betrekking hebbende auteursrechten, databankrechten en overige (intellectuele) eigendomsrechten

Nadere informatie

Klachten en Meldingen. Managementdashboard

Klachten en Meldingen. Managementdashboard Welkom bij de demonstratie van het Welkom bij de systeem demonstratie van Welkom bij de systeem demonstratie van het Management Klachten en Meldingen System Managementdashboard Systemen van Inception Borgen

Nadere informatie

Workshop De preventiemedewerker neemt de leiding, 25 oktober 2012

Workshop De preventiemedewerker neemt de leiding, 25 oktober 2012 Workshop De preventiemedewerker neemt de leiding, 25 oktober 2012 Uitwerking van de resultaten, 6 nov. 2012 Pieter Diehl (Voorzitter BvAA en Management & Consultant bij Edux te Breda, pdiehl@edux.nl) Jos

Nadere informatie

Samen werken aan betere zorg. Handreiking voor begeleiding van cliëntenraden betrokken bij verbetertrajecten

Samen werken aan betere zorg. Handreiking voor begeleiding van cliëntenraden betrokken bij verbetertrajecten Samen werken aan betere zorg van cliëntenraden betrokken bij verbetertrajecten INHOUDSOPGAVE Inleiding... 3 Participatie van cliënten... 4 De rol van de cliëntenraad in verbetertrajecten... 6 Het stappenplan:

Nadere informatie

CO₂ Prestatieladder - Communicatieplan

CO₂ Prestatieladder - Communicatieplan 2015 CO₂ Prestatieladder - Communicatieplan Goedgekeurd door: H. van Wijk Auteurs: Y. van der Vlies & L. van Wijk Bedrijf: H. van Wijk transport- en Handtekening: aannemersbedrijf & H. van Wijk bestrating

Nadere informatie

Risico Reductie Overzicht

Risico Reductie Overzicht Risico Reductie Overzicht Handleiding Auteurs Hellen Havinga en Olivier Sessink Datum 7 juli 2014 Versie 1.0 Inhoudsopgave 1.Risico Reductie Overzicht in vogelvlucht...4 2.Wie kan Wat met een Risico Reductie

Nadere informatie

Het stuurmodel voor een opdrachtgever

Het stuurmodel voor een opdrachtgever Het stuurmodel voor een opdrachtgever Ir. Derk K. Kremer 1. Inleiding In één van mijn eerdere artikelen heb ik al aangegeven dat de rol van opdrachtgever op zich geen moeilijke rol is. Voor een ervaren

Nadere informatie

04 Support staff training

04 Support staff training Het introduceren van referentiekaders voor kwaliteitsborging op het gebied van beroepsonderwijs en training (VET) is de afgelopen jaren tot een prioriteit uitgegroeid. Tijdens de vroege stadia van de ontwikkeling

Nadere informatie

Thier Software Development Onze werkwijze

Thier Software Development Onze werkwijze Thier Software Development TSD is sinds 1995 actief op de markt voor software ontwikkeling. Wij hebben de juiste combinatie van ervaren mensen die hun sporen in het bedrijfsleven hebben verdiend en jonge,

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

COMMUNICATIEPLAN CO₂ REDUCTIE TIMMERHUIS GROEP

COMMUNICATIEPLAN CO₂ REDUCTIE TIMMERHUIS GROEP COMMUNICATIEPLAN CO₂ REDUCTIE TIMMERHUIS GROEP 1. INLEIDING Dit communicatieplan is opgesteld in het kader van de CO₂ prestatieladder en het bewustwordingsproces van de CO₂ uitstoot van de Timmerhuis Groep.

Nadere informatie

Proces afspraken na implementatie WaaS

Proces afspraken na implementatie WaaS Proces afspraken na implementatie WaaS versie: 1.0 datum: April 2013 auteur: Beheer en Implementatie BNL Versiebeheer Versie Datum Status Auteurs Opmerkingen 1.0 18-4-2013 Definitief Pascal Navarro en

Nadere informatie

Wat is Sales Benchmarking?

Wat is Sales Benchmarking? benchmarking Wat is Sales Benchmarking? Sales Benchmarking vergelijkt de belangrijkste Sales prestatie indicatoren van uw organisatie met die van uw directe- en indirecte concurrenten. Benchmarking vindt

Nadere informatie

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Programma 1. De IBD 2. stappenplan Aansluiten bij de IBD 3. VCIB-gesprek (plenair) 2 1.1 De IBD Gezamenlijk initiatief

Nadere informatie

Verborgen gebreken in de defence in depth theorie

Verborgen gebreken in de defence in depth theorie Verborgen gebreken in de defence in depth theorie Iedere beveiligingsprofessional kent waarschijnlijk het schillenconcept. Dit staat bekend onder verschillende benamingen zoals defence in depth of layers

