Bewustwording van cybersecurity

Maat: px
Weergave met pagina beginnen:

Download "Bewustwording van cybersecurity"

Transcriptie

1 2015 Bewustwording van cybersecurity

2 Deze rapportage is het resultaat van een samenwerkingsverband van energie- en nutsbedrijven. De volgende personen zijn bereikbaar voor vragen: Naam Organisatie Telefoon adres Laurent Bontje Attero Barend de Lange Delta/ Zeelandnet Erik Maranus Delta Marjolein Reezigt Oasen Aafke Huijbens Westland Infra

3 1 Inhoud 1 Inhoud Waarom een cybersecurity awareness plan? Risico s Risico s vertalen naar uw organisatie Vertrekpunt Probleemanalyse Gedragsanalyse Resultaten enquête Conclusie over alle doelgroepen Volwassenheid van organisaties CrossOver Security Awareness Model Korte beschrijving model Betrokken partijen Uitwerking stappenplan tactische activiteiten Uitwerking stappenplan operationele activiteiten Voorbeeld operationeel jaarplan Voorbeeld tactisch jaarplan Jaar BIJLAGE 1 Middelen en strategieën Bijlage 2: Strategie en voorgestelde middelen... 15

4 2 Waarom een cybersecurity awareness plan? Door de digitalisering worden organisaties steeds afhankelijker van het internet en digitale systemen. Dit maakt ze kwetsbaar voor cyberaanvallen en menselijke- en technische fouten. Het inzetten van ICT-oplossingen is niet meer voldoende om de v.0eiligheid te kunnen waarborgen. NU.NL: Door een grootschalige hack bij Sony Pictures belandde onlangs veel gevoelige gegevens op straat. Onder andere s en wachtwoorden van verschillende medewerkers en filmsterren lekten uit. NRC.NL: Criminelen hebben het DigiD-account van zeker 150 Amsterdammers gehackt. Hierdoor konden de criminelen onder meer uitkeringen en toeslagen die voor inwoners van Amsterdam-Zuidoost waren bestemd op hun eigen rekening laten storten. Dit zijn slechts enkele voorbeelden van uitdagingen op het gebied van cybersecurity. Organisaties zien het inzetten van ICT oplossingen en voorschriften voor personeel vaak als de manier om zich te beschermen tegen cyberaanvallen. Wat niet wordt gerealiseerd, is dat de effectiviteit van deze oplossingen en voorschriften staat of valt met de manier waarop medewerkers ze toepassen. Medewerkers hebben soms creatieve manieren van omgaan met deze oplossingen en voorschiften en ketting is zo sterk als zijn zwakste schakel. Hierdoor beïnvloedt het gedrag van medewerkers sterk de effectiviteit van de ICT oplossingen en de regels. Figuur 1: NOS printscreen op Bijvoorbeeld: verschillende organisaties hebben een standaard tijdslimiet op de geldigheid van een wachtwoord zodat medewerkers (eindgebruikers) verplicht zijn om het wachtwoord te vernieuwen. Een veel gebruikte reactie van medewerkers is een wachtwoord slechts minimaal aanpassen (toevoegen van een cijfer aan het einde, of opwaarderen van het gebruikte cijfer). Het menslijkgedrag zorgt er in dit voorbeeld voor dat het middel niet tot het gewenste resultaat leidt. Voor elk bedrijf kan een cyberaanval voor grote problemen zorgen. Bij de vitale sector kunnen deze problemen zelfs voor grote ontzetting van de samenleving zorgen. Bijvoorbeeld doordat delen van Nederland zonder water, gas, stroom, communicatiemiddelen of afvalverwerking komen te staan. Daarom focust dit onderzoek zich op de bedrijven in de vitale sector. Doelstelling Dit rapport brengt advies uit over hoe een cybersecurity awareness jaarplan kan worden opgebouwd. Dit plan heeft als doel om binnen één jaar het bewustzijn van cybersecurity onder alle medewerkers naar een hoger niveau te brengen, zodat medewerkers veiliger digitaal gedrag vertonen. Het jaarplan is gebaseerd op een operationeel stappenplan bestaand uit vijf verschillende stappen om tot de juiste strategieën voor de in te zetten middelen te komen. Daarnaast is er een stappenplan in opgenomen voor het bepalen en verhogen van het volwassenheidsniveau van de organisatie (tactische acties). Met behulp van de verzamelde gegevens tijdens dit onderzoek zijn de eerste drie stappen van het operationeel stappenplan uitgewerkt. Voor stap vier en vijf worden in dit rapport de benodigde handvatten aangereikt. Hierdoor is het mogelijk om op korte termijn te beginnen met het verhogen van het bewustzijn van cybersecurity. Herhaling van het stappenplan is van groot belang om te blijven groeien in de volwassenheid van een organisatie op het gebied van cybersecurity.

5 3 Risico s Bedrijven in de vitale sector voeren risico gebaseerd management uit, elk bedrijf op een bij het bedrijf passende manier. Dit advies richt zich op alle bedrijven in de vitale sector, daarom is er gekozen om een overzicht te maken van de mogelijke risico s rond cybersecurity (niet uitputtend). Individuele bedrijven kunnen, gebaseerd op hun eigen bedrijfsvoering, hun eigen afweging maken in de prioritering van de risico s. Effecten op de asset: Het doorvoeren van wijzigingen in systemen die toegang hebben tot de aansturing van assets. Hiermee kunnen wijzigingen worden aangebracht in kritische onderdelen van de installatie. Bij een netwerkbedrijf kan bijvoorbeeld gedacht worden aan op afstand schakelen. Wijzigingen aanbrengen in gegevens zoals klantgegevens en aansluitingsgegevens. Wijzigingen aanbrengen in de secundaire installaties zoals beveiliging etc. Systeem onbruikbaar maken. Onterecht verwijderen/ missend raken van gegevens. Onbevoegden verkrijgen toegang tot werkstation. Inzien van gegevens uit datasystemen met vertrouwelijke informatie. Effecten op personeel, organisatie en klanten: Inzien van gegevens uit datasystemen met vertrouwelijke informatie van personeel en klanten, zoals digitale dossiers, adressen, financiële gegevens. etc. Aanpassingen in de financiën van het bedrijf. Effecten op naleving van wet-en regelgeving: Voor bedrijven in de vitale sectoren bestaan verschillende meldplichten voor het melden van ICT incidenten. Een digitale aanval kan leiden tot imagoschade. Niet voldoen aan telecommunicatiewet (Economische Zaken, 2014). Niet voldoen aan wet bescherming persoonsgegevens (Veiligheid en Justitie, 2014). Niet voldoen aan wet gegevensverwerking en meldplicht cybersecurity (Veiligheid en Justitie, 2015). evt. een boete van max bij nalatigheid Risico s vertalen naar uw organisatie Afwegingen in risicomanagement worden over het algemeen gebaseerd op de kans van optreden en het effect van een risico op de bedrijfsdoelen. Hierboven staan verschillende mogelijke effecten van een cybersecurity falen opgesomd die in meer of mindere mate voor ieder bedrijf in de vitale sector gelden. De effecten van cybersecurity falen moeten in eerste instantie vergeleken worden met de bedrijfsdoelstellingen (bijvoorbeeld door ze uit te drukken storingstijd of in financiële impact). Vervolgens hoort bij elk effect een bijpassende kans van optreden. Voor cybersecurity gerelateerde risico s is het afhankelijk van de volwassenheid van het bedrijf op het gebied van cybersecurity, wat de kans van optreden is (hoe minder volwassen de organisatie, des te hoger de kans van optreden). Aan de hand van de score van het risico (kans maal effect) bepaalt een bedrijf of een risico acceptabel is of niet. Komt hieruit dat één van de cybersecurity risico s onacceptabel is, dan moeten er maatregelen genomen worden door het inzetten van verschillende middelen in het bedrijf. 1 Nog niet goedgekeurd, is een wetsvoorstel.

