Wie keurt jouw vlees? De toegevoegde waarde van een fysieke beveiligingsaudit. Over Thimo Keizer
|
|
- Gerarda Baert
- 5 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van de gebaande paden en onderzoeken waar de organisatie op een efficiënte en effectieve wijze verbeterd kan worden zonder dat de organisatie daar last van ondervindt. De bedrijfsvoering, de primaire en secundaire processen en de aspecten die voor de continuïteit van de organisatie van belang zijn worden daarbij door mij steeds als uitgangspunt genomen. Op strategisch en tactisch niveau zijn mijn adviezen gebaseerd op de groei in volwassenheid van de organisatie. Mijn ervaring op het gebied van change management, risico management en integrale beveiliging binnen organisaties als het Ministerie van Defensie, de ABN AMRO Bank en KPN Telecom aangevuld met mijn universitaire opleiding Bedrijfswetenschappen en HBO opleiding Marketing Management helpen mij daarbij. Waarom Het is mijn doel om organisaties te helpen om continuïteit te waarborgen door (beveiligings)risico s en kansen zichtbaar en begrijpelijk te maken, zodat de impact op omzet, kosten en imago kan worden beheerst. Hoe Ik ben een strategische en tactische business consultant met een specialisatie in operationeel risicobeheer voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Wat Ik zorg ervoor dat organisaties hun doelen bereiken door Good Governance (goed bestuur) en maturity (volwassenheid) te waarborgen voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Dat doe ik door het ontwikkelen en implementeren van beveiligingsbeleid, door het evalueren en aanpassen van dat beleid en door middel van quick scans en audits van het beleid en de getroffen beveiligingsmaatregelen. Copyright Thimo Keizer, Vlaardingen 2017 Voor meer informatie:
2 Als er wel financial audits, IT audits, operational audits en kwaliteitsaudits worden uitgevoerd. Waarom worden er dan niet (of nauwelijks) goede audits uitgevoerd op het gebied van fysieke beveiliging? Wat mij betreft een interessante vraag want het doel van een audit is het verschaffen van additionele zekerheid. Kijken we naar fysieke beveiliging dan willen we additionele zekerheid of onze aanpak (het proces) en de getroffen beveiligingsmaatregelen in opzet, bestaan en werking wel doelmatig en doeltreffend zijn. We kunnen alleen maar kwalitatief goede fysieke beveiligingsaudits uitvoeren als we de achtergronden van fysieke beveiliging kennen. Voordat we een audit uit kunnen voeren moeten we daarom de volgende vraag beantwoorden: Waarom, waartegen en waarmee beveiligen we eigenlijk? Hieruit kunnen we direct concluderen dat je niet zomaar iets kunt roepen over hoe goed of slecht de beveiliging van een organisatie of specifiek gebouw is. Hoe vaak krijgen beveiligingsspecialisten niet de vraag: zijn we wel goed beveiligd? We kunnen daar geen antwoord op geven als we niet de basis uitgangspunten duidelijk op het vizier hebben. Maar de vraag of het goed is, moet wel beantwoord worden. Daarom ga ik in op hoe additionele zekerheid kan worden gegeven over de mate waarin we goed beveiligd zijn. Maar ik geef ook aan hoe die additionele zekerheid niet kan worden verkregen (mijn persoonlijke mening). 2
3 We doen het er wel even bij Als er al gekeken wordt naar hoe goed de fysieke beveiliging is (want veel organisaties implementeren wel fysieke beveiliging maar evalueren dat niet) dan wordt er binnen de organisatie een medewerker gezocht die zich een oordeel moet vormen over de fysieke beveiliging. Dit kan bijvoorbeeld een medewerker van Facility Management, een Operational Risk Officer, een beleidsmaker of een kwaliteitsmedewerker zijn. Het wordt een taak die een medewerker er wel even bij kan doen. Dat kan best een eerste oplossing zijn maar de vraag is of dit de beste oplossing is. Hoeveel kennis heeft deze medewerker van fysieke beveiliging? En is die kennis dan vooral procesmatig of juist op de beveiligingsmaatregelen gericht? Hoeveel ervaring heeft deze medewerker met het uitvoeren van audits? Hoe is het risico gedrag van de medewerker ten opzichte van het risico gedrag van de organisatie (risico mijdend, risico dragend of risico neutraal)? And last but not least: hoeveel James Bond films heeft deze medewerker gezien? Want dit hangt samen met hoe realistisch de risico s en de maatregelen zijn die worden gerapporteerd. Een aantal vragen waar we over na moeten denken voordat we een interne medewerker belasten met een extra taak welke ook nog eens een specialistische taak is. Het doel van de audit is het krijgen van additionele zekerheid en het is de vraag of dat doel wordt bereikt als we zomaar iemand belasten met deze taak. Waarom beveiligen we eigenlijk? Laten we wat dieper ingaan op de vraag waarom we eigenlijk beveiligen. Eén van de uitgangspunten voor fysieke beveiliging is dat we de aspecten: Personen, Informatie en Materieel moeten beschermen tegen onacceptabele bedreigingen. Deze aspecten zorgen er immers voor dat de primaire en secundaire processen van de organisatie uitgevoerd kunnen worden. Deze primaire en secundaire processen zorgen op hun beurt weer voor de omzet, kosten en het imago van de organisatie. Dit totaal zorgt voor continuïteit van de organisatie en dat is nu net het hoogste doel van iedere organisatie. We moeten dus niet uitgaan van de beveiligingsmaatregelen maar van de risico s voor de processen van de organisatie en dat is al een hele kunst op zich. Willen we weten of een organisatie goed (genoeg) beveiligd