Wie controleert de systeembeheerder?
Ongeveer 35 procent van het ict-personeel met admin-rechten bekijkt zonder toestemming bedrijfsgevoelige informatie. Verder verdwijnt jaarlijks gemiddeld zes procent van de bedrijfswinst binnen bedrijven en organisaties door interne (bedrijfs)criminaliteit.
Bij seminars en bedrijfsbijeenkomsten komt altijd de vraag terug: 'Wie controleert bij jou de systeembeheerder?'. Het komt zeer zelden voor dat we hierop een antwoord krijgen dat luidt 'dat doen wij'. De controle van de interne systeembeheerder schijnt bijna niet te bestaan, zeker niet binnen het mkb, maar ook de extern ingehuurde systeembeheerder heeft schijnbaar geen enkele vorm van controle of audit nodig. Bij 'mystery scans' is me meer dan één keer gelukt om zonder enige problemen binnen te komen als de nieuwe medewerker van de externe systeembeheerder.
De laatste jaren is een duidelijke verschuiving in de vorm van criminaliteit waar te nemen. Waren in het verleden vaak het graaien in de bedrijfskas en het verduisteren van goederen de meest in het oog springende strafbare feiten, nu is er steeds meer sprake van criminaliteit die gepleegd kan worden door de digitale kloof van de (ict-)medewerker en het verantwoordelijke management.
De ouderwetse strafbare feiten, diefstal, verduistering, fraude, oplichting, chantage en het doorspelen van bedrijfsinformatie, hebben een digitaal jasje gekregen. En deze nieuwe, ‘digitale’, strafbare feiten zijn een stuk moeilijker te bestrijden en op te sporen. De hedendaagse (ict-)medewerker is steeds vaker bekend met virtueel werken, web 2.0 en dus met kennis delen via nieuwe media. Oudere werknemers, managers en directie blijven achter. Juist deze digitale kloof maakt interne criminaliteit vaak heel makkelijk.
Deze kloof is zichtbaar in het gebruik van ict-systemen binnen bedrijven en organisaties, maar ook in de manier waarop de medewerker tegenwoordig vaak weet om te gaan met cruciale bedrijfsinformatie en de waarde hiervan. De vraag in deze tijd is dan ook: zijn bedrijven en organisaties wel klaar voor de nieuwe generatie (ict-)werknemers in combinatie met de huidige interne (cyber-)criminaliteit? En dus is een nog meer cruciale vraag die men mag stellen in dit digitaal tijdperk: wie binnen de organisatie controleert nu eigenlijk de systeembeheerder?
De functie van systeem- en netwerkbeheerder is en moet ook een vertrouwensfunctie blijven. De systeem en/of netwerkbeheerders moeten funtioneel toegang hebben tot het bedrijfssysteem, maar dat betekent niet dat daarop geen toezicht uitgeoefend kan worden. Bij consultancy-opdrachten zie ik heel vaak dat enige vorm van toezicht of audit naar deze medewerkers ontbreekt. Vaak heeft er ook al geen (uitgebreide) employment screening plaatsgevonden bij de indienstreding van de 'nieuwe' systeembeheerder.
Daarom lijken mij bij berichten als:
- 35 procent van de ict'ers met admin-rechten bekijkt zonder toestemming gevoelige informatie
- 6 procent van de nettowinst verdwijnt door interne (bedrijfs)criminaliteit
een onafhankelijk toezicht op de systeembeeherder en wat meer gerichte controle op (ict-)medewerkers zeker op zijn plaats en eigenlijk dus noodzakelijk.
Jan Jaap, 12-07-2009 13:35
Marco, 13-07-2009 12:35
Henkie, 16-07-2009 13:26
Hoe wordt dat dan gemeten?
Ik kan mij vinden in het stuk maar vind wel dat wanneer een systeembeheerder gepakt wordt hij/zij ook gelijk nooit meer ergens als zijnde beheerder aan de gang zou mogen komen. Het is en blijft een vertrouwensfunctie en in mijn beleving is het een gouden regel dat je hiervan geen misbruik maakt.
Persoonlijk vind ik dat het ook geen vraag zou moeten zijn "is de beheerder wel eerlijk/te vertrouwen.."
En controle op deze functie is niet erg, je bent tenslotte eerlijk je brood aan het verdienen en de systemen in de lucht aan het houden, dus kom maar met de audits e.d.
Nog een "mooi" praktijk voorbeeld:
Ik moest een nieuwe collega inwerken om mijn functie over te nemen omdat ik een andere uitdaging had gevonden. Nog geen 2uur binnen verteld hij vol trots dat hij zijn loonstrook vervalst heeft om zo aan meer loon te komen....eeeeuh. Ik was in dubio en heb een week erover na moeten denken om geen verkeerde beslissing te nemen. Vertel ik het mijn leidinggevende..dan ben ik een verrader...vertel ik het niet dan ook want dan verraad ik mijn werkgever. Een collega die ik zeer goed kende het verhaal verteld. Laat hem het zelf maar vertellen, geef hem daarvoor 2 dagen, doetie het niet...dan vertel jij het.
Zo gezegd zo gedaan. Maar hij weigerde het te vertellen en dus heb ik het gedaan. Goed gevoel erover NEE, voel ik mij een verrader JA maar heb ik hier goed aangedaan JA zeg en dan toch wel volmondig want wie weet wat deze persoon nog meer zou hebben gedaan.
Op het hoofdkantoor kreeg ik ook nog wat pluimen in mijn achterwerk maar die heb ik snel verwijderd. Ondanks dat ik achter mijn beslissing stond bleef het gevoel wel wat Kwalitatief Uitermate Teleurstellend.
10-02 Het einde van het begin van cloud en virtualisatie
10-02 De windwakken van de cloud-sector
09-02 Citoto
09-02 Lang leve de hackers!
09-02 Modder gooien in ICT-land
08-02 Reseller verliest slag om het groene huishouden
08-02 Hadoop lijkt een alleskunner
07-02 Hou zicht op de informatie bij HNW
07-02 Eigen werknemer kan ook een vijand zijn
06-02 Krachtenbundeling NGI en TestNet is goede zaak
10-02 SecureLink migreert Microsoft-diensten Atradius
09-02 Vodafone: Wij spelen klantinformatie niet door
09-02 Lang leve de hackers!
09-02 'Ook met cookiewet is gebruiker niet anoniem'
09-02 'KPN koppelt ID aan internetverkeer'
08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'
07-02 Eigen werknemer kan ook een vijand zijn
03-02 'Overheid vreest voor veiligheid in de cloud'
01-02 F5 beschermt openbare websites
31-01 Publieksvoorlichting is belangrijke taak voor NCSC
|
|
Best Practices om laptop-data te beschermen
In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 154 | 6.4 | |
 | 2 | 120 | 6.7 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 47 | 6.5 | |
| 8 | 43 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media
Beheerders zien zich zelf als verheven boven de rest - die toch niets begrijpt van al het ICT-werk wat zij doen. De controleurs, als die er zijn, begrijpen er niet genoeg van. Ik krijg ook wel het idee dat men soms bang is om deze mensen te controleren, want dat kan de impressie geven dat ze niet te vertrouwen zijn... Een cultuurkwestie dus.
Het verergert wanneer de business denkt dat men met het regelen van functioneel toegangsbeheer alle toegang in de hand heeft. Vergeten wordt dat op database-tabel niveau de beheerder gewoon queries kan afvuren.
Wat je ziet opkomen is het versleutelen van opgeslagen data, op zo'n manier dat zelfs de systeembeheerder er niet in kan komen. Dit heeft m.i. de toekomst.