Nadere informatie

Medewerker interne dienst. Persoonlijke effectiviteit: 2. Accuratesse

Medewerker interne dienst. Persoonlijke effectiviteit: 2. Accuratesse Persoonlijke effectiviteit: 2. Accuratesse Werkt gedurende langere periode nauwkeurig en zorgvuldig, met oog voor detail, gericht op het voorkómen van fouten en slordigheden, zowel in eigen als andermans

Nadere informatie

Test naam Marktgerichtheidsscan Datum 28-8-2012 Ingevuld door Guest Ingevuld voor Het team Team Guest-Team Context Overige

Test naam Marktgerichtheidsscan Datum 28-8-2012 Ingevuld door Guest Ingevuld voor Het team Team Guest-Team Context Overige Test naam Marktgerichtheidsscan Datum 28-8-2012 Ingevuld door Guest Ingevuld voor Het team Team Guest-Team Context Overige Klantgerichtheid Selecteren van een klant Wanneer u hoog scoort op 'selecteren

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

crisishulpverlening bedrijfsmaatschappelijk werk verzuim aanpak re-integratie teambalans het nieuwe leidinggeven trainingen

crisishulpverlening bedrijfsmaatschappelijk werk verzuim aanpak re-integratie teambalans het nieuwe leidinggeven trainingen crisishulpverlening bedrijfsmaatschappelijk werk verzuim aanpak re-integratie teambalans het nieuwe leidinggeven trainingen Zinthese Plus is een bureau gespecialiseerd in het gedrag van mensen in hun werkomgeving.

Nadere informatie

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan.

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan. ISO 9001:2015 ISO 9001:2008 Toelichting van de verschillen. 1 Scope 1 Scope 1.1 Algemeen 4 Context van de organisatie 4 Kwaliteitsmanagementsysteem 4.1 Inzicht in de organisatie en haar context. 4 Kwaliteitsmanagementsysteem

Nadere informatie

www.ludenstraining.nl Trainingen voor Young Professionals

www.ludenstraining.nl Trainingen voor Young Professionals www.ludenstraining.nl Trainingen voor Young Professionals Rendement van talent Porties VAN GOED NAAR Ludens Talentontwikkeling is een jong trainingsbureau met veel ervaring. Wij zijn gespecialiseerd in

Nadere informatie

Doe eens gek! Houd rekening met de mensen in uw organisatie bij het implementeren van ICT oplossingen.

Doe eens gek! Houd rekening met de mensen in uw organisatie bij het implementeren van ICT oplossingen. Doe eens gek! Houd rekening met de mensen in uw organisatie bij het implementeren van ICT oplossingen. ERP, CRM, workflowmanagement en documentmanagement systemen, ze hebben één ding gemeen: Veel van de

Nadere informatie

Opleiding. Praktijkmanagement in de huisartsenzorg Dé opleiding voor en door praktijkmanagers van morgen. www.huisartsvanmorgen.nl.

Opleiding. Praktijkmanagement in de huisartsenzorg Dé opleiding voor en door praktijkmanagers van morgen. www.huisartsvanmorgen.nl. Opleiding Periode maart t/m juni 2016 11 modules verdeeld over 6 lesdagen Locatie Bergse Bossen in Driebergen www.huisartsvanmorgen.nl P R A K T I J K M A N A G E M E N T De opleiding tot praktijkmanager

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Security Starts With Awareness

Security Starts With Awareness Security Starts With Awareness Think Secure Think Secure is in 2003 opgericht met het doel organisaties te ondersteunen met kennis en diensten die: 1.Het bewustzijn m.b.t. informatie- en ICT beveiliging

Nadere informatie

In 10 stappen van project naar effect!

In 10 stappen van project naar effect! In 10 stappen van project naar effect! een handleiding voor slim zorgen > Betrek de belangrijke sleutelpersonen > Stel projectteam samen & kies pilotteams > Screen de huidige situatie > Organiseer een

Nadere informatie

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 ISO Revisions Nieuw en herzien Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 Inleiding Dit document maakt een vergelijking tussen ISO 9001:2008 en de Final Draft International

Nadere informatie

Praktijkvoorbeelden en w aarom ISO

Praktijkvoorbeelden en w aarom ISO Softw are Asset Management Praktijkvoorbeelden en w aarom ISO Rogier van Kuijk Sof tw are Asset Manager Nederland in 1850 NS nu (jaarverslag 2013) 406 5.200 32.155 250.000 1.200.000-43.000.000-64.000.000

Nadere informatie

EEN MEERJARIG BELEIDSPLAN MET SMART DOELSTELLINGEN

EEN MEERJARIG BELEIDSPLAN MET SMART DOELSTELLINGEN VOORBEELD VEILIGHEIDSPLAN EEN MEERJARIG BELEIDSPLAN MET SMART DOELSTELLINGEN Hieronder ziet u de hoofdstukken en paragrafen van het veiligheidsplan. Per paragraaf ziet u welke informatie u moet geven.