is dan kunnen we die vraag alleen maar beantwoorden als we weten waarom we beveiligen. We vragen het een informatiebeveiligingsspecialist Een interne medewerker kunnen we dus niet zomaar vragen om de fysieke beveiliging aan een audit te onderwerpen. Het vergt immers nogal wat kennis en ervaring om een goed oordeel te kunnen geven. Veel organisaties hebben focus op informatiebeveiliging en zijn daarom voorzien van informatiebeveiligingsspecialisten (intern of extern) die verantwoordelijk zijn voor de informatiebeveiliging binnen de organisatie. Door middel van IT-audits wordt de informatiebeveiliging geaudit, dus informatiebeveiligingsspecialisten hebben ervaring met het audit proces. Zo n specialist kan dan toch ook een audit uitvoeren naar de fysieke beveiliging? Dat is immers ook een hoofdstuk van de Code voor Informatiebeveiliging. Probleem opgelost, zou je denken. 3
4 Niets is minder waar. De scope van de Code voor Informatiebeveiliging en daarmee de scope van veel informatiebeveiligingsspecialisten is het beschermen van de informatie van de organisatie. En natuurlijk is informatie binnen een organisatie van groot belang. Maar eerder hebben we al gezien dat we ook de personen en het materieel moeten beschermen om de werking van de primaire en secundaire processen zeker te stellen. Je kunt een slager wel vragen wat het lekkerste brood is, maar dan krijg je al snel zijn persoonlijke mening en de vraag is wat je met die mening kunt. Laten we een specialist op het gebied van informatiebeveiliging de fysieke beveiliging van de organisatie auditen dan lopen we het risico dat we vooral beveiligingsmaatregelen treffen om de informatie te beschermen op basis van informatiebeveiligingsrisico s (virus, hacking, DDoS, inbraak in een datacenter, etc.) en dat de bescherming van personen en materieel onderbelicht blijft. Dit is overigens geen waardeoordeel maar een gevolg van het feit dat ze informatiebeveiligingsspecialist zijn (schoenmaker blijft bij je leest). Je moet zeker IT-audits uit laten voeren waarbij gekeken wordt naar de informatiebeveiligingsrisico s maar het doel van de fysieke beveiligingsaudit is het krijgen van additionele zekerheid over de fysieke beveiliging en het is de vraag of dat doel voldoende wordt bereikt als we een informatiebeveiligingsspecialist vragen om de audit uit te voeren. Waartegen beveiligen we eigenlijk? Laten we wat dieper ingaan op de vraag waartegen we eigenlijk beveiligen. Zodra we weten welke primaire en secundaire processen kritisch zijn en door welke aspecten (personen, informatie, materieel) die mogelijk worden gemaakt moeten we bedenken waartegen we die aspecten willen beschermen. We moeten daarbij kijken hoe realistisch de bedreiging is en hoe groot de kans dat het risico ons treft. Een terroristische aanslag kan best een realistische bedreiging zijn maar de kans dat die aanslag op jouw organisatie is gericht hoeft daarmee nog niet hoog te zijn. Hierbij moeten we ook nog goed kijken naar de oorzaak-gevolg en doel-middel relatie. Een inbraak is een bedreiging (middel) met een ander doel, bijvoorbeeld diefstal. De oorzaak is in dit geval een inbraak maar het gevolg is de diefstal. Bij het treffen van beveiligingsmaatregelen moeten we rekening houden met oorzaak-gevolg en doel-middel. Afhankelijk van de kosten van een maatregel moeten we ons richten op het wegnemen van de oorzaken (inbraak) door bijvoorbeeld inbraakdetectie, compartimentering en alarmopvolging. Lukt het ons niet om de oorzaak weg te nemen dan kunnen we kijken welke maatregelen mogelijk zijn om de gevolgen te beperken (bijvoorbeeld een verzekering om het gestolen goed vergoed te krijgen). Bekende bedreigingen waar we bij fysieke beveiliging zoal naar kijken zijn (zonder volledig te willen zijn) vandalisme, demonstraties, sabotage, diefstal, inbraak/ ongeautoriseerde toegang, bedreiging en agressie, overval, gijzeling, ontvoering, brand(stichting), bom(melding), ram- of plofkraak, infiltratie en spionage, fraude, afpersing en interne criminaliteit. 4
5 We vragen het wel aan onze leverancier Ok, als we het niet aan een interne medewerker of een informatiebeveiligingsspecialist kunnen vragen dan vragen we het toch aan onze leverancier (van inbraakinstallaties of camerasystemen). Zij hebben verstand van fysieke beveiligingsmaatregelen en kunnen adviseren over de maatregelen die getroffen moeten worden om goed beveiligd te zijn, toch? Dat zij verstand van beveiligingsmaatregelen hebben kunnen we zeker niet ontkennen. Maar zij leveren vooral bouwkundige en elektronische beveiligingsmaatregelen. Kijken we naar fysieke beveiliging dan is dat de mix van organisatorische, bouwkundige en elektronische maatregelen (OBE-mix) die we aan moeten vullen met reactie (alarmopvolging). Alleen bouwkundige en elektronische maatregelen leveren niet de juiste mix op. De vraag is daarnaast of de leverancier ook weet wat de risico strategie van de organisatie is. Weten zij waarom we waartegen met wat willen beveiligen? Hebben zij hetzelfde doel voor ogen? Het is tegenwoordig heel modern om leveranciers partners te noemen. Maar gaat dit ook op in een situatie waarbij de kosten voor de één (de klant) de omzet van de ander (leverancier) is. De slechte leveranciers (en die heeft jouw organisatie gelukkig niet) zullen een overkill aan maatregelen voorstellen (= omzet). Als de organisatie over onvoldoende kennis beschikt op het gebied van fysieke beveiliging en een leverancier speelt daar handig op in door vooral vanuit