Uw organisatie is op veel meer plaatsen op het web aanwezig dan u denkt. Om hun werk te doen hebben uw medewerkers zich aangemeld op tal van websites. Vooral in de it-industrie wemelt het van nuttige portals.
Voor klanten, voor leveranciers, voor partners, voor wat niet al. Een paar voorbeelden: op het service portal van de leveranciers van uw hardware en software geven uw medewerkers storingen door. Uw marketingmedewerkers beheren op de site van uw business partner het marketingbudget dat u beschikbaar hebt gekregen en ze beheren uw website bij de provider. Uw consultants halen de laatste research op van de site van het marktonderzoeksbureau. De financiële administratie wordt mogelijk op een online boekhouding verricht. Op het inkoopportal bestelt uw officemanager kantoormeubilair. Pc’s worden online op klantnummer aangeschaft bij uw hardwareleverancier. Uw controller analyseert het telefoongebruik op de site van de provider. Uw netwerkbeheerder kan op de site van de netwerkaanbieder extra bandbreedte, verhuizingen of toegang tot het datacenter aanvragen.
Reuze makkelijk allemaal, leve de e-business!
Er is een keerzijde. De meeste bedrijven weten niet precies waar en door wie ze vertegenwoordigd worden, ‘als het werk maar gebeurt’. Die onachtzaamheid brengt risico’s met zich mee. Natuurlijk is het ene account het andere niet. Electronic banking is andere koffie dan een informatieve portal. We mogen aannemen dat het beheer over accounts voor elektronisch bankieren goed geregeld is. Maar wij weten uit ervaring dat er veel accounts bestaan voor activiteiten die niet direct de primaire processen raken, maar die toch een spaak in het wiel steken als ze niet ordentelijk verlopen.
Externe accounts lenen zich goed voor misbruik. Er kunnen vooral problemen ontstaan als een medewerker ontslag neemt of krijgt. Interne procedures bij ontslag zijn meestal goed geregeld. Het toegangspasje wordt ingenomen, de autosleutels komen terug, net als de mobiele telefoon en de laptop, het gebruikersaccount voor het interne netwerk wordt opgeheven.. Kortom, de ex-medewerker wordt virtueel en fysiek buiten de deur gezet. Althans, op het oog. De door hem of haar aangemaakte accounts bij externe partijen blijven gewoon geopend. U weet immers niet precies waar de persoon in kwestie accounts heeft lopen. En het voert te ver om alle externe relaties van uw ex-medewerker aan te schrijven dat deze exit is.
Negenennegentig van de honderd werknemers zijn te goeder trouw. Maar er zijn legio gevallen bekend van ex-werknemers die er uit frustratie op gebrand zijn hun voormalige werkgever de voet dwars te zetten. Dan leent zo’n vergeten account zich prima voor hinderlijke acties. Enkele voorbeelden:
> Verwijderen of veranderen van support calls
> Ongeautoriseerd het datacenter binnenkomen
> Downloaden van software bij partners
> Meelezen van e-mail
> Het wijzigen van website content
> Gratis bellen of verbindingen krijgen (iPass, Skype, etc)
> Inzage financiële gegevens
Valt hier iets aan te doen? Ja, maar het vraagt de nodige aandacht. Allereerst dient u beleid in te voeren voor het interne beheer van externe accounts. Het beleid regelt wie waar accounts mag openen en met welke bevoegdheden. Het beleid voorziet ook in procedures voor externe accounts bij ontslag. Handhaving is belangrijk, maar lastig omdat veel accounts tamelijk onschuldig zijn. Waar leg je de grens, en hoe bewaak je deze? Dat zal veel discussie opleveren, maar dat mag geen reden zijn om de zaken dan maar op hun beloop te laten.
Daarnaast hebben uw business partners een verantwoordelijkheid voor deugdelijk beheer van hun accounts. Helaas is dit vaak slecht geregeld en kunnen uw partners u niet eens vertellen wie van uw personeel een inlogaccount heeft. Er zijn bedrijven die het wel goed voor elkaar hebben. Daar bepaalt de externe partner zelf op de site wie welke rechten heeft. Medewerkers kunnen zichzelf niet aanmelden, dat doet de voor de relatie met de externe partij verantwoordelijke manager. Een andere maatregel is het via een ander kanaal, bijvoorbeeld telefoon, laten bevestigen van specifieke transacties of het doorgeven van wijzigingen. ‘U wilt een nieuwe pc? Graag een bevestigingsfax met handtekening van uw inkoopmanager’.
Internet is een prachtige uitvinding. De organisatie wordt ‘extended’. Er zijn tal van verbanden op allerlei niveaus tussen individuen en organisaties. Daar is niets mis mee. Het vraagt echter wel een andere kijk op digitale identiteiten en het toedelen van taken en verantwoordelijkheden. Hoed u voor de valse vertegenwoordiger!
Rhett A. Oudkerk Pool