6 4 Vertrekpunt Mensen laten zich leiden door allerlei gewoonten, automatismen en verleidingen uit hun omgeving. Dat maakt gedrag, zoals het verantwoord omgaan met digitale veiligheid, moeilijk te sturen. Daarom is het belangrijk niet gelijk in de middelenmodus te schieten, maar eerst te onderzoeken welke factoren het gedrag bepalen, wat het gewenste gedrag is en daar gericht de strategie op aan te passen. Het bepalen van de strategie is gebaseerd op CASI. 2 Dit is een campagnestrategie-instrument dat bestaat uit drie stappen: Probleemanalyse Gedragsanalyse Strategie aanpak In de probleem- en gedragsanalyse zijn het huidige gedrag van medewerkers in de vitale sector en het gewenste gedrag bepaald. De weg van het huidige gedrag tot het gewenste gedrag noemen we in dit onderzoek de beïnvloeding. Deze beïnvloeding gebeurt op basis van kennis van de gedragsbepalers, bestaande middelen en de strategie die wordt bepaald door de gedragsbepalers en middelen (gevisualiseerd in figuur ). Figuur 1: Fundering onderzoek 5 Probleemanalyse Ten grondslag aan de probleemanalyse ligt het onderzoek van GFK (bewustwording, gedrag en de benodigde informatie rondom cybersecurity) in combinatie met onderzoek van SANS (Vijver, 2014; Spitzner) en interviews met verschillende experts binnen- en buiten de participerende organisaties. Hieruit is gebleken dat medewerkers van de vitale sector onbewust ongewenst gedrag tonen bij het gebruik van: Wachtwoorden Openbaar Wi-Fi Delen van informatie Phishing Deze vier onderdelen noemen we in dit onderzoek pijlers. Gewenst gedrag Dit heeft geleid tot de gedragsambitie dat medewerkers van bedrijven in de vitale sector bewust gewenst gedrag gaan vertonen bij het gebruik van de bovengenoemde pijlers. 2 Campagnestrategie-instrument 3.0 van de Dienst Publiek en Communicatie (Heemskerk, Renes, Essen, Stinesen, & Gaalen, 2014).

7 Gedragsbepalers 6 Gedragsanalyse Daarnaast is het huidige gedrag van werknemers bij de vitale sectoren geanalyseerd. Er is gekeken op welk gedrag de organisaties zich het beste kunnen richten wanneer ze het bewuste gedrag bij de vier pijlers willen verhogen. Hiervoor zijn eerst de gedragsbepalers (zie tabel 1) in kaart gebracht: relevante factoren die het gedrag voor een belangrijk deel bepalen. Vervolgens is gekozen op welk van deze gedragsbepalers de campagne zich gaat richten en welke strategieën hier het beste bij passen. Tabel 1: Gedragsbepalers Kennis Persoonlijke relevantie/ Houding Kunnen Willen/ Intentie Gewoonte en automatismen Heeft de medewerker voldoende kennis om het gedrag uit te voeren? Vindt de medewerker het onderwerp relevant? Is de medewerker in staat het gedrag uit te voeren? Heeft de medewerker de intentie het gewenste gedrag uit te voeren Zijn er gewoonten en automatismen van invloed? 6.1 Resultaten enquête Onder de werknemers van de deelnemende bedrijven is een enquête gehouden om vast te stellen hoe de werknemers scoren op de volgende punten: verschillende gedragsbepalers; wat het huidige gedrag is; wat voor middelen er ter beschikking worden gesteld door de organisatie; waar behoefte aan is. In dit hoofdstuk wordt de verzamelde informatie over de gedragsbepalers en het huidige gedrag verwerkt. In bijlage 2 worden de strategieën gekoppeld aan de voorgestelde middelen. Deze informatie is gebaseerd op een tabellenboek dat bij de deelnemers is op te vragen (hierin is informatie terug te vinden toegespitst op doelgroepen per deelnemend bedrijf). In totaal hebben er van 321 medewerkers aan de enquête deelgenomen, de verdeling in percentages is weergegeven in grafiek 1. Grafiek 1: Deelname medewerkers aan enquête per bedrijf 5% 13% 23% Attero DELTA DNWG 24% Oasen 35% Westland Infra

8 6.2 Conclusie over alle doelgroepen Uit de enquête blijkt dat het digitale veiligheidsbeleid vaak onbekend is bij medewerkers en dat ze vooral behoefte hebben aan voorlichting op het gebied van het veilig opslaan van wachtwoorden, het veilig delen van informatie en phishing. Daarnaast hebben de medewerkers verschillende middelen gerankt. Ze geven aan het liefst een online cursus te volgen, gevolgd door het bekijken van een online video, een digitale nieuwsbrief, een cursus door een docent, een computerspel/simulatie, met als hekkensluiter de lunchlezing. Overige algemene conclusies die uit de enquête zijn gekomen: Hoe hoger de opleiding van de medewerkers, hoe groter de behoefte aan informatie over informatie beveiliging; Oudere medewerkers lezen liever een nieuwsbrief dan jarigen; ICT medewerkers vinden dat er aandacht aan phishing en omgang met onveilige mail wordt besteed, maar de rest vindt dat niet. 7 Volwassenheid van organisaties De volwassenheid van de organisatie is een belangrijk component in cybersecurity awareness. Het volwassenheidsniveau bepaalt welke acties het meest effectief zijn. Hieronder zijn de niveaus aangegeven waarin een organisatie zich kan bevinden, gebaseerd op de SANS methodiek. 1) Geen awareness programma Er is geen awareness programma; medewerkers weten niet wat de risico s zijn van cyberaanvallen. 2) Gericht op voldoen aan wet- en regelgeving Awareness programma is vooral gericht op het voldoen aan normatieve en wettelijke eisen, zoals de Wet Bescherming Persoonsgegevens, ISO27001 en andere internationale normen. Training is beperkt tot jaarlijks, of ad hoc en het niveau van medewerkers varieert. 3) Uitdragen van awareness en verandering Awareness programma is gericht op maximale bijdrage aan organisatorische doelstellingen. Op dit niveau zijn stakeholders in beeld gebracht en is een beslisorgaan ingericht. Er zijn ook duidelijke plannen en leerdoelen gedocumenteerd en afgestemd. 4) Borging in de organisatiecultuur Informatiebeveiliging is een gevestigd onderdeel van de organisatiecultuur. Dit ontstaat doordat mensen security incidenten ook actief melden en ze feedback wordt gevraagd op awareness acties. Werkwijzen t.a.v. security awareness zijn onderdeel van de gevestigde processen. 5) Meetbare bijdrage aan organisatie doelstellingen Programma heeft aan organisatiedoelstellingen gekoppelde metingen, waarop actief gestuurd wordt. ROI van programma is aantoonbaar. Nadere toelichting Gericht op voldoen aan wet- en regelgeving Om dit level van awareness te bereiken moet minimaal geïnventariseerd zijn welke wet- en regelgeving en normen er van toepassing zijn die ook awareness vereisen. Bijvoorbeeld: wanneer uw bedrijf ISO27001 gecertificeerd is, moet er ook sprake zijn van awareness training. Hetzelfde geldt wanneer uw bedrijf moet voldoen aan andere internationale standaarden. Naast de inventarisatie, moet ook de training voldoen aan de eisen en dient er een rapportage te bestaan wie de training wel en niet heeft gevolgd. Uitdragen van awareness & verandering Dit level van volwassenheid onderscheidt zich door een meer structurele aanpak van awareness. Op dit niveau dienen stakeholders geïnventariseerd te zijn en hebben deze bijdrage geleverd aan het opstellen van een awareness programma. Er zijn op dit niveau ook normen gesteld waaraan awareness bij medewerkers moet voldoen en een plan van aanpak hoe dit te bereiken. Ook is een besluitvormend orgaan actief die budget en inhoudelijk akkoord verstrekt aan het plan. Tot slot wordt het awareness plan ook actief uitgedragen door het hoogste management.

