1. Informatiebeveiliging een grabbelton?
2. ISO 27002 is een kwaliteitssysteem
3. Vaststellen beleidsuitgangspunten
4. Opstellen risicoprofiel
5. Vaststelling van het basisbeveiligingsniveau
6. Procesimplementatie
7. Managementaandacht noodzaak 

1. Informatiebeveiliging een grabbelton?

Het selecteren van in te voeren maatregelen bij de implementatie van informatiebeveiliging lijkt vaak op grabbelen in een grabbelton; veelal worden, eventueel ondersteund door een geautomatiseerd tool, honderden maatregelen gedefinieerd om de informatiebeveiliging te verbeteren. Dat dit niet gaat werken, hoeft geen betoog. Wat moet bijvoorbeeld een overheid met allerlei maatregelen op het gebied van vertrouwelijkheid als door de Wet Openbaarheid van Bestuur veel vertrouwelijke gegevens opgevraagd kunnen worden?
De winst van ISO 27002 is, dat organisaties niet meer verplicht worden tot de invoering van heel veel maatregelen, maar dat zij kunnen kiezen voor een relevante set van maatregelen afgestemd op hun beleid en risicoprofiel. (Zie ook ‘ISO 27002, de Code voor Informatiebeveiliging nader toegelicht’.) Want niet de norm is bepalend. Bepalend zijn de beleidsuitgangspunten en het risicoprofiel van de organisatie, waarbij de ISO-norm geld als een set van ‘best practices’. Zo wordt tevens voorkomen dat maatregelen niet worden geaccepteerd. Want dat gebeurt wanneer zinloze regelgeving wordt ingevoerd.
Een organisatie heeft met betrekking tot in te voeren maatregelen drie keuzemogelijkheden: 

• Een maatregel wordt zo snel mogelijk geïmplementeerd.
• Een maatregel wordt gepland.
• Als de organisatie van mening is, dat voor haar een maatregel niet relevant is, dan geldt het principe: ‘pas toe of leg uit’.

Resultaat is een relevant stelsel van geïmplementeerde of geplande maatregelen, die beoordeeld kunnen worden door een certificerende instantie, die primair kijkt naar de evenwichtigheid van de besluitvorming en de naleving van de geïmplementeerde maatregelen. (Zie ook ‘Nu ook certificatieschema voor ISO 27002 beschikbaar’.) Certificering is al mogelijk, voordat alle geplande maatregelen zijn geïmplementeerd. Want tijdens de audit vindt beoordeling plaats op basis van het criterium ‘in control’. Hiermee is certificering op basis van ISO 27002 vergelijkbaar met certificering volgens de Code Tabaksblat of certificering op basis van ISO 9000. Het is immers mogelijk om zowel het Amstel Hotel als McDonalds te certificeren op basis van ISO 9000, terwijl men toch tussen deze restaurants een verschil in service- en productkwaliteit mag verwachten.
De in dit artikel beschreven werkwijze om te komen tot een security management systeem is voorgelegd aan een certificerende instantie en goedgekeurd.  

2. ISO 27002 is een kwaliteitssysteem

ISO 27002 wil een security management systeem zijn en daarmee geen eenmalig project, maar een proces in de organisatie. ISO 27002 is dan ook opgezet als een kwaliteitssysteem. Voorwaarde voor continue verbetering is de verbetercyclus die deel uitmaakt van dit systeem. De regie van het geheel ligt bij het managementteam of de directie. De implementatie in de organisatie wordt doorgaans wel projectmatig aangepakt.
Het overall model voor de implementatie wordt weergegeven in het volgende model: 

Figuur1: Overall model voor de implementatie van ISO 27002

Op basis van de beleidsuitgangspunten, het risicoprofiel en de doelstellingen van ISO 27002 wordt eerst een set aan maatregelen gedefinieerd, die geldt als het basisbeveiligingsniveau voor de gehele organisatie. Daarnaast kunnen voor bepaalde processen of afdelingen additionele maatregelen worden gedefinieerd, die niet voor de gehele organisatie gelden. Vervolgens wordt de planning- en controlcyclus geïmplementeerd, waarmee feedback op de naleving wordt gegeven, zodat bijgestuurd en verbeterd kan worden. In de volgende hoofdstukken zullen we per stap deze aanpak bespreken.  

3. Vaststellen beleidsuitgangspunten

De eerste stap is het vaststellen van de voor de informatiebeveiliging relevante uitgangspunten. Hiervoor kan gebruikt gemaakt worden van een checklist met een 40 á 50 mogelijke uitgangspunten, waaruit de directie of het managementteam keuzes maakt. Als deze keuzes bepaald zijn, is het opstellen van een richtinggevend beleidsdocument een invuloefening. (Zie ‘Statuut Informatiebeveiliging’.) Een aantal voorbeelden van mogelijke beleidsuitgangspunten zijn weergegeven in het volgende schema: 

Figuur2: Beleidsuitgangspunten

 Uiteraard moet ervoor gewaakt worden, dat beleidsuitgangspunten niet ambitieuzer gekozen worden dan nodig is. Zo lijkt bijvoorbeeld de volledige toepassing van het ‘need to know’-principe redelijk. De kosten van dit algemene uitgangspunt zijn echter hoog en in de praktijk moeten vaak uitzonderingen gemaakt worden voor ICT-beheerders, functioneel applicatiebeheerders, secretaresses en bijvoorbeeld medewerkers van de afdeling document management. Door de maatregel niet te treffen wordt dan voor deze mensen juist de kwaliteit van de beschikbare informatie vergroot.  

4. Opstellen risicoprofiel

Het risicoprofiel kan op meerdere wijzen worden samengesteld. In ieder geval kan het door betrokkenen te interviewen. Hiervoor kunnen bestaande methodieken worden gebruikt. Te denken valt aan Cramm, de A&K-analyse behorend bij het VIR of aan methodieken met een meer bedrijfsmatige invalshoek zoals SARA of SPRINT van het ISF. Deze methodieken hebben als nadeel, dat zij meestal behoorlijk tijdrovend zijn en allemaal een tool bevatten, dat een diarree aan maatregelen produceert om de risico’s af te dekken. Als dit tool niet wordt gebruikt, dan zal de risico analyse niet aansluiten bij de ISO-norm. Alleen voor SPRINT is de vertaalslag te maken (zie ook ‘Voorbeeld Rapport Risico Analyse Informatiebeveiliging’), maar bij Cramm en de A&K-analyse is dit vrijwel onmogelijk. Daar echter SPRINT niet uitgaat van een basisbeveiligingsniveau, maar van het maximaal vereiste niveau, heeft ook SPRINT zijn nadelen.
Wij bevelen daarom aan de risicoanalyse te doen aan de hand van een stoplichtmodel. (Zie ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27002′.) Dit model volgt de ISO-doelstellingen. Bovendien biedt het model de mogelijkheid om de maatregelen direct met de betrokkenen af te stemmen en zo passende en haalbare oplossingen te vinden, hetzij binnen het basisbeveiligingsniveau, hetzij in de vorm van additionele maatregelen.
Voordeel van het stoplichtmodel is, dat het het beveiligingsniveau visueel weergeeft, waardoor het mogelijk wordt om in een stapsgewijze verbetering het beveiligingsniveau van de organisatie te verhogen. Voor het management is de besluitvorming overzichtelijk. Het management wordt niet gedwongen ook diepgaand verstand te krijgen van informatiebeveiliging. Het kan zich beperken tot risk management en zicht houden op de status via bijvoorbeeld het volgende schema: 

Figuur3: Stoplichtmodel

5. Vaststelling van het basisbeveiligingsniveau

Op grond van de risicoanalyse wordt het basisbeveiligingsniveau (BBN) vastgesteld. Meestal wordt deze exercitie al voor de interviewronde een keer uitgevoerd met de ICT-manager en de security manager, om vast te stellen welke maatregelen al getroffen zijn en welke omissies er zijn. Dit voorkomt dat tijdens de interviews steeds weer gediscussieerd wordt over zaken die mogelijk allang zijn geregeld. We mogen er tenslotte vanuit gaan, dat het bestaande beveiligingsniveau redelijk adequaat is. Als dit namelijk niet het geval zou zijn, waren er wel eerder problemen gerezen, die de organisatie gedwongen had tot ingrijpen.
Een voorbeeld van een sjabloon dat hiervoor gebruik kan worden is hieronder gedeeltelijk weergegeven: 

Figuur4: Sjabloon voor het BBN

Het gebruik van dit sjabloon voor het BBN is uitgewerkt in het artikel ‘Voorbeeld vaststellen norm en basisbeveiligingsniveau op grond van ISO 27002 of 17799′.  

6. Procesimplementatie

Doorgaans moet ook de nodige aandacht besteed worden aan de inrichting van het proces. De meeste organisaties zijn nogal ‘doenerig’ ingesteld, zodat vaak gedacht wordt, dat als de maatregelen ingevoerd zijn de informatiebeveiliging geregeld is. Dat is echter een illusie.
Van groot belang is de inrichting van de interne controle (IC) op de informatiebeveiliging. Hierdoor wordt gemonitord welke incidenten plaatsvinden en of de maatregelen nog steeds adequaat zijn. Op grond hiervan vindt terugkoppeling plaats naar de directie of het managementteam en naar de verantwoordelijken voor de informatiebeveiliging, zodat het verbeterproces geborgd wordt.
De IC-functie is in de meeste bedrijven primair gericht op de controle van de financiële stromen. Voor de interne controle op de informatiebeveiliging zal daarom vaak nog een functionaris aangewezen moeten worden. Uitbesteding kan een alternatief zijn. Doorgaans brengt dat echter hogere kosten met zich mee. Ook is meestal de procedure voor het goedkeuren van investeringen en wijzigingsvoorstellen niet geregeld. Hierbij gaat het erom dat gecheckt moet worden wat de impact is van een investering of een wijziging op de informatiebeveiliging. Mogelijk maken investeringen en wijzigingen het definiëren van aanvullende maatregelen noodzakelijk.
Ook hier biedt het stoplichtmodel als rapportage systeem voor risk-management grote voordelen. Het management hoeft zich niet te verdiepen in de maatregel zelf, maar houdt zich slechts bezig met het kleurenschema van het stoplichtmodel, dat in de tijd steeds meer moet tenderen van rood naar groen. (Zie ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27002′). Bovendien voorkomt het stoplichtmodel dat risicoanalyses te vaak herhaald moeten worden en daarmee dat de organisatie te zwaar belast wordt.  

7. Managementaandacht noodzaak

Bedrijven die niet gedwongen willen zijn tot het invoeren van een willekeurige set van maatregelen die niet afgestemd is op het risicoprofiel en het bedrijfsbeleid hebben met ISO 27002 nu een alternatief. Er hoeft niet langer sprake te zijn van een schimmenspel en een woud van verwijten tussen beveiligers en het management. Er is een aanpak die past bij de beveiligingsbehoefte van de organisatie.
Deze aanpak kan in hoge mate gestandaardiseerd worden, waarbij in tegenstelling tot klassieke informatiebeveiligingsprojecten de nadruk niet ligt op de moeizame implementatie van onbegrepen maatregelen maar op de selectie van adequate maatregelen. Awareness en commitment zijn in deze aanpak geen probleem (zie ook ‘Informatiebeveiliging awareness voor management en gebruikers’.) Want de beveiligingsadviseur is een professionele dienstverlener, die in opdracht van de organisatie werkt.
Informatiebeveiliging is dan een volwassen bedrijfsproces dat structureel is ingebed in de organisatie.

Boeken in de categorie Informatiebeveiliging

• Internet Security
  Kees Hogewoning, Gerrit Th. Lith, Marco G. M. van der Kraan  

• ITIL Security Management [CD-ROM]  (Engels)
  Office of Government Commerce  

• Identity Theft Handbook  (Engels)
  Martin Biegelman  

• Managing the Human Factor in Information Security  (Engels)
  David Lacey  

• Information Security Management with ITIL V3  (Engels)
  Paul Overbeek, Louk Peters  

• Control and Security of E-Commerce  (Engels)
  Gordon Smith  

• Risicomanagement voor security- en facilitymanagers
  Cees Coumou  

• Information Security Management Advanced
  Ursula van den Eijk, John van Huijgenvoort, Peter Janssen  

• Network and Internet Security, Advanced – Compleet
  John van Huijgenvoort, Peter Janssen, Chris Kockelkoren, e.a.

Download:         

Gerelateerde artikelen:

1. ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging
2. Nu ook certificatieschema voor ISO 27002 beschikbaar
3. ISO 27002, de Code voor Informatiebeveiliging nader toegelicht

1. Bent u het kind van de rekening?
2. De VOC vond het verzekeren al uit
3. Wat wel en wat niet verzekeren
4. Afdekken risico calamiteiten is een keuze 

1. Bent u het kind van de rekening?

De recessie wordt door bestuurders soms dankbaar als excuus omarmd: het is evident, dat het ook nu niet aan bestuurders of management ligt dat de resultaten tegenvallen. Het ligt aan de uitval van klanten, van financiering of aan het faillissement van toeleveranciers. Zelfs bij banken, die toch bevolkt zijn met jongens die ervoor hebben doorgeleerd, vallen de resultaten tegen. Kortom, bestuurders en managers kunnen hun handen in onschuld wassen, hen valt niets te verwijten. Of is dit misschien de managersziekte van deze tijd? (Zie ook ‘Business Continuity steeds meer aandachtspunt voor controllers’.)
Vroeger was zeker niet alles beter, maar wel vooral veel duidelijker. En er werden minder smoezen verzonnen. Als een boer een slechte oogst had, dan klaagde hij wel over het weer, maar hij ging er extra hard tegenaan om te voorkomen dat het volgende jaar weer een slecht jaar zou worden. Aankloppen bij de overheid was geen issue. Die lachte je uit. En terecht. Je was tenslotte ondernemer en daarmee was je zelf verantwoordelijk voor je risicobeheersing, ook bij calamiteiten. Je verzekeren tegen risico’s als extreme weersomstandigheden was onmogelijk en ook niet lucratief, want daarmee zou je de winst van je bedrijf zodanig afromen, dat je rendement negatief zou zijn. En wie anders dan de ondernemer zelf kan het beste inschatten welke risico’s wel en niet acceptabel zijn. De ondernemer kan dat zelf beter en slimmer dan de gemiddelde verzekeraar.
Risico management is voor ondernemers en voor managers core-business. Falend risico management betekent, dat bestuurders gefaald hebben. Want natuurlijk wordt een calamiteit veroorzaakt door iets in de omgeving. Dat was al zo tijdens de zondvloed en de ijstijden in de verre oudheid en dat is nu niet anders. Wijzen naar een falend systeem voor risico management is weglopen voor je verantwoordelijkheid. 

2. De VOC vond het verzekeren al uit

De VOC was destijds in feite de eerste organisatie die gericht was op verzekeren en het afdekken van onbeheersbare risico’s, in dit geval van de deelnemende reders. In die tijd was de kans aanzienlijk, dat een schip met lading zou vergaan met veelal als gevolg dat de reder direct failliet was. De VOC was in feite een organisatie waarin risicospreiding plaats vond. Zo werkten bijvoorbeeld tien reders samen, die allemaal een schip wilden laten bouwen. Die tien schepen bouwden ze gezamenlijk en elke reder werd voor een tiende eigenaar van ieder schip. Als er van die 10 schepen 3 of 4 vergingen tijdens de reis naar Oost Indië, dan brachten de 6 of 7 schepen die wel terugkeerden met een kostbare lading voldoende op, om iedere reder een behoorlijke winst op te leveren.
De VOC-mentaliteit is momenteel echter ver te zoeken. En daarmee wordt niet bedoeld dat we in Nederland niet meer ondernemend genoeg zijn (zoals Balkenende suggereert), maar juist dat we het risico van een calamiteit uit onze bedrijfsvoering geschrapt hebben. Verspilling is voor bestuurders zo’n doodzonde, dat iedere redundantie vaak uit een bedrijf wordt wegbezuinigd. Als een bedrijf meer kwantumkorting krijgt als het zich afhankelijk maakt van één toeleverancier, is dat bedrijfseconomisch tenslotte gunstig. Dat het bedrijf daarmee een probleem heeft, als deze leverancier omvalt, is dan een geaccepteerd risico. De VOC wist juist dat soort risico’s te vermijden. Risico’s die aanzienlijk zijn en die men niet in de hand heeft, moeten worden afgedekt. 

