Ongeveer 35 procent van het ict-personeel met admin-rechten bekijkt zonder toestemming bedrijfsgevoelige informatie. Verder verdwijnt jaarlijks gemiddeld zes procent van de bedrijfswinst binnen bedrijven en organisaties door interne (bedrijfs)criminaliteit.
Bij seminars en bedrijfsbijeenkomsten komt altijd de vraag terug: 'Wie controleert bij jou de systeembeheerder?'. Het komt zeer zelden voor dat we hierop een antwoord krijgen dat luidt 'dat doen wij'. De controle van de interne systeembeheerder schijnt bijna niet te bestaan, zeker niet binnen het mkb, maar ook de extern ingehuurde systeembeheerder heeft schijnbaar geen enkele vorm van controle of audit nodig. Bij 'mystery scans' is me meer dan één keer gelukt om zonder enige problemen binnen te komen als de nieuwe medewerker van de externe systeembeheerder.
De laatste jaren is een duidelijke verschuiving in de vorm van criminaliteit waar te nemen. Waren in het verleden vaak het graaien in de bedrijfskas en het verduisteren van goederen de meest in het oog springende strafbare feiten, nu is er steeds meer sprake van criminaliteit die gepleegd kan worden door de digitale kloof van de (ict-)medewerker en het verantwoordelijke management.
De ouderwetse strafbare feiten, diefstal, verduistering, fraude, oplichting, chantage en het doorspelen van bedrijfsinformatie, hebben een digitaal jasje gekregen. En deze nieuwe, ‘digitale’, strafbare feiten zijn een stuk moeilijker te bestrijden en op te sporen. De hedendaagse (ict-)medewerker is steeds vaker bekend met virtueel werken, web 2.0 en dus met kennis delen via nieuwe media. Oudere werknemers, managers en directie blijven achter. Juist deze digitale kloof maakt interne criminaliteit vaak heel makkelijk.
Deze kloof is zichtbaar in het gebruik van ict-systemen binnen bedrijven en organisaties, maar ook in de manier waarop de medewerker tegenwoordig vaak weet om te gaan met cruciale bedrijfsinformatie en de waarde hiervan. De vraag in deze tijd is dan ook: zijn bedrijven en organisaties wel klaar voor de nieuwe generatie (ict-)werknemers in combinatie met de huidige interne (cyber-)criminaliteit? En dus is een nog meer cruciale vraag die men mag stellen in dit digitaal tijdperk: wie binnen de organisatie controleert nu eigenlijk de systeembeheerder?
De functie van systeem- en netwerkbeheerder is en moet ook een vertrouwensfunctie blijven. De systeem en/of netwerkbeheerders moeten funtioneel toegang hebben tot het bedrijfssysteem, maar dat betekent niet dat daarop geen toezicht uitgeoefend kan worden. Bij consultancy-opdrachten zie ik heel vaak dat enige vorm van toezicht of audit naar deze medewerkers ontbreekt. Vaak heeft er ook al geen (uitgebreide) employment screening plaatsgevonden bij de indienstreding van de 'nieuwe' systeembeheerder.
Daarom lijken mij bij berichten als:
– 35 procent van de ict'ers met admin-rechten bekijkt zonder toestemming gevoelige informatie
– 6 procent van de nettowinst verdwijnt door interne (bedrijfs)criminaliteit
een onafhankelijk toezicht op de systeembeeherder en wat meer gerichte controle op (ict-)medewerkers zeker op zijn plaats en eigenlijk dus noodzakelijk.
Je hebt helemaal gelijk.
Beheerders zien zich zelf als verheven boven de rest – die toch niets begrijpt van al het ICT-werk wat zij doen. De controleurs, als die er zijn, begrijpen er niet genoeg van. Ik krijg ook wel het idee dat men soms bang is om deze mensen te controleren, want dat kan de impressie geven dat ze niet te vertrouwen zijn… Een cultuurkwestie dus.
Het verergert wanneer de business denkt dat men met het regelen van functioneel toegangsbeheer alle toegang in de hand heeft. Vergeten wordt dat op database-tabel niveau de beheerder gewoon queries kan afvuren.
Wat je ziet opkomen is het versleutelen van opgeslagen data, op zo’n manier dat zelfs de systeembeheerder er niet in kan komen. Dit heeft m.i. de toekomst.
Als we dan toch bezig zijn. Hoe zit het met de screening van personeelsfunctionarisen, secretaresses, bankmedewerkers, enz? De grootste criminelen zitten vaak in de top van een organisatie. Zelf ben ik overigens gescreend, maar dat zegt helemaal niks.
Als Trainer van systeembeheerders laat ik dit vaak aan de orde komen. Dat je de systeempermissie hebt om een bestand te openen, betekent nog niet dat je het ook mag openen. Als systeembeheerder beheer je de informatie. Het beheersen van de informatie is niet aan jou. Sterker nog, zet auditing zo op dat je zelf “veilig” bent en je aan kunt tonen dat je geen informatie hebt bekeken.
…35 procent van de ict’ers met admin-rechten bekijkt zonder toestemming gevoelige informatie…
Hoe wordt dat dan gemeten?
Ik kan mij vinden in het stuk maar vind wel dat wanneer een systeembeheerder gepakt wordt hij/zij ook gelijk nooit meer ergens als zijnde beheerder aan de gang zou mogen komen. Het is en blijft een vertrouwensfunctie en in mijn beleving is het een gouden regel dat je hiervan geen misbruik maakt.
Persoonlijk vind ik dat het ook geen vraag zou moeten zijn “is de beheerder wel eerlijk/te vertrouwen..”
En controle op deze functie is niet erg, je bent tenslotte eerlijk je brood aan het verdienen en de systemen in de lucht aan het houden, dus kom maar met de audits e.d.
Nog een “mooi” praktijk voorbeeld:
Ik moest een nieuwe collega inwerken om mijn functie over te nemen omdat ik een andere uitdaging had gevonden. Nog geen 2uur binnen verteld hij vol trots dat hij zijn loonstrook vervalst heeft om zo aan meer loon te komen….eeeeuh. Ik was in dubio en heb een week erover na moeten denken om geen verkeerde beslissing te nemen. Vertel ik het mijn leidinggevende..dan ben ik een verrader…vertel ik het niet dan ook want dan verraad ik mijn werkgever. Een collega die ik zeer goed kende het verhaal verteld. Laat hem het zelf maar vertellen, geef hem daarvoor 2 dagen, doetie het niet…dan vertel jij het.
Zo gezegd zo gedaan. Maar hij weigerde het te vertellen en dus heb ik het gedaan. Goed gevoel erover NEE, voel ik mij een verrader JA maar heb ik hier goed aangedaan JA zeg en dan toch wel volmondig want wie weet wat deze persoon nog meer zou hebben gedaan.
Op het hoofdkantoor kreeg ik ook nog wat pluimen in mijn achterwerk maar die heb ik snel verwijderd. Ondanks dat ik achter mijn beslissing stond bleef het gevoel wel wat Kwalitatief Uitermate Teleurstellend.