angstperspectief te verkopen dan komt dat de organisatie duur te staan. Maar zelfs de goede leveranciers, die echt willen partneren (en dat zijn gelukkig de meesten), zitten in een lastig pakket. Enerzijds wordt hen gevraagd mee te denken om een zo doelmatig en doeltreffend mogelijke oplossing voor te stellen op basis van een lange termijn relatie terwijl zij anderzijds afgerekend worden op de hoogte van de offerte en ondoordachte KPI s (en daardoor zelfs mogelijk boetes aan de broek krijgen). Je moet zeker je leveranciers betrekken bij het selecteren van de juiste mix aan maatregelen maar niet voordat je zelf functioneel weet wat je wilt (waarom, wat, waarmee). Het doel van de fysieke beveiligingsaudit is het krijgen van additionele zekerheid over de fysieke beveiliging en het is de vraag of dat doel wordt bereikt als we een leverancier vragen welke maatregelen we nodig hebben terwijl we het zelf niet weten. Waarmee? Laten we wat dieper ingaan op de vraag waarmee we eigenlijk beveiligen. Inmiddels weten we welke aspecten (personen, informatie, materieel) we waartegen willen beveiligen. De volgende stap is het bepalen van de juiste mix van organisatorische, bouwkundige en elektronische preventieve, detectieve, repressieve en correctieve maatregelen die aangevuld worden met alarmopvolging (ja, je mag deze zin best nog een keer lezen). Deze mix aan maatregelen zorgt voor de nodige kosten. De kosten moeten we inzichtelijk krijgen omdat we geen briefje van 10 met een kluis van moeten willen beveiligen. Moeten we prioriteiten stellen dan moeten we de meest kritische processen beschermen door de meest kritische personen, informatie en materieel te beveiligen. Hierbij zien we dat bouwkundige en elektronische maatregelen best effectief kunnen zijn (mits ze aangevuld worden met de juiste organisatorische maatregelen en alarmopvolging) maar dat juist deze 5
6 maatregelen ook de hoogste investering vergen. De organisatorische maatregelen zijn daarbij dan juist weer goedkoper maar lastiger omdat het hier kennis, houding en gedrag van de personen die de procedures uitvoeren vergt. Pas op voor onder- en overbeveiliging Na het lezen van bovenstaande ben je wellicht tot de conclusie gekomen dat het kiezen van de juiste mix aan beveiligingsmaatregelen toch niet zo eenvoudig is als het in eerste instantie misschien lijkt. Als het selecteren van de juiste mix aan maatregelen al zo lastig is, hoe lastig is het dan wel niet om additionele zekerheid te krijgen (audit) of de beveiliging doelmatig en doeltreffend is? En wat mij betreft trek je dan ook de juiste conclusies. Het is tijd om de omslag te maken van een vooral op een bonte verzameling fysieke beveiligingsmaatregelen gebaseerde aanpak (een rule based benadering) naar een op realistische bedreigingen gebaseerde aanpak (een risk based benadering). Dit zorgt er niet alleen voor dat de onacceptabele bedreigingen voldoende worden gemitigeerd maar zorgt, zeker op langere termijn, ook voor een manier van beveiligen die op kosten-baten is gebaseerd. Maar gelukkig is fysieke beveiliging nu ook weer niet een exacte wetenschap waardoor we een bandbreedte hebben waarin we keuzes kunnen maken. Keuzes op het gebied van risico s en keuzes op het gebied van maatregelen. Blijven we binnen die bandbreedte dan doen we het goed (genoeg). Waar we vooral voor moeten waken is onder- en overbeveiliging. Onderbeveiliging betekent dat we simpelweg te weinig aan beveiliging doen om de onacceptabele risico s voldoende af te dekken. Het mag dan lekker goedkoop zijn maar levert onherroepelijk risico s op voor de primaire en secundaire processen, de omzet, kosten, het imago en misschien zelfs wel voor de continuïteit van de organisatie. Overbeveiliging betekent juist dat er teveel beveiligingsmaatregelen worden getroffen. Dit is niet alleen erg kostbaar maar levert juist ook risico s op. Enerzijds omdat het voor de medewerkers moeilijk (lees: inefficiënt en ineffectief) wordt de primaire en secundaire processen goed uit te voeren maar anderzijds omdat iedere beveiligingsmaatregel die we treffen op zich ook weer tot nieuwe risico s kan leiden. 6
7 Weer terug naar de vraag Voordat deze tekst wel erg lang wordt (want er is nog zoveel meer te vertellen) keren we terug naar de vraag: zijn we wel goed beveiligd? Die vraag kunnen we alleen beantwoorden door additionele zekerheid te krijgen over de deelvragen: Waarom, waartegen en waarmee beveiligen we eigenlijk? De toegevoegde waarde van een fysieke beveiligingsaudit is het leveren van deze additionele zekerheid. Willen we weten of we goed beveiligd zijn dan zullen we ons in opzet, bestaan en werking een oordeel moeten vormen over hoe doelmatig en doeltreffend zowel het proces is als ook hoe goed de concrete beveiligingsmaatregelen op een locatie getroffen zijn. En dat is bepaald geen sinecure. 7
Fysieke beveiliging: Waarom voorkomen niet altijd beter is dan genezen. Over Thimo Keizer
Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van
Nadere informatieDe toegevoegde waarde van fysieke beveiliging. Over Thimo Keizer
Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van
Nadere informatieAls beveiligingssystemen IT-systemen zijn, waarom worden ze dan niet beheerd door de. IT-afdeling? Over Thimo Keizer
Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van
Nadere informatie3 manieren om je risico analyses te verbeteren
Fysieke beveiliging: Eerst denken dan Agile doen (bespaart je een hoop poen) Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken
Nadere informatieHoe de controlerende macht fysieke beveiliging kan verbeteren
Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van
Nadere informatieDe 8 eigenschappen van effectief security management
Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van
Nadere informatiefysieke beveiliging onder controle Good Governance op het gebied van fysieke beveiliging Thimo Keizer
fysieke beveiliging onder controle Good Governance op het gebied van fysieke beveiliging www.fysiekebeveiliging.nl Thimo Keizer Good Governance op het gebied van fysieke beveiliging 2016 www.fysiekebeveiliging.nl
Nadere informatieFysieke beveiliging: Eerst denken dan Agile doen (bespaart je een hoop poen) Over Thimo Keizer
Fysieke beveiliging: Eerst denken dan Agile doen (bespaart je een hoop poen) Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken
Nadere informatiePhysical Security Maturity
fysieke beveiliging onder controle Physical Security Maturity inzicht in de volwassenheid van fysieke beveiliging www.fysiekebeveiliging.nl Thimo Keizer Physical Security Maturity inzicht in de volwassenheid
Nadere informatieAls je beveiligers weinig ervaring hebben met audi4ng. en je auditors weinig kennis hebben van fysieke beveiliging
Als je beveiligers weinig ervaring hebben met audi4ng en je auditors weinig kennis hebben van fysieke beveiliging hoe weet je dan of je in evenwicht bent? Hebben de beveiligers voldoende ervaring met audi4ng?
Nadere informatieWhitepaper. Inzetten op integrale veiligheid
Whitepaper Inzetten op integrale veiligheid Inzetten op integrale veiligheid Verliezen lijden? Door fraude, diefstal of schade? Of letsel? Daar zit u niet op te wachten. Sterker nog, u heeft zich ertegen
Nadere informatieISO Informatiebeveiliging
ISO 27001 Informatiebeveiliging 1. Welkom bij KAM Consultants 2. Werkwijze 3. ISO 27001 4. Advies diensten 5. Trainingen 6. Quick Scan 7. Coaching 8. Intensieve begeleiding 9. Onderhoud 10. Contactgegevens
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatiefysieke beveiliging onder controle Fysieke beveiliging Lean & Agile Thimo Keizer
fysieke beveiliging onder controle Fysieke beveiliging Lean & Agile www.fysiekebeveiliging.nl Thimo Keizer Fysieke beveiliging Lean & Agile 2016 www.fysiekebeveiliging.nl Thimo Keizer Niets uit deze uitgave
Nadere informatieAdvies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie
DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren
Nadere informatieManagementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C
Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht
Nadere informatieHoe je als onderdeel van De Nederlandse Corporate Governance Code. ook fysieke beveiliging onder controle krijgt
Hoe je als onderdeel van De Nederlandse Corporate Governance Code ook fysieke beveiliging onder controle krijgt Doelgroep Voorzi
Nadere informatieSeminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging
Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging
Nadere informatieSecurity Management Trendonderzoek. Chloë Hezemans
Security Management Trendonderzoek Chloë Hezemans Security Management Survey (5 e editie) Agenda Voorstellen Methode Trends Opvallende resultaten deze editie Security Management 2020? Voorstellen Chloë
Nadere informatieAgenda. De Cyberwereld. - Cybercrime en Cyber Security - Veilig Zakelijk Internetten. Allianz Cyber
Cyber Security Agenda De Cyberwereld - Cybercrime en Cyber Security - Veilig Zakelijk Internetten Allianz Cyber - Allianz Cyber Risicoscan - Allianz Cyberverzekering - Allianz Cyber Hulpdienst - Cyber
Nadere informatieINFORMATIEBEVEILIGING
april 2008 nummer 2 Risicomanagement krijgt vaste plaats in ITIL Introductie: discussiemodel voor integrale beveiliging Virtualisatie, de ins en outs Sociale netwerksites onschuldig? De menselijke kant
Nadere informatieSafety & Security Management bv
Safety & Security Management bv Hosting Your Safety & Security Safety & Security Management Eén aanspreekpunt Van concept tot realisatie en verder.. Het inbrengen van kennis en expertise Wij combineren
Nadere informatieWerkplekbeveiliging in de praktijk
Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken
Nadere informatieCharco & Dique. Compliance en risk management voor trustkantoren. Risk Management & Compliance
Compliance en risk management voor trustkantoren Wij helpen trustkantoren om in een dynamische omgeving een goede reputatie te houden of op te bouwen Charco & Dique Risk Management & Compliance Charco
Nadere informatieBeheersing beheerst. Over risicogestuurde interne controle in het sociale domein
Beheersing beheerst Over risicogestuurde interne controle in het sociale domein Beheersing beheerst Over risicogestuurde interne controle in het sociale domein Hoe draagt interne controle bij aan het efficiënt
Nadere informatieCERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011
CERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011 Henk Swaters Wim Olijslager LISA - DSM AANLEIDING CERTIFICERING De UT vindt het belangrijk om aan te tonen dat wij zorgvuldig omgaan met gegevens
Nadere informatieBEVEILIGINGSARCHITECTUUR
BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten
Nadere informatieDe effectieve directie
Studiedag - Journée d études De interne audit en het auditcomité Walgraeve M. Hoofd interne audit NVSM 17.10.2008 Verslag over: De effectieve directie - Financiële, operationele en strategische risico
Nadere informatieSecurity manager van de toekomst. Bent u klaar voor de convergentie?
