Helft IT-managers steelt bedrijfsgegevens bij ontslag

Ik kan me herinneren dat we het er in het verleden ook al eens over gehad hebben en hoewel ik de exacte cijfers niet helder meer voor ogen heb, is er gevoelsmatig niet zoveel veranderd de afgelopen jaren.

De helft van de IT-mangers die weet dat ze morgen ontslagen worden, neemt bedrijfsgegevens mee, zoals wachtwoorden en klantgegevens. Dat blijkt uit onderzoek onder 820 IT-managers in Amerika en Europa. Verder blijkt dat 45% van de managers toegang tot informatie op systemen heeft die niet nodig voor de dagelijkse werkzaamheden is (bron).

In tijden van reorganisaties zijn dit soort berichten goed om te delen. Helaas zullen we afscheid moeten nemen van een aantal medewerkers en daarbij proberen we (hopelijk) zo sociaal mogelijk met ze om te gaan. Het is immers allemaal al vervelend genoeg.

Toch zien we dat er te weinig rekening wordt gehouden met de rechten die die medewerkers hebben en de informatie waar ze bij kunnen. Voor je het weet is een deel van jouw vertrouwelijke informatie gekopieerd of gemanipuleerd. Voor je het weet zijn er bestanden weg die op de “persoonlijke” harde schijven van de medewerkers stonden.

Ook bij dergelijke reorganisaties moet je goed kijken naar de risico’s en de bedrijfscontinuïteit. Helaas gebeurt dat nog niet of slechts minimaal. Er wordt gekeken naar de grote hoop mensen en daarvan moet er van een bepaald percentage afscheid worden genomen. Je kunt vaak al je vraagtekens zetten bij hoe de daadwerkelijke selectie plaatsvind, maar dat is meer een managementprobleem dan een security issue.

Juist als we weten dat er onzekerheid gaat ontstaan in de organisatie zullen we de controles aan moeten scherpen. Maar helaas bezuinigen we meestal eerst op die controles en/of controleurs. Zij leveren immers al helemaal geen directe bijdrage aan de omzet en winst. Nee, sterker nog, zij zijn een directe kostenpost waar we op kunnen bezuinigen.

Ja, dan vraag je er als organisatie natuurlijk ook wel om. Toch is er maar weinig bekend over de echte schade die organisaties hiermee lopen. En ik denk dat die ook moeilijk in echte Euro’s (of Dollars in dit geval) is uit te drukken. Je zou je als organisatie af moeten vragen hoeveel klanten je bent verloren na je reorganisatie, hoeveel de omzet (relatief) is gedaald en welke informatie allemaal niet meer beschikbaar is. Maar of je daar een echt antwoord op zult vinden is de vraag.

Zaak is wel om, juist in tijden van reorganisatie en onzekerheid, goed de risico’s in de gaten te houden en de controles op te schroeven…maar, eerlijk is eerlijk: dat lijkt tegen dovemansoren gezegd want in de praktijk bezuinigen we daar eerst maar eens op.

Gemeenten: geen enorme fraude in bijstand

Hadden we het gisteren nog over het wetsvoorstel van Minister Opstelten voor het harder aanpakken van fraudeurs, dan gaan we vandaag iets verder in op de fraude in de bijstand (die volgens Gemeenten wel meevalt, het is maar hoe je er naar kijkt natuurlijk).

‘Zo’n 10 √° 20 procent van de bijstandstrekkers frauderen voor 1 miljard euro per jaar’ stelde het Landelijk Contact Sociaal Rechercheurs (LCSR) maandag. Gemeenten stellen dat deze getallen veel lager liggen op 53 miljoen euro zo’n 2% van de bijstanstrekkers (bron).

Het gevaar van dergelijke grote verschillen in aantallen is dat de discussie voorlopig gaat over wie er nu gelijk heeft en welk aantal nu het juiste is. Waarschijnlijk hebben beide partijen geen gelijk en ligt de waarheid ergens in het midden.

Dus kom op: het gaat helemaal niet om de aantallen, het gaat er om dat we de individuen die inderdaad fraude plegen opsporen en keihard aanpakken. Als Nederland mogen we nog steeds trots zijn dat we dergelijke sociale vangnetten hebben voor mensen die ze echt nodig hebben. Al die mensen die daar onterecht gebruik van maken moeten we weer op het rechte pad zien te krijgen.

In het “ergste” geval verdient de Nederlandse Staat daar 53 miljoen euro per jaar mee (of eigenlijk verdient ze het niet maar geeft ze het minder uit). In het beste geval levert het ons 1 miljard per jaar op. Bedragen die we nu en in de toekomst prima kunnen gebruiken, dus wat mij betreft terugvorderen en daarbovenop nog een flinke boete (zodat het gat in de staatskas nog iets sneller gedicht wordt).