9 Borging in de cultuur In deze fase worden ook omgevingsvariabelen meegenomen in het plan van aanpak. Om dit volwassenheidsniveau te bereiken, is het van belang dat wijzigende omstandigheden in techniek, organisatie, producten en dreigingen worden gecommuniceerd of worden verwerkt in de aanpak, zodra deze bekend zijn. Er wordt actief om feedback gevraagd en deze wordt verwerkt in het programma. Jaarlijks worden organisatiedoelen verwerkt in het plan. Door de hoge mate van integratie met de organisatie is het duidelijk onderdeel van de organisatiecultuur. Meetbare bijdrage aan organisatie doelstellingen In dit hoogste volwassenheidsniveau is de awareness gekoppeld aan de organisatiedoelen en is inzichtelijk wat de bijdrage ervan is aan de doelen. Hiervoor is een duidelijk KPI framework opgesteld, waarover op afgesproken momenten aan de relevante stakeholders wordt gecommuniceerd. Afwijkende trends in KPI s kunnen verklaard worden. Een vaak voorkomende KPI is de mate waarin incidenten worden gemeld. 8 CrossOver Security Awareness Model Zoals te lezen is in voorgaande paragrafen zijn er diverse methoden en middelen te vinden op het gebied van cybersecurity awareness. Met het CrossOver team is een model uitgewerkt waarin alle elementen terugkomen. Het model is ontwikkeld met het oog op maximale praktische toepasbaarheid. Om deze reden gaan de komende twee hoofdstukken in op een voorbeeld jaarplan en de uitwerking. 8.1 Korte beschrijving model Door de bal te laten rollen, wordt duidelijk welke behoefte er onder de medewerkers is en welk gedrag ze laten zien. Deze informatie komt in de trechter samen met de middelen, waarna een beïnvloedingsstrategie wordt gekozen. De gekozen middelen en de daarbij horende strategie wordt uitgewerkt in een operationeel jaarplan. Door het uitvoeren van het jaarplan, wordt de organisatie steeds volwassener op het gebied van cybersecurity. Deze volwassenheid vereist ook in de besturing een andere aanpak. Deze niveaus van volwassenheid zijn eerder beschreven in hoofdstuk vier.

10 8.2 Betrokken partijen Uit dit onderzoek blijkt dat de verantwoordelijkheid voor cybersecurity awareness bij verschillende afdelingen wordt ondergebracht, of nog nergens is ondergebracht. Volgens de ISO (NEN, 2013) is de cybersecurity awareness een verantwoordelijkheid van de directie. Het advies is om de verantwoordelijkheid in ieder geval op te splitsen in: Tactische verantwoordelijkheid: verantwoordelijk voor het risico, strategie en het jaarplan. (bijv. ICT of asset eigenaar). Operationele verantwoordelijkheid: verantwoordelijk voor de uitvoering van de middelen/ maatregelen. (bijv. HR of communicatie). 8.3 Uitwerking stappenplan tactische activiteiten De in hoofdstuk vier genoemde volwassenheidsniveaus vereisen, hoe hoger de mate van volwassenheid, een steeds duidelijkere structuur en vastlegging van werkzaamheden. De tactische activiteiten zijn sturend voor de operationele activiteiten. Een aantal voorbeelden van tactische activiteiten zijn: Structureel bijhouden van nieuwe wetten en kaders. Dit vereist een goede afstemming met juridische afdeling. Toetsen van nieuwe producten aan wetten en kaders. Opstellen en bijhouden van actuele top 4 van security awareness risico s. Onderzoeken van nieuwe middelen en deze plotten in de middelenmatrix. Analyseren van resultaten uit awareness campagnes. In hoofdstuk zeven is een voorbeeldplan weergegeven hoe deze activiteiten in een jaarplan worden gezet. 8.4 Uitwerking stappenplan operationele activiteiten De methode voor een cybersecurity awareness campagne is in dit advies uitgewerkt. Het is een methode die opgebouwd is uit vijf verschillende stappen, waarvan de eerste drie tijdens dit onderzoek zijn uitgewerkt. Wanneer alle stappen doorlopen zijn, begint de methode weer bij stap 1 (cyclus van bijvoorbeeld één jaar, zie onderstaand figuur). Stap 1: Basislijst met beschikbare middelen aanvullen Er is een basislijst met middelen opgesteld (bijlage 1), elke cyclus wordt gekeken of deze nog up-to-date is. Eventuele nieuwe middelen worden toegevoegd en er wordt bepaald bij welke strategie(en) het middel het beste past. Voorbeeld: het middel nieuwsbrief past goed onder de strategie kennisoverdracht. Stap 2: Enquête afnemen en huidig gedrag en middelen evalueren Met de enquête wordt gekeken hoe de medewerkers scoren op de gedragsbepalers kennis, kunnen, willen (intentie) en persoonlijke relevantie. Dit wordt per pijler bekeken (wachtwoordgebruik, wifigebruik, veilig informatiedelen en phishing). Zo wordt een inschatting gemaakt welke gedragsbepalers ten grondslag liggen aan het huidige gedrag. Ook wordt er gekeken naar de populariteit van middelen. Daarna de enquête evalueren: Score gedragsbepalers per pijler Score populariteit van de middelen Stap 3: strategieën en daarbij passende middelen kiezen Aan de hand van de score op de gedragsbepalers worden vervolgens de strategieën gekozen en de daarbij horende middelen. Daarnaast geven de medewerkers aan welke middelen de voorkeur hebben. De middelen die uit enquête als populair komen, koppelen met de middelen die bij de gekozen strategieën horen. Hieruit volgt een lijst van toe te passen middelen.

11 Stap 4: jaarplan en middelen uitwerken De uiteindelijk gekozen middelen verwerken in het nieuwe security awareness jaarplan. De gekozen middelen laten uitwerken door de operationeel verantwoordelijke. Uitwerken kan betekenen dat intern een middel wordt ontwikkeld, of dat een middel wordt ingekocht bij een derde partij. Kijk voor de inhoudelijke invulling van de middelen naar drie zaken. Ten eerste welke strategie het meest aansluit bij het gedrag van de medewerkers. Waar wenselijk kunnen strategieën ook gecombineerd worden, bijvoorbeeld schaarste met gamification. Kijk ten tweede naar het volwassenheidsniveau van de organisatie, laat het middel dus inhoudelijk aansluiten bij het niveau van de medewerkers. Ten derde is het van belang om bij de inhoudelijke invulling te kijken naar de interne doelgroep. Zo kunnen bijvoorbeeld zowel kantoormedewerkers als buitendienstmedewerkers een online video krijgen, maar loont het om voor beiden groepen eigen voorbeelden in de video te verwerken. Stap 5: Aanbieden van de middelen aan de medewerkers De beïnvloeding van het gedrag van de medewerkers begint bij het aanbieden van de middelen. Per kwartaal kan gekozen worden om één of meerdere middelen in te zetten. Dit zal per organisatie verschillen, al zal er vaker voor het inzetten van één middel per kwartaal gekozen worden dan drie, om te voorkomen dat medewerkers teveel informatie krijgen. Figuur 2: Visualisatie stappenplan

12 9 Voorbeeld operationeel jaarplan Het voorbeeld jaarplan is een mogelijke invulling van stap 4 in het operationele stappenplan. De volgorde van behandeling van de verschillende pijlers is gebaseerd op de behoefte naar informatie die uit de enquête is gekomen. De strategieën zijn gekozen naar aanleiding van de scores op de gedragsbepalers per pijler. De in te zetten middelen zijn vervolgens gekozen aan de hand van de koppeling met de strategieën en de populariteit van het middel onder de medewerkers. 10 Voorbeeld tactisch jaarplan In hoofdstuk vier en vijf is toegelicht welke werkwijze er per volwassenheidsniveau wordt geadviseerd. In onderstaand voorbeeld is dit in een jaarplan ondergebracht. De snelheid waarmee de volwassenheid wordt verhoogd, verschilt per organisatie. Interpreteer het onderstaande voorbeeld daarom als indicatief. Jaar 1 Kick off Het is van belang dat het cybersecurity awareness programma gedragen en uitgedragen wordt door de directie, zodat medewerkers weten wat komt en dat het serieuze aangelegenheid is. Daarom is een algemeen kick-off moment in de vorm van een presentatie of een mailing wenselijk. Maand 1 In de eerste maand wordt een inventarisatie uitgevoerd op de geldende wet- en regelgeving en normen die awareness vereisen. De eisen hiervoor worden ondergebracht in de behoefte die ook uit de enquête is gekomen (stap 2 van de bal). De vereisten kunnen hiermee naadloos in het bestaande of in het nieuw te creëren awareness programma worden opgenomen.

