De toegevoegde waarde van fysieke beveiliging. Over Thimo Keizer
|
|
- Gerrit Simons
- 4 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van de gebaande paden en onderzoeken waar de organisatie op een efficiënte en effectieve wijze verbeterd kan worden zonder dat de organisatie daar last van ondervindt. De bedrijfsvoering, de primaire en secundaire processen en de aspecten die voor de continuïteit van de organisatie van belang zijn worden daarbij door mij steeds als uitgangspunt genomen. Op strategisch en tactisch niveau zijn mijn adviezen gebaseerd op de groei in volwassenheid van de organisatie. Mijn ervaring op het gebied van change management, risico management en integrale beveiliging binnen organisaties als het Ministerie van Defensie, de ABN AMRO Bank en KPN Telecom aangevuld met mijn universitaire opleiding Bedrijfswetenschappen en HBO opleiding Marketing Management helpen mij daarbij. Waarom Het is mijn doel om organisaties te helpen om continuïteit te waarborgen door (beveiligings)risico s en kansen zichtbaar en begrijpelijk te maken, zodat de impact op omzet, kosten en imago kan worden beheerst. Hoe Ik ben een strategische en tactische business consultant met een specialisatie in operationeel risicobeheer voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Wat Ik zorg ervoor dat organisaties hun doelen bereiken door Good Governance (goed bestuur) en maturity (volwassenheid) te waarborgen voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Dat doe ik door het ontwikkelen en implementeren van beveiligingsbeleid, door het evalueren en aanpassen van dat beleid en door middel van quick scans en audits van het beleid en de getroffen beveiligingsmaatregelen. Copyright Thimo Keizer, Vlaardingen 2017 Voor meer informatie:
2 Het is mooi om te zien dat er hard gewerkt wordt aan het beter positioneren van fysieke beveiliging en het is tegenwoordig heel normaal om te spreken over beveiliging 2.0 (of in enkele gevallen zelfs 3.0) terwijl dat veelal nogal holle frasen zijn als we daar geen verdere betekenis aan geven. Daarom ga ik in op hoe ik aan kijk tegen de toekomst van fysieke beveiliging en hoe we de aanpak van fysieke beveiliging meer toegevoegde waarde kunnen geven door te groeien naar fysieke beveiliging 5.0. Het is een versimpelde weergave van de werkelijkheid en een moment opname want door voortschrijdend inzicht zal dit zeker nog veranderen. Geven we de volgende paragrafen visueel weer dan zou dat er als volgt uit kunnen zien: 2
3 Fysieke beveiliging 1.0: Rule based benadering Onder fysieke beveiliging 1.0 verstaan we wat mij betreft de zogenaamde rule based benadering waarbij we vrij klakkeloos alle maatregelen uit wet- en regelgeving en ons daarop gebaseerde beleid implementeren. We kijken vooral naar de letter en niet naar de geest van fysieke beveiliging. We nemen hierbij de beveiligingsmaatregelen als uitgangspunt en niet de risico s voor de organisatie. De vraag die we ons hierbij vooral stellen is: hoe beveiligen we? Hier past bijvoorbeeld een uitspraak bij als: niets mag tenzij. We implementeren vooral beveiligingsmaatregelen zonder goed na te denken waarom we die maatregelen eigenlijk implementeren. We willen vooral compliant zijn zonder dat we daarbij ook echt in control zijn. Eigenlijk weten we niet of we wel de goede dingen goed doen en we lopen het gevaar dat er onacceptabele risico s zijn die we over het hoofd zien. Daarnaast kost het veel geld om fysieke beveiligingsmaatregelen te implementeren en dat is prima als deze maatregelen ook echt risico s afdekken maar is niet goed als de maatregel geen toegevoegde waarde heeft (lees: weggegooid geld). Omdat we de processen niet betrekken bij deze manier van beveiligen voelt de business zich nauwelijks betrokken bij fysieke beveiliging en vinden ze de maatregelen vooral lastig. We vinden fysieke beveiliging belangrijker dan de primaire processen van de organisatie. Maar als fysieke beveiliging een lijnverantwoordelijkheid is dan past deze benadering al lang niet meer. Een simpel voorbeeld: stel dat het beleid voorschrijft dat ieder gebouw is voorzien van een duur toegangscontrole systeem. Op zich prima om ongewenste bezoekers tegen te houden maar wat als het pand nog wel in de administratie staat maar al een jaar niet meer in gebruik is.of wat als duidelijk is dat het gebouw binnen een jaar verlaten zal worden. Hoeveel nut heeft het dan om alsnog een duur systeem te implementeren? Je zult begrijpen dat ik geen voorstander ben van een rule based benadering omdat daar nogal wat tekortkomingen in zitten en we vooral lastig zijn voor de organisatie. Fysieke beveiliging 2.0: Effect based benadering Bij een effect based bandering kijken we vooral naar de gevolgen van een bepaalde bedreiging op een bepaald asset (personen, informatie, materieel). Op basis daarvan proberen we maatregelen te implementeren die het gevolg voor dat specifieke asset verminderen zonder dat we daarbij rekening houden met hoe kritisch het asset voor de organisatie is. De vraag die we ons hierbij vooral stellen is: wat beveiligen we? Neem diefstal als risico. Om diefstal te kunnen plegen moet er bijvoorbeeld eerst ingebroken worden. We kunnen wel maatregelen nemen om het risico op diefstal te verminderen door diefstalgevoelige zaken aan de grond te verankeren maar dan kijken we toch vooral naar het effect en niet naar de oorzaak. We houden nog onvoldoende rekening met de oorzaken van die risico s. Misschien is het wel beter om gewoon een inbraak installatie aan te schaffen? 3
