Informatiebeveiliging: bewust onbekwaam

helpIn Den Haag rommelt het al een tijdje over de uitbreiding van de meldplicht voor datalekken. Bij het initiële wetsvoorstel (juni 2013) was het uitgangspunt dat een datalek aan het College Bescherming Persoonsgegevens (CBP) moet worden gemeld wanneer redelijkerwijs kan worden aangenomen dat het lek tot een aanmerkelijke kans op nadelige gevolgen leidt. Staatssecretaris Fred Teeven heeft het wetsvoorstel Meldplicht Datalekken inmiddels afgezwakt: het aangepaste wetsvoorstel zegt nu dat alleen datalekken met ernstige nadelige gevolgen moeten worden gemeld. Dit betekent dat een partij die een datalek heeft geconstateerd, zelf moet bepalen of redelijkerwijs kan worden aangenomen dat het lek leidt tot aanmerkelijke kansen op nadelige gevolgen. Teeven vreesde dat bedrijven en instellingen alle datalekken zouden melden – om risico’s op boetes te vermijden.

Datalekken nemen in omvang toe, zo blijkt uit onderzoek. Ten opzichte van 2012 is de gemiddelde schadepost van een datalek in 2013 met 15 procent gestegen tot 2,5 miljoen euro, zo valt op te maken uit het jaarlijkse Cost of Data Breach-onderzoek van IBM.
In het eerste kwartaal van 2014 was een stijging van 233 procent te zien in het aantal gestolen bestanden, aldus de SafeNet Breach Level Index (BLI). Er werden bijna 200 miljoen bestanden gestolen. Zuid-Korea voert de lijst aan: het land is goed voor bijna tachtig procent van de hacks. De financiële sector wordt het zwaarst getroffen met 56 procent van alle verloren databestanden. Ook de gezondheidszorg is kwetsbaar met 24 procent van alle lekken.

Veel datalekken zijn het gevolg van relatief kleine menselijke fouten, aldus het Data Breach investigations Report (DBiR) 2014 van Verizon waarin 63.437 beveiligingsincidenten werden onderzocht. Meestal gaat het om e-mails en documenten die naar de verkeerde persoon, afdeling of organisatie worden gemaild of gestuurd. In 1.367 gevallen veroorzaakten de incidenten ook een bevestigd datalek. Ruim 16.000 incidenten, waarvan er 412 voor een bevestigd datalek zorgden, waren aan menselijke fouten toe te schrijven, zoals e-mailblunders, programmeerfouten en het weggooien van informatie zonder die eerst te wissen of te shredden. Eindgebruikers en IT-professionals gaan beiden de fout in.

De Nederlandse Cyber Security Raad pleit voor meer aandacht voor informatiebeveiliging op strategisch niveau, maar voorlopig lijkt de boardroom daar nog niet klaar voor. Volgens onderzoek van Deloitte vindt slechts 8 procent van de CFO’s dat commissarissen een hoog kennisniveau van digitalisering hebben. 29 procent van de commissarissen beschouwt zichzelf in hoge mate als sparring partner voor de RvB. Toch staat minder dan een derde van de commissarissen (en 24 procent van de CFO’s) positief tegenover het benoemen van een Chief Technology Officer of een Chief Information Officer in de Raad van Bestuur. Een typisch gevalletje van bewust onbekwaam?

ICT~Office, de voorloper van branchevereniging Nederland ICT, heeft staatssecretaris Teeven in 2012 geadviseerd om met de meldplicht niet vooruit te lopen op Europese privacyregels. De toename van de regeldruk moet in verhouding staan tot het beoogde doel, zo was het argument. In 2013 uitte Nederland ICT opnieuw kritiek op het Nederlandse initiatief: er zou te veel regeldruk ontstaan omdat er inmiddels vier verschillende instanties bestaan waar IT-gerelateerde problemen en verstoringen moeten worden gemeld. Misschien is dat juist een goede tussenoplossing die stimuleert om aan verbeteringen te werken?
Anderen vinden dat een wettelijke meldplicht voor datalekken het doel voorbij schiet doordat bedrijven uit angst voor imagoschade de incidenten juist niet melden.

Het bedrijfsleven staat dus niet te popelen om dit probleem te tackelen. Kan een wettelijk afgedwongen meldplicht de meldcultuur aanzwengelen? Of ontstaat een gezonde meldcultuur juist op basis van zelfregulering? De westerse luchtvaartsector kent al een flinke tijd een veiligheidscultuur waarbij het melden van problemen een geaccepteerde gewoonte is en waar feedback wordt gebruikt om processen te verbeteren. Grote luchtvaartmaatschappijen en de International Air Transport Association (IATA) zetten daarbij de toon.