Nadere informatie

Toets uw eigen continuïteitsplan

Toets uw eigen continuïteitsplan Inspectiebericht Inspectie Openbare Orde en Veiligheid Jaargang 6, nummer 1 (maart 2010) 9 Toets uw eigen continuïteitsplan Deze vragenlijst is een gecomprimeerde en op onderdelen aangepaste versie van

Nadere informatie

De nieuwe ISO norm 2015 Wat nu?!

De nieuwe ISO norm 2015 Wat nu?! De nieuwe ISO norm 2015 Wat nu?! Stichting QualityMasters Nieuwland Parc 157 3351 LJ Papendrecht 078-3030060 info@qualitymasters.com www.qualitymasters.com 02-2015 Inhoud Inleiding pagina 3 Van Oud naar

Nadere informatie

BCM Volwassenheid. Het VKA BCM Maturity Model. 15-02-2006 Steven Debets

BCM Volwassenheid. Het VKA BCM Maturity Model. 15-02-2006 Steven Debets BCM Volwassenheid Het VKA BCM Maturity Model 15-02-2006 Steven Debets Inhoud Aanleiding BCM Maturity model en Quick Scan Resultaten Marktscan 2 3 4 Effectieve implementatie; Een goede blauwdruk als basis.

Nadere informatie

EFP CONGRES 'THE FUTURE OF FORENSIC CARE, SOLUTIONS WORTH SHARING' MANAGEMENT IN PROGRESS WOUTER TEN HAVE 7 JUNI 2012. 29 mei 2012

EFP CONGRES 'THE FUTURE OF FORENSIC CARE, SOLUTIONS WORTH SHARING' MANAGEMENT IN PROGRESS WOUTER TEN HAVE 7 JUNI 2012. 29 mei 2012 EFP CONGRES 'THE FUTURE OF FORENSIC CARE, SOLUTIONS WORTH SHARING' 1 MANAGEMENT IN PROGRESS WOUTER TEN HAVE 7 JUNI 2012 2 DE STRATEGY-TO-PERFORMANCE GAP (MANKINS EN STEELE) 3 37% Gemiddelde prestatie verliezen

Nadere informatie

Het Nieuwe Werken: Transitie van Controle naar Vertrouwen

Het Nieuwe Werken: Transitie van Controle naar Vertrouwen Het Nieuwe Werken: Transitie van Controle naar Vertrouwen Het Nieuwe Werken (HNW) is een van de meest populaire trends op het gebied van organisatieontwikkeling van de laatste jaren; meer dan een kwart

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Procesmanagement. Hoe processen beschrijven. Algra Consult

Procesmanagement. Hoe processen beschrijven. Algra Consult Procesmanagement Hoe processen beschrijven Algra Consult Datum: juli 2009 Inhoudsopgave 1. INLEIDING... 3 2. ORGANISATIE VAN PROCESMANAGEMENT... 3 3. ASPECTEN BIJ HET INRICHTEN VAN PROCESMANAGEMENT...

Nadere informatie

Integraal risicomanagement

Integraal risicomanagement Samenvatting Integraal risicomanagement in 40 Nederlandse ziekenhuizen Inhoud Inleiding 3 Onderzoeksvragen 3 Integraal risicomanagement onvoldoende beschreven 4 Aanbevelingen 5 Over VvAA 7 2 VvAA Risicomanagement

Nadere informatie

Communicatieplan [3.C.2] HOOIJER Renkum B.V. HOOIJER Wegenbouw B.V. Versie d.d. 5-6-2015

Communicatieplan [3.C.2] HOOIJER Renkum B.V. HOOIJER Wegenbouw B.V. Versie d.d. 5-6-2015 Communicatieplan [3.C.2] HOOIJER Renkum B.V. HOOIJER Wegenbouw B.V. Versie d.d. 5-6-2015 Inhoudsopgave Nr. Titel Pagina 1. Inleiding 3 2. Eisen vanuit de CO2 prestatieladder 3 3. Communicatiedoelstellingen

Nadere informatie

Communicatieplan CO 2 -reductie

Communicatieplan CO 2 -reductie Communicatieplan CO 2 -reductie Heerenveen, 8 februari 2012 Auteur(s): G. Schoemaker Geaccordeerd door: Directeur C O L O F O N Het format voor dit communicatieplan is opgesteld door Stichting Stimular.