13 Maand 2 en 3 Het doel is om meer gestructureerd te werken, daarom worden stakeholders geïdentificeerd. Er zijn twee maanden genomen voor het instellen van een stuurgroep/beslisorgaan. De groep levert zowel een bijdrage aan het plan, als ook de goedkeuring voor de uitvoering. Maand 4 tot 11 Omdat het awareness programma hier een belangrijke stap in volwassenheid omhoog zet, is het van belang dat het hoogste management start met het uitdragen van het awareness programma. Een grondige voorbereiding zorgt ervoor dat het management het programma niet alleen uitdraagt, maar het ook daadwerkelijk steunt. In deze maand wordt ook een start gemaakt met het structureel bijhouden van wijzigende omstandigheden die het programma beïnvloeden. Dit kan weten regelgeving zijn. Ook wijzigende technieken, middelen organisatorische wijzigingen of actuele dreigingen beïnvloeden het awareness programma. Maand 12 Om de bal te laten rollen is het verzamelen van feedback en het evalueren van de kritische procesindicatoren (KPI s) van belang. Dit kan vervolgens als input gebruikt worden in de operationele en tactische planning van het komende jaar. Jaar 2 Maand 1 Op basis van de eerste feedback van de awareness acties en gewijzigde omstandigheden wordt het programma herzien en bijgesteld. Vaak betekent dit dat een awareness plan wat eerder is opgesteld niet compleet wordt herzien, maar wel dat een middel of de aanpak wordt aangepast. Maand 6 Gedurende de planning en de controlcyclus worden nieuwe of bijgestelde organisatiedoelen vastgesteld. In het awareness programma worden deze doelen verwerkt. Resultaat hiervan is een bijgesteld awareness programma, die de organisatiedoelen meetbaar nastreeft. In deze fase van volwassenheid wordt er aan continue verbetering van het awareness programma gewerkt. Het eindresultaat is dat awareness een aantoonbare invloed heeft op het behalen van organisatiedoelstellingen.

14 geselecteerd kennis Persoonlijke relevantie / houding kunnen gewoonten en automatismen Willen / Intentie middel1 middel 2 middel 3 middel 4 middel 5 BIJLAGE 1 Middelen en strategieën Wanneer de enquête is uitgevoerd, komt uit de analyse de score op de gedragsbepalers. (In bijlage 2 is de score te zien van het in 2014 uitgevoerde onderzoek in het kader van dit CrossOver project.) Voorbeeld bij deze matrix: medewerkers scoren bij de pijler wachtenwoorden hoog op willen en kunnen én hebben in de enquête aangegeven dat een online middel hun voorkeur heeft. Er wordt dan in de onderstaande matrix gekeken welke strategieën daar goed op aansluiten, bijv: concreet handelingspersperspectief. In de matrix zie je welke middelen daarbij passen. In dit geval kan de organisatie bijvoorbeeld kiezen voor een e-learning. Goed is te realiseren dat verschillende strategieën gecombineerd kunnen worden en dat de scores op de gedragsbepalers niet altijd onderling enorm variëren. In dit laatste geval moet de organisatie beoordelen welk middel het meest geschikt is voor de situatie waar ze zich dan in bevinden. CASI 3.0 in relatie tot selectie werkingsmechanisme en middelen kennisoverdrag ja x x x (marketing visueel maken van gewenst gedrag nieuwsbrief lunchlezing intranet masterclass veiligheidsfilm concreet handelingsperspectief ja x x gedragscode e-learning nieuwe medewerker e-learning manager introductie tot gewenst implementatie intenties ja x x x gedrag master classes workshop Kludges ja x x mogelijkheid tot automatisch wifi verbinding uitzetten inzetten wachtwoordtool inzet complexere wachtwoorden interpersonelijke communicatie ja x x x repterend overleg leidinggevende als voorbeeld workshop injuctieve norm ja x goodies feedback nudge ja x x x mystery guest Phishing test Lock vd pc check usb test visueel maken gewenst descriptieve norm ja x x gedrag leidinggevende als voorbeeld gebruik van de boodschappers autoriteit ja x x enthousiaste medewerkers gamification ja x x x simulatie serious game battle game schaarste ja x I-PAD rechten (admin) tel+intranet programma uitwikkeling stimulans nudge ja x wachtwoord programma PC lock kabel bitlocker documenten

15 Bijlage 2: Strategie en voorgestelde middelen Naast de algemene conclusies zijn de resultaten van de enquête toe te spitsten op de vier verschillende onderdelen: Wi-Fi gebruik, wachtwoordgebruik, phishing en het veilig delen van informatie. Bij deze onderdelen hebben we de gedragsbepalers gemeten: kennis, kunnen, willen en houding (persoonlijke relevantie). De scores op de gedragsbepalers geven een indicatie welke strategie het beste gebruikt kan worden. Daarnaast is gekeken of er onderscheid gemaakt kan worden bij verschillende doelgroepen. De groen gemarkeerde gedragsbepalers scoren het hoogst en zijn daarom gebruikt voor het bepalen van de advies strategieën. Wi-Fi gebruik Algemene score op gedragbepalers Significante verschillen per doelgroep Kunnen 60% HBO+ scoort hoger op persoonlijke relevante dan MBO- Willen 74% HBO + scoren lager op willen dan MBO- Persoonlijke relevantie 45% HBO + scoort lager op kennis dan MBO- Kennis 51% 50+ scoort hoger op kennis dan 50- Advies strategie: Concreet handelingsperspectief, geef de medewerkers concrete tips en aanwijzingen om hen vertrouwen te geven dat zij het gewenste gedrag kunnen uitvoeren. Maak daarnaast gebruik van implementatie intenties: Stimuleer de doelgroep concrete plannen te formuleren om in specifieke situaties het gewenste gedrag te implementeren: in situatie X doe ik Y. Een andere strategie is gamification: gametechnieken toepassen in een omgeving waar dit niet gebruikelijk is om middels spelelementen de doelgroep te motiveren. Voorgestelde middelen: Gedragscode, online video, digitale nieuwsbrief, e-learning in combinatie met speciale admin rechten, Introductie tot gewenst gedrag, master classes, workshop, simulaties, serious game, battle game. Wachtwoord gebruik Algemene score gedragsbepalers Significante verschillen per doelgroep Kunnen 0% Bij geen van de deelnemende bedrijven is een daarvoor bedoelde wachtwoordtool beschikbaar Willen 55% Mensen hebben behoefte aan een middel voor het veilig opslaan van wachtwoorden. Persoonlijke relevantie 42% Kennis 49% Advies strategie: Kludges, Stimuleer/faciliteer de doelgroep om zelf een nudge in te zetten om zichzelf te sturen. Voorgestelde middel: Inzetten wachtwoordtool, inzet complexere wachtwoorden. Phishing Algemene score gedragbepalers Significante verschillen per doelgroep Kunnen - HBO+ scoort lager op kennis dan MBO- Willen scoort hoger op kennis dan 50- Persoonlijke relevantie 60 Kennis 64 Advies: Interpersoonlijke communicatie: Stimuleer de doelgroep om met elkaar over het onderwerp te gaan praten. Kennisoverdracht, communiceer de functionele en affectieve voordelen van het gewenste gedrag. Concreet handelingsperspectief, geef de doelgroep concrete tips en aanwijzingen om hen vertrouwen toegeven dat zij het gewenste gedrag kunnen uitvoeren. Voorgestelde middelen: repeterend overleg, leidinggevende als voorbeeld, workshop, marketing: visueel maken van gewenst gedrag, digitale nieuwsbrief, online video/cursus.

16 Veilig delen van informatie Algemene score gedragbepalers Significante verschillen per doelgroep Kunnen 65% HBO+ scoort lager op kennis dan MBO- Willen 44% 50+ scoort hoger op kennis dan 50- Persoonlijke relevantie 68% ICT scoort lager op kennis dan kantoor Kennis 36% Advies: Kennis overdracht: Communiceer de functionele en affectieve voordelen van het gewenste gedrag. Descriptieve norm: Laat zien dat het gewenste gedrag wordt vertoond door de meerderheid van de (voor de doelgroep belangrijke) anderen. Gamification, Game technieken toepassen in een omgeving waar dit niet gebruikelijk is om middels spelelementen de doelgroep te motiveren. Voorgestelde middelen: marketing: visueel maken van gewenst gedrag, lunchlezing, masterclass, intranet, veiligheidsfilm, leidinggevende als voorbeeld, serieus game, battle game.