Security manager van de toekomst Bent u klaar voor de convergentie? Agenda Introductie Convergentie - De rol en positie van Security in beweging - Wat zien we in de praktijk? - Waar gaat het naar toe?
Nadere informatieLaat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014
Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging
Nadere informatieTC- NLD - 1. medewerkers. maat. aanwezige. aardig onderstrepen illustreren normaal
TC- NLD - 1 Het beveiligingsbewustzijn is het besef van het bestaan van beveiligingsmaatregelen. Zichzelf te realiseren wat dit betekent voor het gedrag, evenals het effect van het gedrag op het beperken
Nadere informatieHet Analytical Capability Maturity Model
Het Analytical Capability Maturity Model De weg naar volwassenheid op het gebied van Business Intelligence. WHITEPAPER In deze whitepaper: Wat is het Analytical Capability Maturity Model (ACMM)? Een analyse
Nadere informatieBIC Building Blocks Beleid & Strategie
BIC Building Blocks Beleid & Strategie INFORMATIEBEVEILIGING BIC De informatievoorziening van een organisatie is het geheel van mensen, middelen en maatregelen, gericht op de informatiebehoefte van die
Nadere informatieToonaangevend in veiligheid
Retail Toonaangevend in veiligheid Veel retailers worden geplaagd door winkeldiefstal en winkelcriminaliteit. Enerzijds door winkelend publiek en anderzijds door eigen medewerkers. De hieruit voortvloeiende
Nadere informatieISO norm voor Business Continuity Management
ISO 22301- norm voor Business Continuity Management 1. Welkom bij KAM Consultants 2. Werkwijze 3. ISO 22301 4. ISO 22301 certificatiebegeleiding 5. Trainingen 6. Quick Scan 7. Coaching 8. Intensieve begeleiding
Nadere informatieFactsheet Penetratietest Informatievoorziening
Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieThemadag Beveiliging & ICT Trends, dilemma s & toekomst
Themadag Beveiliging & ICT Trends, dilemma s & toekomst Zoetermeer, Erik de Vries CPP DutchRisk bv Programma Erik de Vries CPP Security trends, dilemma s, prakkjkcase DGC lid prakkjkcase Discussie 12.45
Nadere informatieVeilig mobiel werken. Workshop VIAG 7 oktober 2013
1 Veilig mobiel werken Workshop VIAG 7 oktober 2013 Stelling 1: 2 Heeft u inzicht in de opbrengsten van mobiel werken Ja, dit biedt veel toegevoegde waarde voor de organisatie Ja, dit biedt geen toegevoegde
Nadere informatieEFFECT NIEUWE ISO-NORMEN MANAGEMENTSYSTEEM OP ISO 19011
EFFECT NIEUWE ISO-NORMEN MANAGEMENTSYSTEEM OP ISO 19011 Wat brengt het ons om de ISO 19011 aan te sluiten op de HLS? Koninklijke NEN - Delft 7 juli 2016 - ing. Edwin Martherus MSc UW INLEIDER 20 jaar gewacht
Nadere informatieAndré Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag
André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen
Nadere informatieSecurity risk: Ik heb maar circa 20 minuten om u bij te praten Facility meets IT
Security risk: Ik heb maar circa 20 minuten om u bij te praten Facility meets IT 11 mei 2006 Tom Visser Sales consultant Waarom een meeting? Facility meets IT? Ze spreken beide Nederlands; maar verstaan
Nadere informatieGlobal Project Performance
Return on investment in project management P3M3 DIAGNOSTIEK IMPLEMENTATIE PRINCE2 and The Swirl logo are trade marks of AXELOS Limited. P3M3 -DIAGNOSTIEK (PROJECT PROGRAMMA PORTFOLIO MANAGEMENT MATURITY
Nadere informatiePPS: It s a service, not a building! Jos Barnhoorn
PPS: It s a service, not a building! Jos Barnhoorn Congres 2011 Samenwerken aan FM www.factomagazine.nl Facto Congres 26 mei 2011 Jos Barnhoorn Snr. Project Mgr. Johnson Controls Wie is Jos Barnhoorn?