Om tot die verbeterde cultuur te komen waren wel enkele grote vliegtuigcrashes in de jaren zeventig nodig. Daaruit kwam naar voren dat intensieve vliegtraining menselijke fouten niet uitsluit. Met Crew Resource Management, ontwikkeld door NASA, werd ingezet op intelligente samenwerking in de cockpit. Die veiligheidscultuur heeft vliegen tot de meest veilige vervoersmethode gemaakt.

Na een vliegtuigcrash haal je als vliegmaatschappij direct voorpagina’s en primetime. De merkbare gevolgen van beveiligingsproblemen en datalekken bij bedrijven en instellingen zijn tot nu toe relatief gering. Alhoewel? In Nederland doet 65 procent van de middelgrote en grote bedrijven geen zaken met organisaties die te maken hebben gehad met een datalek. Biedt dat hoop? Nee, want tegelijkertijd beschouwt 36 procent van de bedrijven dataverlies als een bedrijfsrisico.

Er is nog een extra reden tot zorg. Meer dan de helft van de gemelde lekken in ons land kan niet worden onderzocht. Het College Bescherming Persoonsgegevens heeft te weinig mankracht. Maar ja, ICT en overheid, da’s geen gelukkige combinatie. Het wachten is dus op het moment dat het een keer goed mis gaat.

[wp_twitter]

 

IT-brandjes blussen #2

“Onderzoek toont aan: IT oorzaak van productiviteitsverlaging en dataverlies”. Was het niet zo dat IT juist moet bijdragen aan productiviteit? Nu blijkt uit onderzoek dat BYOD – waarvan ook een productiviteitstoename werd verwacht – eerder een obstakel is dan voor vooruitgang zorgt. Bij IT althans. Een productiviteitswinst is bij 80 procent van de bedrijven de aanjager voor BYOD-programma’s, zo laat ook een recent rapport van Forrester zien; 70 procent van de bedrijven uit het onderzoek zag de omzet stijgen. Of BYOD zelf bijdraagt aan productiviteitswinst in de business is de vraag en ook Forrester is er nog niet van overtuigd dat de relatie ook in omgekeerde richting werkt.

Wat was de belofte van Bring Your Own Device (BYOD) ook al weer? Slimmer werken, op meerdere devices, tijd- en plaatsonafhankelijk. IT-managers en CIO’s zien echter het omgekeerde gebeuren, zo lijkt op te maken uit het onderzoek van AppSense. IT-supportafdelingen krijgen het steeds drukker om meerdere devices, apps en toegang tot applicaties en data te ondersteunen. BYOD leidt tot meer gebruikersvragen dan er al waren en het vergroot de kans op beveiligingsincidenten en verstoringen, niet iets waar de business op zit te wachten.

Een tweede nadelig effect van IT-consumerization is dat de eindgebruiker verwacht dat het tempo en gemak waarmee hij devices en vooral apps – waarvan er steeds meer komen – kan downloaden ook gaat gelden voor bedrijfsapplicaties. Natuurlijk is het fijn als je belangrijke bedrijfsinformatie via je eigen Dropbox account op je nieuwe iPad kunt benaderen. Ondertussen wordt ook verwacht van IT dat business applicaties beschikbaar worden op de MacBook en dat mail probleemloos kan worden opgehaald via de Android smartphone. Wanneer mail links bevat naar beveiligde bestanden wordt het al ingewikkelder. IT moet dus het vernieuwingstempo verhogen. Het interne applicatielandschap beweegt echter vaak niet mee: 2/3 van de respondenten heeft nog fat clients met lokaal geïnstalleerde applicaties, wat weer onbegrip oproept bij gebruikers. Hoezo tijd- en plaatsonafhankelijk werken?

Daarnaast is IT volgens AppSense veel tijd kwijt met bepalen wat wel en niet mag (BYOD zou je ook kunnen vertalen met Bring Your Own Discussion of Bring Your Own Disaster); met het bieden van hulp; het oplossen van problemen en het in de gaten houden van beveiliging. Het vervagen van de grens tussen zakelijke en privé IT is een onomkeerbaar proces. Wat de netto impact op de business is, wordt daarmee steeds interessanter.

De standaard reactie op IT-consumerization is dat er moet worden ingezet op standaardisatie en automatisering van het beheer. Dat zou de druk bij IT kunnen verlagen, maar voorlopig komt IT daar niet aan toe. In deze race is het ook de vraag bij wie de ontwikkelingen harder gaan: bij de werknemer met zijn devices en apps of bij IT met reactief beleid en achterstanden.

Daarnaast is het de vraag in hoeverre standaardisatie kan worden doorgevoerd, want het kenmerk van IT-consumerization is dat de eindgebruiker zijn eigen IT-kostje bij elkaar scharrelt, zodat hij zelfredzaam als hij is, zijn productiviteit verhoogt. Heeft IT wel grip op de eindgebruiker?