4 Diefstal van alle beeldschermen in een gebouw heeft toch echt minder impact dan diefstal van twee kritische servers in dat gebouw. Als we niet oppassen zijn we alle diefstalgevoelige zaken (in dit geval de beeldschermen) aan de grond aan het verankeren en is er straks geen budget meer om de echt belangrijke zaken te beveiligen. Een kostbare zaak omdat dit nog steeds leidt tot het nemen van veel beveiligingsmaatregelen en het gevaar bestaat dat we de echte risico s over het hoofd zien (de beeldschermen staan vast maar als er geen inbraak installatie aanwezig is kunnen de servers nog steeds gestolen worden). De risico s voor de processen nemen we bij deze benadering niet als uitgangspunt maar de assets stellen we boven de processen. Daarbij zijn we nog steeds lastig voor de business omdat we het hen moeilijk maken om de processen efficiënt uit te voeren. Een prima eerste stap om meer en meer naar een risk based benadering te groeien maar met een effect based benadering zijn we er nog lang niet. Fysieke beveiliging 3.0: Cause based benadering In de volgende fase nemen we niet langer de gevolgen op de assets (personen, informatie, materieel) als uitgangspunt maar nemen we vooral de oorzaken van bedreigingen ten aanzien van processen als uitgangspunt. Daarbij houden we dus rekening met de risico s voor een proces en daarna kijken we pas naar de mate waarin dat proces mogelijk wordt gemaakt door personen, informatie en materieel. De vraag die we ons hierbij stellen is: welke processen beveiligen we eigenlijk en kunnen we het proces niet anders inrichten. Als het antwoord daarop ja is dan hoeven we minder fysieke beveiligingsmaatregelen te treffen om de ondersteunende assets te beveiligen. Als we hier een eenvoudig voorbeeld bij pakken dan kunnen we een proces dat ondersteund wordt door de twee servers (uit het vorige voorbeeld) centraliseren op één locatie waardoor we die ene locatie goed moeten beveiligen ( effect based ). Diefstal van die servers leidt immers tot uitval van het proces. Maar we zouden natuurlijk ook het proces en de daarbij behorende servers redundant en op twee verschillende locaties uit kunnen voeren. De impact van een inbraak op één locatie verlaagd het risico omdat het proces en servers op de andere locatie gewoon door kunnen draaien (en de informatie die daarop staat dus niet verloren is gegaan, we willen immers niet zozeer de servers beveiligen maar de informatie op die servers). Op een hoger niveau kijken we dus naar het proces en daarna pas naar de bijbehorende assets. Door het proces te spreiden over meerdere locaties wordt het proces op zich al minder kritisch en hoeven we per locatie misschien minder beveiligingsmaatregelen te treffen om de assets te beschermen. Wat we hierbij nog onvoldoende meewegen is de mate waarin het proces kritisch is voor de organisatie. Als we niet oppassen dan zijn we allerlei risico analyses aan het uitvoeren op processen die niet echt relevant of kritisch zijn voor de organisatie. De meeste toegevoegde waarde hebben we als we, in de beperkte tijd die ons gegeven wordt, eerst kijken naar de meest kritische processen en assets. 4
5 Het lijkt misschien logisch en het lijkt misschien of we dit al uitvoeren voor alle kritische processen en servers. Maar in de praktijk zien we toch nog vaak dat er veel risico analyses worden uitgevoerd op de niet kritische processen en assets. Hierbij worden de echt kritische processen en assets nog wel eens uit het oog verloren en dus niet van een risico analyse voorzien. Dat is ook logisch omdat wij vanuit beveiliging niet goed in kunnen schatten hoe kritisch een proces is. Juist daarom is beveiliging een lijnverantwoordelijkheid en juist daarom moet de business betrokken worden: alleen zij kunnen goed inschatten hoe kritisch een proces is voor de organisatie. Geen nood daarom hebben we nog fysieke beveiliging 4.0 in het verschiet. Fysieke beveiliging 4.0: Continuity based benadering Bij fysieke beveiliging 4.0 beginnen we niet met een risico analyse voordat we vast hebben gesteld welke kritische processen en assets er zijn en hoe kritisch het één en ander is voor het voortbestaan van de organisatie als geheel. Zoals eerder beschreven hebben we daar de business dus bij nodig. Theoretisch kunnen we hierbij hergebruik maken van zogenaamde Business Impact Analyses (BIA s) zoals die veelal voor Business Continuity worden uitgevoerd, maar dan alleen als de kwaliteit van die BIA s toereikend is. De vraag die we ons hierbij stellen is: waarom beveiligen we eigenlijk? Dit klinkt allemaal erg logisch maar in de praktijk zien we toch vaak dat er allerlei risico analyses op allerlei objecten worden uitgevoerd zonder dat we rekening houden met de mate waarin dat object kritisch is voor het voortbestaan van de organisatie. We lopen dus het gevaar dat kritische objecten over het hoofd worden gezien. We zouden dus niet één BIA als uitgangspunt moeten nemen maar moeten kijken naar alle BIA s en dan starten met de meest kritische objecten die door de