Tag: medewerker

Miljoenenbrand om ‘dagje vrij’

  door

Een 24-jarige dokwerker wilde zo graag naar huis dat hij de kernonderzeeër waar hij aan werkte in brand heeft gestoken. De schade aan de boot is ruim 400 miljoen dollar (bron).

Nu kun je natuurlijk een keer een slechte dag hebben en de balen hebben van je werk. Maar om daarvoor nou een onderzeeër in de brand te steken gaat wel erg ver. Ach, een incident zul je denken en gelukkig lijkt het daar ook op. Toch gebeuren dit soort zaken meer dan we denken alleen is de schadepost dan minder groot.

Het is altijd moeilijk om hard te maken maar: er zullen altijd medewerkers zijn die naar hun werk komen omdat ze nu eenmaal geld moeten verdienen. Werk is niet de uitdaging maar juist een vervelende onderbreking van het weekend. Het merendeel van die ongemotiveerde medewerkers zal gewoon zijn of haar werk doen en stipt om 5 uur de spullen pakken. Maar er lopen er ook tussen die een groot gevaar kunnen vormen voor een bedrijf.

De medewerker heeft al toegang tot allerlei informatie, systemen en andere waardevolle zaken van het bedrijf. Hoe gefrustreerder hij of zij raakt hoe groter het gevaar. En ja, dat gevaar heb je waarschijnlijk niet zien aankomen. Misschien is deze medewerker wel netjes gescreend toen hij binnen kwam, maar hoeveel jaar geleden was dat? En betekent een screening niet alleen maar dat men nooit ergens voor gepakt is? Het geeft geen absolute zekerheid dat iemand niets op zijn kerfstok heeft.

De signalen van je medewerkers moet je dus goed in de gaten houden en dat is als security manager een moeilijke zaak. Je kent immers niet alle medewerkers persoonlijk en hebt al helemaal geen zeggenschap over ze. Je zult dus een goede verstandhouding moeten hebben met de middenmanagers binnen jouw bedrijf en je moet ervoor zorgen dat zij je informeren als ze afwijkende signalen opvangen.

En dan nog blijft het een moeilijke zaak want dit soort incidenten kondigen zich meestal niet van te voren aan. Zeker in tijden waarin er flink gereorganiseerd wordt binnen organisaties neemt het risico van gefrustreerde medewerkers sterk toe. Er wordt bezuinigd en de medewerkers zien hun jaarlijkse loonsverhoging verdampen en op een bonus hoeven ze wat jou betreft al helemaal niet te rekenen.

Aan deze kant van het verhaal zitten natuurlijk 2 zijden. Vanuit de organisatie vind je het niet meer dan logisch dat je geen loonsverhogingen geeft in moeilijke tijden, dat is immers geen recht dat de medewerker verworven heeft. De medewerker denkt daar heel anders over en heeft ieder jaar nog een loonsverhoging ontvangen dus men vindt dat ze er recht op hebben. Twee kanten van de medaille, zullen we maar zeggen.

Dit mag misschien allemaal niet zo belangrijk lijken maar toch moet je de medewerkers niet onderschatten. Hoe meer er intern bezuinigd en gereorganiseerd wordt hoe groter de kans dat medewerkers gefrustreerd raken en als dat vuurtje zich aanwakkert dan kan het zomaar zo zijn dat jouw bedrijf ook in de (virtuele) brand staat.

Hou je oren en ogen goed open en kijk hoe tevreden of gefrustreerd de medewerkers zijn. Misschien moet je het hoger management waarschuwen en na gaan denken over aanvullende beveiligings- en managementmaatregelen om de risico’s beheersbaar te houden.

Stelend personeel enorme schadepost

  door

De schade voor winkeliers door medewerkers die een greep uit de kassa doen, magazijnbedienden die artikelen verduisteren en personeel dat zelf koopt zonder te betalen, is vorig jaar met tien miljoen euro gestegen tot een verliespost van 180 miljoen euro (bron).