3. Wat wel en wat niet verzekeren

Dus ook tegenwoordig moeten bestuurders zich verzekeren tegen onacceptabele risico’s. Als een bedrijf afbrandt en het pand en de inboedel zijn niet verzekerd, dan is de kans zeer aanzienlijk dat het bedrijf failliet gaat. Daarom moet de directe schade worden verzekerd. De premie hiervoor is best acceptabel, want de kans dat er brand uitbreekt is zeer klein.
De gevolgschade bij een calamiteit is echter een ander verhaal. Als uw bedrijf na een calamiteit stil komt te liggen, dan willen uw klanten nog steeds geleverd krijgen. Als dit niet gebeurd, lopen ze weg. Uw personeel wil nog steeds salaris ontvangen. De kosten die hiermee zijn gemoeid, zijn veelal niet verzekerd. Een verzekeraar rekent hiervoor een zeer hoge premie, omdat hij zulke risico’s niet kan managen.
U als ondernemer kunt dat wel. Maar u kunt na een calamiteit niet rustig achterover in uw stoel gaan zitten tot uw bedrijf opnieuw is opgebouwd en ingericht. Zodra de brand geblust is of de calamiteit voorbij is, moet u slim improviseren, zodat uw klanten geleverd krijgen (en dus blijven) en uw medewerkers productief kunnen worden in de tijd, dat u ze betaalt. Als u op dat moment helemaal moet improviseren, dan zult u hoogstwaarschijnlijk tegen een aantal show-stoppers aanlopen, waardoor dit niet volledig lukt. U zult hiervoor dus als ondernemer uw plannen moeten hebben. Ook dat is onderdeel van het op orde hebben van uw risico management.
Als u hierover heeft nagedacht, dan ligt uw draaiboek klaar om de essentie van uw bedrijfsvoering voort te zetten in geval van brand, overstroming, pandemie of langdurige uitval van elektriciteit. Dan heeft u uw risico-management op orde en weet u bijvoorbeeld ook of u bij een pandemie zonder probleem 30 procent van uw medewerkers kunt missen. (Zie ook ‘Plan bedrijfscontinuïteit bij uitbraak van een grieppandemie’.)
Het gaat om uw bedrijf en u weet het beste welke risico’s u af moet dekken en welke risico’s u beter kunt accepteren. Het risico op lawines hoef u in Nederland niet af te dekken en ook een ijstijd is niet erg waarschijnlijk. Dus een draaiboek daarvoor is overbodig. Voor diverse calamiteiten als brand of overstroming heeft u vast wel een BHV-plan, dat u kan helpen om directe schade te reduceren. (Zie ook ‘Inventarisatie diensten, dreigingen en processen in uw Business Continuity Plan BCP’). Maar dan rest nog wel de indirecte schade. En daarbij spelen vragen als:

• Wordt binnen een kwartier de inkomende vaste telefoonlijn opgenomen van uw centrale nummer?
• Bevatten uw leveringsvoorwaarden een overmachtclausule?
• Ligt er een draaiboek voor crisiscommunicatie om imagoschade te vermijden?
• Kunnen uw medewerkers ook op een andere locatie werken?

De rek die u vroeger had in uw bedrijf, heeft u waarschijnlijk wegbezuinigd. De kans dat dat terecht is, is groot. Maar dat betekent niet, dat u de risico’s van een calamiteit ook maar moet accepteren. Dat blijft nog steeds uw verantwoordelijkheid. 

4. Afdekken risico calamiteiten is een keuze

In veel bedrijven is dus, zoals gezegd, het risico op gevolgschade toegenomen. Een logische ontwikkeling. Het is immers niet uit te leggen aan aandeelhouders of commissarissen, dat jaar in jaar uit risico’s worden afgedekt van calamiteiten die weer niet zijn voorgekomen. Ook voor de huidige kredietcrisis geldt iets dergelijks. Jarenlang was aan te zien komen, dat de crisis ooit zou ontstaan. Als een financiële instelling niet de risico’s zou hebben genomen, die alle andere financiële instellingen wel namen, dan zou die financiële instelling meer dan een decennium lang een performance hebben laten zien, die onder gemiddeld zou zijn geweest. Ook zoiets is aan bestuurders te verwijten.
Wat nu verwijtbaar is, is dat bestuurders verrast werden door de kredietcrisis. Er lag hiervoor geen draaiboek klaar. Misschien was dit wel een bewuste keuze. Maar het risicomanagement was hoe dan ook niet op orde. Notabene overheden moesten inspringen om veel banken en verzekeraars van de ondergang te redden. Voor de meeste bedrijven geldt echter, dat de overheid niet bijspringt. Zij worden wel degelijk getroffen door gevolgschade. Als bedrijven onvoldoende flexibel zijn, dan overleven zij dit niet.
Helaas hebben wij moeten constateren, dat ook in de meeste bedrijven geen draaiboeken klaarliggen voor calamiteiten. Denkt u eens aan gevolgschade als reputatieschade of aan bedrijfsschade door een pandemie of een energiecrisis. Is het voor u een bewuste keuze dergelijke risico’s te accepteren of is het falend risicomanagement? (Zie ook ‘Keuzes en aanpak voor uw Business Continuity Plan BCP of calamiteitenplan’.)

Download:         

Gerelateerde artikelen:

1. Keuzes en aanpak voor uw Business Continuity Plan BCP of calamiteitenplan
2. Business continuity steeds meer aandachtspunt voor controllers
3. Integratie BHV-plan met Business Continuity Plan

1. Definitiebrij
2. De toegevoegde waarde van een normatieve auditor
3. Praktijkvoorbeeld
4. Auditing: een vak of wetenschap? 

1. Definitiebrij

Het vak van auditor heeft zich in de afgelopen jaren sterk ontwikkeld. De man of vrouw met het rode potlood is in veel gevallen uitgegroeid tot een waardevol klankbord voor het management.
Omdat veel auditors van oorsprong normatieve denkers zijn, behoeven de definities met betrekking tot auditing nu wel een bijstelling, om er vervolgens opnieuw een sticker op te kunnen plakken en natuurlijk om de beroepsgroep te beschermen.
Maar stickers of niet, een opdrachtgever zit vanwege de uitgebreide keuzemogelijkheden die hij heeft met betrekking tot auditing met de keuzestress. Zo kunt u bijvoorbeeld kiezen voor:

• een business consultant die uw bedrijf al goed kent en die eerder tot volle tevredenheid heeft geadviseerd; risico is, dat hij nu moet oordelen over zijn eigen adviezen;
• een gestickerde auditor; deze komt ongetwijfeld tot een objectief oordeel, maar vaak op een te operationeel niveau;
• een gerenommeerd bureau; uiteraard betekent dit dan nog niet, dat u een voor u goede auditor krijgt en u loopt het risico van interne koppelverkoop (Zie bijvoorbeeld ‘ERP-selectie en -implementatie: eerst van een muis een olifant maken en daarna omgekeerd’.);
• een buitenstaander wiens ideeën over het oplossen van voor u relevante probleemstellingen sterk overeenkomen met uw eigen ideeën; natuurlijk kunt u mogelijk deze ideeën gewoon zelf toepassen, maar in de praktijk ontbreekt vaak de ervaring en de routine om dit te doen. (Zie ook ‘Wat mogen bedrijven tegenwoordig van hun adviseurs verwachten?’.)

Bij uw keuze is het met name van belang wat u eigenlijk wilt bereiken.

1.1 Wil de opdrachtgever eigenlijk een audit?

De audit wordt in de praktijk vaak gebruikt. Maar waartoe nu precies? Volgens definities van Kocks (2003) heeft de audit de functie de blauwdruk van een organisatie te beoordelen, welke bestaat uit zaken als voorschriften, procedures en draaiboeken. In dit artikel willen we de functie van de audit tegen het licht houden. Daar de financial audit normatief moet zijn, laten we deze hier buiten beschouwing.
Om in een audit tot een oordeel te kunnen komen is volgens Kocks een toetsingsnorm of een set van normen nodig, waaraan de feitelijke situatie kan worden getoetst. De norm is dus nodig om er de werkelijkheid aan te spiegelen. Dit betekent dat voor iedere audit een model gemaakt moet worden waarin het auditobject, de organisatie dus, normatief beschreven is. Hiermee wordt verondersteld dat ieder auditobject uitputtend beschreven kan worden en dat deze beschrijving kan dienen als blauwdruk voor de inrichting. Een afwijking van de norm leidt tot een bevinding en moet gerapporteerd worden als verbeterpunt. Een normatieve benadering en het idee dat effectiviteit bereikt wordt door exact te voldoen aan een voorschrijvend model zijn dus de uitgangspunten.
Voor de manager ontstaat hiermee het volgende probleem: het beschikbaar hebben van zo’n model. Vaak wordt dit probleem opgelost door eenvoudigweg een bestaand model te pakken zoals een ISO-model (zie ‘ISO 27002, de Code voor Informatiebeveiliging nader toegelicht’), een INK-model (zie ‘Samenvatting INK-model’), de Code Tabaksblat ( zie ‘Corporate governance Tabaksblat en Sox: hemel of hel’) of regelgeving van toezichthouders enzovoort. Iedere manager echter weet, dat zijn werkelijkheid veel complexer is, dat hij met een generiek model nooit onderscheidend en dus concurrerend vermogen opbouwt en dat de zachte kant van de bedrijfsvoering met zo’n model niet in beeld wordt gebracht.
Elke manager zal ook de volgende situatie herkennen en zich daar geregeld in bevinden: ‘Het is niet volgens de regels en ik snap niet waarom het werkt, maar ik constateer in elk geval dat het resultaat boven verwachting is’. In zo’n situatie moet je natuurlijk niet proberen om personen of processen binnen de regeltjes te kneden, maar moet je zo mogelijk de regels verbeteren.
Dus zal de manager bij de keuze voor een auditor scherp op zijn netvlies moeten hebben wat hij wil:

• toetsing of het bestaande besturingsmodel van de organisatie (de blauwdruk in de vorm van voorschriften, procedures en draaiboeken) efficiënt en effectief is in het licht van de bedrijfsdoelen;
• inzicht krijgen in verbetermogelijkheden binnen de organisatie om ambities te kunnen realiseren, door eerst de haalbaarheid, de samenhang en de volledigheid van deze ambities te onderzoeken en hierop gebaseerde aanbevelingen.
• voorstellen krijgen voor een oplossing voor problemen of knelpunten binnen de organisatie, die met de huidige stuurmiddelen en competenties niet oplosbaar zijn; vaak is er dan sprake van een projectaudit, waarbij snel en effectief opgetreden moet worden.

In het eerste geval wil de manager zekerheid krijgen en in de laatste twee gevallen wil hij onzekerheid wegnemen. In het eerste geval verwacht een opdrachtgever een normatieve attitude bij de auditor. In de laatste twee gevallen is een klant- en oplossingsgerichte attitude noodzakelijk, waarbij de norm uit weinig meer bestaat dan een stipje aan de horizon.
Juist de attitude van de auditor is de grootste succesfactor om de opdrachtgever tevreden te stellen, en vele malen belangrijker dan kennis, vaardigheden en reputatie van de auditor of zijn bureau.
Het verschil in definitie tussen een auditor en een consultant stellen we hier niet aan de orde. In feite zouden beiden hetzelfde moeten doen: analyse en advies. Het verschil zit vaak in de attitude. Zo zal de beroepsgroep van auditors mij bijvoorbeeld adviseur noemen en zeker niet auditor. Maar dit artikel is niet geschreven voor auditors (die ik vanwege hun deskundigheid zeer hoog acht), maar voor opdrachtgevers, die bewust een auditor willen inzetten om hun doel te bereiken. (Zie ook ‘De moderne consultant: van pleaser naar teaser’.) 

2. De toegevoegde waarde van een normatieve auditor

Even terug naar de definitie van Kocks (2003). Hij stelt dat de audit de functie heeft de blauwdruk van een organisatie te beoordelen, welke bestaat uit zaken als voorschriften, procedures en draaiboeken. Gezien vanuit het normatieve denken is het essentieel dat het organisatiemodel juist en volledig wordt geïmplementeerd door de voltallige organisatie. De audit geeft het management hierover zekerheid. De auditor levert met deze zekerheid zijn grootst mogelijke toegevoegde waarde. Daar waar (een deel van) de organisatie zich niet houdt aan het model moet verandering van sturing plaatsvinden, zodat men zich er wel aan houdt. Een andere optie is het vervangen van het subsysteem door een beter subsysteem. Zo blijft de organisatie in control en zal er niets mis gaan. Zo zal de organisatie volgens het management haar doelen halen.

2.1 Pas toe of leg uit

Traditioneel gezien is dit juist. Maar zelfs de opstellers van normen zoals de ISO-normen zien de betrekkelijkheid van hun norm. Daarom zien we in deze normen steeds vaker in de titel verschijnen: ‘Code of practice for ……..’ en zien we in het voorwoord zinsnedes als: ‘Niet alle maatregelen die in dit document zijn beschreven, zijn van toepassing op elke willekeurige situatie. De norm dient dan ook niet te worden geciteerd als ware het een specificatie.’
Ook steeds vaker komen we tegenwoordig de vuistregel ‘Pas toe of leg uit’ tegen. Dat wil zeggen dat je een maatregel toepast, tenzij er redenen zijn om ervan af te wijken. In dat geval dient gemotiveerd te worden, waarom de regel niet wordt toegepast. Dat betekent, dat de organisatie nog steeds systematisch beoordeeld kan worden, maar dat zij kan besluiten om maatregelen niet of anders te implementeren. Vaak liggen hieraan bedrijfseconomische redenen ten grondslag (men besluit om maatregelen niet te implementeren) of samenhang met andere projecten of plannen (men besluit dan meestal om maatregelen later te implementeren). (Zie ook ‘Hoe 400 maatregelen terugbrengen naar hooguit 20′.)

2.2 Riskdriven benadering

Niet de maatregelen of een baseline vormen dus het uitgangspunt voor de eerste stap in het auditproces: het vaststellen van de eisen, maar de behoefte van de organisatie. (Zie ook ‘Informatiebeveiliging: geen verantwoordelijkheid maar aansprakelijkheid!’.) ISO noemt een aantal bronnen waaruit geput kan worden:

• risicobeoordeling binnen de organisatie;
• wet- en regelgeving en contractuele eisen;
• eigen stelsel van uitgangspunten, doelstellingen en eisen.

Zo nodig moeten beleidsdocumenten aangepast en weer formeel goedgekeurd worden, om te voorkomen dat later op maatregelniveau het principe van ‘pas toe of leg uit’ moet worden uitgewerkt. Bovendien draagt dit bij een latere audit bij aan een positieve beoordeling van de noodzakelijke managementbetrokkenheid.
Tijdens de tweede stap worden de behoeften en eisen op wenselijkheid en haalbaarheid beoordeeld.
De derde stap is dan het matchen van de behoeften met de maatregelen, waarbij in de praktijk per maatregel wordt bekeken:

• de wenselijkheid;
• of de maatregel al geïmplementeerd en werkend is;
• de kosten en baten van de maatregel;
• de timing van de invoeringsdatum.

2.3 De rol van de auditor

Al voordat het besluit genomen wordt om een norm in te voeren, is er voor de auditor een rol weggelegd. Zeker als er een norm wordt opgelegd, zou de auditor in dit stadium een belangrijke rol moeten spelen. Hij kan namens het management beoordelen of de norm in zijn geheel nuttig is en op welke wijze omgegaan moeten worden met het invoeringstraject. Hierbij gaat het dan niet om de inhoud van de norm, maar om de impact van de norm op de organisatie en het te verwachten nut. Juist dat is voor een normatief denkende auditor vanzelfsprekend moeilijk te beoordelen.
Het spreekt vanzelf, dat de beoogde auditor zelf niet verantwoordelijk is voor het opstellen van de norm. Wel moet hij beschikken over kennis van normen. Want hoewel er vanuit de businessdoelstellingen gezien, geen overbodige maatregelen moeten worden geïmplementeerd, is het vaak wel verstandig om de conclusies waarop de maatregelen zijn gekozen, te laten valideren door een auditor. De auditor kan in dit stadium dan optreden als klankbord voor het management, met name om zijn feedback te geven, daar waar afgeweken wordt van de maatregelen in de norm en om te beoordelen of dat voldoende wordt gestaafd met een uitleg. Om iedere vermoeden van belangenverstrengeling te voorkomen, zal een normatief denkende auditor hier waarschijnlijk niet aan mee willen werken. Dat zo’n auditor dan wel de opdrachtgever in de kou laat staan, wordt meestal niet beseft.
Tenslotte zal een auditor ingeschakeld worden voor het beoordelen van de norm en haar werking. Een normatief denkende auditor begint doorgaans bij de voorgestelde maatregelen en zal proberen de uitleg voor de afwijkingen te ondergraven. Dit echter wordt hij niet geacht te doen. De beslissing van en de redenen voor de opdrachtgever om dit traject in de gaan inclusief de hierbij gehanteerde uitgangspunten behoren zijn norm te zijn. Normatieve auditors hebben hiermee echter vaak grote moeite. Het is dan ook niet vreemd, dat auditors veelal nog steeds gezien worden als die man of vrouw met dat rode potlood en niet als volwaardig klankbord met een hoge toegevoegde waarde voor het management. 

