Vader denkt techneut te zijn

Maar liefst 93 procent van de vaders denkt de computerexpert van de familie te zijn. Misschien moeten zij dat beeld maar eens bijstellen, want slechts één op de vijf andere gezinsleden is het hier mee eens (bron).

Als we ons dus afvragen waar toch al die slecht beveiligd prive PC’s vandaan komen dan kunnen we met een gerust hart stellen dat de “vaders” van tegenwoordig al die nieuwigheden ook niet meer bij kunnen benen. We kopen een PC en doen daar vrolijk van alles en nog wat mee. We klikken op wat linkjes om de beveiliging eens flink dicht te zetten en kijken daar nooit meer naar om.

Niet zo gek dat al die PC’s open en bloot staan voor iedereen die een beetje technische kennis heeft. Sterker nog, in veel gevallen weten de zoons beter met de PC om te gaan dan de vader. We kunnen het vergelijken met het onderhouden van je auto.

Vroeger was dat allemaal nog redelijk simpel. Onderhoud aan je auto deed je zelf. Hop, motorkap open en flink schroeven aan alle schroefjes die we tegen kwamen. De auto bleef prima rijden en we hadden toch weer wat geld uitgespaard. Tegenwoordig zijn er minder en minder mensen die nog zelf aan hun auto sleutelen. Dat kan ook bijna niet anders want het is allemaal niet zo simpel meer als jaren geleden. Er zit nu meer elektronica in je auto dan dat er in de jaren 80 in een spaceshuttle zat.

Willen we onze auto zelf nog een beetje onderhouden dan vullen we zo af en toe nog wat vloeistoffen bij, maar daarmee hebben we het dan ook wel gehad. De rest laten we lekker door de garage doen. Zouden we dit ook niet kunnen inrichten voor de PC’s van mensen?

Koop je een nieuwe PC dan zit daar de beveiliging al goed in gebouwd. Na zoveel uren moet je terug naar de winkel om je updates uit te laten voeren (met je auto ga je na 10 duizenden kilometers ook nog een keertje terug). Zelf vullen we dan af en toe de vloeistoffen bij door de virusscanners en software actueel te houden. Een meer jaren onderhoudsplan sluit je direct af bij aankoop en misschien kun je zelfs 5 of 7 jaar garantie krijgen.

Zou een mooie nieuwe bedrijfstak kunnen zijn. Maar dan het liefst wel een die we kunnen vertrouwen. En daarmee grijpen we weer terug op het bericht van eerder deze week waarbij een computerwinkel vindt dat hij prive gegevens gewoon mag inzien. Ehm, als ik in mijn auto iets laat slingeren als ik hem naar de garage breng dan ga ik er vanuit dat dat er nog gewoon ligt als ik mijn auto weer op kom halen. Dat verwacht ik dan dus ook bij een computerwinkel…jij mag het onderhoud doen maar moet wel van mijn eigendommen afblijven.

Doen we dat op de juiste manier dan kunnen we computerwinkels weer gaan vertrouwen, dan kunnen we er voor zorgen dat PC’s veilig blijven en hebben we ook nog eens flink wat werkgelegenheid erbij. Fantasie of werkelijkheid? Voorlopig nog het eerste.

Het daadwerkelijke onderhoud van informatiesystemen

Gingen we gisteren in op het systeem (of eigenlijk met name de keuzes en de achtergronden) bij het onderhouden van de informatiesystemen. Vandaag gaan we kort in op het daadwerkelijke onderhoud.

Daarom de vraag:
Vindt onderhoud conform dit onderhoudssysteem periodiek plaats?

Leuk hoor dat we er inderdaad voor gekozen hebben dat we voor dit specifieke systeem onderhoud willen hebben. Dat ligt vast in de SLA met de leverancier en daarbij bood hij ons de keus tussen brons, zilver of goud…waarbij wij natuurlijk voor goud zijn gegaan. Nu nog zorgen dat dat onderhoud ook echt plaats gaat vinden en dat het middel niet erger gaat worden dan de kwaal.

We moeten er dus voor gaan zorgen dat we het onderhoud periodiek en gepland plaats laten vinden om zo de kans op uitval van het systeem te verminderen. Soms zullen we preventief alvast onderdelen moeten vervangen die aan het eind van hun Latijn lijken te zijn. De remblokken van de auto vervangen we, hopelijk, ook al voordat ze echt op zijn.

