| Download whitepapers, case studies en onderzoeken over ICT-onderwerpen Computable IT Knowledge Base  |
Dagelijks het laatste ICT-nieuws in je inbox? Computable e-mail nieuwsbrief |
security / Opinie
Wie controleert de systeembeheerder?
Ongeveer 35 procent van het ict-personeel met admin-rechten bekijkt zonder toestemming bedrijfsgevoelige informatie. Verder verdwijnt jaarlijks gemiddeld zes procent van de bedrijfswinst binnen bedrijven en organisaties door interne (bedrijfs)criminaliteit.
Bij seminars en bedrijfsbijeenkomsten komt altijd de vraag terug: 'Wie controleert bij jou de systeembeheerder?'. Het komt zeer zelden voor dat we hierop een antwoord krijgen dat luidt 'dat doen wij'. De controle van de interne systeembeheerder schijnt bijna niet te bestaan, zeker niet binnen het mkb, maar ook de extern ingehuurde systeembeheerder heeft schijnbaar geen enkele vorm van controle of audit nodig. Bij 'mystery scans' is me meer dan één keer gelukt om zonder enige problemen binnen te komen als de nieuwe medewerker van de externe systeembeheerder.
De laatste jaren is een duidelijke verschuiving in de vorm van criminaliteit waar te nemen. Waren in het verleden vaak het graaien in de bedrijfskas en het verduisteren van goederen de meest in het oog springende strafbare feiten, nu is er steeds meer sprake van criminaliteit die gepleegd kan worden door de digitale kloof van de (ict-)medewerker en het verantwoordelijke management.
De ouderwetse strafbare feiten, diefstal, verduistering, fraude, oplichting, chantage en het doorspelen van bedrijfsinformatie, hebben een digitaal jasje gekregen. En deze nieuwe, ‘digitale’, strafbare feiten zijn een stuk moeilijker te bestrijden en op te sporen. De hedendaagse (ict-)medewerker is steeds vaker bekend met virtueel werken, web 2.0 en dus met kennis delen via nieuwe media. Oudere werknemers, managers en directie blijven achter. Juist deze digitale kloof maakt interne criminaliteit vaak heel makkelijk.
Deze kloof is zichtbaar in het gebruik van ict-systemen binnen bedrijven en organisaties, maar ook in de manier waarop de medewerker tegenwoordig vaak weet om te gaan met cruciale bedrijfsinformatie en de waarde hiervan. De vraag in deze tijd is dan ook: zijn bedrijven en organisaties wel klaar voor de nieuwe generatie (ict-)werknemers in combinatie met de huidige interne (cyber-)criminaliteit? En dus is een nog meer cruciale vraag die men mag stellen in dit digitaal tijdperk: wie binnen de organisatie controleert nu eigenlijk de systeembeheerder?
De functie van systeem- en netwerkbeheerder is en moet ook een vertrouwensfunctie blijven. De systeem en/of netwerkbeheerders moeten funtioneel toegang hebben tot het bedrijfssysteem, maar dat betekent niet dat daarop geen toezicht uitgeoefend kan worden. Bij consultancy-opdrachten zie ik heel vaak dat enige vorm van toezicht of audit naar deze medewerkers ontbreekt. Vaak heeft er ook al geen (uitgebreide) employment screening plaatsgevonden bij de indienstreding van de 'nieuwe' systeembeheerder.
Daarom lijken mij bij berichten als:
- 35 procent van de ict'ers met admin-rechten bekijkt zonder toestemming gevoelige informatie
- 6 procent van de nettowinst verdwijnt door interne (bedrijfs)criminaliteit
een onafhankelijk toezicht op de systeembeeherder en wat meer gerichte controle op (ict-)medewerkers zeker op zijn plaats en eigenlijk dus noodzakelijk.
Hoe wordt dat dan gemeten?
Ik kan mij vinden in het stuk maar vind wel dat wanneer een systeembeheerder gepakt wordt hij/zij ook gelijk nooit meer ergens als zijnde beheerder aan de gang zou mogen komen. Het is en blijft een vertrouwensfunctie en in mijn beleving is het een gouden regel dat je hiervan geen misbruik maakt.
Persoonlijk vind ik dat het ook geen vraag zou moeten zijn "is de beheerder wel eerlijk/te vertrouwen.."
En controle op deze functie is niet erg, je bent tenslotte eerlijk je brood aan het verdienen en de systemen in de lucht aan het houden, dus kom maar met de audits e.d.