CASI MODEL (Pag 122) Stappen. Antwoorden

CASI MODEL (Pag 122) Stappen. Antwoorden CASI MODEL (Pag 122) HOE KANSRIJK IS UW CAMPAGNE? Het Campagne Strategie Instrument (CASI) is een hulpmiddel om tot onderbouwde keuzes te komen voor het opzetten van een campagne. Het gaat hierbij om campagnes

Nadere informatie

Communicatieplan m.b.t. CO2

Communicatieplan m.b.t. CO2 Communicatieplan m.b.t. CO2 Opgesteld door : H. van Roode en Y. van der Vlies Datum : 20 februari 2014 Goedgekeurd door : H. van Roode Datum: 20 februari 2014 Blad 2 van 11 Inhoudsopgave Inleiding... 3

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Innovatieve kruisbestuiving tussen sectoren

Innovatieve kruisbestuiving tussen sectoren Innovatieve kruisbestuiving tussen sectoren CrossOver najaar 2014: bewustwording cybersecurity, het arbeidscontract van 2030 en veiligheid op de werkvloer Maart 2015 Voorwoord De wereld verandert steeds

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van

Nadere informatie

Peter Konings (Belastingdienst), Rutger Heerdink (UWV), Rene Backer (SVB), Sjoerd Weiland (RDW)

Peter Konings (Belastingdienst), Rutger Heerdink (UWV), Rene Backer (SVB), Sjoerd Weiland (RDW) Werkgroep Borging: Peter Konings (Belastingdienst), Rutger Heerdink (UWV), Rene Backer (SVB), Sjoerd Weiland (RDW) November 2013 Deze sheets bevatten achtergrondinformatie bij het plan Borging awareness

Nadere informatie

Kennisoverdracht. Werkingsmechanisme: Communiceer de functionele en affectieve voordelen van het gewenste gedrag. Kennis Houding Kunnen

Kennisoverdracht. Werkingsmechanisme: Communiceer de functionele en affectieve voordelen van het gewenste gedrag. Kennis Houding Kunnen Kennisoverdracht Kennis Houding Kunnen Werkingsmechanisme: Kennisoverdracht Communiceer de functionele en affectieve voordelen van het gewenste gedrag. Bijvoorbeeld: NL-Alert - Informatievoorziening over

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

CO₂ Prestatieladder - Communicatieplan

CO₂ Prestatieladder - Communicatieplan 2015 CO₂ Prestatieladder - Communicatieplan Goedgekeurd door: H. van Wijk Auteurs: Y. van der Vlies & L. van Wijk Bedrijf: H. van Wijk transport- en Handtekening: aannemersbedrijf & H. van Wijk bestrating

Nadere informatie

Energiemanagementprogramma HEVO B.V.

Energiemanagementprogramma HEVO B.V. Energiemanagementprogramma HEVO B.V. Opdrachtgever HEVO B.V. Project CO2 prestatieladder Datum 7 december 2010 Referentie 1000110-0154.3.0 Auteur mevrouw ir. C.D. Koolen Niets uit deze uitgave mag zonder

Nadere informatie

Energie management Actieplan

Energie management Actieplan Energie management Actieplan Conform niveau 3 op de CO 2 -prestatieladder 2.2 Auteur: Mariëlle de Gans - Hekman Datum: 30 september 2015 Versie: 1.0 Status: Concept Inhoudsopgave 1 Inleiding... 2 2 Doelstellingen...

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u?

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Inleiding De Wet Bescherming Persoonsgegevens (WBP) is de Nederlandse wetgeving die sinds 2001 van kracht is voor het beschermen van de privacy

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

CERTIFIED EDUCATION ORGANIZATION

CERTIFIED EDUCATION ORGANIZATION CERTIFIED EDUCATION ORGANIZATION Gecertificeerde Social Media Opleidingen en Basiscursussen Hands-on trainingen Social Media Projecten Gecertificeerde docenten Gecertificeerde consultants Gecertificeerde

Nadere informatie

Communicatieplan WTH Vloerverwarming in het kader van de CO2-Prestatieladder

Communicatieplan WTH Vloerverwarming in het kader van de CO2-Prestatieladder Communicatieplan WTH Vloerverwarming in het kader van de CO2-Prestatieladder Communicatieplan, 22 Augustus 2014 1 Voorwoord Duurzaamheid is geen trend, het is de toekomst. Het is niet meer weg te denken

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

ISO9001:2015, in vogelvlucht. Door Tjarko Vrugt

ISO9001:2015, in vogelvlucht. Door Tjarko Vrugt ISO9001:2015, in vogelvlucht Door Tjarko Vrugt 18-11-2015 - Qemc - Tjarko Vrugt Bron: NEN - Delft 2 DE NIEUWE NEN EN ISO 9001 : 2015 Deze presentatie beperkt zich tot de essentie Sktb besteed in 2016

Nadere informatie

ORGANISEREN BINNEN FM

ORGANISEREN BINNEN FM Marjon Klootwijk KWALITEITSDOCUMENTEN ORGANISEREN BINNEN FM De hoeveelheid documenten neemt alsmaar toe en het overzicht in het aantal en soorten documenten verdwijnt geleidelijk. De relaties of de interdependentie

Nadere informatie

Communicatieplan Milieu & Duurzaamheid, september 2014 1. Inhoudsopgave

Communicatieplan Milieu & Duurzaamheid, september 2014 1. Inhoudsopgave Communicatieplan Milieu & Duurzaamheid, september 2014 1 Inhoudsopgave 1. Inleiding 2 2. Communicatiedoelstellingen 3 3. Doelgroepen 4 3.1 Stakeholdersanalyse 4 3.2 Doelgroepen intern 4 3.3 Doelgroepen

Nadere informatie

Inhoudsopgave: 1. Inleiding 3. 2. Reductiedoelstellingen 4 2.1 Algemeen 2.2 Per scope

Inhoudsopgave: 1. Inleiding 3. 2. Reductiedoelstellingen 4 2.1 Algemeen 2.2 Per scope Energie management actieplan Conform 3.B.2 Op basis van de internationale norm ISO 50001 4.4.3, 4.4.4, 4.4.5, 4.4.6, 4.6.1 en 4.6.4 CO 2 -prestatieladder Niveau 3 Auteur(s): F. Reijm () A.T. Zweers (A.T.

Nadere informatie

CO 2 managementplan. Jan Knijnenburg B.V. Auteur: Adviseur MVO Consultants. Versie: 1.0. Handtekening autoriserend verantwoordelijk manager

CO 2 managementplan. Jan Knijnenburg B.V. Auteur: Adviseur MVO Consultants. Versie: 1.0. Handtekening autoriserend verantwoordelijk manager CO 2 managementplan Jan Knijnenburg B.V. Auteur: Adviseur MVO Consultants Versie: 1.0 Datum: xx-xx-2015 Handtekening autoriserend verantwoordelijk manager Authorisatiedatum: Naam:.. Inhoud 1 Inleiding...

Nadere informatie

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. Balanced Scorecard Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 DE

Nadere informatie

6.6 Management en informatiebeveiliging in synergie

6.6 Management en informatiebeveiliging in synergie 6.6 Management en informatiebeveiliging in synergie In veel organisaties ziet men dat informatiebeveiliging, fysieke beveiliging en fraudemanagement organisatorisch op verschillende afdelingen is belegd.