180 miljoen klinkt natuurlijk als een enorm bedrag, maar iets in mij zegt me dat dit slechts het topje van de ijsberg is. De schadepost bestaat natuurlijk niet alleen uit diefstal en verduistering van goederen uit winkels. Ook in kantoorpanden wordt natuurlijk vrolijk “geshopt”. De toner thuis op? Dan nemen we er toch een mee van de zaak? Even wat extra reiskosten declareren om het gat te vullen? Wie controleert of jij echt op reis bent geweest?

Denk dus niet dat we er met die 180 miljoen gezegend vanaf komen, want dit is slechts een klein gedeelte van de arbeidsbevolking en slechts een klein gedeelte van wat we daadwerkelijk zien. Het onderzoek is uitgevoerd door de stichting Fraude Aanpak Detailhandel en alle andere organisaties vallen dus buiten de boot.

Het is ook weer vakantietijd, dus het WC-papier, de plastic koffiebekertjes. Ze verdwijnen aan de lopende band omdat we ze zo hard nodig hebben op de camping. Onvoorstelbaar eigenlijk dat medewerkers dit soort risico’s willen lopen. Je zult gepakt worden met 2 WC-rollen in je koffer. Moet je toch een goed verhaal hebben om daar mee weg te komen. Wil jij echt je baan op de tocht zetten omdat je wat WC-papier nodig hebt?

De vraag is nu dus hoeveel procent van het totaal die 180 miljoen is. Dan kunnen we ook uitrekenen hoe groot de kans is dat je gepakt wordt. Ook hier geldt dus weer dat als de pakkans gering is (en dat is hij volgens mij), de fraudes toenemen. Dat zal de komende jaren ook niet minder worden dus we zullen de controles op moeten voeren…helaas bezuinigen we daar vaak als eerste op.

Personeel schuldig aan meeste datalekken

  door

Bedrijven geven hun werknemers de schuld van de meeste datalekken die plaatsvinden. 78% stelt dat er gegevens zijn uitgelekt door nalatig gedrag of kwaadwillend personeel. De voornaamste oorzaak van datalekken zijn het verlies van laptops of andere mobiele apparaten (35%), blunders (32%) en systeemfouten (29%), aldus onderzoek van het Ponemon Institute (bron).

Het is al langer bekend (en zelf vind ik het een te gemakkelijke uitspraak en als je verder leest weet je ook waarom), maar het personeel is de zwakke schakel. Zo, daarmee kunnen we als werkgever onze verantwoordelijkheid afschuiven en treft ons geen blaam, toch? Nou, dat is zomaar de vraag. Want integrale beveiliging bestaat nog steeds uit een combinatie van technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen.

Als het personeel echt de zwakste schakel is, dan zul je als werkgever dus moeten zorgen dat jouw basis beveiligingsniveau op orde is. Daarnaast zorg je ervoor dat je weet waar de risico’s zitten en heb je er ook nog eens alles aan gedaan om je medewerkers bewust te maken van deze risico’s en de beveiligingsmaatregelen.

Als je het zo beziet, is het veel te makkelijk om de schuld in de schoenen van de medewerkers te schuiven. Natuurlijk zijn er medewerkers die willens en wetens de boel lopen te manipuleren. Dat moet je als werkgever onderkennen en daar moet je keihard tegen op treden. Maar je moet natuurlijk eerst voorkomen dat deze medewerkers grote schade aan kunnen richten. Dat doe je door ze bijvoorbeeld te screenen en door functiescheiding toe te passen. Maar dat doe je ook door je personeel niet meer als nummer te zien. Nee, je moet ze verantwoordelijkheid geven en je moet ze respecteren. Het is heel simpel: deze medewerkers mogen dan een risico vormen voor de beveiliging, maar als het goed is leveren ze ook een actieve bijdrage aan het voortbestaan van de organisatie (anders heb je ze niet nodig en had je ze allang weg gereorganiseerd, toch?).

Oké, we zoomen nog even iets verder in op de cijfertjes die genoemd werden:
78% stelt dat er gegevens zijn uitgelekt door nalatig gedrag of kwaadwillend personeel. De voornaamste oorzaak van datalekken zijn het verlies van laptops of andere mobiele apparaten (35%), blunders (32%) en systeemfouten (29%)

Er wordt geschreven dat 78% nalatig of kwaadwillend is geweest. Maar de voornaamste redenen zijn verlies, blunders en systeemfouten. Dat kun je toch moeilijk kwaadwillend noemen. Nalatig, misschien, maar waar gewerkt wordt, worden fouten gemaakt. Het gaat er met name om of die nalatigheid verwijtbaar is. Deden ze het met opzet of is het een menselijke fout (die iedereen kan overkomen)?