3. Praktijkvoorbeeld

Als praktijkvoorbeeld nemen we een organisatie die in de situatie verkeert, dat de continuïteit in gevaar is vanwege onvrede bij klanten, die nu nog vallen onder een gedwongen winkelnering. Tegelijkertijd heeft de overheid of een toezichthouder bepaald, dat deze organisatie gecertificeerd moet zijn volgens ISO-norm 27002 (=17799). Vanuit bedrijfsperspectief liggen dan de volgende uitgangspunten voor de hand:

• De implementatie mag vrijwel niets kosten, om de interne kosten en dus de tarieven voor de klanten niet te laten stijgen.
• Maximale informatievoorziening aan de klanten is noodzaak.
• Beveiligingsincidenten met als gevolg imagoschade moeten voorkomen dan wel goed gemanaged worden.

Een gegeven is, dat zich in de afgelopen tien jaar geen beveiligingsincident heeft voorgedaan, met aanzienlijke schade als gevolg.
Het bedrijf heeft gekozen voor de policy het huidige stelsel van maatregelen als de norm te definiëren. Alleen daar waar sprake is van veranderde omstandigheden of waar het risico bestaat op aanzienlijke imagoschade, wordt ingezoomd. Uiteraard worden bovengenoemde uitgangspunten verwerkt in het statuut informatiebeveiliging.
De adviseur voert de exercitie conform deze uitgangspunten uit. Dus niet de maatregelen van ISO 27002 zijn de norm, maar de genoemde bedrijfsuitgangspunten. (Zie ook ‘ISO 27002 ‘lean en mean’ implementeren als security management systeem’.)
De eerste stap is het inventariseren van de risico’s en de impact van de risico’s. Vervolgens wordt een risico analyse uitgevoerd volgens een geaccepteerde methodiek, gebaseerd op business impacts. (Zie voor de uitwerking hiervan ‘Voorbeeld Rapport Risico Analyse Informatiebeveiliging’.) Hierna wordt de behoefte gematcht met de maatregelen in een gap-analyse, waarbij niet alleen gekeken wordt naar de gaps maar ook naar de toegevoegde waarde van de maatregelen. (Zie ook: ‘Voorbeeld vaststellen norm en basisbeveiligingsniveau op grond van ISO 27002 (=17799)’.)
De uitkomst van deze exercitie ten opzichte van de huidige situatie was, dat een zestal maatregelen geïmplementeerd moesten worden en dat een vijftal risico’s gezien hun business impact door de directie werden geaccepteerd.
Dat intensief overleg met de interne auditor nodig was, spreekt voor zich. Maar nadat hij zijn normatieve benadering had afgelegd, kwam het tot een goede en vruchtbare samenwerking tussen de consultant en de auditor, zonder dat de auditor hierbij genoodzaakt werd om een rol te vervullen, die zijn onafhankelijkheid zou schaden. 

4. Auditing: een vak of wetenschap?

Wil een auditor tegenwoordig goed kunnen functioneren en voldoende toegevoegde waarde kunnen leveren, dan zal hij moeten opschuiven naar de opdrachtgever. Niet de norm is zijn baas, maar de opdrachtgever, of beter gezegd: de opdrachtgever bepaalt de norm, veelal op basis van een bestaande set van ‘best practices’. Pas als deze zijn vertaald tot de normenset van de opdrachtgever, dan kan deze normatief gehanteerd worden. Tot die tijd is normatief denken uit den boze. Normatief denkende auditors zullen dan ook in hoog tempo terrein verliezen aan de klantgericht denkende auditors of adviseurs.
Iedere opdrachtgever krijgt natuurlijk de auditor die hij verdient. Als de opdrachtgever weigert om zelf de norm vast te stellen, dan heeft de auditor geen andere keuze dan normatief te handelen. Helaas zien we in zo’n situatie vaak, dat de chemie ontbreekt en de toegevoegde waarde van de auditor niet of nauwelijks opweegt tegen zijn kosten.

Boeken in de categorie Informatiebeveiliging

• Internet Security
  Kees Hogewoning, Gerrit Th. Lith, Marco G. M. van der Kraan        

• ITIL Security Management [CD-ROM]  (Engels)
  Office of Government Commerce        

• Identity Theft Handbook  (Engels)
  Martin Biegelman        

• Managing the Human Factor in Information Security  (Engels)
  David Lacey        

• Information Security Management with ITIL V3  (Engels)
  Paul Overbeek, Louk Peters        

• Control and Security of E-Commerce  (Engels)
  Gordon Smith        

• Risicomanagement voor security- en facilitymanagers
  Cees Coumou        

• Information Security Management Advanced
  Ursula van den Eijk, John van Huijgenvoort, Peter Janssen        

• Network and Internet Security, Advanced – Compleet
  John van Huijgenvoort, Peter Janssen, Chris Kockelkoren, e.a.

Download:         

Gerelateerde artikelen:

1. Normatief denken is dodelijk voor de klantgerichtheid
2. Code-Tabaksblat zegen voor interne auditor en accountant
3. ISO 27002 ‘lean en mean’ implementeren als security management systeem

1. Honderd procent beveiliging bestaat niet
2. Boze werknemers gevaar voor bedrijven
3. Efficiency kent geen goed of kwaad
4. Is beveiligen dan zinloos?
5. Natuurlijk gaat het niet om beveiliging 

1. Honderd procent beveiliging bestaat niet

Veiligheidsrisico’s zijn een onuitputtelijke bron van quasi-intellectueel gediscussieer op feestjes en partijtjes. Honderd procent beveiliging bestaat niet. Dus zijn er altijd risico’s. (Zie ook ‘Communicatiedrama bedreigt invoering EPD’.) Als iemand er toch in slaagt om deze risico’s te vermijden, dan verlangt hij acuut terug naar de situatie, waarin hij die risico’s wel liep. Iedere voorvechter van beveiliging, die ook maar suggereert dat elk risico vermeden kan worden, maakt zichzelf ongeloofwaardig. (Zie ook ‘Professionele informatiebeveiligers maken zich vaak ongeloofwaardig’.)
Laten we eens kijken wat Derk Wieringa, director van een groot accountantskantoor, gespecialiseerd in security en privacy ervan zegt. We citeren uit het FD van 17 februari 2009: 

2. Boze werknemers gevaar voor bedrijven

‘De economische recessie en daarop volgende ontslagrondes vormen een wezenlijk gevaar voor elk bedrijf dat zijn gegevensbeveiliging niet goed heeft geregeld. De kans dat een ontevreden of ontslagen werknemer, die uit is op wraak of geldelijk gewin zich vergrijpt aan de digitale geheimen en intellectuele eigendommen van een organisatie, is zeer reëel. Enerzijds door een toenemende digitalisering van onze samenleving, anderzijds door de relatieve eenvoud waarmee waardevolle gegevens kunnen worden meegesmokkeld.
Ook bij eerdere economische teruggang zijn arbeidsplaatsen verloren gegaan. Onrust in organisaties voorafgaand aan een ontslagronde is dan ook niet nieuw. Nieuw is het feit dat de grootste geheimen van bedrijven en overheden als digitale gegevens zijn opgeslagen en dat deze tegenwoordig geld waard zijn.
Uit ons jaarlijks wereldwijd Veiligheidsonderzoek onder financiële instellingen is gebleken dat 33% van de ondervraagden het weglekken van waardevolle gegevens als groot risico ziet. Dat de dreiging reëel is, blijkt uit het feit dat 8% van de ondervraagden al eenmaal is getroffen door verlies van gegevens. En 9% zelfs meerdere malen! Dat is opmerkelijk, temeer omdat de interviews voor dit onderzoek zijn uitgevoerd midden 2008, toen de impact van de crisis nog nauwelijks merkbaar was.
Basaal kunnen twee motieven voor misbruik onderscheiden worden:

• wraak nemen op de werkgever door hem schade toe te brengen of
• gegevens stelen en die voor geld verkopen – als een wrange vorm van extra gouden handdruk.

Voorbeelden zijn er voldoende, zoals de oud-werknemer van het Ferrari Formule 1 team, die in juli 2007 de nieuwste ontwerpen doorverkocht aan het team van McLaren. Een minder bekend voorbeeld is een Intel medewerker, die vertrouwelijke informatie ter waarde van $ 1 mrd wilde meenemen naar zijn nieuwe werkgever AMD. Gelukkig gebruikte AMD deze informatie niet, maar zijn alle concurrenten zo ethisch?
Een derde voorbeeld is een direct resultaat van de economische malaise. Een werknemer van Countrywide Financial met een onzekere toekomst kon door falende beveiliging gegevens van bijna twee miljoen klanten aan derden verkopen.
De oplossing ‘bescherm je gevoelige gegevens’ lijkt helder, maar is dat in werkelijkheid niet. Wat zijn namelijk gevoelige gegevens? Op dit moment is bij veel bedrijven niet helder wat de waardevolle gegevens zijn. Daarnaast is het veelal onduidelijk waar deze gegevens staan en wie daar bij kan. De tijd dat alle belangrijke gegevens op een centraal mainframesysteem stonden is voorbij. Tegenwoordig bevinden deze gegevens zich op het netwerk, laptops, USB-sticks, in e-mail en ook op smartphones.
Bewustwording van het gevaar van gegevensverlies (niet alleen) in tijden van onrust is een eerste stap. In Noord-Amerika zien we dat de nadruk ligt op het treffen van technische maatregelen. Maar voor het oplossen van dit probleem is techniek alleen niet voldoende, ook de processen en de menselijke factor vereisen voldoende aandacht.’ 

3. Efficiency kent geen goed of kwaad

Is het echter niet zo dat we juist gegevensverwerking en uitwisseling willen? Per definitie vormt dat dus niet de dreiging. Efficiency van processen en mensen is het doel.
Derk Wierenga zet in zijn betoog vraagtekens bij een serie verworvenheden uit de laatste jaren, die we allemaal zijn gaan gebruiken, omdat we als gebruikers op deze manier informatie gemakkelijker of efficiënter kunnen opslaan, transporteren en delen. (Zie ook ‘Informatiebeveiligers verpesten iedere awareness’.) Die voordelen gelden natuurlijk niet alleen voor onszelf als reguliere gebruikers, maar ook voor onbevoegden die de gegevens misschien misbruiken. Maar juist door de inzet van technologie worden veel zaken ook veiliger:

• Door de toename van pinbetalingen wordt het steeds minder lucratief om banken of winkels te beroven.
• Door het gebruik van camera’s wordt het gemakkelijker om criminelen op te sporen.
• Dankzij het digitaal opslaan en backuppen van data is het vrijwel onmogelijk om nog gegevens te verliezen.
  Door thuiswerken, samenwerken op afstand en door telefonisch vergaderen wordt veel tijd en fileleed bespaard en wordt voorkomen dat data nodeloos fysiek worden verplaatst.
• Door gegevens versleuteld op te slaan wordt het risico op misbruik aanzienlijk verkleind.

Kortom, Johan Cruijff zei het al: ‘Elk voordeel heb ze nadeel’. Dat is hier ook nadrukkelijk van toepassing. Efficiency kan niet kiezen voor goed of kwaad. Slechts één ding is niet veranderd en dat is de mens zelf. Die mens is de zwakste schakel, waardoor ieder beveiligingssysteem onderuit gehaald kan worden. En vaak gebeurt dat nog niet eens opzettelijk.
Het zou niet de gebruiker moeten zijn, die moeite moet doen om zijn communicatiemiddelen te beveiligen. Beveiliging zou, net als de kooiconstructie, de veiligheidsgordel en de airbag in een auto, standaard moeten zijn. U installeert die ook niet zelf. De leverancier zou standaard een veilig product moeten bieden en alleen bevoegde gebruikers zouden de kennis moeten hebben om de beveiligingen uit te schakelen. Dus, veiligheid moet de standaard zijn en het moet moeite kosten om deze uit te schakelen.

• Waarom niet standaard encryptie op gegevensdragers?
• Waarom niet automatisch locken van niet-gebruikte PC’s en het kunnen inloggen met bijvoorbeeld een vingerafdruk?

Zolang beveiliging moeite en geld kost, zal het nooit populair worden. Bovendien, mijn creditcardgegevens zijn intussen al niet meer waard dan een paar euro. Het is voor criminelen dan ook nauwelijks meer interessant om ze te stelen en dus voor mij nauwelijks meer interessant om ze te beveiligen.
Helaas zijn veel ICT’ers intussen zo gedeformeerd, dat zij denken dat beveiliging hun probleem is, en dat zij dit probleem moeten oplossen. (Zie ook ‘ICT-ers zo gek maken met beveiligingsissues, dat ze in de beveiligingsellende gaan geloven’.) En misschien was dat 20 jaar geleden ook wel zo. Voor de leveranciers echter zou dat tegenwoordig een gepasseerd station moeten zijn. Waar zitten al die inkopers van ICT-middelen? Of vindt u het echt niet belangrijk? 

4. Is beveiligen dan zinloos?

Natuurlijk ben ik de laatste, die zal zeggen dat beveiligen zinloos is. Ik wil alleen maar aangeven dat net zoals er in uw auto standaard allerlei veiligheidsvoorzieningen zijn ingebouwd, die uitgebreid zijn vastgelegd in wet- en regelgeving, net zo zou het beveiligen van informatiedragers eigenlijk ook standaard moeten zijn. Natuurlijk is dan nog niet ieder risico afgedekt. Maar risk management is vooral het maken van een aantal afwegingen. We zullen dit toelichten aan de hand van enkele voorbeelden.

4.1 Willen/kunnen we het risico wel afdekken?

Voor nagenoeg iedere organisatie vormen de senior systeembeheerders een risico. Als ze goed zijn, kennen ze alle sterktes en zwaktes van de ICT-voorzieningen. Die kennis hebben ze immers nodig om adequaat storingen te kunnen verhelpen. Het betekent omgekeerd ook, dat ze hun kennis kunnen misbruiken. Door verregaand functies te scheiden is het mogelijk om dit risico te beperken. Dat betekent echter wel dat het oplossen van een storing altijd een project wordt met diverse betrokkenen, zowel wat betreft analyse als uitvoering. Dat heeft praktisch gezien de volgende nadelen:

• Het oplossen van storingen duurt lang.
• Diverse specialisten werken langs elkaar heen als niemand het overzicht heeft.
• Niemand voelt zich verantwoordelijk voor het probleem.
• Er wordt gezocht naar oplossingen en niet naar work-arounds.

En last-but-not-least, als uw beheerders toch niet eens hun kwaliteiten mogen tonen, dan had u net zo goed junior systeembeheerders van een MBO-opleiding kunnen plukken. (Zie ook ‘ICT en functioneel beheer steeds meer logistieke processen’.)

4.2 Heeft het zin om het risico af te dekken?

Vertrouwelijkheid is natuurlijk een groot goed. Maar hoe belangrijk is het nu echt?

• We hebben uitgebreide wetgeving over privacy, maar mensen zelf zetten voor iedereen zichtbaar hun profiel in Hyves, Linkedin enzovoort. (Zie ook ‘Privacy, de dinosaurus in ons communicatietijdperk?’.)
• Overheden hebben vertrouwelijkheid hoog in het vaandel staan, maar moeten ook voldoen aan de Wet Openbaarheid van Bestuur (WOB), waardoor al de vertrouwelijke informatie gewoon opgevraagd kan worden. En zelfs zonder opgaaf van reden.
• Scholen maken continuïteitsplannen, meestal zonder dat er sprake is van gevolgschade door derving van inkomsten.

Daarom moet u zich de vraag stellen of het echt erg is, dat bepaalde gegevens op straat komen te liggen. Natuurlijk staat het niet echt professioneel. Maar lijdt er ook iemand daadwerkelijk schade? 