Nadere informatie

Communicatieplan t.a.v. energiebeleid. Peek Bouw & Infra BV

Communicatieplan t.a.v. energiebeleid. Peek Bouw & Infra BV Communicatieplan t.a.v. energiebeleid Peek Bouw & Infra BV Peek Bouw & Infra BV Wayensedijk 27 3992 LN HOUTEN Inhoudsopgave Inhoudsopgave 1.0 Inleiding 1.1 Inleiding 1.2 Doelstellingen 2.0 Doelgroepen

Nadere informatie

CO 2 Communicatieplan. 18 mei 2015

CO 2 Communicatieplan. 18 mei 2015 CO 2 Communicatieplan 18 mei 2015 Inhoudsopgave 1. Inleiding 3 2. Communicatiedoelstellingen 4 3. Doelgroepen 5 4. Communicatiemiddelen 7 5. Planning 8 6. Organisatie 9 CO 2-communicatieplan 2 1. Inleiding

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

CO2 managementplan. Max Bögl

CO2 managementplan. Max Bögl CO2 managementplan Max Bögl Inhoud 1 Inleiding... 3 2 Energie meetplan... 4 2.1 Planning meetmomenten... 4 2.2 Vergelijking met vergelijkbare organisaties... 5 3 Energiemanagement actieplan... 6 4 Stuurcyclus...

Nadere informatie

Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent

Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent Het gerecht Het resultaat: weten dat u met de juiste dingen bezig bent. Alles is op een bepaalde manier meetbaar.

Nadere informatie

Functieprofiel: Adviseur Functiecode: 0303

Functieprofiel: Adviseur Functiecode: 0303 Functieprofiel: Adviseur Functiecode: 0303 Doel (Mede)zorgdragen voor de vormgeving en door het geven van adviezen bijdragen aan de uitvoering van het beleid binnen de Hogeschool Utrecht kaders en de ter

Nadere informatie

Energie Management Actieplan

Energie Management Actieplan Tijssens Electrotechniek B.V. De Boelakkers 25 5591 RA Heeze Energie Management Actieplan 2015 Status: definitief versie 1.0 Datum: november 2015 Datum gewijzigd: n.v.t. Auteur: U.Dorstijn Pagina 1 Inhoud

Nadere informatie

Test naam Marktgerichtheidsscan Datum 28-8-2012 Ingevuld door Guest Ingevuld voor Het team Team Guest-Team Context Overige

Test naam Marktgerichtheidsscan Datum 28-8-2012 Ingevuld door Guest Ingevuld voor Het team Team Guest-Team Context Overige Test naam Marktgerichtheidsscan Datum 28-8-2012 Ingevuld door Guest Ingevuld voor Het team Team Guest-Team Context Overige Klantgerichtheid Selecteren van een klant Wanneer u hoog scoort op 'selecteren

Nadere informatie

Succesvolle toepassing van 360 graden feedback: De keuze van het 360 instrument en de voorbereiding op het 360 traject

Succesvolle toepassing van 360 graden feedback: De keuze van het 360 instrument en de voorbereiding op het 360 traject Succesvolle toepassing van 360 graden feedback: De keuze van het 360 instrument en de voorbereiding op het 360 traject Augustus 2011 Waar werknemers onderdeel zijn van een organisatie, wordt beoordeeld.

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version Introductie Quickscan De financiële organisatie moet, net zo als alle andere ondersteunende diensten, volledig gericht zijn

Nadere informatie

ISEO Consult. voorbeelden uitgevoerde projecten

ISEO Consult. voorbeelden uitgevoerde projecten ISEO Consult voorbeelden uitgevoerde projecten E-LEARNING ONTWIKKELEN Type opdrachtgever: kenniscentrum Ontwikkel een e-learning module (inclusief toetsing) voor nieuwe medewerkers op tankstations. In

Nadere informatie

WAARDEN BEWUST ONDERNEMEN

WAARDEN BEWUST ONDERNEMEN WAARDEN BEWUST ONDERNEMEN EEN NIEUW SOORT ONDERNEMERSCHAP RESULTAAT KOERS VISIE PERSOONLIJK LEIDERSCHAP MEERWAARDE & RENDEMENT WAARDEN BEWUST WAARDEN BEWUST ONDERNEMEN ANNO 2013 Waarden Bewust Ondernemen

Nadere informatie

Plan van Aanpak. TWI implementatie. www.twitraining.nl

Plan van Aanpak. TWI implementatie. www.twitraining.nl Plan van Aanpak TWI implementatie Inhoudsopgave 1. Achtergrond TWI... 3 2. Projectorganisatie... 5 2.1 Trainen medewerkers... 5 2.2 Randvoorwaarden voor het slagen van TWI... 6 3. Planning en doorlooptijd...

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga INFORMATIEVEILIGHEID een uitdaging van ons allemaal ICT Noord, Harro Spanninga Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid

Nadere informatie

November 2015 Paul Feenstra KAM Manager. Communicatieplan CO2 prestatieladder

November 2015 Paul Feenstra KAM Manager. Communicatieplan CO2 prestatieladder November 2015 Paul Feenstra KAM Manager Communicatieplan prestatieladder Inhoudsopgave 1. Inleiding 2 2. Communicatiedoelstellingen 2 3. Doelgroepen 3 3.1 Stakeholdersanalyse 3 3.2 Doelgroepen intern 3

Nadere informatie

Het stappenplan. Inleiding

Het stappenplan. Inleiding Het stappenplan Inleiding Op de pagina instrumenten op Overstag.nu vind je instrumenten, informatie en inspiratie om binnen je eigen organisatie met het thema duurzame inzetbaarheid aan de slag te gaan.

Nadere informatie

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland OVER OOSTZAAN Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland WORMERLAND. GESCAND OP 13 SEP. 2013 Gemeente Oostzaan Datum : Aan: Raadsleden gemeente Oostzaan Uw BSN : - Uw brief van :

Nadere informatie

1. FORMAT PLAN VAN AANPAK

1. FORMAT PLAN VAN AANPAK INHOUDSOPGAVE 1. FORMAT PLAN VAN AANPAK 1.1. Op weg naar een kwaliteitsmanagementsysteem 1.2. Besluit tot realisatie van een kwaliteitsmanagementsysteem (KMS) 1.3. Vaststellen van meerjarenbeleid en SMART

Nadere informatie

datum status naam Functie paraaf 15 maart 2013 gecontroleerd G.T. Plaggenmars KAM-coördinator

datum status naam Functie paraaf 15 maart 2013 gecontroleerd G.T. Plaggenmars KAM-coördinator projectnaam CO 2-prestatieladder Van Spijker Infrabouw B.V. projectonderdeel T.b.v. het CO 2 beleid status Definitief datum 15 maart 2013 P. Mastebroekweg 4 7942 JZ Meppel Postbus 247 7940 AE Meppel T

Nadere informatie

CO 2 -Prestatieladder

CO 2 -Prestatieladder CO 2 -Prestatieladder Energiemanagement actieplan Schilderwerken De Boer Obdam B.V. 2015 Op basis van de internationale norm ISO 50001 4.4.3, 4.4.4, 4.4.5, 4.4.6, 4.6.1 en 4.6.4 Auteur(s): R. de Boer (Schilderwerken

Nadere informatie

Communicatie bij implementatie

Communicatie bij implementatie Communicatie bij implementatie Hoe je met een duidelijk communicatieplan software-implementaties positief beïnvloedt Een software systeem implementeren heeft, naast de nodige technische uitdagingen, ook

Nadere informatie

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er

Nadere informatie

The Road to Working Capital Excellence. Werken aan structurele verbeteringen door het tussen de oren krijgen van werkkapitaal

The Road to Working Capital Excellence. Werken aan structurele verbeteringen door het tussen de oren krijgen van werkkapitaal The Road to Working Capital Excellence Werken aan structurele verbeteringen door het tussen de oren krijgen van werkkapitaal The road to Working Capital Excellence Vraag Aanpak Toepassing Resultaat Quick

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

Communicatieplan. CO2-prestatieladder.