Toch een kanttekening bij het onderhoud. We moeten er voor waken dat het onderhoud er niet voor zorgt dat het systeem “in storing” staat gedurende de reguliere werktijden omdat we zo nodig even iets moeten onderhouden volgens de planning. Je wilt ook je CV-ketel thuis niet in onderhoud zetten als je vrouw net onder de douche springt (of, misschien wil jij dat juist wel…maar het gaat om het voorbeeld). Juist door het plannen kunnen we dit voorkomen, is er niet binnenkort een onderhoudsweekend gepland? Mooie gelegenheid om ook het onderhoud voor ons systeem uit te voeren, toch?

Ok, we kunnen echt niet alle storingen voorkomen, het kan altijd een keer gebeuren dat een component de geest geeft. Wel kunnen we proberen met onderhoud de kans op storing te minimaliseren, de technische levensduur en omzet te maximaliseren en de werking van de bedrijfsprocessen te continueren.

Zeurt de boekhouding of inkoopafdeling over de kosten voor onderhoud? Reken dan even voor wat uitval kost in de vorm van misgelopen omzet en wat het oplevert als we het systeem een paar jaar langer operationeel kunnen houden. Grote kans dat je de business case rond krijgt en inderdaad besluit dat voor “goud” (of zilver of brons) gaan in dit geval grote besparingen kan realiseren…de kosten gaan echter nog steeds voor de baten uit.

Het systeem voor onderhoud van informatiesystemen

Zo, dat fantastisch mooie, nieuwe, supersnelle netwerkcomponent is aangeschaft en voorlopig zitten we er weer goed bij, toch? Afschrijving van dat systeem in 5 jaar, dus voorlopig hebben we er geen omkijken naar, toch? Onderhoud van het nieuwe component was optioneel bij de aanschaf, dus daar hebben we flink op kunnen bezuinigen, toch?

Als het gaat om onderhoud van de informatiesystemen dan moeten we verder kijken dan de neus lang is. We moeten niet alleen kijken naar de economische levensduur maar juist ook naar de technische levensduur (die wellicht vele malen belangrijker is). Gelukkig kunnen we met goed onderhoud die technische levensduur flink verlengen (en op de lange termijn dus flink wat geld verdienen). Maar goed, eerst maar even de vraag:

Is er een systeem voor het onderhoud van informatiesystemen, netwerkcomponenten en IT-middelen?

Je hebt het voorbeeld vast wel eens gehoord: het aanschaffen van een Rolls Royce is een ding, het onderhouden daarvan een ander. Dat was in het verleden, naar horen zeggen, ook de reden dat de prijzen nou niet echt overzichtelijk waren. Als je naar de prijs moest vragen dan kon je het niet betalen. As simple as that.

Trekken we de parallel naar het onderhoud van de informatiesystemen dan geldt daarvoor in enige mate hetzelfde. Het aanschaffen is een, maar het onderhouden is twee. Hoe vaak zien we niet dat de systemen weg staan te stoffen? De schoonmaker mag zeker niet in de serverruimte komen want wie weet wat die daar stuk kan maken (ja ja, ik weet het onderhoud is niet gelijk aan schoonmaak, maar we trokken een parallel, weet je nog?).

Onderhoud is niet goedkoop en kan al snel oplopen tot 20% van de aanschafprijs. Het voordeel is wel dat we daarmee de levensduur van het systeem kunnen verlengen en wat is er nou mooier dan een systeem te hebben dat de economische levensduur in technische zin overleeft.

Overigens moeten we met onderhoud ook weer niet doorschieten. Sommige systemen willen we helemaal niet onderhouden…we leven in een weggooimaatschappij, toch? Wie doet er nu nog 5 jaar met zijn smartphone of laptop? Willen we daar dan enorme onderhoudskosten voor dragen of accepteren we dat het vaak goed gaat en we zo af en toe een laptop wat eerder moeten vervangen?

Nee, bij onderhoud kijken we enerzijds naar de economische aspecten, maar we kijken natuurlijk juist ook naar hoe kritiek het systeem is. Welke kritische bedrijfsprocessen zijn afhankelijk van het systeem en hoe lang mogen die uit de lucht zijn voordat de klanten beginnen te piepen…of we omzet mislopen?

Kortom: ook bij onderhoud van de informatiesystemen is een kosten/baten en impact analyse noodzakelijk. Doen we dat op de juiste wijze dan kunnen we het onderhoudssysteem afstemmen op de bedrijfsvoering en besteden we alleen onderhoudskosten aan die systemen waarvoor we dat noodzakelijk vinden.

Beveiligingstips voor kopieermachines

Een nog vaak onderschat risico is het risico van kopieermachines. Natuurlijk maken we ons personeel ervan bewust dat ze vertrouwelijke gegevens niet op het apparaat achter moeten laten, maar ook technisch zitten er risico’s aan.