business bepaald worden (prioriteiten stellen dus). We kunnen bijvoorbeeld diepgaande risico analyses op alle filialen uitvoeren om alle relevante bedreigingen (in het kader van fysieke beveiliging) vast te stellen maar misschien kunnen we beter beginnen met het uitvoeren van risico analyses voor onze kritische locaties (en wees eerlijk: weet jij zeker dat je alle kritische processen en dus ook alle kritische locaties echt in beeld hebt?). Wie ook de andere hoofdstukken gelezen heeft weet dat ik er bij beveiliging altijd vanuit ga dat continuïteit van de organisatie bereikt wordt door omzet (verhoging), kosten(verlaging) en imago(verbetering). Dit zijn prima doelstellingen als we maar begrijpen dat omzet, kosten en imago bereikt worden door de primaire en secundaire processen die we uitvoeren. Maar dan zijn we er nog niet, processen worden mogelijk gemaakt door personen, informatie en materieel. Onze fysieke beveiligingsmaatregelen moeten we daar dus op afstemmen. We kunnen dus alleen bepalen hoe kritisch een persoon, informatie of materieel is als we weten aan welke processen zij een bijdrage leveren. Voor die processen moeten we dan vervolgens bepalen in hoeverre zij bijdragen aan omzet, kosten en imago om vast te kunnen stellen in hoeverre het de continuïteit van de organisatie in gevaar brengt als een asset weg valt. Nog maar een keer herhalen: dat kunnen we niet solistisch vanuit beveiliging doen 5
6 maar moeten we holistisch aanpakken met alle relevante stakeholders (waaronder in ieder geval de business ). Hoewel ik het al een grote winst zou vinden als we op deze wijze naar fysieke beveiliging gingen kijken kunnen we nog verder in de toekomst kijken. Voordat je de volgende alinea leest geef ik gelijk toe dat dit misschien nog wat vergezocht is en dat het er sterk vanaf hangt wie je opdrachtgever/werkgever is. Fysieke beveiliging 5.0: Social based benadering Onder een social based benadering versta ik dat de risico s die van grote invloed (kunnen) zijn op de maatschappij als geheel als uitgangspunt genomen worden. Hoewel de scope van iedere organisatie continuïteit van die organisatie moet zijn, hoeft dat nog niet relevant te zijn voor de maatschappij als geheel. Vanuit de scope van de maatschappij moet iedere organisatie een bepaalde toegevoegde waarde hebben. Heeft de organisatie geen of onvoldoende toegevoegde waarde dan heeft de maatschappij geen behoefte aan die organisatie en zal zij afstevenen op een faillissement. Neem als, spijtig, voorbeeld V&D. De laatste maanden dat V&D bestond hadden er allerlei risico analyses naar de filialen uitgevoerd kunnen worden en hadden er op basis daarvan nog allerlei dure fysieke beveiligingsmaatregelen getroffen kunnen worden maar hoe relevant zouden die nog zijn geweest? Zelfs al zouden de deuren van de datacenters van V&D de laatste weken wagenwijd open hebben gestaan dan zouden we slechts minimale maatregelen moeten nemen om de risico s te beperken. We zouden namelijk slechts die maatregelen moeten nemen waardoor V&D eerder failliet zou zijn gegaan door fysieke beveiligingsrisico s (als inbraak en diefstal) dan nu het geval is: dus gewoon de deuren op slot maar geen dure toegangscontrole systemen, inbraak installaties en camera s. Interessant feit hiervan is dat iets dat in de business as usual als onacceptabel risico zou worden gezien (ontbreken van toegangscontrole systemen, inbraakinstallaties en camera s) voor een bepaalde organisatie ineens een acceptabel risico kan worden als de organisatie failliet dreigt te gaan. Dit bewijst maar weer dat fysieke beveiliging niet het belangrijkste aspect is en slechts ondersteunend aan de continuïteit van de organisatie. Bij een social based benadering moeten we dus eerst kijken naar het bestaansrecht van de organisatie. Is er geen of te weinig bestaansrecht dan heeft het uitvoeren van risico analyses op het gebied van fysieke beveiliging nauwelijks toegevoegde waarde (de organisatie kan haar tijd beter steken in het vinden van haar nieuwe of gewijzigde toegevoegde waarde). Heeft de organisatie nog wel bestaansrecht dan hanteren we voor die organisatie een continuity based benadering waarbij we dan uitgaan van de meest kritische processen, personen, informatie en materieel. Kortom In plaats van uit te gaan van allerlei beveiligingsmaatregelen moeten we het gehele proces omdraaien. We moeten beginnen met het bepalen van de risico s op de maatschappij als geheel en de toegevoegde waarde van de organisatie voor die maatschappij, daarna moeten we kijken naar de risico s voor de continuïteit van de organisatie waarna we de oorzaken weg moeten nemen door waar mogelijk de processen te wijzigen. Als laatste kijken we naar wat we moeten beveiligen en hoe we dat dan precies willen gaan doen door beveiligingsmaatregelen te treffen. 6
7 We steken meer tijd in het voorbereidende werk (het denkwerk) dan in het doen (implementeren van maatregelen). De uitspraak die daarbij hoort is: alles mag tenzij en als we dat voor ogen (kunnen) houden dan leveren we met fysieke beveiliging de meeste toegevoegde. 7
Fysieke beveiliging: Waarom voorkomen niet altijd beter is dan genezen. Over Thimo Keizer
Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van
Nadere informatie3 manieren om je risico analyses te verbeteren