Vreemd overigens dat we zware bezuinigen nodig hebben om dergelijke fraude zaken beter op te gaan sporen. Het lijkt het bedrijfsleven wel: in goede tijden is er geld in overvloed en wordt er aan alle kanten op een inefficiënte wijze gewerkt. Gaat het wat minder dan moeten we bezuinigen en gaat de kaasschaaf er over heen.

Stel nu eens dat we dit omdraaien (als we eenmaal weer uit deze crisis zijn). In goede tijden sturen we ook gewoon op efficiëntie, we smijten het geld niet over de balk maar reserveren het voor economisch mindere tijden. Een leuk idee, maar zie de aandeelhouders daar maar eens van te overtuigen als er weer gouden bergen zijn.

Voorlopig moeten we er dus alles aan doen om uit dat dal te kruipen om er vervolgens weer achter te komen dat hausses en biasses elkaar gewoon op blijven volgen…alleen wat sneller dan we in het verleden hebben meegemaakt. Maar of we nu in een hausse of een biasse zitten: bijstandsfraude moeten we in beide gevallen opsporen en aanpakken.

ICT-beslisser is weinig bezorgd om beveiliging (van privé apparaten)

Gingen we gisteren nog in op de tips om USB-sticks beter te beveiligen. Dan gaan we vandaag in op het feit dat ICT-beslissers in Nederland helemaal niet zo wakker liggen van de risico’s van privé apparaten.

ICT-beslissers in Nederland maken zich het minst zorgen om de beveiliging van privé-apparaten. In Nederland is 18 procent van hen totaal niet bezorgd over het toelaten van bedrijfsinformatie op persoonlijke apparaten van medewerkers, terwijl dit percentage wereldwijd gemiddeld 11 procent is. Dat blijkt uit onderzoek door Vanson Bourne onder 1100 ict-managers in elf landen (bron).

Het blijft opmerkelijk. Informatie is het nieuwe goud, informatie vertegenwoordigt een grote waarde voor veel organisaties. Toch maken we ons er geen zorgen om. Wat ons betreft mag iedereen die informatie lekker op een privé apparaatje zetten en er mee doen wat ze willen. Dat is natuurlijk niet zo, want als je deze ICT-beslissers letterlijk zou vragen of ze het acceptabel vinden dat vertrouwelijke informatie gestolen wordt, dan mag ik toch hopen dat het antwoord “nee” is.

Jammer genoeg weten we niet wie er naar de antwoorden gevraagd is en welke rol deze zogenaamde ICT-beslissers in de organisatie vervullen. De vraagstelling en context zijn ons evenmin duidelijk. Ik kan me zomaar voorstellen dat de ICT-beslissers (wat een raar woord overigens, maar goed we blijven hem vandaag gewoon gebruiken) wel andere zorgen aan de kop hebben.

Zeer waarschijnlijk staat er een enorme druk op hun budget, we moeten het immers allemaal met minder geld doen op dit moment. In dat geval kan ik me heel goed voorstellen dat men het toejuicht dat personeel privé apparatuur mee neemt naar het werk. Hier komt natuurlijk ook het Bring Your Own-principe om de hoek kijken.

Nederlandse ict-beslissers verwachten dat over twee jaar zes op de tien medewerkers een privé-apparaat gebruikt om te werken en dat is meer dan in andere landen. 

Het scheelt natuurlijk een flinke slok op een borrel als je als organisatie voor 4 in plaats van 10 medewerkers een werkplek aan hoeft te schaffen. Hoe groot die slok is? Nou, zo’n 60% dus alleen al aan aanschaf van hardware. Stel dat je 100 man personeel hebt lopen en de vervanging van de hardware er aan zit te komen. Een beetje werkplek kost je toch al snel zo’n € 2.500 (ja ja, ook ik vraag me af waarom die prijs zo hoog is een laptopje heb je ook al voor € 300 maar de beheerkosten zijn hierin ook verwerkt). € 2.500 x 100 = € 250.000 terwijl € 2.500 x 40 maar € 100.000 is.

In de ogen van de ICT-beslisser kan er natuurlijk nog veel meer bezuinigd worden want ook ondersteuning van de medewerkers kan flink teruggeschroefd worden. Die medewerker geven we per 5 jaar € 500 en de rest zoeken ze maar lekker zelf uit, toch?