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieGDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn
Even voorstellen Maarten de Rooij IT Business Professional, ACA IT-Solutions IT Consultant rol Analyse & advies Proces begeleiding Data privacy specialisme Tijdslijn Wet bescherming persoonsgegevens 1
Nadere informatieCloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.
Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud
Nadere informatieAanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker
Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................
Nadere informatieISO Asset Management
ISO 55001 Asset Management 1. Welkom bij KAM Consultants 2. Werkwijze 3. ISO 55001 4. Advies diensten 5. Trainingen 6. Quick Scan 7. Coaching 8. Intensieve begeleiding 9. Onderhoud 10. Contactgegevens
Nadere informatieCompetentieprofiel deskundige ICT
Competentieprofiel deskundige ICT 1. Functie Functienaam Afdeling Dienst Functionele loopbaan deskundige ICT personeel en organisatie secretariaat B1-B3 2. Context ICT draagt bij tot de uitwerking van
Nadere informatieMEVAS Risicomanagement Programma.
nederlandse organisatie van ondernemers in het midden- en kleinbedrijf in de metaal MEVAS Risicomanagement Programma. Inhoud MEVAS Risicomanagement Programma. 3 Stappen die passen bij uw organisatie. 4
Nadere informatieInformatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.
1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?
Nadere informatieBerry Kok. Navara Risk Advisory
Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging
Nadere informatieISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18
ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen
Nadere informatieDe Rotterdam, één van de hoofdgebouwen van de gemeente Rotterdam.
De Rotterdam, één van de hoofdgebouwen van de gemeente Rotterdam. 1 Hoe heeft Rotterdam IB aangepakt en welke lessen zijn daaruit te trekken: valkuilen en beren. 2 De nieuwe organisatie: 5 primaire proces
Nadere informatieHand-out 'Digitale toegankelijkheid op een hoger niveau, aanpak bij de Koninklijke Bibliotheek'
Verder met digitale toegankelijkheid Hand-out 'Digitale toegankelijkheid op een hoger niveau, aanpak bij de Koninklijke Bibliotheek' Presentatie Iacobien Riezebosch van Firm Ground op de SDU Praktijkdag
Nadere informatieMeer waarde halen uit uw ICT en EPD ICT sturing richten op realiseren van baten
Meer waarde halen uit uw ICT en EPD ICT sturing richten op realiseren van baten Eric Polman HIMSS 2010, Atlanta 1 4 maart 2010 Agenda en doelstelling 1. Introductie 2. ICT in de zorg: kenmerken huidige
Nadere informatieEven Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017
GEGEVENSBESCHERMING IN DE PRAKTIJK Folkert van Hasselt 29 november 2017 Even Voorstellen Folkert van Hasselt RI Register informaticus Werkzaam bij Instituut Verbeeten Manager ICT Information Security Officer
Nadere informatieOpdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst
Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst
Nadere informatieKwaliteitsmanagement: de verandering communiceren!
Kwaliteitsmanagement: de verandering communiceren! (de mens in het proces) Ronald Vendel Business Development manager Ruim 20 jaar ervaring Gestart in 1990 Software specialisme: Procesmanagement (BPM)
Nadere informatieFactsheet Enterprise Mobility
Factsheet Enterprise Mobility www.vxcompany.com Informatie willen we overal, altijd en op elk device beschikbaar hebben. Privé, maar zeker ook zakelijk. Met het gebruik van mobile devices zoals smartphones
Nadere informatiecontractmanagement PIANOo Congres 2011 Ir. Ing Harry Verkooijen Hoofd SBO-ICM Harry.verkooijen@minbzk.nl
Van contractbeheer naar contractmanagement PIANOo Congres 2011 Ir. Ing Harry Verkooijen Hoofd SBO-ICM Harry.verkooijen@minbzk.nl Doel van de presentatie (1) Waarom verdient contractmanagement een speciale
Nadere informatieMede mogelijk gemaakt door de RPC s in Limburg
Onderzoek Criminaliteit onder het Limburgse bedrijfsleven Mede mogelijk gemaakt door de RPC s in Limburg Inleiding Veilig ondernemen is een belangrijk thema bij de Kamer van Koophandel. Jaarlijks wordt
Nadere informatieBescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG
Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen
Nadere informatieISO 7510 Informatiebeveiliging in de zorg
ISO 7510 Informatiebeveiliging in de zorg 1. Welkom bij KAM Consultants 2. Werkwijze 3. NEN 7510 4. Advies diensten 5. Trainingen 6. Quick Scan 7. Coaching 8. Intensieve begeleiding 9. Onderhoudstrajecten
Nadere informatieTesten en BASEL II. Dennis Janssen. Agenda. Wat is BASEL II? Testen van BASEL II op hoofdlijnen
Testen en BASEL II Dennis Janssen Test Research Centre LogicaCMG 1 Agenda Wat is BASEL II? Testen van BASEL II op hoofdlijnen BASEL II als hulpmiddel om positie testen te versterken Samenvatting 2 1 Basel
Nadere informatieInformatiebeveiliging voor overheidsorganisaties
Solviteers Informatiebeveiliging voor overheidsorganisaties 6 6 Informatiebeveiliging voor overheidsorganisaties Pragmatisch stappenplan Whitepaper Solviteers Solviteers Informatiebeveiliging voor overheidsorganisaties
Nadere informatieISO norm gericht op medische hulpmiddelen
ISO 13485 norm gericht op medische hulpmiddelen 1. Welkom bij KAM Consultants 2. Werkwijze 3. ISO 13485 4. Advies diensten 5. Trainingen 6. Quick Scan 7. Coaching 8. Intensieve begeleiding 9. Onderhoudstrajecten
Nadere informatieBisnez Management. Een kennismaking
Bisnez Management Een kennismaking Bisnez staat voor 2 Wie zijn wij Een projectmanagement en adviesbureau met 35 medewerkers Ervaren, vindingrijk en geselecteerd op het vermogen om het verschil te kunnen
Nadere informatieIn regel met GDPR. Daarbij zijn 3 pijlers van belang zodat u, nu en in de toekomst, in lijn bent met de nieuwste wet- en regelgeving.