Fysieke beveiliging: Eerst denken dan Agile doen (bespaart je een hoop poen) Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken
Nadere informatieAls beveiligingssystemen IT-systemen zijn, waarom worden ze dan niet beheerd door de. IT-afdeling? Over Thimo Keizer
Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van
Nadere informatieWie keurt jouw vlees? De toegevoegde waarde van een fysieke beveiligingsaudit. Over Thimo Keizer
Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van
Nadere informatieHoe de controlerende macht fysieke beveiliging kan verbeteren
Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van
Nadere informatieDe 8 eigenschappen van effectief security management
Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van
Nadere informatieFysieke beveiliging: Eerst denken dan Agile doen (bespaart je een hoop poen) Over Thimo Keizer
Fysieke beveiliging: Eerst denken dan Agile doen (bespaart je een hoop poen) Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken
Nadere informatiePhysical Security Maturity
fysieke beveiliging onder controle Physical Security Maturity inzicht in de volwassenheid van fysieke beveiliging www.fysiekebeveiliging.nl Thimo Keizer Physical Security Maturity inzicht in de volwassenheid
Nadere informatiefysieke beveiliging onder controle Good Governance op het gebied van fysieke beveiliging Thimo Keizer
fysieke beveiliging onder controle Good Governance op het gebied van fysieke beveiliging www.fysiekebeveiliging.nl Thimo Keizer Good Governance op het gebied van fysieke beveiliging 2016 www.fysiekebeveiliging.nl
Nadere informatiefysieke beveiliging onder controle Fysieke beveiliging Lean & Agile Thimo Keizer
fysieke beveiliging onder controle Fysieke beveiliging Lean & Agile www.fysiekebeveiliging.nl Thimo Keizer Fysieke beveiliging Lean & Agile 2016 www.fysiekebeveiliging.nl Thimo Keizer Niets uit deze uitgave
Nadere informatieWhitepaper. Inzetten op integrale veiligheid
Whitepaper Inzetten op integrale veiligheid Inzetten op integrale veiligheid Verliezen lijden? Door fraude, diefstal of schade? Of letsel? Daar zit u niet op te wachten. Sterker nog, u heeft zich ertegen
Nadere informatieManagementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C
Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht
Nadere informatieHet Analytical Capability Maturity Model
Het Analytical Capability Maturity Model De weg naar volwassenheid op het gebied van Business Intelligence. WHITEPAPER In deze whitepaper: Wat is het Analytical Capability Maturity Model (ACMM)? Een analyse
Nadere informatieAls je beveiligers weinig ervaring hebben met audi4ng. en je auditors weinig kennis hebben van fysieke beveiliging
Als je beveiligers weinig ervaring hebben met audi4ng en je auditors weinig kennis hebben van fysieke beveiliging hoe weet je dan of je in evenwicht bent? Hebben de beveiligers voldoende ervaring met audi4ng?
Nadere informatieFactsheet Penetratietest Informatievoorziening
Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieSeize the cloud?! Seminar Aviodrome, Lelystad 23 maart 2011
Seize the cloud?! Seminar Aviodrome, Lelystad 23 maart 2011 Cloud computing Waar begin je aan? Piloot Martin van den Berg, Sogeti NL 3 Agenda 4 Kijkje achter de wolken Yes, het werken in de cloud heeft
Nadere informatieintensieve traject wordt niets aan het toeval overgelaten. Bij de opdrachtgever begint dit met diepgaand
Profiel FenterDaniëls bemiddelt sinds 1999 in personeel voor FINANCE posities. Dat doen wij voor vaste functies. Daarnaast ondersteunen wij organisaties met tijdelijk personeel. Onze wervings- en selectieprocedure
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieDe sleutel tot gedragsverandering. Jessica Overweg Agentschap Telecom
De sleutel tot gedragsverandering Jessica Overweg Agentschap Telecom De sleutel tot gedragsverandering? 2 Opzet sessie vandaag 1. ICT-incidenten: een technisch vraagstuk? 2. Incidenten vanuit een socio-technisch
Nadere informatieDynamisch risicomanagement eenvoudig met behulp van GRCcontrol
Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement
Nadere informatieDe essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij
De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er
Nadere informatieISO Informatiebeveiliging
ISO 27001 Informatiebeveiliging 1. Welkom bij KAM Consultants 2. Werkwijze 3. ISO 27001 4. Advies diensten 5. Trainingen 6. Quick Scan 7. Coaching 8. Intensieve begeleiding 9. Onderhoud 10. Contactgegevens
Nadere informatieVolwassen Informatiebeveiliging
Volwassen Informatiebeveiliging NBA LIO en NOREA symposium Amersfoort 4 februari 2019 Agenda 15.00-15.05 uur Opening Maureen Vermeij- de Vries, voorzitter NBA LIO bestuur 15.05-15.15 uur Introductie programma
Nadere informatieBeheersing beheerst. Over risicogestuurde interne controle in het sociale domein
Beheersing beheerst Over risicogestuurde interne controle in het sociale domein Beheersing beheerst Over risicogestuurde interne controle in het sociale domein Hoe draagt interne controle bij aan het efficiënt
Nadere informatieISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18
ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen
Nadere informatieCloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.
Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud
Nadere informatieCERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011
CERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011 Henk Swaters Wim Olijslager LISA - DSM AANLEIDING CERTIFICERING De UT vindt het belangrijk om aan te tonen dat wij zorgvuldig omgaan met gegevens
Nadere informatieWelkom bij: Lean in de zorg Lean in de zorg is geen vraag, maar een uitgangspunt: het staat voor continu alles wat je doet verbeteren
Welkom bij: Lean in de zorg Lean in de zorg is geen vraag, maar een uitgangspunt: het staat voor continu alles wat je doet verbeteren 7 november 2013 voor innovatie in bedrijfsvoering Over Gjald Gjald
Nadere informatieSecurity manager van de toekomst. Bent u klaar voor de convergentie?
Security manager van de toekomst Bent u klaar voor de convergentie? Agenda Introductie Convergentie - De rol en positie van Security in beweging - Wat zien we in de praktijk? - Waar gaat het naar toe?
Nadere informatieBEVEILIGINGSARCHITECTUUR
BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten
Nadere informatieInformatiebeveiligingsbeleid
2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda info@2-control.nl The Netherlands Informatiebeveiligingsbeleid Concept Datum Versiebeheer Versie Datum Status Naam Toelichting
Nadere informatieInleiding Wat is twin datacenter? Waarom implementeren organisaties twin datacenter oplossingen? Business Continuity Management (BCM)
Inleiding ICT-infrastructuur vervult een dermate belangrijke rol in de bedrijfsvoering dat beschikbaarheids-eisen steeds hoger komen te liggen. De afhankelijkheid van ICT-services wordt steeds groter en
Nadere informatieBIC Building Blocks Beleid & Strategie
BIC Building Blocks Beleid & Strategie INFORMATIEBEVEILIGING BIC De informatievoorziening van een organisatie is het geheel van mensen, middelen en maatregelen, gericht op de informatiebehoefte van die
Nadere informatieVeilig mobiel werken. Workshop VIAG 7 oktober 2013
1 Veilig mobiel werken Workshop VIAG 7 oktober 2013 Stelling 1: 2 Heeft u inzicht in de opbrengsten van mobiel werken Ja, dit biedt veel toegevoegde waarde voor de organisatie Ja, dit biedt geen toegevoegde
Nadere informatieTC- NLD - 1. medewerkers. maat. aanwezige. aardig onderstrepen illustreren normaal
TC- NLD - 1 Het beveiligingsbewustzijn is het besef van het bestaan van beveiligingsmaatregelen. Zichzelf te realiseren wat dit betekent voor het gedrag, evenals het effect van het gedrag op het beperken
Nadere informatieGOVERNANCE, RISK & COMPLIANCE WHITEPAPER
GOVERNANCE, RISK & COMPLIANCE De wereld van vandaag wordt gekenmerkt door de snelle ontwikkeling van nieuwe technologieën en disruptieve marktomstandigheden. Deze ontwikkelingen hebben verregaande gevolgen
Nadere informatieDE 7 STAPPEN TOT SUCCES- VOL ITSM.
WHITEPAPER DE 7 STAPPEN TOT SUCCES- VOL ITSM. MPROOF.NL 2 MPROOF.NL GEGARANDEERDE RESULTATEN VOOR UW SERVICEORGANISATIE. IT Service Management implementeren is een omvangrijke klus. Het geheim is een naadloze
Nadere informatieINFORMATIEBEVEILIGING
april 2008 nummer 2 Risicomanagement krijgt vaste plaats in ITIL Introductie: discussiemodel voor integrale beveiliging Virtualisatie, de ins en outs Sociale netwerksites onschuldig? De menselijke kant
Nadere informatieHoezo dé nieuwe ISO-normen?
De nieuwe ISO-normen Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Hoezo dé nieuwe ISO-normen? 2 1 De cijfers voor Nederland (eind 2013) Norm Aantal
Nadere informatieLaat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014
Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging
Nadere informatieBARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT
WHITEPAPER BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT RISICOMANAGEMENT IN BALANS Ondernemen betekent risico s nemen om de
Nadere informatieRapport Methodiek Risicoanalyse
Versie 1.5 31 december 2014 A.L.M. van Heijst emim drs. R.B. Kaptein drs. A. J. Versteeg Inhoud 1. Inleiding... 3 2. Methodiek... 3 3. Stappenplan uitvoering risicoanalyse... 6 3.1 Landelijke risicoanalyse...