Nadere informatie

Dia 1. Dia 2. Dia 3 WORKSHOP PRESTATIEGERICHT STUREN. Aanleidingen voor KPI s KPI. Beleid. Proces KPI KPI. Risico. Beleid en indicatoren

Dia 1. Dia 2. Dia 3 WORKSHOP PRESTATIEGERICHT STUREN. Aanleidingen voor KPI s KPI. Beleid. Proces KPI KPI. Risico. Beleid en indicatoren Dia 1 WORKSHOP PRESTATIEGERICHT STUREN Verbeteren door prestaties Dia 2 Aanleidingen voor KPI s Beleid Proces KPI KPI Risico KPI Dia 3 Beleid en indicatoren Dia 4 Beleid en indicatoren Definities Kritische

Nadere informatie

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31 613380036 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie Postbus

Nadere informatie

Vernieuwing geeft méér waarde aan medezeggenschap

Vernieuwing geeft méér waarde aan medezeggenschap 10 Vernieuwing geeft méér waarde aan medezeggenschap Vernieuwing geeft méér waarde aan medezeggenschap Kim van der Hoeven 1. Inleiding Ontwikkelingen in maatschappij en samenleving denk met name aan de

Nadere informatie

Strategisch Opleidingsbeleid

Strategisch Opleidingsbeleid Strategisch Opleidingsbeleid Achtergrondinformatie en tips om zelf aan de slag te gaan In deze handreiking vindt u de volgende onderwerpen: Wat is strategisch opleidingsbeleid? Hoe komt u tot strategisch

Nadere informatie

VOOR BESTUREN EN ORGANISATIES. Presentatie door: Caroline Van Cauwelaert, Yellow Window Joep Paemen, Namahn

VOOR BESTUREN EN ORGANISATIES. Presentatie door: Caroline Van Cauwelaert, Yellow Window Joep Paemen, Namahn VOOR BESTUREN EN ORGANISATIES Presentatie door: Caroline Van Cauwelaert, Yellow Window Joep Paemen, Namahn AGENDA WIE ZIJN WIJ? WAT IS SERVICE DESIGN? WAAROM EEN TOOLKIT? EEN CASE IN RIJKEVORSEL? WIE ZIJN

Nadere informatie

Project Portfolio Management Altijd en overal inzicht PMO

Project Portfolio Management Altijd en overal inzicht PMO Project Portfolio Management Altijd en overal inzicht PMO Een eenvoudige en toegankelijke oplossing Thinking Portfolio is een snel te implementeren software applicatie. Een krachtig web-based hulpmiddel

Nadere informatie

Het Management Skills Assessment Instrument (MSAI)

Het Management Skills Assessment Instrument (MSAI) Het Management Skills Assessment Instrument (MSAI) Het zelfbeoordelingsformulier Het doel van deze evaluatie is om u te helpen bij het bepalen van de belangrijkste aandachtsvelden van uw leidinggevende

Nadere informatie

Gandhitraining. Ongekende effecten in de praktijk

Gandhitraining. Ongekende effecten in de praktijk Gandhitraining Ongekende effecten in de praktijk Van persoonlijk naar inspirerend leiderschap Wil je jouw persoonlijke leiderschap verdiepen tot inspirerend leiderschap; je ambities vormgeven en anderen

Nadere informatie

Beleid en implementatie aanpak ouderenmishandeling.

Beleid en implementatie aanpak ouderenmishandeling. Beleid en implementatie aanpak ouderenmishandeling. 1. Sociaal beleid in breder verband Ontwikkelen beleid: een complex proces Het ontwikkelen en implementeren van beleid voor preventie en aanpak van grensoverschrijdend

Nadere informatie

Business. IT in charge. Met resultaten CIO Survey en 9 CIO s aan het woord. Analytics

Business. IT in charge. Met resultaten CIO Survey en 9 CIO s aan het woord. Analytics Business Analytics IT in charge Met resultaten CIO Survey en 9 CIO s aan het woord Informatie is van en voor mensen CIO speelt belangrijke rol in nieuw spanningsveld Door Guus Pijpers Een van de eerste

Nadere informatie

Contractmanagement en contractbeheer

Contractmanagement en contractbeheer Ir. ing. D. Mostert, DME Advies If you are not in control of your contracts, you are not in control of your business (Gartner) Uitbesteding op diverse gebieden neemt een grote vlucht. Steeds vaker wordt

Nadere informatie

Communicatieplan [3.C.2] HOOIJER Renkum B.V. HOOIJER Wegenbouw B.V.

Communicatieplan [3.C.2] HOOIJER Renkum B.V. HOOIJER Wegenbouw B.V. Communicatieplan [3.C.2] HOOIJER Renkum B.V. HOOIJER Wegenbouw B.V. Versie d.d. 11-7-2013 Geactualiseerd d.d. 04-10-2013 Geactualiseerd d.d. 09-05-2014 Inhoudsopgave Nr. Titel Pagina 1. Inleiding 3 2.

Nadere informatie