5. Natuurlijk gaat het niet om beveiliging

Het moet dan toch maar eens een keer gezegd worden: ‘Informatiebeveiliging gaat helemaal niet om veiligheid. 100% veiligheid bestaat immers niet. Informatiebeveiliging gaat om vertrouwen!’
De bewakers bij uw receptie hebben ook de uitdrukkelijke instructie om niets te doen in geval van geweld. Hun werking is vooral preventief. Het laat naar de buitenwereld zien, dat beveiliging een issue voor uw organisatie is en dat deze ‘in control’ is. Dat wekt vertrouwen.
Het uniform van deze bewakers zorgt ervoor, dat er niets uitgelegd hoeft te worden. Ook het saaie streepjespak en de stropdas van bankiers straalde vertrouwen uit. Zozeer zelfs, dat ook Wouter Bos zich weer toerustte met een stropdas. En ik heb altijd veel profijt gehad van mijn grijze haar. Dat straalde senioriteit en vertrouwen uit. En daar gaat het meestal om.
Natuurlijk moet deze façade niet bij het eerste zuchtje wind omvallen. Niet het incident zelf is daarbij van belang, maar vooral het verlies aan vertrouwen. Per definitie is beslissen over veiligheid dus niet een zaak van beveiligers. Want zij hebben er alle belang bij dat u vooral veel en ingewikkelde maatregelen neemt. (Zie ook ‘ICT-ers zo gek maken met beveiligingsissues, dat ze in de beveiligingsellende gaan geloven’.)
Bedenk zelf waarom u wilt beveiligen. En vooral hoe u voorkomt, dat de beveiliging afbreuk doet aan de efficiency van uw bedrijfsproces. Immers, als dat het geval is, is beveiliging wel een heel dure maatregel. Uiteindelijk gaat het erom, dat u niet de voorpagina van de Telegraaf haalt met uw missers. En de jongensdroom van beveiligers, die met gevaar voor eigen lijf en leden de bezittingen van hun werkgever beschermen is allang vervlogen. Meestal staat de wetgever dit zelfs niet eens toe!
Natuurlijk zijn er ook situaties, dat er daadwerkelijk beveiligd moet worden. In 90% van de gevallen echter geldt, dat u slechts de blunders wilt voorkomen, die uw organisatie schade kunnen toebrengen door verlies aan vertrouwen. Zelfs dan heeft u voorlopig nog genoeg te doen (zie ook ‘ISO 27002 ‘lean en mean’ implementeren als security management systeem’), maar belast u uw organisatie in deze tijd van recessie niet met allerlei overbodige kosten.

Bron:
Derk Wieringa , ‘Digitale geheimen makkelijke prooi’. In: Het Financieele Dagblad. 17 februari 2009.

Boeken in de categorie Informatiebeveiliging

• Internet Security
  Kees Hogewoning, Gerrit Th. Lith, Marco G. M. van der Kraan        

• ITIL Security Management [CD-ROM]  (Engels)
  Office of Government Commerce        

• Identity Theft Handbook  (Engels)
  Martin Biegelman        

• Managing the Human Factor in Information Security  (Engels)
  David Lacey        

• Information Security Management with ITIL V3  (Engels)
  Paul Overbeek, Louk Peters        

• Control and Security of E-Commerce  (Engels)
  Gordon Smith        

• Risicomanagement voor security- en facilitymanagers
  Cees Coumou        

• Information Security Management Advanced
  Ursula van den Eijk, John van Huijgenvoort, Peter Janssen        

• Network and Internet Security, Advanced – Compleet
  John van Huijgenvoort, Peter Janssen, Chris Kockelkoren, e.a.

Download:         

Gerelateerde artikelen:

1. Eerlijk zijn over informatiebeveiliging
2. Hoe biedt u uw digitale diensten aan op uw site
3. Informatiebeveiliging awareness voor management en gebruikers

1. BHV-plan en BCP vaak dubbel werk
2. De begrenzing van het BCP
3. Rampen niet in BCP; hooguit in BHV-plan
4. Raakvlakken draaiboeken BCP en BHV-plan
5. Voorkomen van dubbel werk bij BHV en BCP 

1. BHV-plan en BCP vaak dubbel werk

Het plan voor bedrijfshulpverlening (BHV-plan), ook vaak bedrijfsnoodplan genoemd, en het Business Continuity Plan (BCP) zijn in feite broer en zus. Helaas zijn ze vaak geadopteerd door verschillende adoptieouders, die niets afweten van de familierelatie tussen beide.
Bedrijven moeten een BHV-plan hebben op grond van de ARBO-wetgeving. Meestal is het BHV-plan belegd bij de ARBO-coördinator, vaak een HRM-medewerker of in elk geval een mensgerichte medewerker. Het BCP komt voor uit de ‘harde’ kant van het bedrijf. Soms is dit de ICT-afdeling, waar vroeger het maken van calamiteitenplannen was belegd, soms ook de financiële afdeling, verantwoordelijk voor het jaarverslag, al dan niet onderworpen aan de code Tabaksblat.
Organisaties zijn wettelijke verplicht een BHV-plan te hebben. Binnen de meeste organisaties bestaat dit plan ook. Maar vaak is het hopeloos verouderd. De ARBO-coördinator zorgt er doorgaans wel voor dat de bedrijfshulpverleners periodiek naar cursus gaan, maar het BHV-plan zelf krijgt meestal weinig tot geen aandacht. Bovendien is het ook door de vernieuwde ARBO-wetgeving zelden meer up to date. De vernieuwde wet schrijft een risico-inventarisatie en -evaluatie (RI&E) voor, die moet leiden tot een plan van aanpak, maar die zelden wordt gedaan. Zo’n plan van aanpak zou een aantal preventieve maatregelen moeten beschrijven. Van oudsher richten BHV-plannen zich echter op situaties waarin calamiteiten daadwerkelijk plaatsvinden. Meestal wordt dan ook alleen het ontruimingsdeel geoefend.
Het BCP komt oorspronkelijk uit de hoek van de ICT en was altijd meer een ICT-uitwijkplan. De voorspelde calamiteit bij de eeuwwisseling illustreert dat. (Zie ook ‘ICT steeds minder het probleem bij een calamiteitenplan’.) De enige relatie met het BHV-plan was, dat brand of ontruiming van het gebouw een oorzaak kon zijn voor een calamiteit in de ICT. Inmiddels is dit calamiteitenplan echter uitgegroeid tot een Business Continuity Plan, waaronder ook andere calamiteiten vallen, die gevolgen hebben voor de bedrijfscontinuïteit. Er is nu sprake van een forse overlap met het BHV-plan. Vaak wordt daardoor werk dubbel gedaan. Want meestal hebben verschillende ouders deze ‘broer en zus’ geadopteerd en weten ze nauwelijks van elkaars bestaan af. 

2. De begrenzing van het BCP

Voor het Business Continuity Plan (BCP) hanteren we de volgende definities:

Een calamiteit is een voorval dat langdurige uitval van resources en voorzieningen veroorzaakt, en daardoor als gevolg heeft dat de kritische bedrijfsprocessen van de organisatie worden verstoord en de dienstverlening aan haar afnemers stagneert. Uitval van resources en voorzieningen met stagnering van de dienstverlening als gevolg kan bijvoorbeeld worden veroorzaakt door brand, overstroming, uitval van elektriciteit, afzetting van de omgeving door de autoriteiten enzovoort, maar ook door uitval van de ICT-infrastructuur, waardoor alle processen die afhankelijk zijn van deze ICT stil komen te liggen.

Business continuity heeft raakvlakken met vrijwel alle bedrijfsprocessen en aspectgebieden. (Zie ook ‘Inpassing Business Continuity BCP in BHV-plan, ICT en algemeen beleid veiligheid’.) Het BCP moet dan ook afgebakend worden, om te voorkomen dat werk dubbel wordt gedaan. Het Business Continuity Plan richt zich niet op het voorkomen van calamiteiten. Preventie is verankerd in de beheerprocessen van de organisatie. Zo zijn bijvoorbeeld dubieuze debiteuren in Nederland de belangrijkste oorzaak voor bedrijfsfaillissementen. Daarom zijn preventieve financiële beheermaatregelen vereist. Deze maatregelen worden dus niet opgenomen in het Business Continuity Plan. Het Business Continuity Plan richt zich ook niet op de bestrijding van calamiteiten zelf, het voorkomen van directe schade en de hulp aan slachtoffers. Dit alles wordt afgedekt door de BHV-plannen en de ontruimingsplannen.

Het Business Continuity Plan richt zich op het minimaliseren van de gevolgschade van een calamiteit.

Gevolgschade is schade die ontstaat, wanneer ten gevolge van een calamiteit kritische bedrijfsprocessen stil komen te liggen, zodat de dienstverlening aan klanten stagneert.

Gevolgschades kunnen zijn:

• gemiste omzet;
• claims;
• minder klanten.

De oorzaak van gevolgschade is doorgaans te vinden bij de ’single points of failure’ in de organisatie. Dit zijn die kritische resources en middelen, waarvan langdurig uitvallen genoemde schades tot gevolg heeft. Deze gevolgschades zijn doorgaans onverzekerbaar en drukken dus onmiddellijk op het bedrijfsresultaat. Zo zijn bijvoorbeeld bij brand het gebouw, de inboedel en de voorraden verzekerd maar de kosten van gemiste omzet, aansprakelijkheid voor te late levering en weglopende klanten niet. Op beperking van deze schade richt zich dus het BCP. 

3. Rampen niet in BCP; hooguit in BHV-plan

Ook richt het BCP zich niet op rampen die niet te voorkomen zijn en waarvoor geen draaiboek te maken is, hoe ermee om te gaan. Voorbeelden die gelden voor de meeste organisaties:

• overstroming door grootschalige doorbraak van zeedijken;
• oorlogssituaties;
• uitbraak van een pandemie;
• oliecrisis;
• interne sabotage door sleutelmedewerkers;
• stapeling van onafhankelijke calamiteiten.

De keuze om bepaalde risico’s te accepteren moet uiteraard wel bewust worden gemaakt; het Business Continuity Plan is niet een rariteitenkabinet van onwaarschijnlijke rampen, waarom niemand zich in de praktijk druk maakt, maar een plan om reële risico’s te kunnen managen. (Zie ook ‘Keuzes en aanpak voor uw Business Continuity Plan BCP of calamiteitenplan’.)
Het BHV-plan kan wel ingezet worden bij verschillende rampen. Standaardonderdeel van dit plan is het in veiligheid brengen van de medewerkers en gasten in het gebouw en de eerstelijns hulpverlening aan slachtoffers. En daartoe beperkt zich ook het BHV-plan. 

4. Raakvlakken draaiboeken BCP en BHV-plan

Op hoofdlijnen ziet het draaiboek voor het BCP er als volgt uit:

Figuur 1: Draaiboek voor het BCP

 Het stappenplan voor een calamiteit in termen van het BHV-plan is weergegeven aan de linkerkant. Het draaiboek voor een melding aan de meldkamer of op het alarmnummer staat beschreven in het BHV-plan tot aan het punt waarop onderzocht wordt of uitwijk noodzakelijk is. Het BCP beschrijft dus niet de afhandeling van deze melding en niet de ontruiming.
Als het gaat om een melding bij de servicedesk van de ICT of de Technisch Dienst, dan treedt het BHV-plan doorgaans niet in werking. Ontruiming is meestal niet aan de orde. De servicedesk probeert het incident op te lossen en als dit niet lukt, kan het incident escaleren tot een calamiteit en kan men het crisisteam inschakelen. Dit scenario staat wel beschreven in het BCP en wordt in de afbeelding aangegeven aan de rechterkant.
De coördinatie van de activiteiten van zowel het BHV-plan als het BCP berust bij het crisisteam. De kern van het crisisteam uit het BHV-plan vormt daarom tevens het crisisteam voor het BCP. Afhankelijk van de aard van de calamiteit kunnen er leden aan dit team worden toegevoegd.
Het crisisteam beslist of er uitgeweken gaat worden en zo ja welke bedrijfsfuncties hiervoor het eerst in aanmerking komen. Vervolgens activeert het crisisteam de operationele teams, die de meest kritische bedrijfsfuncties moeten herstellen. Deze teams hebben elk hun eigen draaiboek en zijn verantwoordelijk voor de uitvoering hiervan.
Een speciale positie wordt ingenomen door het team voor bedrijfscommunicatie. Dit team werkt nauw samen met het crisisteam. Het draaiboek voor crisiscommunicatie kan een bijlage bij het BHV-plan zijn maar ook een onderdeel van het BCP. Voorkomen moet worden, dat het twee keer gemaakt wordt. Wel moet ervoor gezorgd worden, dat het communicatiedraaiboek niet alleen gericht is op de calamiteit zelf, maar ook op het herstel van de communicatie bij een gedegradeerde dienstverlening van de organisatie. Verder speelt de beschikbaarheid van het centrale inkomende telefoonnummer een belangrijke rol. (Zie ook ‘Uitwijk telefooncentrale haalt communicatieplan bij calamiteit vaak onderuit’.)
Zodra de meest kritische bedrijfsfuncties hersteld zijn, wordt dit gemeld aan het crisisteam . Het crisisteam kan dan besluiten om de teams te activeren voor de volgende fase. 

5. Voorkomen van dubbel werk bij BHV en BCP

In het vorige hoofdstuk hebben we al aangegeven, dat de meldingsprocedures voor het BHV-plan en het BCP voor een groot deel samenvallen en dat ook het crisisteam meestal hetzelfde is. Ook moet er sprake zijn van één draaiboek voor crisiscommunicatie. Het spreekt vanzelf, dat in deze gevallen ook de procedures identiek moeten zijn. Helaas blijkt in de praktijk vaak, dat deze twee keer zijn gemaakt en ook niet identiek zijn. Zeker bij een crisis kan dit tot misverstanden leiden. Vaak wordt dit veroorzaakt, doordat het BHV-draaiboek reeds bestaat en de procedures slechts lopen tot het moment, waarop iedereen in veiligheid is gebracht. Voor het BCP is dit niet toereikend en dus zullen de procedures uit het BHV-plan uitgebreid moeten worden.
Verder bevatten beide plannen vaak bereikbaarheidslijsten van medewerkers, leden van de crisisorganisatie, hulpverleners en relaties. Ook bij het BCP is er behoefte aan bereikbaarheidsgegeven van toeleveranciers en belangrijke klanten. Omdat dergelijke lijsten zeer onderhoudsgevoelig zijn, moeten ze niet dubbel worden gemaakt en onderhouden. Anderzijds moet er wel op worden toegezien, dat alle bereikbaarheidslijsten die nodig zijn voor het BCP ook daadwerkelijk aanwezig zijn.
Ogenschijnlijk lijkt het, dat integratie van het BHV-plan en het BCP voor de hand ligt. Dat is echter niet verstandig. Operationeel zijn er geheel andere medewerkers bij betrokken en in crisistijd hebben die medewerkers belang bij een draaiboek dat zo ‘lean and mean’ mogelijk is. Wel moet bij onderhoud op één van deze plannen steeds bekeken worden of dit ook gevolgen heeft voor het andere plan.
Bovendien gaat het BHV-plan meer in op de calamiteit zelf en wordt per calamiteit vaak een uitwerking gemaakt. Het BCP heeft een meer generiek draaiboek en gaat in op de effecten van een calamiteit in termen van uitval van resources en middelen.
Integratie van het BHV-plan en het BCPis om deze redenen niet aan te bevelen. Wel moeten beide plannen op elkaar afgestemd worden en moet dubbel werk worden voorkomen.
Kortom, voor organisaties die beschikken over een goed BHV-plan is het maken van een BCP vaak niet zo ingewikkeld. (Zie ook ‘Keuzes en aanpak voor uw Business Continuity Plan BCP of calamiteitenplan’.) Helaas zijn veel BHV-plannen opgesteld vanuit een beperkte optiek (vaak alleen vanuit brand- en explosiegevaar). Ze hebben dan te weinig input die bruikbaar is voor het BCP. Toch is afstemming op dat moment wenselijk om het arbeidsintensieve onderhoud later niet dubbel te hoeven doen en om misverstanden bij de uitvoering te voorkomen.

Herziene versie: 30 augustus 2010

Download:         

Gerelateerde artikelen:

1. Keuzes en aanpak voor uw Business Continuity Plan BCP of calamiteitenplan
2. Inpassing Business Continuity BCP in BHV-plan, ICT en algemeen beleid veiligheid
3. Business Continuity Plan: uw dekking voor onverzekerde schade

1. ARBO-beleid in uw organisatie
2. Aanpak en resultaat van het BHV-plan
3. De BHV-organisatie
4. Draagvlak bij de directie 

1. ARBO-beleid in uw organisatie

Iedere organisatie is verplicht zorg te dragen voor de veiligheid en de gezondheid van medewerkers en bezoekers. Veiligheid en gezondheid moeten dus zijn geïntegreerd in het totale beleid van de organisatie. Uitgangspunt hiervoor is de ARBO-wet. Deze wet verplicht de werkgever zich te laten bijstaan door medewerkers die deskundig zijn op het gebied van preventie, bescherming en bedrijfshulpverlening. Die medewerkers moeten hiervoor speciaal worden opgeleid en kunnen dan worden ingezet als preventiemedewerker en als verantwoordelijke bedrijfshulpverlener.
Veiligheid en gezondheid kunnen alleen worden gerealiseerd, als er voor het veiligheidsbeleid van de organisatie draagvlak bestaat bij zowel de werkgever als de werknemers. Voor het realiseren van dit beleid worden enerzijds een risico-inventarisatie en -evaluatie (RI&E) uitgevoerd op grond waarvan preventieve maatregelen worden vastgelegd en wordt anderzijds, als onderdeel van het totale ARBO-beleid, BHV-beleid geformuleerd om voorbereid te zijn en adequaat te kunnen reageren op noodsituaties binnen de organisatie. Het BHV-beleid wordt, nadat het is goedgekeurd door de werkgever en de instemming heeft verkregen van de ondernemingsraad (OR) aan alle werknemers bekend gemaakt. Om effectief op noodsituaties te kunnen reageren, wordt het bedrijfshulpverleningsplan (BHV-plan) schriftelijk vastgelegd en zo nodig periodiek herzien, zodat continue verbetering wordt bereikt.