Nadere informatieAsset Management gemeente SWF in het kort. Aanleiding Risico Gestuurd Asset Management. Aanpak Risico Gestuurd Asset Management
1 2 3 4 Asset Management gemeente SWF in het kort Aanleiding Risico Gestuurd Asset Management Aanpak Risico Gestuurd Asset Management Risico-gebaseerde lange termijn planning 15 tips (Do s) Asset Management
Nadere informatieKaartspel EVC als strategische keuze
Kaartspel EVC als strategische keuze Doel van het kaartspel: Inzicht krijgen in waar je als EVC-aanbieder naar toe wilt gaan en hoe je perspectief voor de toekomst ontwikkelt. Ga je wel of niet door met
Nadere informatieOPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw
OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende
Nadere informatieWAARSCHUWING. Als je wilt dat in je leven niets verbetert, leg dit boek dan NU weg. Het is niets voor jou. Koop een fles champagne en ga het vieren.
WAARSCHUWING Als je wilt dat in je leven niets verbetert, leg dit boek dan NU weg. Het is niets voor jou. Koop een fles champagne en ga het vieren. INLEIDING Je herkent het vast: je stond met een glas
Nadere informatieSTRATAEGOS CONSULTING
STRATAEGOS CONSULTING EXECUTIE CONSULTING STRATAEGOS.COM WELKOM EXECUTIE CONSULTING WELKOM BIJ STRATAEGOS CONSULTING Strataegos Consulting is een strategie consultancy met speciale focus op strategie executie.
Nadere informatieHet PMO van PostNL IT
Het PMO van PostNL IT WIN PMO Congres Blik op een kleurrijk PMO Alex Palma, manager IT Projecten 13-03-2014 Wat willen we jullie vertellen? Positionering van projectenorganisatie Waarom een PSO? Implementatiestrategie
Nadere informatieDuurzaam (kosten)effectief uitbesteden
Duurzaam (kosten)effectief uitbesteden Agenda Kiezen voor uitbesteding Uitbestedingsfeiten Wenselijke situatie Eisen volgens ISO5500X Showstoppers Aandachtspunten Afsluiting Kiezen voor uitbesteding Ontbreken
Nadere informatieTal van redenen waarom CRM bij u wel slaagt!
Als je de persberichten mag geloven, mislukken er vele CRM projecten. Enige nuancering is wel op zijn plaats, want misschien moeten we niet spreken van mislukken maar van het niet voldoen van het resultaat
Nadere informatieSnel op weg naar de (digitale) rechtbank van 2016
Snel op weg naar de (digitale) rechtbank van 2016 Paul Aantjes MBA Marketing Manager Zakelijke Dienstverlening Inhoudsopgave 1. Omgeving Nederlandse advocatuur, uitdagingen 2013! 2. Visie orde van Advocaten
Nadere informatieBusiness Continuity Management conform ISO 22301
Business Continuity Management conform ISO 22301 Onderzoek naar effecten op de prestaties van organisaties Business continuity management gaat over systematische aandacht voor de continuïteit van de onderneming,
Nadere informatieSeminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!
Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand
Nadere informatieSOLVENCY II Hoe een integrale aanpak van de Solvency II pijlers leidt tot een efficiënt en betrouwbaar risicomanagement- en rapportageproces
SOLVENCY II Hoe een integrale aanpak van de Solvency II pijlers leidt tot een efficiënt en betrouwbaar risicomanagement- en proces Door: Gert Verbaas en Auke Jan Hulsker november 2015 SAMENVATTING De volledige
Nadere informatieITIL Security Management: een kritische beschouwing
ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor
Nadere informatieVoorstel Informatiebeveiliging beleid Twente
Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)
Nadere informatieBusiness Control binnen de gemeente DATA GOVERNANCE. Gerrit Duits MSc. CPC Alisa Westerhof MSc. 22 maart 2016
Business Control binnen de gemeente DATA GOVERNANCE Gerrit Duits MSc. CPC Alisa Westerhof MSc. 22 maart 2016 Noodzaak goede data Voorbeeld sociaal domein Inhoud Data is vakwerk Het Data Maturity Model
Nadere informatieHand-out 'Digitale toegankelijkheid op een hoger niveau, aanpak bij de Koninklijke Bibliotheek'
Verder met digitale toegankelijkheid Hand-out 'Digitale toegankelijkheid op een hoger niveau, aanpak bij de Koninklijke Bibliotheek' Presentatie Iacobien Riezebosch van Firm Ground op de SDU Praktijkdag
Nadere informatieInformatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.
1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?