Niet alleen bevatten meer en meer kopieerapparaten een harde schijf waarop de kopietjes digitaal worden opgeslagen. Nee ook beschikken meer apparaten over een netwerkaansluiting zodat de leverancier op afstand onderhoud kan plegen. Op zich niets mis mee natuurlijk want dat scheelt een hoop voorrijkosten. Toch kleeft juist hieraan een risico. Het apparaat hangt vaak in een onbeveiligd netwerk, niet alleen kan de leverancier erbij (die je hopelijk kunt vertrouwen), nee met een klein beetje moeite staat het apparaat open voor de hele buiten wereld.

Het is te vergelijken met het instellen van routers en modems, daarbij wordt nogal eens vergeten het inlogaccount en het standaard wachtwoord te wijzigen. Zo ook met kopieerapparaten. Natuurlijk beschikken de meer moderne machines over een beveiligde versleutelde verbinding, maar die is niets waard als het inlogaccount en het wachtwoord voor het grijpen liggen.

Volgens de Federal Trade Commission moeten systeembeheerders op dezelfde kopieermachines beheren zoals ze met computers en servers doen. Veel van deze apparaten bevatten een harde schijf waar vertrouwelijke informatie op kan achterblijven. De FTC heeft een nieuwe publicatie uitgebracht waarin tips staan voor bedrijven om zich nog beter te beveiligen tegen diefstal of verlies van data, voornamelijk op die van kopieermachines (bron).

In de vrij te verkrijgen PDF staan nog veel meer tips en risico’s beschreven.

Overigens worden meer en meer apparaten gekoppeld aan het internet, niet alleen kopieermachines. Nee ook koffiezetapparaten bijvoorbeeld. Niet dat die nu ineens vertrouwelijke informatie bevatten, maar als je de leverancier afrekent op het aantal bakken koffie die de automaat heeft uitgespuugd is het misschien ook goed om daar eens vluchtig naar te kijken. Wie weet betaal je wel teveel.

Persoonlijk vind ik het een positieve ontwikkeling dat er nagedacht wordt over innovaties, ook als het gaat om kopieerapparaten en koffiemachines. Maar het kan geen kwaad om in een verloren uurtje eens na te denken over de beveiliging daarvan. Hoewel ik natuurlijk direct op wil merken dat we ook niet door moeten schieten…het is immers maar koffie en daar kunnen we best een paar uurtjes zonder.

Ongeval in slachterij eist dode en gewonden

Het is alweer een week geleden dat dit bericht in het nieuws kwam, maar toch is het het waard om het nog even aan te halen.

Door een bedrijfsongeval in een slachterij in het Gelderse Groenlo is dinsdag een medewerker overleden. Drie andere werknemers raakten gewond. De slachtoffers waren vermoedelijk in de koelruimte van het bedrijf aan het werk toen ze onwel werden
(bron).

Er zijn allerlei discussie over het waarom we eigenlijk aan risico management en beveiliging doen. In de basis kun je dit terugvoeren op een beperkt aantal aspecten, namelijk: verlies van omzet of verhoging van de kosten door incidenten die impact hebben op de continuïteit (alle meer operationele risico’s zijn daar een afgeleide van). Een ander aspect waar we het management op kunnen triggeren is de veiligheid van de medewerkers. Vaak een meer safety-gerelateerd aspect, maar wel degelijk een risico dat reëel is voor veel bedrijven. Op dit gebied is er dan ook vele malen meer wet- en regelgeving dan op het beveiligingsgebied.

Helaas zien we er hier een concreet voorbeeld van. De oorzaak is, op het moment van schrijven, nog niet bekend maar wellicht had een dergelijk incident voorkomen kunnen worden en had een mensenleven gespaard kunnen worden.

In de praktijk zien we dat er, met het huidige economische klimaat, bespaard wordt op allerlei zaken en dus ook op onderhoud (overigens wil ik niet zeggen dat dat hier het geval is, het kan ook echt een ongelukkige samenloop van omstandigheden zijn die niet te voorzien was). Met besparingen op onderhoud gaan organisaties meer en meer van dit soort risico’s lopen. Het is te hopen dat managers binnen organisaties zich nog eens achter de oren krabben bij de volgende bezuinigingsrondes. Het moet wel een veilige werkomgeving blijven voor de medewerkers.

Bezuinigen op beveiliging kan echt wel, alleen moet er worden opgepast voor het wel bekende: pennywise, pound foolish”.