Communicatieplan. CO2-prestatieladder. Communicatieplan. CO2-prestatieladder. Communicatieplan m.b.t. CO 2 prestatieladder 2015-2016 Alphabet Nederland B.V. Creatie datum : 12 februari 2015 Laatst gewijzigd : 12 februari 2015 Stuknummer : 20150212.00

Nadere informatie

Introductie OHSAS 18001

Introductie OHSAS 18001 Introductie OHSAS 18001 OHSAS 18001 -in het kort OHSAS 18001 is een norm voor een managementsysteem die de veiligheid en gezondheid in en rondom de organisatie waarborgt. OHSAS staat voor Occupational

Nadere informatie

De kracht van een sociale organisatie

De kracht van een sociale organisatie De kracht van een sociale organisatie De toegevoegde waarde van zakelijke sociale oplossingen Maarten Verstraeten. www.netvlies.nl Prinsenkade 7 T 076 530 25 25 E mverstraeten@netvlies.nl 4811 VB Breda

Nadere informatie

Case Medewerkerstevredenheiden betrokkenheidscan

Case Medewerkerstevredenheiden betrokkenheidscan Case Medewerkerstevredenheiden betrokkenheidscan Hoe tevreden zijn de medewerkers met en hoe betrokken zijn zij bij de organisatie en welke verbeterpunten ziet men voor de toekomst? Wat is medewerkerstevredenheid

Nadere informatie

Security Management Trendonderzoek. Chloë Hezemans

Security Management Trendonderzoek. Chloë Hezemans Security Management Trendonderzoek Chloë Hezemans Security Management Survey (5 e editie) Agenda Voorstellen Methode Trends Opvallende resultaten deze editie Security Management 2020? Voorstellen Chloë

Nadere informatie

Waar sta jij? Reflectie- vragen voor de vakantie, zodat je er straks fit en effectief tegen aan kunt. Marischka Setz DNHS

Waar sta jij? Reflectie- vragen voor de vakantie, zodat je er straks fit en effectief tegen aan kunt. Marischka Setz DNHS Waar sta jij? Reflectie- vragen voor de vakantie, zodat je er straks fit en effectief tegen aan kunt. Vragen uit Loopbaan gesprekken waarmee je meteen jouw voordeel kunt doen Marischka Setz DNHS Waar sta

Nadere informatie

Inhoudsopgave. Energiemanagement programma I GMB 2

Inhoudsopgave. Energiemanagement programma I GMB 2 Inhoudsopgave 1 Inleiding... 3 2 Duurzaamheid beleid... 4 3 PLAN: Energieverbruik en reductiekansen... 6 3.1 Energieverbruik door GMB (scope 1 en 2)... 6 3.2 Energieverbruik in de keten (scope 3)... 7

Nadere informatie

Resultaten Onderzoek September 2014

Resultaten Onderzoek September 2014 Resultaten Onderzoek Initiatiefnemer: Kennispartners: September 2014 Resultaten van onderzoek naar veranderkunde in de logistiek Samenvatting Logistiek.nl heeft samen met BLMC en VAViA onderzoek gedaan

Nadere informatie

1. De methodiek Management Drives

1. De methodiek Management Drives 1. De methodiek Management Drives Management Drives is een unieke methodiek die u concrete handvatten biedt in het benaderen van de ontwikkeling van individu, team en organisatie. De methodiek kent een

Nadere informatie

ALERT project; Cyber security en de menselijke factor

ALERT project; Cyber security en de menselijke factor SBIR cyber security Projecttitel: Bedrijf: In samenwerking met: ALERT project; Cyber security en de menselijke factor InfoSecure BeOne Development / TNO / BusinessGames Projectsamenvatting De doelstelling

Nadere informatie

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting xvii Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting Samenvatting IT uitbesteding doet er niet toe vanuit het perspectief aansluiting tussen bedrijfsvoering en IT Dit proefschrift is het

Nadere informatie

Energie Management Programma. InTraffic

Energie Management Programma. InTraffic Energie Management Programma InTraffic Wijzigingsblad Versie Datum Auteur Wijzigingen 0.1 17/2/2012 Marije de Vreeze Opzet structuur 0.2 13/3/2012 Marije de Vreeze Gegevens 0.3 5/4/2012 Dirk Bijkerk Input

Nadere informatie

6. Project management

6. Project management 6. Project management Studentenversie Inleiding 1. Het proces van project management 2. Risico management "Project management gaat over het stellen van duidelijke doelen en het managen van tijd, materiaal,

Nadere informatie

Communicatieplan m.b.t. CO2

Communicatieplan m.b.t. CO2 m.b.t. CO2 Opgesteld door: Janneke Out en Bernard Rodenburg Opgesteld d.d. 16 december 2013 Inhoudsopgave 1. Interne communicatie... 4 1.1 Doelstellingen en doelgroepen... 4 1.2 Plan van Aanpak... 4 1.3

Nadere informatie

Utrecht Business School

Utrecht Business School Cursus Lean- & Proces Management De cursus Lean & Process Management duurt ongeveer 2 maanden en omvat 5 colleges van 3 uur. U volgt de cursus met ongeveer 10-15 studenten op een van onze opleidingslocaties

Nadere informatie

MVO-Control Panel. Instrumenten voor integraal MVO-management. Intern MVO-management. Verbetering van motivatie, performance en integriteit

MVO-Control Panel. Instrumenten voor integraal MVO-management. Intern MVO-management. Verbetering van motivatie, performance en integriteit MVO-Control Panel Instrumenten voor integraal MVO-management Intern MVO-management Verbetering van motivatie, performance en integriteit Inhoudsopgave Inleiding...3 1 Regels, codes en integrale verantwoordelijkheid...4

Nadere informatie

Energie Management Actieplan

Energie Management Actieplan Energie Management Actieplan Rijssen, Juli 2013 Auteur: L.J. Hoff Geaccodeerd door: M. Nijkamp Directeur Inhoudsopgave 1. Inleiding Pagina 3 2. Beleid CO₂ reductie Pagina 4 3. Borging CO₂ prestatieladder

Nadere informatie

MVO- MVO-communicatieplan internet 2015. Pagina 1 van 6 MVO COMMUNICATIEPLAN

MVO- MVO-communicatieplan internet 2015. Pagina 1 van 6 MVO COMMUNICATIEPLAN Pagina 1 van 6 MVO COMMUNICATIEPLAN Pagina 2 van 6 Inhoudsopgave 1. INLEIDING... 3 2. INTERNE COMMUNICATIE... 3 2.1. Doelstellingen en doelgroepen... 3 Doel:... 3 Doelstelling:... 3 Interne doelgroepen:...

Nadere informatie

BentVoorbeeld. Proces en informatie onderzoek DECLA. consultancy. Versie : 1.0 Datum : 3 juli 2013 Auteur : D.W.F.

BentVoorbeeld. Proces en informatie onderzoek DECLA. consultancy. Versie : 1.0 Datum : 3 juli 2013 Auteur : D.W.F. BentVoorbeeld Proces en informatie onderzoek DECLA consultancy Versie : 1.0 Datum : 3 juli 2013 Auteur : D.W.F. Inhoudsopgave 1 INLEIDING... 3 2 INTRODUCTIE... 4 3 OPDRACHTOMSCHRIJVING EN SCOPE... 5 4

Nadere informatie

STAPPENPLAN BIJ HET MODEL STUURYSTEEM DECUBITUS (PROJECT DECUBITUSZORG IN DE DAGELIJKSE PRAKTIJK; DOOR STUREN STEEDS BETER)

STAPPENPLAN BIJ HET MODEL STUURYSTEEM DECUBITUS (PROJECT DECUBITUSZORG IN DE DAGELIJKSE PRAKTIJK; DOOR STUREN STEEDS BETER) STAPPENPLAN BIJ HET MODEL STUURYSTEEM DECUBITUS (PROJECT DECUBITUSZORG IN DE DAGELIJKSE PRAKTIJK; DOOR STUREN STEEDS BETER) Juni 2004 INLEIDING Voor u ligt een stappenplan dat gebaseerd is op de CBO-richtlijn

Nadere informatie

Meten is Weten Evaluatie van Informatiebeveiliging Balanced Scorecard

Meten is Weten Evaluatie van Informatiebeveiliging Balanced Scorecard Meten is Weten Evaluatie van Informatiebeveiliging Balanced Scorecard Robert Veenstra Projectleider Informatiebeveiliging Nederlands Forensisch Instituut Presentatie 1. Nederlands Forensisch Instituut

Nadere informatie

Energie Management Actieplan Mei 2015 Versie 4

Energie Management Actieplan Mei 2015 Versie 4 Energie Management Actieplan Mei 2015 Versie 4 Colt International Beheer BV Korte Oijen 4 5433 NE KATWIJK Postbus 29 5430 AA CUIJK Tel: 0485-399 999 Website: www.coltinfo.nl E-mail: info@coltinfo.nl Opgesteld

Nadere informatie

GEMEENTE UDEN VITAAL REGIE OP EIGEN OPLEIDING, ONTWIKKELING & TALENTGEBRUIK

GEMEENTE UDEN VITAAL REGIE OP EIGEN OPLEIDING, ONTWIKKELING & TALENTGEBRUIK GEMETE UD VITAAL Samen in beweging Onderdeel REGIE OP EIG OPLEIDING, ONTWIKKELING & TALTGEBRUIK Duurzaam opleidingsbeleid gemeente Uden 2013 2016 versie 2 (vastgesteld 04-02-2014) 1 Gemeente Uden Vitaal

Nadere informatie

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM De tijd dat MVO was voorbehouden aan idealisten ligt achter ons. Inmiddels wordt erkend dat MVO geen hype is, maar van strategisch belang voor ieder

Nadere informatie

Arbo- en Milieudeskundige

Arbo- en Milieudeskundige Arbo- en Milieudeskundige Doel Ontwikkelen van beleid, adviseren, ondersteunen en begeleiden van management, medewerkers en studenten, alsmede bijdragen aan de handhaving van wet- en regelgeving, binnen

Nadere informatie

Beleid en implementatie aanpak ouderenmishandeling.