1.1 Opzetten van een BHV-organisatie

Voor de beheersing van noodsituaties moet een BHV-organisatie worden opgezet, die wordt bemand door werknemers die in staat zijn op adequate wijze zo nodig spoedeisende hulp te verlenen. Deze werknemers worden hiervoor opgeleid en zijn daarna verplicht tot het volgen van aanvullende cursussen (minimaal tweejaarlijks 8 uur cursus). Ieder jaar beoordeelt de directie (de werkgever) in een management review of het beleid continu geschikt, adequaat en doeltreffend is en wordt het beleid opnieuw geformuleerd. De TBV (Taken, Bevoegdheden en Verantwoordelijkheden) van functies in de BHV-organisatie worden schriftelijk vastgelegd. De leden van de BHV-organisatie worden schriftelijk aangesteld. De BHV-organisatie is ingebed in de totale organisatie en is opgenomen in het organogram.

1.2 Verantwoordelijkheden van de werkgever

De werkgever is ervoor verantwoordelijk dat op de organisatie afgestemde preventieve, preparatieve en repressieve maatregelen genomen worden, zodat een adequate preventie, bescherming en bedrijfshulpverlening gewaarborgd zijn en goede nazorg wordt verleend. De werkgever laat zich ten aanzien hiervan bijstaan door deskundige werknemers en andere deskundige personen. De arbeid moet zo zijn georganiseerd, dat daarvan geen nadelige invloed uitgaat op de veiligheid en de gezondheid van de werknemers. Hiertoe moeten doeltreffende maatregelen worden getroffen en doeltreffende verbindingen worden onderhouden. Elke werknemer moet bij ernstig en onmiddellijk gevaar voor zijn eigen veiligheid of die van anderen, passende maatregelen kunnen nemen om de gevolgen van een dergelijk gevaar te voorkomen.

1.3 De veiligheidsketen

De BHV-organisatie functioneert dus op basis van de volledig geïmplementeerde veiligheidsketen, die een vijftal veiligheidsgebieden kent:

• pro-actie of proactieve preventie;
• preventie;
• preparatie;
• repressie;
• nazorg.

De werkgever dient er zorg voor te dragen dat de gevaren en risico’s zo veel mogelijk bij de bron worden aangepakt (pro-actie) en als dat niet mogelijk is, dat andere doeltreffende maatregelen worden genomen om gevaar te voorkomen en risico’s te elimineren (preventie). De werkgever moet ervoor zorgen dat deskundige werknemers die belast zijn met bedrijfshulpverlening zich door oefening en scholing goed voorbereiden (preparatie), waardoor zij bij calamiteiten en incidenten in staat zijn de gevolgen van ongevallen te beperken door adequate spoedeisende hulp te verlenen (repressie), waarna zij medewerking kunnen verlenen aan maatregelen die gericht zijn op de terugkeer naar de normale situatie (nazorg). 

2. Aanpak en resultaat van het BHV-plan

Het opstellen van een BHV-plan is geen eenmalige zaak, maar dient ingericht te worden als een proces inclusief een verbetercyclus. Dit proces kent de volgende stappen:

• inventariseren van de risico’s door het uitvoeren van een RI&E;
• bepalen van de maatregelen (preventief en repressief) om deze risico’s te reduceren;
• maken van een Plan van Aanpak (PvA) met een tijdslijn, waarbinnen de preventieve maatregelen geïmplementeerd moeten worden;
• uitvoeren van het PvA (actie);
• controleren en evalueren van het resultaat van de actie en vaststellen of de doelstellingen zijn bereikt.

Omdat een organisatie niet statisch is, zal deze exercitie periodiek herhaald moeten worden. Aanleidingen voor een herhaling kunnen zijn:

• nieuwe of gewijzigde bedrijfsprocessen;
• nieuwe apparatuur of bedrijfsmiddelen;
• een nieuwe locatie, uitbreiding of verbouwing;
• veranderingen in de omgeving;
• veranderingen in de regelgeving;
• voortschrijdend inzicht.

Dit betekent natuurlijk niet, dat iedere keer een volledige RI&E uitgevoerd moet worden.

2.1 Inhoud van het BHV-plan

Naast preventieve maatregelen moet ook een BHV-plan worden opgesteld voor die gevallen waarin er toch een incident optreedt. Meestal bestaat dit plan uit een aantal draaiboeken waarin beschreven staat hoe een organisatie en haar bedrijfshulpverlening reageert in geval van een ongeval (al dan niet met letsel), brand, dreiging via explosieven, bezetting enzovoort. Naast deze acties moeten verder vastgelegd zijn:

• de veiligheidsprocedures bij normale werkzaamheden;
• de preventieve werkzaamheden;
• de uitvoering van spoedeisende hulp;
• het leiding geven aan een inzet;
• de werkzaamheden van het Crisis Management Team (CMT);
• het opstellen en onderhouden van het BHV-plan;
• de opzet en het onderhoud van de BHV-organisatie.

Hierdoor wordt veiligheid geïntegreerd in de totale organisatie en vindt aansluiting plaats bij het ARBO-beleid van de totale organisatie.

2.2 Draagvlak en verbetering

Van alle werknemers wordt verwacht dat zij het (preventieve) veiligheids- en gezondheidsbeleid van de organisatie ondersteunen en zich bewust zijn van de risico’s van de organisatie. Van alle werknemers, maar met name van de deskundige werknemers die belast zijn met preventie, bescherming en bedrijfshulpverlening, wordt verwacht dat zij initiatieven nemen voor de verbetering van dit beleid, inclusief het BHV-plan en de BHV-organisatie.
Een gezamenlijk draagvlak, gebruikmaking van gezamenlijke expertise en toepassing van gezamenlijke kennis en vaardigheden maken het niet alleen mogelijk dat de BHV-organisatie continu leert en zich verbetert, maar bevorderen ook een pro-actieve houding van zowel het management als de werknemers, waardoor de veiligheid binnen de totale organisatie verbetert. 

3. De BHV-organisatie

Voor een goede uitvoering moeten voldoende deskundige werknemers aanwezig zijn, die beschikken over de benodigde uitrusting en die zo zijn georganiseerd, dat zij de bijstand naar behoren kunnen verlenen. Het aantal deskundige werknemers moet zijn gebaseerd op de Risico-Inventarisatie en Evaluatie (RI&E). Daarom is een organisatie wettelijk verplicht bij het opzetten van een BHV-organisatie te beginnen met het verrichten en opstellen van een RI&E.
Behalve met de RI&E, moet bij de organisatie van de bedrijfshulpverlening ook rekening worden gehouden met de volgende maatgevende factoren:

• de aard, de grootte en de ligging van het bedrijf of de instelling;
• de in het bedrijf / instelling aanwezige gevaren (ook gevaren in de omgeving) en voor het bedrijf / instelling maatgevende brandscenario’s;
• het redelijkerwijs te verwachten aantal aanwezige werknemers en andere personen alsmede de tijdstippen waarop zij aanwezig zijn;
• het redelijkerwijs te verwachten aantal personen dat zich bij een ongeval of brand niet zelfstandig in veiligheid kan brengen;
• de opkomsttijd en mogelijkheden van brandweer en andere hulpverleningsorganisaties;
• de aanwezigheid van een infrastructuur op het gebied van de arbeidsomstandigheden;
• de mogelijkheid om met andere arbeidsorganisaties samen te werken;
• de aantoonbare deskundigheid van deskundige werknemers en andere personen.

Meestal wordt als uitgangspunt genomen 1 BHV’er per 50 medewerkers. Natuurlijk zijn hierin belangrijke afwijkingen mogelijk, zoals bijvoorbeeld bij:

• een vuurwerkfabriek, die gezien het risico meer BHV’ers heeft;
• een voetbalclub en een pretpark, die vanwege de grote aantallen bezoekers meer BHV’ers hebben;
• een consultancy organisatie die minder BHV’ers heeft, omdat de meeste consultants bij de klant zitten.

Naar aanleiding van de RI&E wordt bepaald wat de geïdentificeerde risico’s van de organisatie zijn en welke daarvan als de belangrijkste risico’s worden geclassificeerd, op basis waarvan de organisatie een Plan van Aanpak moet opstellen. Na eliminatie (of beperking) van de meeste risico’s zullen uiteindelijk een aantal geaccepteerde restrisico’s overblijven, die niet afgedekt worden door preventie. Niet alle calamiteiten zijn tenslotte te voorkomen.
Voor een adequate reactie op deze restrisico’s moet het bedrijfhulpverleningsplan (BHV-plan) worden opgesteld en de BHV-organisatie opgezet en ingericht.
Voorwaarden voor een succesvolle BHV-organisatie zijn:

1. De organisatie moet een RI&E hebben uitgevoerd.
2. De organisatie moet een BHV-plan hebben opgesteld.
3. De organisatie moet een BHV-organisatie hebben opgezet en ingericht, bemand met hiervoor opgeleide medewerkers.
4. De organisatie moet aan de hand van de dynamische verbetermethode de BHV-organisatie, inclusief het BHV-plan, continu verbeteren.

In het artikel ‘Opzetten BHV-organisatie en BHV-plan‘ zijn deze voorwaarden verder uitgewerkt. 

4. Draagvlak bij de directie

Een bekend misverstand bij specialisten als beveiligers en bedrijfshulpverleners is, dat draagvlak bij de directie pas mogelijk is, als de directie alle ‘ins en outs’ van het aandachtsgebied begrijpt. (Zie ook ‘Informatiebeveiligers verpesten iedere awareness’.) Draagvlak heeft echter weinig te maken met kennis, maar vooral met een goede rapportage. Als de directie wettelijk verplicht is om een RI&E uit te voeren, een BHV-plan te maken en een BHV-organisatie op te tuigen, dan zijn voor haar de belangrijkste issues:

• Hoeveel risico lopen we?
• Hoeveel budget kennen we toe?
• Welke prioriteit krijgt dit onderwerp?

Dat betekent dat in de rapportage aan de directie niet allerlei kennis overgedragen moet worden zoals in dit artikel, maar dat de directie inzicht moet krijgen in de voor haar relevante issues. Kies daarom voor een stoplichtmodel als rapportage aan de directie, zoals onder andere is beschreven in ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27002’. 

4.1 Aansluiting bij het Business Continuity Plan

Bij het opstellen van het BHV-plan is het van belang om samen te werken met de opstellers of beheerders van het Business Continuity Plan of calamiteitenplan. Het BHV-plan stopt als iedereen in veiligheid is, de slachtoffers zijn afgevoerd en de autoriteiten de bestrijding van de calamiteit en dus de directe schade hebben overgenomen. Voor deze directe schade zijn organisaties doorgaans verzekerd. Vervolgens echter ontstaat vaak ook indirecte schade in de vorm van gemiste orders, niet kunnen leveren en imagoschade. Hiervoor kunnen organisaties zich niet verzekeren. Hier komt dus de continuïteit aan de orde. Het BHV-plan en het Business Continuity Plan moeten op elkaar aansluiten. Ze vertonen ook nogal wat overlap. Daarom is afstemming nodig. Meer over de afstemming en waarom de plannen niet geïntegreerd moeten worden is beschreven in het artikel ‘Integratie BHV-plan met Business Continuity Plan’.
Tot slot nog een opmerking over het standaard BHV-plan, zoals dit vaak wordt geleverd door de bekende aanbieders. Omdat er geen risicoanalyse wordt uitgevoerd en alleen het wettelijk verplichte plan wordt gemaakt, worden alle redelijke risico’s afgedenkt. Vaak is dit overdreven. De directie kan namelijk ook gebruik maken van haar recht om niet verzekerde risico’s te accepteren. Als er geen standaardplan wordt gebruikt, is uiteraard het  opstellen van het plan wat duurder, maar het beheer van het plan wordt dan vaak een stuk goedkoper. En de beheerkosten zijn doorgaans een stuk hoger dan de kosten voor het maken van een plan. (Zie ook ‘Business Continuity Plan: uw dekking voor onverzekerde schade’).

Bron:
De dynamische verbetermethode voor het opzetten, onderhouden en verbeteren van een BHV-organisatie is onder andere gebaseerd op informatie op http://www.nedcert.nl/.

Herziene versie: 23 augustus 2010

Download:         

Gerelateerde artikelen:

1. Opzetten BHV-organisatie en BHV-plan
2. Integratie BHV-plan met Business Continuity Plan
3. Inpassing Business Continuity BCP in BHV-plan, ICT en algemeen beleid veiligheid

1. Informatiebeveiliging ‘down to earth’
2. Omgaan met risico’s in plaats van bedreigingen
3. Proactief afdekken van risico’s
4. Balans tussen risico, beleid en veiligheid 

1. Informatiebeveiliging ‘down to earth’

Leest u ook geregeld artikelen in vakbladen, en dan met name in ICT-vakbladen, over de dreigingen waaraan u uw informatievoorziening blootstelt als u uw informatiebeveiliging niet serieus neemt? Consultants storten deze problematiek nu al jarenlang over ons uit. Vrijwel altijd gaat het over ongrijpbare incidenten, waarvan niemand precies weet hoe ze in elkaar steken en zeker niet wat er aan gedaan moet worden. (Zie ook ‘ICT-ers zo gek maken met beveiligingsissues, dat ze in de beveiligingsellende gaan geloven’.)
Waarschijnlijk haalt u geïrriteerd uw schouders op als beveiligers of ICT’ers u verwijten dat u informatiebeveiliging niet serieus neemt en dat het u ontbreekt aan awareness. Want u neemt informatiebeveiliging wel serieus. Maar net zoals u niet iedere dag stil staat bij alle enge ziektes die een mens kan krijgen, zo staat u ook niet iedere dag stil bij alle incidenten die zich op het gebied van informatiebeveiliging kunnen voordoen. En net zoals u ervan uitgaat dat u die enge ziektes niet zult krijgen, zo gaat u ervanuit dat u niet met die incidenten te maken krijgt. Wat die ziektes betreft, ook al staat u er niet voortdurend bij stil dat u ziek kunt worden, u neemt uw gezondheid natuurlijk wel serieus. U weegt risico’s af. Als het vriest trekt u een jas aan om te voorkomen dat u kou vat. Als u een verdieping naar beneden wilt, dan springt u niet, maar neemt u de trap om niet het risico te lopen, dat u een been breekt. Als u last heeft van hoge bloeddruk, dan slikt u een pilletje om een hartaanval te voorkomen. U eet gevarieerd en gezond om voldoende weerstand op te bouwen in uw lichaam. En als u toch ziek wordt, dan gaat u naar de dokter. In de meeste gevallen kan die u helpen weer beter te worden. Informatiebeveiligers echter eisen van u dat u alle enge ziektes op het gebied van informatiebeveiliging kent en dat u zich hier stuk voor stuk bij voorbaat tegen wapent. Maar dat is onzin, zoals u kunt lezen in het artikel ‘Informatiebeveiligers verpesten iedere awareness’. 

2. Omgaan met risico’s in plaats van bedreigingen

Net zoals u van allerlei ziektes niet weet wat ze nu precies inhouden en van uw auto niet weet, hoe u deze moet onderhouden, zo weet u ook niet van uw ICT-middelen hoe deze precies werken en wat er mogelijk mis mee kan gaan. En dat is prima, zolang u maar geen onverantwoorde risico’s neemt.
Als u in de auto stapt weet u heus wel wat wel en niet kan, ook al kent u niet alle verkeersregels. U weet globaal wat onverantwoorde risico’s zijn. U weet dus ook dat u:

• geen 120 km/u moet rijden in de bebouwde kom;
• niet tegen de stroom in moet rijden op de snelweg;
• niet met uw auto over fietspaden moet scheuren;
• niet zelf aan uw auto moet knutselen als u pech heeft, maar hiervoor de vakman moet bellen.