In regel met GDPR Op 25 mei 2018 moeten bedrijven voldoen aan de voorschriften van de nieuwe Europese Algemene Verordening Gegevensbescherming, de General Data Protection Regulation ( GDPR ). Veiligheid
Nadere informatieintensieve traject wordt niets aan het toeval overgelaten. Bij de opdrachtgever begint dit met diepgaand
Profiel FenterDaniëls bemiddelt sinds 1999 in personeel voor FINANCE posities. Dat doen wij voor vaste functies. Daarnaast ondersteunen wij organisaties met tijdelijk personeel. Onze wervings- en selectieprocedure
Nadere informatieOlde Bijvank Advies Organisatieontwikkeling & Managementcontrol
SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden
Nadere informatieBCM Volwassenheid. Het VKA BCM Maturity Model. 15-02-2006 Steven Debets
BCM Volwassenheid Het VKA BCM Maturity Model 15-02-2006 Steven Debets Inhoud Aanleiding BCM Maturity model en Quick Scan Resultaten Marktscan 2 3 4 Effectieve implementatie; Een goede blauwdruk als basis.
Nadere informatie1. Inhoudsopgave.
Cyber en Data Risks 1. Inhoudsopgave 1. Inhoudsopgave 2 2. U wilt weten waarom? 3 3. Belangrijkste redenen 4 4. 6 5. Meldplicht datalekken 7 6. De risico s 8 7. Welke gegevens zijn blootgesteld aan risico
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)
Nadere informatieReglement Raad van Toezicht Bijlage G: profielschets bestuurssecretaris Bijlage H: profielschets controller
Reglement Raad van Toezicht Bijlage G: profielschets bestuurssecretaris Bijlage H: profielschets controller Versie: 2017.01 Vastgesteld door Raad van Toezicht: 23 november 2017 Inhoudsopgave 1. Profielschets
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation
Nadere informatieStrategische inkoop. a. De behoefte en vraag van gebruikers is leidend bij de levering van. Door Henk Rietveld en Leon-Paul de Rouw Augustus 2004
Strategische inkoop Door Henk Rietveld en Leon-Paul de Rouw Augustus 2004 1. Inleiding Vanuit vraaggericht facility management streeft de facilitaire organisatie naar een optimale aansluiting tussen facilitaire
Nadere informatieISO ARBO-Management
ISO 45001 ARBO-Management 1. Welkom bij KAM Consultants 2. Werkwijze 3. ISO 45001 4. Advies diensten 5. Trainingen 6. Quick Scan 7. Coaching 8. Intensieve begeleiding 9. Onderhoud 10. Contactgegevens Welkom
Nadere informatieBenut het volledig potentieel van je mensen en organisatie!
Benut het volledig potentieel van je mensen en organisatie! Vergroten van (persoonlijk) leiderschap met de Management Drives app Welke drijfveren zijn aan zet in Workforce Management? 1e ronde parallelsessie:
Nadere informatieControl in Beweging. Eindhoven, 14 oktober 2015
Control in Beweging Eindhoven, 14 oktober 2015 Voor vanmiddag! Waarom Control in Beweging?! Visie en Aanpak Zaanstad!! Welke positie neemt u in tav Control in Beweging? 2 Why..De bedoeling 3 Instabiliteit
Nadere informatieDe ontwerpmodule bedrijven is uitgebreid en aangepast
De ontwerpmodule bedrijven is uitgebreid en aangepast De aanpassingen in de versie 2016 betreffen: Er is een sjabloon voor een kwaliteitsverklaring toegevoegd voor situaties waar geen certificaat of opleveringsbewijs
Nadere informatieMobiel Internet Dienstbeschrijving
Mobiel Internet Dienstbeschrijving o ktober 2013 INHOUD MOBIEL INTERNET 3 ABONNEMENTEN 3 BASISAANBOD 3 OPTIONELE MODULES VOOR MOBIEL INTERNET 5 TARIEVEN 5 INFORMATIEBEVEILIGING 5 MOBIEL INTERNET De tijd
Nadere informatieISO kwaliteitsmanagement voor vertaaldiensten
ISO 17100- kwaliteitsmanagement voor vertaaldiensten 1. Welkom bij KAM Consultants 2. Werkwijze 3. ISO 17100 4. Advies diensten 5. Trainingen 6. Quick Scan 7. Coaching 8. Intensieve begeleiding 9. Onderhoud
Nadere informatieISO norm voor milieumanagement
ISO 14001- norm voor milieumanagement 1. Welkom bij KAM Consultants 2. Werkwijze 3. ISO 14001 4. Advies diensten 5. Trainingen 6. Quick Scan 7. Coaching 8. Intensieve begeleiding 9. Onderhoudstrajecten
Nadere informatieBedrijfsplan mkb. hoe maak je een Verbeterplan..? visie/doelen. analyse. speerpunten. actieplannen
Bedrijfsplan mkb hoe maak je een Verbeterplan..? visie/doelen analyse speerpunten actieplannen inleiding Binnen veel mkb-ondernemingen worden beschikbare middelen lang niet altijd even efficiënt en verstandig
Nadere informatieKAM Consultants- workshops
KAM Consultants- workshops Welkom bij KAM Consultants B.V. Waarom KAM Consultants B.V. Workshop Continue Verbetering Workshop Procesmanagement Workshop Risicomanagement Waar kun je onze trainingen volgen?