Zolang er nog te weinig incidenten zijn of bekend worden, zal deze trend zich zeer waarschijnlijk door blijven zetten. Beveiliging kost in de ogen van de ICT-beslissers alleen maar geld en levert niets op. Het Bring Your Own-principe zorgt voor flinke besparingen en die zijn veel makkelijker aan het management uit te leggen dan de bijbehorende risico’s. Als ICT-beslisser gooi je dus hoge ogen en de Security manager lost het probleem van de beveiliging maar lekker op.

Dat de Security manager vervolgens om een flink hoger budget vraagt, komt als een complete verrassing voor dat management en dat budget zal dan ook niet toegezegd worden…ook hij moet maar eens bezuinigen, toch? Ja, integrale beveiliging, ik heb er al zoveel over geschreven, maar hiermee wordt maar weer eens duidelijk dat we aan moeten tonen dat beveiliging geen technisch maar een bedrijfskundig vraagstuk is…gericht op de continuïteit van de organisatie. Werk aan de winkel dus.

20%++ bezuinigen op beveiliging is mogelijk

Alle budgetrondes zijn achter de rug en we hebben voor het komende jaar allemaal weer wat in moeten leveren, ook op ons beveiligingsbudget. Althans, zo lijkt het. Het valt mij op dat er heel veel ontwikkelingen op beveiligingsgebied “on hold” zijn gezet. Natuurlijk zullen er organisaties zijn die er wel proactief mee omgaan, maar volgens mij zijn dat er te weinig.

Een enorm risico, als je het mij vraagt. We lopen straks met zijn allen achter de muziek aan en de vraag is of we de fanfare ooit nog in gaan halen. Er zijn allerlei nieuwe ontwikkelingen gaande, zoals het nieuwe werken, cloud computing en nog veel meer. Daarnaast lijkt er een digitale wereldoorlog aan de gang waar we nauwelijks op zijn voorbereid.

Raar dat we met dit soort risico’s ons beveiligingsbudget met 20% of meer verlagen. Nou ja, raar, dat lijkt alleen maar zo. Ik ben er van overtuigd dat we makkelijk 20% (en in mijn optiek nog vele malen meer) kunnen bezuinigen op beveiliging terwijl we het toch beter in de klauw krijgen. Maar goed, dat vergt denkwerk en visie waarbij de kosten voor de baten uit gaan. Hoewel ik graag iedereen wil vertellen over het “met minder meer bereiken” idee achter beveiliging stuiten we daar op een uitdaging (problemen bestaan immers niet): ik noem het dan wel zo leuk beveiligingsbudget…maar veel organisaties hebben zo’n budget helemaal niet. Nee de kosten voor beveiliging zijn verborgen in allerlei andere budgetten. De IT afdeling krijgt een IT budget en moet daar maar wat vanaf snoepen voor de informatiebeveiliging en de Facilitaire afdeling besteedt maar wat van hun budget aan de fysieke beveiliging. Klaar zijn we, toch? Nee natuurlijk niet, we verliezen de operationele risico’s hierbij uit het oog en pakken ze zeker niet integraal op. A waste of money, zullen we maar zeggen.

Willen we echt kunnen bezuinigen op beveiliging (waar ik alleen maar voor ben, want dat betekent dat we zaken slimmer aan moeten pakken) dan zullen we eerst inzichtelijk moeten maken welke kosten we daar nu eigenlijk voor maken. Daarna kunnen we bepalen hoeveel we kunnen bezuinigen en dan zullen we tot de conclusie komen dat we in heel veel gevallen meer dan 20% kunnen bezuinigen op de beveiligingsmaatregelen zonder dat we extra risico’s lopen…sterker nog ik denk dat we, zelfs met bezuinigingen de beveiliging sterk kunnen verbeteren als we er maar slim naar kijken.

Het is misschien een rare stelling in tijden van bezuiniging maar ik ga hem toch deponeren:
We moeten, juist nu, investeren in de aanpak van beveiliging om op de middellange en lange termijn er sterk op te kunnen bezuinigen terwijl we de risico’s beter kunnen beheersen.

Jullie weten me te vinden en mijn telefoon staat aan. Ik verwacht nu enorm veel telefoontjes van organisaties die een lange termijn visie hebben en die de risico’s op een kosteneffectieve willen beheersen…ben ik in gesprek dan weet je nu waarom. Bel me gewoon later even terug of spreek mijn voicemail in.

Die organisaties die me niet gaan bellen bevestigen alleen maar het boven geschetste beeld: zij zijn met de korte termijn overlevingsstrategie bezig en niet met hun lange termijn visie. Zij willen op korte termijn bezuinigen zonder naar de risico’s te kijken. Zij zijn aan het pappen en nat houden. Zij zullen onnoemelijke risico’s tegemoet kunnen zien…succes met overleven, ik investeer liever in de toekomst.