Voor ICT en informatiebeveiliging ligt dit niet anders. Als u uw ICT-middelen gebruikt zoals ze bedoeld zijn en u zich aan de regels houdt, dan zijn de risico’s klein en dus acceptabel. Zoals u ook een acceptabel risico loopt als u in de auto stapt of als u gaat vliegen.
De ideale situatie is, dat u werkt op een standaardwerkplek in het gebouw van uw organisatie. Zo’n situatie is standaard voor uw ICT-afdeling en de informatiebeveiliging. U mag er vanuit gaan, dat uw ICT-afdeling deze situatie ‘in control’ heeft. En als dit niet het geval is, dan mag u er vanuit gaan dat uw ICT-afdeling de oplossing heeft om met een minimum aan schade incidenten en calamiteiten te managen. Zo werkt dat ook bij een dreigende griepepidemie. Dat mensen ziek worden, wordt deels voorkomen door het geven van een griepprik aan risicogroepen en voor de rest is er een oplossing voor het geval mensen wel geïnfecteerd raken.
In de standaardsituatie loopt u dus geen risico, tenzij u vanaf uw werkplek risico’s neemt zoals:

• gevoelige informatie weggeven via internet door het actief invullen van formulieren (bedrijfsinformatie of creditcard gegevens);
• een virus of spyware binnenhalen door onzorgvuldige mailafhandeling of downloadgedrag via een onbeveiligde computer;
• data overbrengen op een ander opslagmedium (papier, USB-sticks laptop, mobiele werkplek, thuiswerkplek enzovoort); in dat geval wordt u geacht u er bewust van te zijn, dat u hiermee een risico loopt, dat uzelf moet afdekken.

Genoemde risico’s neemt u meestal uit efficiency overwegingen. Daar is niets op tegen, mits u zich ervan bewust bent dat u deze risico’s loopt en er ook naar handelt. (Zie ook ‘Informatiebeveiliging: van onbewust risico lopen naar bewust risico nemen’.) Als ICT’ers en informatiebeveiligers het een probleem vinden, dat u deze risico’s neemt, dan zullen zij daar proactief op moeten inspelen. 

3. Proactief afdekken van risico’s

Als een bedrijf uit efficiency overwegingen vindt, dat managers en medewerkers deze risico’s moeten nemen, dan zullen ze dit proactief moeten faciliteren. Niet alleen door het opstellen van een gedragscode voor alle interne en externe medewerkers, maar ook door het treffen van maatregelen voor gebruik van data buiten de standaardwerkplek. Hiervoor zijn tal van mogelijkheden zoals:

• een VPN voor het werken op afstand;
• serverbased computing voor het werken op afstand;
• uitgifte van beveiligde media zoals laptops voor het werken op afstand inclusief virus- en malware protectie;
• encryptie op laptops en USB-sticks om data op externe media te beschermen.

ICT-middelen op afstand worden van oudsher vaak beschouwd als privébezit van medewerkers en managers. Vaak was dit ook het geval. Dat betekent echter niet dat de medewerkers en managers het onderhoud en het beheer van deze middelen zelf moeten doen. Als het om de auto gaat, gaan we ervan uit dat de overheid met adequate regelgeving komt en deze ook bewaakt en dat we het onderhoud kunnen uitbesteden aan de garage, die bij een beurt wel meldt welk additioneel onderhoud noodzakelijk is. Met informatiebeveiliging is dit niet anders. Natuurlijk zijn medewerkers en managers zelf verantwoordelijk, maar daarbij moeten ze wel adequaat worden ondersteund door specialisten, die up-to-date risico’s voor hen afdekken.
Een voorbeeld van hoe het niet moet geeft minister Eurlings. Hij geeft aan dat er een hamertje in een auto aanwezig moet zijn, dat voor alle inzittenden bereikbaar is, voor het geval een auto te water raakt. Dat hamertje heb ik in mijn auto. Het ligt echter in het handschoenenkastje, omdat ik niet weet hoe en waar ik het moet bevestigen. Garages zouden dit proactief moeten oplossen. En dat geldt ook voor informatiebeveiliging. De uitvoering van het treffen van maatregelen moet ik ergens kunnen neerleggen. Aan mij als de verantwoordelijke de keuze om de maatregel wel of niet te treffen. Die keuze maak ik op basis van een risico-inschatting en niet omdat het zo hoort. Het is mijn verantwoordelijkheid om de afweging te maken tussen efficiency en veiligheid. Mijn keuze is mijn verantwoordelijkheid. (Zie ook ‘Mag een auditor nog wel normatief denken?’.) 

4. Balans tussen risico, beleid en veiligheid

Informatiebeveiliging anno nu is dan ook het zoeken van de balans tussen risico, beleid en veiligheid. Dit niet normatief, maar rationeel en proactief. Daarom is de normatieve ISO 27001-norm voor informatie beveiliging eigenlijk niet meer van deze tijd. ISO 27001 stelt een serie maatregelen verplicht, onafhankelijk van het feit of deze wel of niet zinvol zijn. Toepassing van deze norm leidt er dan ook al snel toe dat maatregelen niet worden geaccepteerd. Toepassing van deze norm leidt slechts tot ‘window-dressing’. De niet-normatieve ISO 27002-norm gaat er daarentegen vanuit dat er een afweging wordt gemaakt tussen risico’s, beleid en veiligheid. (Zie ‘ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging?’.) ISO 27002 gaat uit van doelstellingen en best practices (maatregelen) waarmee deze doelstellingen behaald kunnen worden. De keuze hoe de doelen te bereiken maken het management en de betrokkenen. Het is dan afhankelijk van het risicoprofiel van de organisatie of een risico afgedekt moet worden en zo ja hoe dit moet gebeuren. Doorgaans is een subset van de best practices voldoende voor het adequaat afdekken van risico’s. Men moet alleen nog de keuze maken welke best practices volstaan. Dit vergt vaak een andere attitude van ICT’ers en beveiligers. Zij stellen niet meer de norm voor informatiebeveiliging, maar zijn vanuit hun specialisme bezig met beslissingsvoorbereiding. Het management en de betrokken kunnen vervolgens een met al hun verantwoordelijkheden en eisen samenhangende afweging maken van het belang van veiligheid bij een bepaalde beslissing. (Zie ook ‘ISO 27002 ‘lean en mean’ implementeren als security management systeem’.) Het is evident dat awareness en acceptatie dan niet meer het probleem zullen zijn.
Voorwaarde is, dat de risico’s en het risicoprofiel op een heldere manier naar het management gecommuniceerd worden:

• niet via complexe, inhoudelijke rapportages, maar op basis van een beoordeling door een expert naar aanleiding van een risicoanalyse die het management kan begrijpen;
• niet via een set maatregelen die allemaal nu topprioriteit hebben, maar op basis van een systematische aanpak waarmee in de tijd de risico’s beheerst kunnen worden. (Zie ook ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27002’.)

Dan is informatiebeveiliging voor de organisatie een te managen onderwerp, waarbij afgewogen keuzes gemaakt kunnen worden, waarvoor ook draagvlak is. Een status is te managen, zonder dat men de inhoudelijke details kent. Een normatieve aanpak vanuit de ivoren toren van beveiligers en ICT’ers leidt sowieso tot een gevecht met het management, waarbij veiligheid het slachtoffer is, omdat de bedrijfsrisico’s niet goed gemanaged kunnen worden.

Herziene versie: 16 april 2010

Boeken in de categorie Informatiebeveiliging

• Internet Security
  Kees Hogewoning, Gerrit Th. Lith, Marco G. M. van der Kraan     

• ITIL Security Management [CD-ROM]  (Engels)
  Office of Government Commerce     

• Identity Theft Handbook  (Engels)
  Martin Biegelman     

• Managing the Human Factor in Information Security  (Engels)
  David Lacey     

• Information Security Management with ITIL V3  (Engels)
  Paul Overbeek, Louk Peters     

• Control and Security of E-Commerce  (Engels)
  Gordon Smith     

• Risicomanagement voor security- en facilitymanagers
  Cees Coumou     

• Information Security Management Advanced
  Ursula van den Eijk, John van Huijgenvoort, Peter Janssen     

• Network and Internet Security, Advanced – Compleet
  John van Huijgenvoort, Peter Janssen, Chris Kockelkoren, e.a.

Download:         

Gerelateerde artikelen:

1. Managementrapportage risicoprofiel informatiebeveiliging ISO 27002
2. ISO 27002, de Code voor Informatiebeveiliging nader toegelicht
3. Informatiebeveiligers verpesten iedere awareness

1. Inleiding handleiding risico analyse IT
2. Doelgroep, beperkingen en resultaat risico analyse
3. De vragenlijst voor uitvoering risico analyse
4. Uitvoeren project risico analyse
5. De score van de ICT-project risico analyse 

 1. Inleiding handleiding risicoanalyse IT

Deze handleiding is bedoeld voor alle medewerkers die betrokkenen worden bij het uitvoeren van een risico analyse, en met name voor de medewerker die de leiding geeft aan de uitvoering van de project risico analyse.
De handleiding geeft een inzicht in de wijze waarop potentiële risico’s kunnen worden gemeten, geanalyseerd, gewogen en gerapporteerd. (Zie ook ‘Risico inventarisatie bij de Project Start Up‘.) De noodzaak voor uitvoering van de analyse komt niet aan de orde.

Hoofdstuk 2 gaat in op de doelgroep, de begrenzing en het resultaat van een risico analyse.

Hoofdstuk 3 gaat in op het hulpmiddel dat wordt gebruikt bij risico analyse:
de vragenlijsten.

In hoofdstuk 4 wordt uiteengezet hoe de risico analyse als activiteit binnen het project moet worden uitgevoerd.

Hoofdstuk 5 gaat in op de analyse en weging van gemeten risico’s.

In hoofdstuk 6 worden de vragenlijsten in verband gebracht met de fasen in een project. 

2. Doelgroep, beperkingen en resultaat risico analyse

2.1 Doelgroep

De project risicoanalyse is een activiteit die een bijdrage levert aan de tijdige onderkenning van risico’s verbonden aan een project.
Deze syllabus is primair bedoeld voor de medewerker die de leidinggevende rol vervult in de project risico analyse: de gespreksleider. Voor alle overige betrokkenen in het project verschaft deze syllabus inzicht in het doel en gebruik van de project risico analyse.
In het algemeen wordt de rol van gespreksleider vervuld door een projectmanager of door een functionaris die erin is gespecialiseerd. Aangezien de vragenlijsten onderverdeeld zijn in aandachtsgebieden, kan de risico analyse, zij het in beperkte mate, eveneens uitgevoerd worden door de projectleider van elk aandachtsgebied.

2.2 Beperkingen project risico analyse

De volgende beperkingen worden onderkend:

• De project risicoanalyse in deze syllabus gaat niet in op de toegevoegde waarde van het project voor de organisatie.
• De project risicoanalyse in deze syllabus is alleen bedoeld voor IT-projecten.
• De project risicoanalyse in deze syllabus gaat niet in op de prioriteit van een project.
• De project risicoanalyse in deze syllabus is niet bruikbaar voor exploitatie en beheer.

2.3 Het resultaat van de project risico analyse

De tijdens de analyse vastgestelde bevindingen worden vastgelegd in een rapport dat minimaal de volgende onderwerpen omvat:

• de formulering van de opdracht;
• de beschrijving van het project;
• de onderkende risico’s;
• aanbevelingen. 

 3. De vragenlijst voor uitvoering risico analyse

Als hulpmiddel voor de project risicoanalyse zijn vragenlijsten ontwikkeld, die elk een bepaald aandachtsgebied bestrijken. Elke lijst bevat vragen over onderwerpen die een potentieel risico vormen voor het project. Aan elke vraag is een limitatieve opsomming van mogelijke antwoorden toegevoegd. Natuurlijk zijn er ook andere vragenlijsten in omloop. Belangrijkste doel van de vragenlijst is dat alle onderdelen van het project geraakt worden. De kwantitatieve berekening van de risicowaarde van een project is niet erg betrouwbaar. Laat deze eindwaardering dan ook niet over aan het team dat betrokken is bij de risicoanalyse, maar laat deze over aan de auditor (voorzitter van de sessie) zelf, nadat de deelnemers hun mening over de projectrisico’s hebben onderbouwd. Het doel van de vragenlijst is er voor te zorgen dat:

• voor het meten van project risico’s de juiste vragen worden gesteld;
• vragen en antwoorden op de juiste wijze worden gewogen;
• de combinatie van vraag en antwoord op een juiste wijze wordt vertaald naar een risico voor het project;
• gemeten risico’s in het project gerelateerd kunnen worden aan normen die zijn ontleend aan ervaringen uit eerder uitgevoerde projecten.

3.1 Aandachtsgebieden IT-project risicoanalyse

Elk aandachtsgebied omvat een traject, respectievelijk een fase van een project. De volgende aandachtsgebieden zijn onderkend:

• pre-offerte;
• naar aanleiding van een offerte aanvraag, voorafgaand aan het uitbrengen van een offerte;
• offerte;
• tijdens het offerte traject uit te voeren; de resultaten moeten in de offerte worden meegenomen;
• contract;
• na het offerte traject, tijdens de contractbesprekingen en voor het afsluiten van het contract;
• uitvoering;
• tijdens de uitvoering van het project, doch in iedere geval op de volgende momenten:
  • bij de aanvang van het project;
  • tijdens de afronding van een plan van aanpak per fase;
  • bij één derde van het totale traject;
  • bij afsluiting van het project.

Bij de uitvoering van het project is een verdere onderverdeling van de vragenlijst aanwezig naar sublijsten, gericht op de functionarissen die verantwoordelijk zijn voor:

• projectmanagement;
• inhoudelijke coördinatie;
• projectbureau;
• kwaliteitsbureau;
• systeemontwikkeling;
• gebruik;
• beheer;
• evaluatie.

3.2 Analyse gebieden IT-projecten

De vragen op elke lijst zijn naar analyse gebieden gegroepeerd. Een analyse gebied omvat alle vragen die gericht zijn op een bepaalde invalshoek waarmee naar het project wordt gekeken. De volgende analyse gebieden worden onderkend:

• de conditionering:
  Zijn de doelstellingen van het te ontwikkelen informatiesysteem en het project duidelijk geformuleerd? Wat moet er gebeuren en wat niet? Zijn de afbakening van het project, de opdracht, de omvang en de doelgroep voldoende vastgelegd?
• het proces:
  In hoeverre is de gebruiker betrokken in het proces? Zijn er communicatieplannen? Is voldoende rekening gehouden met de conversie, de implementatie en het toekomstig beheer?
• het eindresultaat:
  Is het eindresultaat voldoende gedefinieerd? Zijn de gestelde eisen ten aanzien van de kwaliteit vastgelegd? Is voldoende rekening gehouden met het accepteren van dit resultaat?
• de besturing van het project:
  Hoe wordt het project bestuurd? Zijn er planningsmethoden van toepassing? Hoe wordt de voortgang bewaakt? Zijn er projectrapportages voorzien? Zijn de controle- en beoordelingsmogelijkheden bekend?
• de inrichting van het project:
  Hoe wordt het project georganiseerd? Zijn de taken en verantwoordelijkheden binnen de projectorganisatie gedefinieerd en op schrift gesteld? Zijn op alle niveaus zowel kwantitatief als kwalitatief de juiste medewerkers betrokken? Zijn er duidelijke afspraken over de toe te passen standaards en richtlijnen? Zijn er nieuwe tools of hardware?
• de projectomgeving:
  Is er een complexe externe regelgeving van toepassing? Wijzigt deze regelgeving gedurende het project? Heeft het systeem veel interfaces naar andere systemen of naar resultaten van andere projecten? Zijn er veel organisatieonderdelen betrokken bij het project? Is er tevens een grote reorganisatie gepland? Staat het topmanagement achter het project?

In het artikel ‘Vragenlijst kwantitatieve projectrisicoanalyse IT’ wordt een voorbeeld van een vragenlijst gegeven, die redelijk generiek bruikbaar is. Veelal is het de auditor als voorzitter, die op basis van zijn professionaliteit de belangrijkste items selecteert. In dat geval is uiteraard de kwantificering van het project in een risicowaarde niet meer dan een indicatie, op basis waarvan aanbevelingen geformuleerd worden. 

4. Uitvoeren project risico analyse

Het uitvoeren van de risicoanalyse vindt volgens onderstaande fasering plaats:

• voorbereiding;
• afbakenen van de project risicoanalyse opdracht;
• bepalen van de doelstelling van de project risicoanalyse opdracht;
• selecteren van deelnemers aan de opdracht;
• selecteren van de aandachtsgebieden;
• plenaire zitting;
• voorstellen van de deelnemers;
• introduceren van de te volgen methodiek;
• geven van een overzicht van het project;
• invullen van de vragenlijsten;
• rapportage en afronding.