Nadere informatieWhitepaper. Veiligheid begint bij weten wat je doet
Whitepaper Veiligheid begint bij weten wat je doet Veiligheid begint bij weten wat je doet Onoplettendheid en onwetendheid. Zo n tachtig procent van de veiligheidsrisico s in het midden- en kleinbedrijf
Nadere informatieProtocol beveiliging bestuurders gemeente Heeze-Leende
Protocol beveiliging bestuurders gemeente Heeze-Leende Toelichting Uit onderzoek van het Ministerie van Binnenlandse Zaken in 2010 blijkt dat de helft van alle bestuurders wel eens te maken heeft gehad
Nadere informatieMeer waarde halen uit uw ICT en EPD ICT sturing richten op realiseren van baten
Meer waarde halen uit uw ICT en EPD ICT sturing richten op realiseren van baten Eric Polman HIMSS 2010, Atlanta 1 4 maart 2010 Agenda en doelstelling 1. Even voorstellen: M&I/Partners 2. ICT in de zorg:
Nadere informatieAcceptatiemanagement meer dan gebruikerstesten. bridging it & users
Acceptatiemanagement meer dan gebruikerstesten bridging it & users Consultancy Software Training & onderzoek Consultancy CEPO helpt al meer dan 15 jaar organisaties om integraal de kwaliteit van hun informatiesystemen
Nadere informatieIn een keten gaat het om de verbindingen, niet om de schakels.
Verbindingsmodel IV Serviceketen Theo Thiadens en Adri Cornelissen In een keten gaat het om de verbindingen, niet om de schakels. Verbindingsmodel IV Serviceketen Theo Thiadens Alleen een organisatie die
Nadere informatieITIL Security Management: een kritische beschouwing
ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor
Nadere informatieIT kwaliteit helder en transparant. bridging IT & users
IT kwaliteit helder en transparant bridging IT & users Acceptatiemanagement meer dan gebruikerstesten CEPO helpt al meer dan 15 jaar organisaties om integraal de kwaliteit van hun informatiesystemen en
Nadere informatieStrategisch Risicomanagement
Commitment without understanding is a liability Strategisch Risicomanagement Auteur Drs. Carla van der Weerdt RA Accent Organisatie Advies Effectief en efficiënt risicomanagement op bestuursniveau Risicomanagement
Nadere informatieSEE INFORMATION DIFFERENTLY ARCHIEF- EN INFORMATIEBEHEER: EEN GOED BEGIN IS HET HALVE WERK DE BASISPRINCIPES VAN VOORBEREIDING OP RISICO'S
SEE INFORMATION DIFFERENTLY ARCHIEF- EN INFORMATIEBEHEER: EEN GOED BEGIN IS HET HALVE WERK DE BASISPRINCIPES VAN VOORBEREIDING OP RISICO'S 1 INLEIDING EEN BEKNOPTE HANDLEIDING VOOR HET OPZETTEN, UITVOEREN
Nadere informatieInformatieveiligheid, de praktische aanpak
Informatieveiligheid, de praktische aanpak Wie ben ik? Frederik Baert Domeinverantwoordelijke Informatieveiligheid Domeinverantwoordelijke Infrastructuur & Connectiviteit @ V-ICT-OR V-ICT-OR cvba Dienstenorganisatie
Nadere informatieServicedesking! Hot or Not? Egbert van der Steege MSc
Servicedesking! Hot or Not? Egbert van der Steege MSc FACTO CONGRES 2013 Servicedesking! Hot or Not? 11 juni 2013 BENT U TEVREDEN OVER DE PERFORMANCE VAN UW (FACILITAIRE) SERVICEDESK? DRAAGT UW (FACILITAIRE)
Nadere informatie6.6 Management en informatiebeveiliging in synergie
6.6 Management en informatiebeveiliging in synergie In veel organisaties ziet men dat informatiebeveiliging, fysieke beveiliging en fraudemanagement organisatorisch op verschillende afdelingen is belegd.
Nadere informatie