Ook het verder doorvoeren van selfservice is maar ten dele toereikend. Vanuit bedrijfsbelang moet de IT-afdeling vast houden op devices, connectiviteit, toegang tot data en applicaties. Bovendien is er een enorme centralisatietendens in IT-land zichtbaar (met outsourcing als finale). Ligt de oplossing bij het opnieuw aanwijzen van super users, die lokaal de operatie ondersteunen? Hoe ga je dat doen voor meerdere (mobiele) besturingssystemen, honderden apps en duizenden applicaties? Of zou je, data je je eigen devices hebt gekozen, deze wellicht bij IT moeten laten inleveren zodat ze daar geschikt worden gemaakt voor gecombineerd (werk/privé) gebruik?

Een oplossing is het werken met verschillende profielen, waarbij context based access control in opkomst is. De locatie, het soort data, het device en de gebruiker bepalen dan je toegangsrechten mogelijkheden. Dit lijkt echter haaks te staan op de empowered user, die binnen de kortste keren zal constateren dat het niet handig is als hij alleen thuis bepaalde data kan raadplegen. Tenzij de eindgebruiker bereid is te leren hier goed mee om te gaan.

Mijn suggestie? Gooi allereerst eindgebruikerstrevredenheid overboord en richt je op business impact. Want wat is het verschil tussen een gebruiker die zijn werk goed kan doen en een tevreden gebruiker? Met een focus op business impact wordt het ook gemakkelijker om eindgebruikers langer en beter na te laten denken over nut en noodzaak van de extra IT-diensten die hij wil afnemen. En wat de gevolgen van die wens zijn voor de totale IT-kosten en -tijd. En dan zijn we weer terug bij mijn eerste conclusie: als je meer wilt kunnen doen met bedrijfsmiddelen (data, applicaties, devices) dan moet je daar ook verantwoordelijkheid voor willen dragen.

Bekijk het webinar over het onderzoek of lees het rapport.

 [wp_twitter]

Wacht niet op HR

Groei, ontwikkeling, innovatie: steeds weer hameren CxO’s op het belang van de juiste mensen met de juiste competenties en attitudes. Het vinden, naar binnen halen, behouden en ontwikkelen van de workforce is een taak die meestal wordt opgeëist door HR. Deloitte ondervroeg 2.500 executives uit 94 landen naar de belangrijkste obstakels en uitdagingen op HR-vlak. Conclusie: HR schiet op veel fronten tekort. Nederland is op punten zelfs een negatieve uitschieter.

Opnamedatum: 2012-07-04De Deloitte Human Capital Capability Gap Index 2014 laat zien welke urgentie de organisatie aan een bepaald vraagstuk of probleem toekent. Die urgentie wordt vergeleken met de mate waarin de organisatie het probleem of vraagstuk het hoofd kan bieden (readiness). Hoe lager de score, hoe kleiner de gap, hoe beter: Een bedrijf dat aan een bepaald onderwerp een hoge urgentie toekent en zichzelf ook volledig capabel acht om het vraagstuk te adresseren, scoort op de gap index een nul.

De respondenten (2.500 HR- en business leaders, waarvan 1 procent uit Nederland afkomstig) laten in hun antwoorden zien dat hun organisaties niet klaar zijn voor de toekomst. Deloitte wijt dat aan het ontbreken van vaardigheden en data bij HR om de omgeving van de organisatie, de lokale arbeidsmarkt, verschuivingen in technologie en de verandering van het werk te begrijpen. Zo komt uit de resultaten naar voren dat ruim 62 procent van de organisaties sociale media inzet voor recruitment, bij de helft van de organisaties worden de resultaten slecht bijgehouden en gemeten. HR is nog niet zo overtuigd van dataficatie. Een ander voorbeeld: de respondenten erkennen het belang van het ontwikkelen en inzetten van nieuwe leermethodieken zoals online en mobiele leerplatformen. Slechts 6 procent geeft aan deze technologie onder de knie te hebben en de juiste content aan te bieden, zodat medewerkers op efficiënte wijze kunnen leren.
Meer basale functies rammelen eveneens. Slechts 13 procent van de organisaties geeft aan dat zij goed zijn in het ontwikkelen van leiders, twee derde antwoordt daarin slecht te zijn. De grootste probleemgebieden zijn hierbij niet China of India – de hoogste urgentie ligt opmerkelijk genoeg in landen als Brazilië, Mexico en Nederland (figuur 1).

figuur 1
figuur 1, leadership

Toonaangevende bedrijven in de VS besteden meer dan 3.500 dollar per jaar per persoon aan het ontwikkelen van middenkader-management; voor het senior management staat een bedrag van 10.000 dollar per jaar. Niet dat het Amerikaanse model zaligmakend is; in een ander onderzoek (Leadership development in China: Building bench strength in the world’s largest marketplace, www.bersin.com/library, april 2013) kwam naar voren dat succesvolle leiders in China veel sneller hun kansen kunnen grijpen, terwijl in de VS het traditioneel getinte ontwikkelpad juist tot vertraging leidt.