4.1 Voorbereiding risico analyse

De volgende activiteiten worden uitgevoerd:

• afbakenen van de project risicoanalyse opdracht:
  Een zo goed mogelijke afbakening van de project risicoanalyse opdracht is de eerste en belangrijkste activiteit bij de inhoudelijke voorbereiding. Met de opdrachtgever van de risicoanalyse moet duidelijk worden afgesproken of het hele project dan wel een bepaald deelproject onderwerp van de risicoanalyse is.
• bepalen van de doelstelling van de project risicoanalyse opdracht:
  Initieel wordt de doelstelling van de uit te voeren risicoanalyse bepaald. Vastgesteld moet worden of alleen algemene risico’s dan wel specifieke risico’s moeten worden geanalyseerd. Criteria voor het vaststellen van te analyseren risico’s zijn de randvoorwaarden en doelstellingen van het project.
• selecteren van deelnemers aan de opdracht:
  De selectie van de deelnemers aan de risicoanalyse hangt af van de fase waarin het project zicht bevindt. Het is belangrijk dat naast vertegenwoordigers uit het project tevens vertegenwoordigers van de gebruikersafdelingen aanwezig zijn.

Onderstaand is een overzicht van kandidaat deelnemers opgenomen:

• projectmanagementteam;
• opdrachtgever;
• stuurgroep (vertegenwoordiging);
• projectteam (vertegenwoordiging);
• gebruikers (vertegenwoordiging);
• beheerders (vertegenwoordiging);
• overige belanghebbenden.

4.2 Selecteren van de aandachtsgebieden

In overleg met de opdrachtgever wordt vastgesteld welke aandachtsgebieden voor de analyse van toepassing zijn. Standaard passeren alle aandachtsgebieden de revue. Van belang is na te gaan of in het kader van de opdracht alle aandachtsgebieden noodzakelijk zijn. Het stellen van vragen die niet van toepassing zijn tijdens de plenaire zitting roept onnodige irritatie bij de deelnemers op.

4.3 Plenaire zitting om projectrisico’s te bepalen

De plenaire zitting vormt de belangrijkste fase van de risico analyse. Geadviseerd wordt om de doorlooptijd van de plenaire zitting maximaal 4 uur te laten bedragen. De sessie moet bovendien in een aangesloten zitting plaatsvinden.
De gespreksleider vervult een belangrijke rol in deze zitting. Hij begeleidt het proces en neemt in geval van onenigheid tussen de deelnemers de beslissingen.
Tijdens de plenaire zitting worden de volgende activiteiten uitgevoerd:

• voorstellen van de deelnemers:
  Aan het begin van de zitting stelt iedere deelnemer zich kort voor. Het is van belang te weten welke rol iemand in het project en bij de risicoanalyse vervult.
• introduceren van de te volgen methodiek:
  De voorzitter geeft een korte uiteenzetting van de methodiek van de project risico analyse. Hierbij wordt tevens behandeld welke voorselecties hebben plaats gevonden op basis van de opdracht, de projectafbakening, de geselecteerde aandachtsgebieden. Het moet voor iedere deelnemer duidelijk zijn wat de doelstelling van de plenaire zitting is.
• geven van een overzicht van het project:
  De projectmanager geeft een overzicht van het project tot nu toe. Hierbij komen de volgende vragen aan bod:
  • Voor welke organisatie wordt het project uitgevoerd?
  • Wat is het doel van het project?
  • Wat is de relatie naar andere deelprojecten?
  • Wat is er tot nu toe gebeurd?
  • Wat is op korte termijn gepland?
  • Wat is de status van het project?
  • Welke problemen of knelpunten zijn er?
• invullen van de vragenlijsten:
  Het invullen van de vragenlijsten houdt in het beantwoorden van alle vragen van de geselecteerde vragenlijst. Voor een volledige lijst is 2 tot 4 uur nodig. Bij onenigheid tussen de deelnemers beslist de voorzitter over de beantwoording van de vraag. Een te snelle beantwoording van de vragen is niet gewenst. Het gezamenlijk beantwoorden van de vragen is een wezenlijk onderdeel van de analyse. Het is een noodzakelijke voorwaarde voor het bereiken van een gemeenschappelijk commitment.

4.4 Rapportage en afronding risico analyse

Tijdens de rapportage en afronding worden de volgende activiteiten uitgevoerd:

• berekenen van de score:
  Het berekenen van de score wordt in het volgende hoofdstuk beschreven.
• maken van een verslag van de plenaire zitting:
  De voorzitter van de plenaire zitting zorgt voor een verslag van het proces. Specifieke aandacht wordt besteed de volgende aspecten:
  • de vragen waarover bij de beantwoording geen overeenstemming tussen de deelnemers kon worden bereikt;
  • de acties die de deelnemers hebben afgesproken om een vraag beter te kunnen waarderen;
  • het algemene procesverloop;
  • het waarderen van de risico’s.

Aan de hand van de ingevulde scores op de vragenlijsten worden de risico’s geïdentificeerd. Vragen die hoger scoren dan 12 behoeven extra aandacht. In dergelijke gevallen is bijna altijd sprake van een risico voor het project. Voor het bepalen van risico’s worden eveneens scores van de vragenlijst per groep of per subgroep geanalyseerd. Als de (sub)groep van vragen hoger scoort dan de aangegeven norm, dan is sprake van een verhoogd risico voor het project.
Het is de taak van de projectleiding ervoor de te zorgen dat de geïdentificeerde risico’s en de daaruit voortvloeiende maatregelen op hoog niveau in de project controle worden bewaakt.

4.5 Rapportage en conclusies

Het eindrapport van een risicoanalyse bevat:

• een korte schets van de opdracht en de motivatie voor de risico analyse;
• een schets van het project;
• de geplande looptijd;
• de informatieve kengetallen uit het project;
• een grafisch overzicht van de scores per groep;
• een beschrijving van elke vraag met een verhoogd risico voor het project;
• een verslag van de plenaire zitting;
• aanbevelingen. 

 5. De score van de ICT-project risico analyse

Zoals eerder gezegd is dit meestal meer dan een rekensommetje, omdat deelnemers aan zo’n risicoanalyse sterk geneigd zijn om hun eigen risico’s te laag in te schatten en de risico’s. waar anderen verantwoordelijk voor zijn te overschatten. Een puur kwalitatief gebruik van de vragenlijst is dan ook een serieuze optie. Onderstaand echter toch ook het kwantitatieve model.
Aan elke vraag is een wegingsfactor toegekend, die van invloed is op de mate waarin het onderwerp van de vraag een risico vormt voor een project. Tevens is op de lijst bij elke vraag een limitatieve opsomming van antwoorden toegevoegd, waaruit een keuze moet worden gemaakt. Aan elk antwoord is een risico factor toegekend. Door de wegingsfactor van elke vraag te vermenigvuldigen met de risico factor van het gekozen antwoord op de vraag, wordt de risico waarde berekend. De risico factoren en wegingsfactoren zijn zodanig vastgesteld, dat een hoog risico overeenkomt met een hoge waarde en een laag risico met de waarde 0.

5.1 Berekenen van de risicowaarde van het IT-project

De score van een groep, analysegebied of aandachtsgebied kan als volgt worden berekend:

• totaliseer de berekende risico waarden van alle vragen uit een groep, analysegebied of aandachtsgebied;
• druk het berekende totaal uit als percentage van de maximum score uit de groep, het analysegebied of het aandachtsgebied.

Het is van belang alle vragen uit een groep, analysegebied of aandachtsgebied te beantwoorden. Het overslaan van een vraag heeft hetzelfde effect als het toekennen van de risico waarde 0 aan de vraag.

5.2 Vergelijken met de normen

Vragen die hoger scoren dan 12 duiden in vrijwel alle gevallen op een verhoogd risico. De score van een groep, analysegebied of aandachtsgebied wordt vergeleken met de volgende normen:

• Als de score ligt tussen 0% en 40%, dan is er sprake van laag risico.
• Als de score ligt tussen 40% en 60%, dan is er sprake van een verhoogd risico.
• Als de score ligt tussen 60% en 100%, dan is er sprake van een hoog risico.

Voor het totale project gelden andere normen:

• Als de score van het totale project ligt tussen 0% en 25%, dan is er sprake van laag risico.
• Als de score van het totale project ligt tussen 25% en 50%, dan is er sprake van een verhoogd risico.
• Als de score van het totale project ligt tussen 50% en 100%, dan is er sprake van een hoog risico.

Als vuistregel geldt, dat voor een project met een laag risico standaard 10% extra budget en doorlooptijd wordt gecalculeerd.
Voor projecten met een verhoogd risico wordt het risicopercentage een-op-een doorvertaald in een opslagpercentage voor zowel budget als doorlooptijd.
Projecten met een hoog risico zullen waarschijnlijk mislukken en in deze gevallen zal eerst het risicopercentage teruggebracht moeten worden naar een acceptabele waarde.
Zoals echter eerder al is betoogd zal de kwaliteit van de risicoanalyse sterk afhangen van de kwaliteit van de voorzitter van de plenaire sessie. Per definitie geldt, dat het gebruik van een ICT-kwaliteitshandboek het projectrisico sterk kan verminderen.
Het voorbeeld bestaande uit 3 delen is tenslotte ontwikkeld vanuit een generieke project risicoanalyse. (Zie ook ‘Voorbeeld opzet handboek voor ICT-kwaliteit (deel 1)‘.)

Download:         

Gerelateerde artikelen:

1. Vragenlijst kwantitatieve projectrisicoanalyse IT
2. Risicoanalyse informatiebeveiliging
3. Sprint: aanpak bedrijfsmatige risicoanalyse

1. De scope van uw Business Continuity Plan
2. Geen preventie maar repressie
3. De afbakening van het calamiteitenplan of BCP
4. Stappenplan voor het opstellen van een BCP
5. Resultaten van een Business Continuity Plan
6. Risicoacceptatie door de directie 

1. De scope van uw Business Continuity Plan

Het grootste probleem bij het opstellen van een Business Continuity Plan of calamiteitenplan is voor veel bedrijven: ‘How to get started?’. In feite kan bij een procesmatige benadering de totale bedrijfsvoering worden meegenomen in het plan en als men uitgaat van de mogelijke dreigingen, dan kan men ook weer het hele bedrijf tegenkomen. Maar dat moet worden voorkomen. Als het afdekken van een risico al is belegd in de organisatie, moet dat niet meer worden meegenomen in het Business Continuity Plan. (Zie ook: ‘Business Continuity of plan bedrijfscontinuïteit: Doe effe normaal’.) Zo vormen bijvoorbeeld de debiteuren het belangrijkste risico voor een faillissement van een bedrijf. Doorgaans echter is het debiteurenrisico al belegd. U zult daarom dus eerst keuzes moeten maken over wat wel en wat niet door uw Business Continuity Plan afgedekt moet worden. 

Laten we als eerste stap het begrip calamiteit of crisis maar eens definiëren. 

1.1 Definitie van een calamiteit of crisis

Wij hanteren de volgende definitie van een calamiteit of een crisis: 

Een calamiteit of crisis is een gebeurtenis die de bedrijfsvoering zodanig in gevaar kan brengen, dat daadoor de bedrijfscontinuïteit in gevaar komt. 

Het gaat bij business continuity dus niet om de calamiteit zelf, maar om het effect dat een calamiteit heeft op de bedrijfsvoering, met meestal als belangrijkste issues, dat een bedrijf zijn leveringsverplichtingen niet kan nakomen komen of een zodanige imagoschade oploopt, dat dit tot verlies van klanten en/of inkomsten leidt.
De directe schade van calamiteiten als bijvoorbeeld brand is vaak wel verzekerd, maar de indirecte schade als het niet meer kunnen leveren conform afspraak, waardoor inkomsten misgelopen worden, is meestal onverzekerbaar. Daarom kijken we naar de risico’s van de effecten van een calamiteit.
In het artikel ‘Inventarisatie diensten, dreigingen en processen in uw Business Continuity Plan BCP’ werken we uit hoe u de dreigingen voortvloeiend uit calamiteiten in kaart kunt brengen, zonder dat u daarbij genoodzaakt bent alle calamiteiten en de kans dat zij zullen optreden te analyseren.  

2. Geen preventie maar repressie

Het Business Continuity Plan richt zich, in tegenstelling tot informatiebeveiliging, niet op preventieve maar op repressieve maatregelen, en wel om twee redenen: 

• De kans dat een calamiteit niet optreedt is veel groter dan de kans dat die calamiteit wel optreedt. De investeringen in preventieve maatregelen zijn dan ook vrijwel altijd weggegooid geld.
• Een gebeurtenis die leidt tot een calamiteit kan zich op een bijna oneindig aantal manieren voordoen. Zo’n gebeurtenis voorkomen via preventieve maatregelen is dan ook nagenoeg onbegonnen werk. De effecten van zo’n gebeurtenis zijn daarentegen veel beter voorspelbaar. Een goede set aan repressieve maatregelen kan voorkomen, dat een ramp uitgroeit tot een bedreiging voor de bedrijfscontinuïteit.

Natuurlijk is het ‘einde oefening’ als er tijdens kantooruren een vliegtuig landt op uw bedrijfsgebouw. Helaas kunt u zoiets niet voorkomen. U moet zich daarover dan ook niet druk maken. De keerzijde van de medaille is, dat een Business Continuity Plan veel eenvoudiger is dan het op het eerste gezicht lijkt. In het artikel ‘Business continuity in de industrie, groothandel en distributie’ worden hiervan een aantal voorbeelden gegeven.  

3. De afbakening van het calamiteitenplan of BCP

Voor de afbakening van een calamiteitenplan geldt over het algemeen de volgende vuistregel: 

Tot het BCP behoren alleen die zaken die gericht zijn op het adequaat kunnen reageren op een calamiteit. 

De dreiging van een hoge boete voor het niet tijdig rapporteren aan de belastingdienst of aan toezichthouders lost u niet op via een scenario voor wat u in een voorkomend geval moet doen. U zorgt voor preventieve maatregelen in de lijnorganisatie, waarmee te late rapportage wordt voorkomen. Hetzelfde geldt voor een service desk van een ICT-afdeling. Het oplossen van een incident, eventueel na escalatie naar de tweede- of derdelijns support behoort tot de reguliere bedrijfsprocessen van de IT-afdeling. Pas als een tijdige oplossing van het incident niet mogelijk is, kan besloten worden dat er sprake is van een calamiteit. Op dat moment is de oplossing van het incident niet meer het issue, maar het herstel van de dienstverlening aan de klant volgens een noodscenario met uitwijk voor de functies die vanwege het incident zijn geblokkeerd,  waardoor dus de afgesproken dienstverlening onmogelijk is geworden. 

Figuur1: Onderscheid 'oorlogstijd' - 'vredestijd'

We maken daarom onderscheid tussen ‘oorlogstijd’ en ‘vredestijd, zoals in bovenstaand plaatje is weergegeven. Het rechter deel van het plaatje behoort inclusief escalaties tot het gewone bedrijfsproces en is van toepassing in ‘vredestijd’. Alleen het linker deel hoort thuis in het Business Continuity Plan en is van toepassing in ‘oorlogstijd’.
Op dit punt zijn regeringen van ons land geregeld de mist in gegaan. Vaak is  beleid in hoge mate gericht op preventie en ontbreekt het onderscheid tussen oorlogstijd en vredestijd. Het gevolg is dan, dat verantwoordelijkheden en bevoegdheden van allerlei instanties door elkaar lopen, daar deze in oorlogstijd anders geregeld zijn dan in vredestijd.  

4. Stappenplan voor het opstellen van een BCP

Grofweg kan het opstellen van een BCP uitgevoerd worden volgens de volgende fasen en stappen: 

Fase 1 

1. intake met een vertegenwoordiging van de directie of de stuurgroep om het ambitie niveau, de belangrijkste dreigingen, de risicoacceptatie en de voorkeuren voor oplossingsrichtingen vast te stellen;
2. het in kaart brengen van de hoofdlijnen voor wat betreft kritische diensten en processen, dreigingen (single points of failure) en uitwijkmogelijkheden;
3. presentatie van de plannen en de globale risicoanalyse in een kick-off meeting, waarbij een definitieve afbakening wordt vastgesteld.

Een toelichting op de uitvoering van deze fase 1 wordt gegeven in het artikel  ’Inventarisatie diensten, dreigingen en processen in uw Business Continuity Plan BCP’. 

Fase 2 

1. inventarisatie van kwetsbaarheden op afdelingsniveau, deels via interviews en deels via vragenlijsten;
2. analyse van relevante processen en procedures en het vaststellen en accorderen van maatregelen;
3. evalueren uitwijkplan ICT en het zo nodig aanvullen hiervan;
4. invullen draaiboek met bijlagen en opstellen implementatieplan en de inbedding van het proces in de organisatie;
5. presentatie concept BCP aan de directie of de stuurgroep.

Een toelichting op de uitvoering van deze fase 2 wordt gegeven in het artikel ‘Voorbeeld plan van aanpak fase 2 van uw Business Continuity Plan BCP of calamiteitenplan’.  