Beleid en implementatie aanpak ouderenmishandeling. Beleid en implementatie aanpak ouderenmishandeling. 1. Sociaal beleid in breder verband Ontwikkelen beleid: een complex proces Het ontwikkelen en implementeren van beleid voor preventie en aanpak van grensoverschrijdend

Nadere informatie

Meer waarde creëren. Assetmanagement op maat

Meer waarde creëren. Assetmanagement op maat Meer waarde creëren Assetmanagement op maat Zo maken wij assetmanagement toepasbaar Met de toolbox Zeven bouwstenen van professioneel assetmanagement maken we de ISO55000 toepasbaar voor u. Belanghebbenden

Nadere informatie

Informatiemanagement, -processen en -implementaties

Informatiemanagement, -processen en -implementaties Informatiemanagement, -processen en -implementaties Spelsimulatie en Organisatieverandering imvalues Presentatie Inhoud Introductie Spelsimulatie Aanpak Toepassing Meer informatie Introductie imvalues

Nadere informatie

In 10 stappen van project naar effect!

In 10 stappen van project naar effect! In 10 stappen van project naar effect! een handleiding voor slim zorgen > Betrek de belangrijke sleutelpersonen > Stel projectteam samen & kies pilotteams > Screen de huidige situatie > Organiseer een

Nadere informatie

Wel of niet certificatie? K. de Jongh

Wel of niet certificatie? K. de Jongh K. de Jongh Tijdsduur: 30 minuten Certificatie; ondermeer status 2015 versies De nieuwe norm; HLS en 2015 versies Voorbeelden uit de praktijk HLS en 2015 versies in de praktijk Conclusies? 9-3-2015 2 Certificatie:

Nadere informatie

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY Leesvervangende samenvatting bij het eindrapport Auteurs: Dr. B. Hulsebosch, CISSP A. van Velzen, M.Sc. 20 mei 2015 In opdracht van: Het

Nadere informatie

Meldplicht Datalekken: bent u er klaar voor?

Meldplicht Datalekken: bent u er klaar voor? Meldplicht Datalekken: bent u er klaar voor? Meldplicht Datalekken: bent u er klaar voor? AANLEIDING Per 1 januari 2016 is de Meldplicht Datalekken in werking getreden. Over deze meldplicht, welke is opgenomen

Nadere informatie

Technicus onderwijs- en onderzoekgebonden - profiel O

Technicus onderwijs- en onderzoekgebonden - profiel O Technicus onderwijs- en onderzoekgebonden - profiel O Doel Ontwerpen, ontwikkelen en (doen) vervaardigen van apparatuur/instrumenten, installaties en (ICT-) systemen, binnen de doelstellingen van de dienst/afdeling

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

Relevantie, significantie en prioriteren van de MVO-kernthema s en onderwerpen

Relevantie, significantie en prioriteren van de MVO-kernthema s en onderwerpen Relevantie, significantie en prioriteren van de MVO-kernthema s en onderwerpen Van der Meer B.V. heeft in 2011 een nulmeting laten uitvoeren door een externe adviseur. Deze actie is genomen om op een objectieve

Nadere informatie

Grip op inkoopresultaten met contract compliance NEVI-PIANOo congres 5 juni 2014

Grip op inkoopresultaten met contract compliance NEVI-PIANOo congres 5 juni 2014 Grip op inkoopresultaten met contract compliance NEVI-PIANOo congres 5 juni 2014 Natacha Naumann, Inkoop analist, Universiteit Twente Alex Buursema, Managing consultant, Significant INHOUD Even voorstellen

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014 Sebyde Security in een organisatie A3 Management Workshop 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security

Nadere informatie

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Anita van Nieuwenborg Teamleider IBD Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Agenda IBD in de praktijk Terugblik Ontwikkelingen Leveranciersmanagement Meldplicht datalekken IBD producten-

Nadere informatie

plan van aanpak opschaling e- health

plan van aanpak opschaling e- health plan van aanpak opschaling e- health Matthijs Jantzen Projectleider E-health GGz Centraal even voorstellen Historicus Informatiemanager Webmaster Stafmedewerker historie e-health GGz Centraal 2008 eerste

Nadere informatie

DE CAPABILITEIT VAN HET KWALITEITSSYSTEEM

DE CAPABILITEIT VAN HET KWALITEITSSYSTEEM Kwaliteit in Bedrijf oktober 0 Tweede deel van tweeluik over de toenemende rol van kwaliteit DE CAPABILITEIT VAN HET KWALITEITSSYSTEEM Om de gewenste kwaliteit te kunnen realiseren investeren organisaties

Nadere informatie

Jeugdzorg 7 juni 2013. RAPPORTAGE totaalset

Jeugdzorg 7 juni 2013. RAPPORTAGE totaalset Jeugdzorg 7 juni 2013 RAPPORTAGE totaalset Resultaten voordezorg.nl Zes jeugdzorgorganisaties hebben meegedaan aan voordezorg.nl. Medewerkers hebben antwoord gegeven op de vragen: Hoe denkt u over uw werk?

Nadere informatie

Leidraad PLAN VAN AANPAK OP WEG NAAR EEN CERTIFICEERBAAR KWALITEITSMANAGEMENTSYSTEEM

Leidraad PLAN VAN AANPAK OP WEG NAAR EEN CERTIFICEERBAAR KWALITEITSMANAGEMENTSYSTEEM Pagina 1 van 6 Leidraad PLAN VAN AANPAK OP WEG NAAR EEN CERTIFICEERBAAR KWALITEITSMANAGEMENTSYSTEEM In het onderstaande is een leidraad opgenomen voor een Plan van aanpak certificeerbaar kwaliteitsmanagementsysteem.

Nadere informatie

CASEBESCHRIJVING. OPDIC analyse en uitkomst

CASEBESCHRIJVING. OPDIC analyse en uitkomst CASEBESCHRIJVING OPDIC analyse en uitkomst VERTROUWELIJK W E www.implementatie-erp.nl info@implementatie-erp.nl Inleiding Dit is een voorbeeldproject, uitgevoerd door 1 of meerdere professionals van de

Nadere informatie

Aan de slag! Deel 1 van 3 > Aan de slag Deel 2 van 3 > Verdieping Deel 3 van 3 > Verbeteren

Aan de slag! Deel 1 van 3 > Aan de slag Deel 2 van 3 > Verdieping Deel 3 van 3 > Verbeteren Aan de slag! Gebruikershandleiding voor patiëntervaringsonderzoek voor fysiotherapeuten Deel 1 van 3 > Aan de slag Deel 2 van 3 > Verdieping Deel 3 van 3 > Verbeteren Welkom! Qualizorg biedt u het inzicht

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Communicatieplan Breur IJzerhandel

Communicatieplan Breur IJzerhandel Communicatieplan Breur IJzerhandel 4 Oktober 2014 4 OKT 2014 Communicatieplan Breur IJzerhandel 1. Voorwoord Duurzaamheid is geen trend, het is de toekomst. Het is niet meer weg te denken uit onze dagelijkse

Nadere informatie