Nog een "mooi" praktijk voorbeeld:
Ik moest een nieuwe collega inwerken om mijn functie over te nemen omdat ik een andere uitdaging had gevonden. Nog geen 2uur binnen verteld hij vol trots dat hij zijn loonstrook vervalst heeft om zo aan meer loon te komen....eeeeuh. Ik was in dubio en heb een week erover na moeten denken om geen verkeerde beslissing te nemen. Vertel ik het mijn leidinggevende..dan ben ik een verrader...vertel ik het niet dan ook want dan verraad ik mijn werkgever. Een collega die ik zeer goed kende het verhaal verteld. Laat hem het zelf maar vertellen, geef hem daarvoor 2 dagen, doetie het niet...dan vertel jij het.
Zo gezegd zo gedaan. Maar hij weigerde het te vertellen en dus heb ik het gedaan. Goed gevoel erover NEE, voel ik mij een verrader JA maar heb ik hier goed aangedaan JA zeg en dan toch wel volmondig want wie weet wat deze persoon nog meer zou hebben gedaan.
Op het hoofdkantoor kreeg ik ook nog wat pluimen in mijn achterwerk maar die heb ik snel verwijderd. Ondanks dat ik achter mijn beslissing stond bleef het gevoel wel wat Kwalitatief Uitermate Teleurstellend.
- 13:28 Virusprobleem AZM is nog niet opgelost
- 10:30 SonicWall komt met nieuwe security producten
- 14:16 Maastrichts ziekenhuis getroffen door virus
- 11:43 Dell levert server met Symantec software
- 16:49 Veiliger werken: bewaak uw continuïteit
- 10:30 Symantec Brightmail Gateway 9.0 en Data Insight
- 11:09 SaaS verhoogt noodzaak host-based intrusion...
- 18:21 Autorisatieregister voor Digipoort blijkt nog...
- 16:58 Nieuwe Storwize realtime data compressie...
- 09:27 RSA, EMC, Intel en VMware beveiligen cloud
Meer Security
Tijd om de Firewall te repareren
In de laatste decenia, het toegenomen volume aan internet content, bedreigingen en applicaties op het bedrijfsnetwerk......
Computable Events - Security
Computable organiseert verschillende events met praktijkgerichte informatie over actuele onderwerpen in de ICT:
Webcast Security | 10-04-08SonicWall komt met nieuwe security producten
19-03 10:30 SonicWall, specialist in beveiliging van netwerkinfrastrucuren, introduceert de nieuwe Firewall NSA E8500. Daarnaast komt het bedrijf met nieuwe oplossingen voor grote...
Security productenTransparante systeemtoegang voor 17.000 UWV-medewerkers
16-07 11:15 Het moet de nachtmerrie zijn van elke informatiebeveiliger: de toegang regelen van 17.000 medewerkers tot de systemen van een organisatie waarin ruim 22 miljard euro per jaar...
Security praktijkOp veilige manier kunnen anywhere-ken
15-02 17:44 Steeds meer bedrijven kijken naar het nieuwe werken. De opkomst ervan wordt dan ook veel vanuit leveranciers, maar ook vanuit overheden, gestimuleerd. Termen als 'efficiënter...
Security achtergrondSaaS verhoogt noodzaak host-based intrusion protection-systeem
11-03 11:09 Network-based intrusion prevention/detection-systemen op de perimeter van het netwerk zijn inmiddels voor vele organisaties gemeengoed geworden. Maar waar blijft de acceptatie van...
Security opinie
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl / Intermediair / Intermediair voor Starters / Banen.nl / CompanyRating / IntermediairPW / HRbase.nl / Financebase.nl / Overheidscircuit.nl / InInterim.nl / InOverheid.nl / InIct.nl / IT Directory.nl / Computable / CRN / Tweakers.net / Koopinfo / IT Knowledge Base /
Abonneren / Adverteren / Disclaimer / Privacy / Alle rechten voorbehouden © 1995-2010 VNU Media
Beheerders zien zich zelf als verheven boven de rest - die toch niets begrijpt van al het ICT-werk wat zij doen. De controleurs, als die er zijn, begrijpen er niet genoeg van. Ik krijg ook wel het idee dat men soms bang is om deze mensen te controleren, want dat kan de impressie geven dat ze niet te vertrouwen zijn... Een cultuurkwestie dus.
Het verergert wanneer de business denkt dat men met het regelen van functioneel toegangsbeheer alle toegang in de hand heeft. Vergeten wordt dat op database-tabel niveau de beheerder gewoon queries kan afvuren.
Wat je ziet opkomen is het versleutelen van opgeslagen data, op zo'n manier dat zelfs de systeembeheerder er niet in kan komen. Dit heeft m.i. de toekomst.