5. Resultaten van een Business Continuity Plan

Het Business Continuity Plan moet de volgende resultaten opleveren: 

Figuur2: Resultaten Business Continuity Plan

Dat wil dus zeggen:

• een draaiboek dat geldt in ‘oorlogstijd’ met diverse scenario’s;
• een implementatieplan waarin beschreven staat welke eenmalige en structurele acties er in ‘vredestijd’ nodig zijn om er voor te zorgen, dat het draaiboek in oorlogstijd werkt.
• een uitwijkplan voor de ICT-voorzieningen, ook wel calamiteitenplan of contingency plan genoemd.
  Vaak wordt dit plan apart opgesteld, omdat veel calamiteiten zich veelal uitsluitend beperken tot de dienstverlening van de ICT-afdeling. 

6. Risicoacceptatie door de directie

Nadat in fase 1 de risicogebieden en de diensten en processen in kaart gebracht zijn, wordt dit geheel gepresenteerd aan de directie. (Zie ook ‘Inventarisatie diensten, dreigingen en processen in uw Business Continuity Plan BCP’.)
Met betrekking tot de dreigingen wordt op twee punten de directie om goedkeuring dan wel aanpassing gevraagd: 

• de inschatting van de ernst;
• de beoordeling of er actie nodig is.

Als de directie de ernst van een dreiging laag inschat en zij bij ontbreken van een uitwijk oordeelt dat geen actie nodig is, dan betekent dit, dat zij dit risico accepteert.
Als het gaat om de diensten en de processen wordt vooral gekeken of het risicomanagement hiervan eventueel al in de organisatie is belegd of dat het een onderdeel van het Business Continuity Plan gaat vormen. Op deze manier kan worden voorkomen, dat straks in het kader van dit project alles binnen de organisatie onder de loep genomen wordt. Vervolgens kan dan gericht het onderzoek in de organisatie voortgezet worden. Een plan voor de uitvoering van deze fase 2 wordt gegeven in ‘Voorbeeld plan van aanpak fase 2 van uw Business Continuity Plan BCP of calamiteitenplan’.
De grootste valkuil is dus, dat u niet eerst de scope van het BCP bepaalt of dat u zich gaat richten op het voorkomen van een calamiteit. Dat kan ertoe leiden dat uw project een veelkoppig monster wordt, waarvoor hoge budgetten gealloceerd moeten worden, die waarschijnlijk weggegooid geld zijn. Natuurlijk heeft u wel een BCP nodig, bestaande uit een draaiboek en uit een implementatieplan dat er voor zorgt dat de draaiboeken up-to-date blijven. Desgewenst leggen we u in de Cursus Business Continuity Management uit, hoe u dit slim kunt aanpakken. 

Herziene versie: 29 april 2010

Download:         

Gerelateerde artikelen:

1. Voorbeeld plan van aanpak fase 2 van uw Business Continuity Plan BCP of calamiteitenplan
2. Business Continuity Plan: uw dekking voor onverzekerde schade
3. Integratie BHV-plan met Business Continuity Plan

1. Calamiteiten en reputatieschade
2. Het managen van je bedrijfsreputatie is complex
3. Handvatten om escalatie te voorkomen
4. Hoe gaat u om met mogelijke reputatieschade? 

1. Calamiteiten en reputatieschade

Als je als bedrijf met een calamiteit te maken krijgt, is dat altijd erg. Maar waar het eerder  met name ging om calamiteiten als brand en dergelijke, met vaak veel directe en weinig indirecte schade, lopen we tegenwoordig vooral het risico op calamiteiten waarbij aansprakelijkheid in het geding is, waardoor vooral de indirecte schade zeer hoog is. (Zie ook ‘Business Continuity Plan: uw dekking voor onverzekerde schade’.)
Vaak gaat het dan om de levering van producten of diensten die een gevaar opleveren voor de afnemers. De sigarettenindustrie kan hierover meepraten na diverse veroordelingen in de Verenigde Staten. Of je aansprakelijk bent, doet er niet toe. Als een rechtbank een claim toewijst van iemand die haar kat in de magnetron stopte om te drogen, met als redenering dat in de gebruikshandleiding niet werd vermeld dat dit risico’s met zich meebrengt, dan is duidelijk, dat je heel voorzichtig om moet gaan met deze materie. (Zie ook ‘Business continuity steeds meer aandachtspunt voor controllers’.)

1.1 Giftig speelgoed van Mattel

Mattel, ’s werelds grootste speelgoedmaker, haalde in een paar maanden wereldwijd elf producten terug, in de meeste gevallen omdat het in China geproduceerde plastic speelgoed te veel loodhoudende deeltjes bevatte. Daarvan waren er in Nederland acht op de markt: zeven speelsets van Barbie en één Geotrax-product van Mattel-dochter Fisher-Price.
De werkelijke calamiteit was natuurlijk een productiefout. De verantwoordelijkheid hiervoor lag in China bij een bedrijf waarvan de naam niet eens bekend is. Het risico op claims vanwege schade aan de gezondheid was juridisch wel afgedekt, want zelfs speelgoed heeft tegenwoordig een bijsluiter waarin staat dat je het speelgoed niet in je mond moet steken. Dit was dan ook niet het belangrijkste. Veel belangrijker was de reputatieschade die de merknamen Mattel, Barbie en Fisher-Price mogelijk zouden oplopen. Dat zou een boycot van deze producten tot gevolg kunnen hebben, waardoor de bedrijfscontinuïteit acuut in gevaar zou komen.

1.2 Het communicatieplan in werking

Daarom trad prompt het communicatieplan in werking. Het risico werd gecommuniceerd en het speelgoed werd onmiddellijk teruggehaald. De schuldvraag werd anoniem in China geparkeerd, slim gebruik makend van de reputatie die productie in China wereldwijd heeft. Voorts werd gemeld, dat het probleem onder controle was, om te voorkomen, dat de publieke opinie zich zou richten op het feit dat Mattel zijn productie uitbesteedt naar China.
Om de aandacht af te leiden werd gelijk het tweede onderdeel van het communicatieplan gelanceerd en werden speelgoedketens van retailers met hun probleem naar voren geschoven; de meeste verslaggeving in de kranten ging over de volgende problematiek:

‘Speelgoedwinkels zijn momenteel bezig met het opbouwen van hun voorraad voor de sinterklaas- en kerstperiode. De retailers lopen door de terugroepacties van Mattel geen achterstanden op, verzekert verkoopdirecteur Matthijs de Rooij van Mattel Nederland. ‘Wij hebben een grote productiecapaciteit. Ook beschikken wij over voldoende voorraden met soortgelijke producten als die we nu terugroepen. Winkelketens hoeven dus niet te vrezen voor lege schappen’, aldus De Rooij. Directeur Ruud Cornelissen van Intertoys bevestigde dat er bij zijn speelgoedketen nog geen gevaar dreigt voor onvoldoende voorraad voor Sinterklaas en Kerst.

Kortom, een slim uitgevoerd communicatieplan, waarmee reputatieschade voorkomen is. Dat dit niet ter plekke is verzonnen, hoeft geen betoog. (Zie ook ‘Imagoschade bij calamiteiten veroorzaak je meestal zelf’.) 

2. Het managen van je bedrijfsreputatie is complex

Sturing geven aan de bedrijfsreputatie is door toegenomen complexiteit bijna onmogelijk geworden. Was het tien jaar geleden nog goed te doen, tegenwoordig is alle informatie voor iedereen bijna direct beschikbaar. Incidenten worden niet meer alleen binnen hun eigen context behandeld. En door alle boekhoudschandalen in de afgelopen jaren is de publieke opinie over het bedrijfsleven cynischer geworden.
Ook de Rabobank heeft dit gemerkt, toen Rabo-renner en gele truidrager Rasmussen uit de Tour de France werd teruggetrokken wegens een vermoeden van dopinggebruik. Het draaiboek voor een dergelijk incident lag duidelijk niet klaar en het duurde dan ook weken voordat deze calamiteit eindelijk uit de pers was verdwenen. (Zie ook ‘Communiceren in crisissituaties; niet vanuit de heup schieten’.)
Wat reputatiebeheer verder compliceert, zo schrijft Value Positioning counsel in de publicatie Reputation at Risk, is de toegenomen sensatiezucht. Media richten zich, in de strijd om de aandacht, meer op incidenten. Brokken nieuws worden razendsnel opgepikt door andere media. Bovendien kan het publiek de huidige complexiteit nauwelijks nog bevatten en is het ook voor de media moeilijker geworden om de zaak echt te doorgronden.
‘Dat noemen we “soapatisering” van de samenleving en de media’, zegt partner Maarten den Ottolander. Regelgeving zoals IFRS en impairment vragen om meer (financieel-technische) kennis. In een aantal gevallen gaat de kwaliteit van de berichtgeving achteruit. Dat blijkt uit gesprekken die Value Positioning counsel voerde met twintig commissarissen, voorzitters van raden van bestuur en de top van investor relations en corporate communicatie van grote ondernemingen. 

3. Handvatten om escalatie te voorkomen

Value Positioning counsel wilde weten welke strategieën en succesfactoren bijdragen aan de-escalatie van crises. Onderstaand een aantal handvatten om escalatie te voorkomen:

3.1 Niet onvoorbereid communiceren

Zonder voorbereiding sta je al meteen op de eerste tree van de escalatieladder. Breng de risicoterreinen in kaart, weet waar het gevaar kan opduiken. Onnodig risico wordt gelopen door zonder ervaring de media te woord te staan. Overschatting van de eigen mediakwaliteiten is funest. De neiging om journalisten even te negeren kan ertoe leiden dat het niet meer goed komt met de berichtgeving. Het helpt daarbij om al contacten te hebben met media en financiële stakeholders. Dan valt een incident in een betekenisvolle context. Een ander gevaar is dat bestuurders vaak maar aannemen dat databases, een crisisteam en de rolverdeling op orde zijn.

3.2 Hoedt u voor juristen

Een mooie paradox: bedoeld om risico’s te verkleinen, werkt de juridische benadering vaak escalerend. Juristen zijn de eersten die adviseren wat er wordt gecommuniceerd. In veel geval komt er dan niets meer naar buiten, waardoor het verhaal door anderen wordt gemaakt. Mispercepties ontstaan, waarna beeldvorming lastiger te sturen blijkt. Mensen onthouden alleen datgene wat past in het beeld dat ze al hebben van organisaties en van vergelijkbare crisissituaties, of juist te veel details waardoor niet overkomt waar het in essentie om gaat. Daarmee worden, bijvoorbeeld aan de media, veel irrelevante aanknopingspunten geboden om op door te gaan. Koppel dus vanaf het eerste moment juristen aan reputatieprofessionals.
Bas Le Poole, advocaat bij Houthoff Buruma, onderschrijft deze wet uit eigen ervaring: ‘De juridisering van publiciteitsgevoelige incidenten neemt toe; ik zit regelmatig samen met communicatiemensen aan tafel om een brandje te blussen. Wat je bij crisissituaties nodig hebt, zijn communicatiemensen en juristen die in ieder geval gevoel hebben voor elkaars professie.’

3.3 Crisis is oorlog, dus manage een crisis als oorlog

Als (persoonlijke) reputaties op het spel staan en de waardering van de onderneming onder druk komt, kunnen tegenstrijdige belangen in de top ontstaan. Achterdochtige media zullen inspelen op elk verschil van inzicht. De regie in de top blijkt essentieel voor de-escalatie. De ceo en cfo brengen het verhaal naar buiten. De voorzitter van de raad van commissarissen treedt pas naar voren als de geloofwaardigheid van de raad van bestuur onherstelbaar beschadigd is.
Rob Sandelowsky, oud-directeur van de Financiële Termijnmarkten heeft zoiets aan de hand gehad. Wie hem het contract heeft ontfutseld weet hij tot op de dag van vandaag niet, maar feit is dat het nieuws de volgende dag in het Algemeen Dagblad stond. ‘Met een geur eromheen die wij niet wensten. Gelukkig wisten al de commissarissen dat het stuk bestond, zodat niemand kon zeggen “wat heb je nu gedaan?”. Niemand stond voor verrassingen en we hebben heel snel de hele zaak naar buiten gebracht en twee dagen later had niemand het er meer over. We hadden duidelijk uitgemaakt wie wat moest doen. Hieruit is mij duidelijk geworden hoe belangrijk adequate regievoering is.’
Peter Smit, director crisiscommunicatie bij Burson-Marsteller: ‘Heel verfrissend, dat op elke pagina erin gehamerd wordt, dat je een crisis naar bestuursniveau moet tillen. Als daar onderschatting optreedt, ga je glijden. De top van ABN Amro heeft dit laten glippen tijdens de overnameonderhandelingen. Op het hoogste niveau waren ze druk bezig om de deal vooral rond te krijgen. Daarbij is, overigens heel natuurlijk, een beetje vergeten wat de buitenwereld daarvan vindt. Zo kon de indruk ontstaan dat er maar een beetje werd geprutst. Dat heeft invloed op de waarde van het aandeel en uiteindelijk op de overnamesom.’

3.4 Niet bagatelliseren, maar een ‘in control’ statement afgeven

Als een bedrijf al in een vroeg stadium een grens weet te stellen aan de crisis of een bandbreedte aangeeft (het zal hoogstens tientallen ontslagen kosten), dan gaat daar een groot de-escalerend effect vanuit, zo zeggen alle ondervraagde bestuurders. Dat heeft wel altijd een risico. Het gevoel van controle slaat om in het tegendeel, als de defensieve grens niet houdbaar blijkt. Voor een heel scherpe uitspraak is veel vertrouwen noodzakelijk in de waarheid van de eigen informatie.

3.5 Geen lijken meer uit de kast

Grondige waarheidsvinding is dé peiler van reputatiebeheersing. Bij twijfel niet inhalen. Bedrijfsculturen die gebaseerd zijn op angst en hiërarchie hebben vaker moeite de juiste informatie boven water te krijgen en zijn kwetsbaar voor verrassing achteraf. Escalatie volgt als eerder gedane mededelingen moeten worden ingetrokken. Dan ontwikkelt zich in de buitenwereld een houding van het negeren van de feiten onder de generaliserende paraplu van ‘daar heb je hen weer’. Als die reputatie eenmaal is ontstaan, dan poets je die niet zomaar weg.

3.6 Manage ook de emotie in vredestijd

Een tot de verbeelding sprekend ondernemingsverhaal dat al staat én bekend is, beschermt tegen escalatie. Als dat verhaal niet al bekend is, blijkt het heel lastig om de issues nog in een bredere context te plaatsen. Dan is het verstandiger om je te beperken tot kale feiten en cijfers.
Een aantal jaren geleden deden zich kort na elkaar twee calamiteiten voor. Zowel bij Ikea als bij Van der Valk stortte een dak in. Met betrekking tot Ikea reageerde men over het algemeen: We moeten ze helpen. Bij Van der Valk gingen men er direct van uit dat het bedrijf wel niet genoeg zou hebben betaald bij de bouw. Dit is wel een heel duidelijk voorbeeld, hoe belangrijk het is sturing te geven aan de bedrijfsreputatie. 

4. Hoe gaat u om met mogelijke reputatieschade?

Te allen tijde moet worden voorkomen, dat een incident uitgroeit tot een calamiteit die reputatieschade tot gevolg heeft.
Bij het incident dat bekend werd dat Nederland zich niet kon beschermen tegen allerlei rampen, had minister-president Balkenende puur mazzel. De discussie spitste zich vooral toe op de rampen zelf en niet op het werkelijke probleem: het ontbreken van regie ‘in oorlogstijd’.  De minister-president had geluk dat de dagbladen de verslaggeving hierover niet overnamen van het NOS-journaal. Maar duidelijk was, dat hier een communicatieplan ontbrak.
Heel belangrijk is het, dit soort incidenten te voorzien en dan te weten hoe te handelen: niet direct alarmfase 1, maar wel de regie bij het crisisteam. Dat crisisteam bepaalt wanneer een incident een calamiteit wordt en welk draaiboek er dan uit de kast gehaald wordt. (Zie ook ‘Imagoschade uw grootste risico voor business continuity? – deel 1′.) Pas als u zo’n draaiboek in uw kast hebt liggen, dan hoeft u niet te vrezen voor een calamiteit met zoveel reputatieschade, dat uw business continuity gevaar loopt.

Herziene versie: 4 juni 2010

Delen van dit artikel zijn overgenomen uit: Richard Smit, ‘Maak van een crisis geen drama’. In Het Financieele Dagblad. 17 augustus 2007. Overige bronnen: Het Financieele Dagblad van 5-9-2007 en 6-9-2007

Download:         

Gerelateerde artikelen:

1. Communiceren in crisissituaties; niet vanuit de heup schieten
2. Imagoschade bij calamiteiten veroorzaak je meestal zelf
3. Vijf strategieën voor effectieve crisiscommunicatie