Vraag binnen Nederlandse bedrijven naar succession planning (het hebben van een plan voor de opvolging van leiders en senior managers) en de meeste HR-professionals kijken je wazig aan. We geloven in Nederland wel in een leven lang leren, maar niet zo in kweekvijvers met vooraf uitgezette zwemroutes. Bedrijven houden volgens Deloitte veel te weinig rekening met de lange ontwikkeltijd ( van vijf tot zeven jaar) van talent en zetten te veel in op traditionele trainingsfasen in plaats van doorlopende ontwikkeling. Ook op het gebied van talent management scoort ons land relatief laag: er wordt een redelijk belang aan gehecht, maar dat wordt niet vertaald in voldoende vermogen er iets aan te doen.

Een tweede punt van aandacht in het onderzoek is het creëren van een wendbare organisatie met de juiste competenties. Deloitte komt hier met de ‘talent paradox’ op de proppen: er is een hoge werkloosheid, maar de juiste competenties zijn moeilijk te krijgen. Gespecialiseerde skills zijn schaars en ongelijkmatig verdeeld over de wereld. Bedrijven richten zich bij hun zoektocht naar specialismen vaak op de verkeerde plekken. Daardoor worden ze sterker dan nodig geconfronteerd met wereldwijde concurrentie, met name in die gebieden waar de groei het grootst is: software engineering, mobile computing, big data analytics, life sciences en nieuwe energietechnologie. Het verwachte tekort van bijna 40 miljoen hoger opgeleiden in 2020 kan alleen door bedrijven worden aangepakt als ze beter begrijpen hoe ze personeel moeten vinden, aantrekken, behouden en ontwikkelen. Ook Nederland zit bij de slechtst scorende bedrijven (figuur 2).

figuur 2

figuur 2

Deloitte legde ook de HR-discipline zelf onder de loep. Ongeveer een derde van de organisaties vindt dat HR ondermaats presteert. Of omgekeerd: slechts vier procent kent aan de HR-afdeling de score ‘excellent’ toe. Ook Nederland scoort slecht, met name op het gebied van HR en analytics.
Nieuwe onderwerpen waarmee HR aan de slag zou moeten (zoals HR technology en HR analytics) scoren goed als het gaat om de urgentie, maar bungelen onderaan als het gaat om readiness. Leadership is extreem belangrijk, maar bedrijven achten zich er (net als bij technologie en analytics) niet klaar voor. De drie thema’s waar bedrijven zich het minst op toegerust voelen zijn: talent en HR-analytics, HR technologie en Performance management. Dat beeld werd ook al in eerder onderzoek bevestigd, waarbij bleek dat de beroepsgroep zich niet bezighoudt met nieuwe technologie en de impact daarvan op hoe mensen in organisaties werken.

Slechts 8 procent van de HR executives heeft er vertrouwen in dat hun eigen teams over de benodigde skills beschikt om business impact te kunnen leveren. Hun collega’s uit de business sluiten zich daarbij aan: 10 procent vindt dat het HR-team binnen hun organisatie niet voldoende presteert. Op alle HR-taken schat HR de eigen competenties systematisch veel hoger in dan de business.

figuur 3
figuur 3
De onderzoeksdata kunnen ook via een interactief dashboard op de site van Deloitte worden geraadpleegd. 

[wp_twitter]

 

Data-scepticisme

Wat vertellen data wel, en wat zeggen ze niet?  Stellen we data-analyses en visualisaties wel genoeg ter discussie, of zijn we een dergelijke manier van denken over data nog niet gewend?

logo_2_rgbjpgWe vertrouwen graag op de kracht van data. Data maken dingen inzichtelijk en overtuigen veelal beter dan verhalen.  En met de opkomst van goedkope sensor-technologie is er over steeds meer dingen data beschikbaar. Hoewel ik ook graag een verhaal kracht bij zet met mooie gegevens en gek ben op visualisaties, vraag ik me ook af waar data hun autoriteit vandaan halen. En of we er soms niet te makkelijk op vertrouwen. Daarom wil ik er hier een kritisch verhaal over te vertellen, want data zelf vertellen niet altijd het hele verhaal. Lees verder op het blog Data denkers – van Jelte Timmer en Linda Kool (Rathenau Instituut)