Verlies van laptops en mobiele apparaten gebeurt zelden expres. Daarom heet het ook verlies, anders was het wel diefstal. En er zijn zat managers waarvan de laptop verloren is geraakt, zijn zij allemaal verdacht? Een blunder wordt ook zelden bewust gemaakt en systeemfouten hebben het al in zich: fouten. En was fouten maken niet menselijk?

Nee, prima dat we wijzen naar de medewerker en ja ze vervullen een belangrijke taak, maar voordat we wijzen moeten we als organisatie toch echt eerst even in de spiegel kijken en zorgen dat we de beveiliging ook echt goed op orde hebben (en niet alleen op papier, zoals we nog te vaak zien).

Driekwart werknemers gebruikt illegale USB-sticks

  door

Bijna driekwart van de Britse werknemers gebruikt “illegale” USB-sticks op de werkvloer en ook encryptie wordt nauwelijks toegepast. De illegale USB-sticks zijn sticks die niet door de werkgever zijn geautoriseerd. Ze kunnen van thuis of conferenties zijn meegenomen. Verder bleek dat bij 72% van de Britse bedrijven werknemers USB-sticks met vertrouwelijke gegevens waren verloren (bron).

Het betreft natuurlijk geen “illegale” USB-sticks in de zin van het woord, maar het betreft USB-sticks die door de werkgever niet zijn uitgegeven en dus niet onder controle staan. Dat het er veel waren, is bijna algemeen bekend, maar dat het er zoveel zijn geeft toch te denken.

Met het “bring your own” principe zullen de cijfers alleen nog maar toenemen. Bijkomend issue hier is dat:“Als je een laptop verliest kun je niet meer werken, als je een USB-stick verliest komt niemand dit te weten”. Dat is met diefstal van informatie in heel veel gevallen het feit.

Eigenlijk kun je in veel gevallen trouwens niet eens spreken over diefstal maar komt het eerder neer op het illegaal kopiëren van de data. De data hoeft daarna immers niet weg te zijn maar kan nog steeds op de server staan. Stelen we een laptop dan is dat inderdaad al vrij snel duidelijk, we kunnen niet meer werken en zullen aan onze manager uit moeten leggen dat we bestolen zijn. Bij USB-sticks is dit inderdaad niet het geval. Verliezen we onze eigen USB-stick dan hebben we er vast thuis nog wel een in de kast liggen. Jammer van die informatie, maar die slaan we wel weer opnieuw op.

We vergeten dan nog wel eens dat de informatie in verkeerde handen is gekomen en dat informatie een veel hogere waarde kan hebben dan die ene laptop. De medewerker zelf heeft er dan misschien geen last van, maar als bedrijf kunnen we enorm in verlegenheid gebracht worden. Brengt iemand de USB-stick naar de krant, dan kost het ons imago. Brengt hij hem echter naar de concurrent, dan kan ons dat ook nog eens een berg geld kosten (om over claims, verlies van klanten enzo nog maar te zwijgen).

Met deze cijfers is het tijd om binnen je eigen organisatie nog eens goed je ogen open te houden. Is jouw organisatie representatief en vindt het daar ook op grote schaal plaats? Dan wordt het tijd om maatregelen te nemen.

Natuurlijk kunnen we de USB-poorten dichtzetten, maar dat is wat kort door de bocht. Misschien moeten we ervoor zorgen dat iedere medewerker makkelijker (en goedkoper) aan een veilige USB-stick kan komen. Misschien moeten we er wat extra tijd aan besteden tijdens onze bewustwordingscampagnes, misschien moeten we wat vaker controles aan de poort houden.

Kortom: er is best iets aan te doen, maar uiteindelijk zit de grootste winst hem in de medewerkers bewust maken van de gevaren. De gevaren voor zichzelf (in het uiterste geval ontslag) en gevaren voor de organisatie (in het uiterste geval faillissement en dus ontslag voor iedereen…wil jij dat op je geweten hebben?).