Nadere informatieBedrijfscontinuïteit met behulp van een BCMS
Bedrijfscontinuïteit met behulp van een BCMS 26 november 2014 Aart Bitter@ISGcom.nl www.information-security-governance.com Disaster Recovery Plan 2 The Bitter Brew Case To Brew or not to Brew, That s
Nadere informatieBekend zijn met de visie en inzet van procesmanagement in de eigen organisatie.
en werkwijze BPM awareness Inzicht in de toepassing van BPM op strategisch niveau in het algemeen en binnen de eigen organisatie. Kennismaken met BPM vanuit een strategisch perspectief Nut en toegevoegde
Nadere informatieDe nieuwe ISO-normen: meer dan KAM-management alleen!
De nieuwe ISO-normen: meer dan KAM- alleen! Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Wat kunt u verwachten? Ontwikkelingen systeemnormen Plug-in
Nadere informatieWij testen..maar....wat test jij?
Wij testen..maar....wat test jij? Wij testen maar wat test jij? Harm Pul, Busineslinemanager Functioneel Beheer TMAP dag 2015, 29 september 2015 Bussum 2 Herkent u dit? De gebruikers testen dit straks
Nadere informatieSeminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging
Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging
Nadere informatieCharco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance
De auditfunctie bij trustkantoren Trustkantoren zijn vanaf 1 januari 2015 verplicht om een auditfunctie in te voeren. In deze brochure geven wij een toelichting op de auditfunctie, een overzicht van alle
Nadere informatieManifest onze manier van werken
6-11-2008 12:23 Manifest onze manier van werken De gemeente Lelystad ontwikkelt op dit moment de visie op haar toekomstige manier van werken. Hoe het stadhuis er na de renovatie uit komt te zien en ingedeeld
Nadere informatieSecurity risk: Ik heb maar circa 20 minuten om u bij te praten Facility meets IT
Security risk: Ik heb maar circa 20 minuten om u bij te praten Facility meets IT 11 mei 2006 Tom Visser Sales consultant Waarom een meeting? Facility meets IT? Ze spreken beide Nederlands; maar verstaan
Nadere informatieSafety & Security Management bv
Safety & Security Management bv Hosting Your Safety & Security Safety & Security Management Eén aanspreekpunt Van concept tot realisatie en verder.. Het inbrengen van kennis en expertise Wij combineren
Nadere informatieDNB Pensioenseminar. Parallelsessie Beleggingen. 21 september 2011
DNB Pensioenseminar Parallelsessie Beleggingen 21 september 2011 Hoofdvragen I. Wat maakt iemand een goede bestuurder op het gebied van beleggingen? II. Wat verwacht u van de toezichthouder op het gebied
Nadere informatie11 oktober Heeft u voldoende in(zicht) op uw procesautomatisering en organisatie?
11 oktober 2018 Heeft u voldoende in(zicht) op uw procesautomatisering en organisatie? Even voorstellen Jurg Bremmer Sr. Consultant Water & Infra 19 De wereld is continu in beweging Agenda Introductie:
Nadere informatieSymposium Groene ICT en duurzaamheid januari 2014
Missie Visie ICT groeit, ongecontroleerd, in een ijzingwekkend tempo. In hetzelfde tempo groeit onze afhankelijkheid, ongecontroleerd. Dit levert een enorm spanningsveld waarvan weinig mensen zich bewust
Nadere informatieISO Asset Management
ISO 55001 Asset Management 1. Welkom bij KAM Consultants 2. Werkwijze 3. ISO 55001 4. Advies diensten 5. Trainingen 6. Quick Scan 7. Coaching 8. Intensieve begeleiding 9. Onderhoud 10. Contactgegevens
Nadere informatieService Niveau Overeenkomst Digikoppeling
Service Niveau Overeenkomst Digikoppeling Versie 1.3 Datum 26 mei 2015 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl
Nadere informatieStrategisch Risicomanagement
Commitment without understanding is a liability Strategisch Risicomanagement Auteur Drs. Carla van der Weerdt RA Accent Organisatie Advies Effectief en efficiënt risicomanagement op bestuursniveau Risicomanagement
Nadere informatieINTERNATIONAAL MAATSCHAPPELIJK VERANTWOORD ONDERNEMEN: ONDERZOEK
INTERNATIONAAL MAATSCHAPPELIJK VERANTWOORD ONDERNEMEN: ONDERZOEK INHOUD 1. Uitgangspunten 2. Doelgroep - achtergrondkenmerken 3. IMVO - algemeen 4. IMVO voor het eigen bedrijf/ bedrijf waar het voor werkt
Nadere informatieUTAH MAAKT IT LEUK UTAH, IT-DIENSTVERLENER VOOR HET MKB EN DE ACCOUNTANT
UTAH MAAKT IT LEUK UTAH, IT-DIENSTVERLENER VOOR HET MKB EN DE ACCOUNTANT JE ZOEKT CONTACT MET UTAH IT & DATA CONSULTING Als jij als ondernemer gewoon wilt werken en je over IT geen zorgen wilt maken Als
Nadere informatieExtreme Library Makeover
Extreme Library Makeover Innovatie audit voor de bibliotheek van de 21e eeuw en verder DOKLAB b.v. Vesteplein 1 00 2611 WG Delft info@doklab.nl Bank rek.nr. 166145971 KVK nr. 54081653 BTW nr. NL851151450B01
Nadere informatieSecurity Management Trendonderzoek. Chloë Hezemans
Security Management Trendonderzoek Chloë Hezemans Security Management Survey (5 e editie) Agenda Voorstellen Methode Trends Opvallende resultaten deze editie Security Management 2020? Voorstellen Chloë
Nadere informatieBCM Volwassenheid. Het VKA BCM Maturity Model. 15-02-2006 Steven Debets
BCM Volwassenheid Het VKA BCM Maturity Model 15-02-2006 Steven Debets Inhoud Aanleiding BCM Maturity model en Quick Scan Resultaten Marktscan 2 3 4 Effectieve implementatie; Een goede blauwdruk als basis.
Nadere informatieIntegraal risicomanagement
Samenvatting Integraal risicomanagement in 40 Nederlandse ziekenhuizen Inhoud Inleiding 3 Onderzoeksvragen 3 Integraal risicomanagement onvoldoende beschreven 4 Aanbevelingen 5 Over VvAA 7 2 VvAA Risicomanagement
Nadere informatieGlobal Project Performance
Return on investment in project management P3M3 DIAGNOSTIEK IMPLEMENTATIE PRINCE2 and The Swirl logo are trade marks of AXELOS Limited. P3M3 -DIAGNOSTIEK (PROJECT PROGRAMMA PORTFOLIO MANAGEMENT MATURITY
Nadere informatieHoe je als onderdeel van De Nederlandse Corporate Governance Code. ook fysieke beveiliging onder controle krijgt
Hoe je als onderdeel van De Nederlandse Corporate Governance Code ook fysieke beveiliging onder controle krijgt Doelgroep Voorzi
Nadere informatieBisnez Management. Een kennismaking
Bisnez Management Een kennismaking Bisnez staat voor 2 Wie zijn wij Een projectmanagement en adviesbureau met 35 medewerkers Ervaren, vindingrijk en geselecteerd op het vermogen om het verschil te kunnen
Nadere informatieHow to make Compliance fit for the future? June 2019
ABN AMRO Compliance René Kleine How to make Compliance fit for the future? June 2019 Introductie René Kleine Head of Compliance Risk Management ABN AMRO Bank NV Part-time teaching at post graduate education
Nadere informatieAdvies informatiebeveiligings analyse HvA
Advies informatiebeveiligings analyse HvA Wouter Borremans - 0461911 - v1.1 1 Juni 2005 1 Inleiding Dit document is geschreven met als doel om de Hogeschool van Amsterdam[5] (HvA) te voorzien van een advies
Nadere informatieMKB Cloudpartner Informatie TPM & ISAE 3402 2016
Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieIn een keten gaat het om de verbindingen, niet om de schakels.
Verbindingsmodel IV Serviceketen Theo Thiadens en Adri Cornelissen In een keten gaat het om de verbindingen, niet om de schakels. Verbindingsmodel IV Serviceketen Theo Thiadens Alleen een organisatie die
Nadere informatieI T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie
I T S X Understanding the Tools, the Players and the Rules Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie Voorwoord Ralph Moonen Arthur Donkers Mijn naam
Nadere informatieRISK MANAGEMENT. Hinrich Slobbe
RISK MANAGEMENT Hinrich Slobbe Info@wizfiz.nl 11-05-19 Wat is een risico? Wat is Risk Management? Case De Efteling Risico analyse model Risicobeheersing en - financiering Risk Management versus verzekeren
Nadere informatieGrip op uw bedrijfscontinuïteit
Grip op uw bedrijfscontinuïteit Hoe omgaan met risico s 1 Grip op uw bedrijfsdoelstellingen: risicomanagement Ondernemen is risico s nemen. Maar bedrijfsrisico s mogen ondernemen niet in de weg staan.
Nadere informatieBusiness Continuity Management
Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het
Nadere informatieOp 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.
Inleiding Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Hierin wordt aangegeven dat DNB in 2017 met
Nadere informatieInterne audits, het rendement
Interne audits, het rendement HKZ Kwaliteitsdag Olav Kloek 8 april 2014 SAFER, SMARTER, GREENER Strategie van de organisatie Herontwerp van organisaties, door: Nieuw financieringsstelsel Zelfsturende/zelfregulerende
Nadere informatieDe crisis en Outsourcing. Business as usual or change of roads
De crisis en Outsourcing Business as usual or change of roads Onderwerpen Wat is (out)sourcing? Wat is de impact van de crisis? Wat moet de rol van de IT-auditor zijn? Outsourcing Afbakening Wat is outsourcing
Nadere informatieLean Six-Sigma. HealthRatio Operational Excellence
Lean Six-Sigma HealthRatio Operational Excellence De zorg werkt in een roerige omgeving Veel veranderingen leggen extra druk op zorginstellingen om goedkoper, efficiënter en transparanter te kunnen werken.
Nadere informatieHans de Jonge 29 oktober2009
Hans de Jonge 29 oktober2009 Strategische doelen Rendement Risico s Monitoring en verantwoording Risico- en lifecycle management Veroudering & lifecycle Besluitvorming en prioritering Operationele werkzaamheden
Nadere informatieVoorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)
Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie
Nadere informatie