Politie wil dat iedereen MAC-adres noteert

Gedupeerden van een inbraak weten te weinig belangrijke serienummers, zoals het IMEI-nummer en MAC-adres, aldus de politie. Die constateert dat dieven het regelmatig op laptops, tablets en mobiele telefoons gemunt hebben. In veel gevallen weet de gedupeerde niet wat de serienummers van de gestolen goederen zijn, terwijl die voor het onderzoek noodzakelijk zijn (bron).

Eigenlijk heel logisch, als je bovenstaand bericht leest. Ieder apparaat heeft wel een uniek nummer waarmee het traceerbaar is. Toch weten we niet wat de nummers van onze apparaten zijn waardoor het moeilijk wordt voor de politie om gevonden apparatuur bij de rechtmatige eigenaar terug te brengen.

Wees eerlijk, heb jij van ieder apparaat in je huis het serienummer opgeschreven? Heb jij de apparaten gemerkt (liefst met onzichtbare inkt of een DNA-spray)? Waarschijnlijk niet. Je bent daar wellicht ooit eens mee begonnen, maar inmiddels is dat lijstje ook alweer flink verouderd. Tijd dus om je lijstje te updaten of om aan een nieuw lijstje te beginnen.

Schrijf de serienummers op en bewaar ze op een veilige plaats. Misschien kun je er zelfs een foto bij doen en als je tijd hebt zou je de apparatuur kunnen merken. Dat lijstje moet je dan natuurlijk niet alleen digitaal op je laptop bewaren, want grote kans dat met de diefstal van je laptop je lijstje ook verdwenen is. Nee, liever een aantal geprinte versies die je door het huis heen verspreid. Natuurlijk kun je er ook een in de kluis bewaren, maar grote kans is dat die kluis na een serieuze inbraak ook verdwenen is.

Als je dan toch bezig bent, zul je waarschijnlijk versteld staan van alle apparatuur die je in de loop van de jaren verzameld hebt. Misschien een mooie kans om ook weer eens schoon schip te houden, want waarom heb je anders ooit “verwijderingsbijdrage” betaald? Grote kans dat je huis er ook weer een stuk opgeruimder van wordt en bijkomend voordeel is dat je minder stroom zult gaan betalen…want hoe lang ligt die apparatuur die je niet meer gebruikt eigenlijk al op de oplader? Zo is de “voorjaarsschoonmaak” toch nog ergens goed voor.

Succes BYOD hangt af van beveiliging

Nog even in een notendop: De almaar groeiende populariteit van persoonlijke mobiele apparatuur verandert de manier waarop technologie binnen het bedrijfsleven gebruikt wordt. Steeds meer werknemers nemen eigen apparatuur mee naar kantoor. Het is aan de organisatie om te zorgen dat hun data op een veilige manier aan deze toestellen aangeboden wordt (bron).

Voor de zekerheid: BYOD gaat over het Bring Your Own Device-principe. Dus niet meer een vaste werkplek of laptop van je baas maar er gewoon lekker zelf voor zorgen dat je over de juiste apparatuur beschikt die je nodig hebt voor je werk. Op zich natuurlijk niet zo’n gekke gedachte en het kan de organisatie een berg geld schelen omdat ze minder aan beheer hoeven te doen.

Het risico zit hem er in dat je verschillende soorten apparatuur op je netwerk krijgt waar je geen controle over hebt en de informatie waar jij eigenaar van bent wordt gemakkelijk opgeslagen op diezelfde apparatuur (waar je dus nog steeds geen controle over hebt).

Zoals we al vaker hebben aangehaald is informatie voor veel organisaties het nieuwe goud. De informatie is noodzakelijk voor het voortbestaan er van. Maar ja, als we een paar euro kunnen besparen dan zijn we al snel vergeten wat de waarde van die informatie is.

Maar we willen natuurlijk niet terugvallen in de oude patronen van beveiliging. We keren niet terug naar het 1.0 scenario. Nee, wij zijn niet tegen ontwikkelingen. Dus ook niet tegen de ontwikkeling die we BYOD noemen. We willen wel graag dat we goed nadenken over de risico’s die nieuwe ontwikkelingen met zich meebrengen. Hebben we die risico’s eenmaal in kaart gebracht dan kunnen we ook keuzes maken.

Willen we die risico’s lopen en dus accepteren, willen we die risico’s afdekken of willen we die risico’s misschien verzekeren? Uiteindelijk kan de organisatie zelfs besluiten om BYOD voorlopig toch nog maar even niet in te voeren.

BYOD heeft dus best wat risico’s in zich en welke dat allemaal zijn, laat ik hier nog even in het midden. Maar als we het relativeren dan kunnen we natuurlijk ook gewoon concluderen dat BYOD een gewone ontwikkeling is, net als andere ontwikkelingen in het verleden en als ontwikkelingen in de toekomst.

Daar moeten we dus niet op tegen zijn, want stilstand is achteruitgang. We moeten dus nu al proactief beginnen met de risico’s in kaart brengen. Ook als er binnen jouw organisatie nog niet over BYOD gesproken wordt, weet je nu al dat het er aan zit te komen. Je kunt je er dus al op voorbereiden. Waar wacht je nog op?

ICT-beslisser is weinig bezorgd om beveiliging (van privé apparaten)

Gingen we gisteren nog in op de tips om USB-sticks beter te beveiligen. Dan gaan we vandaag in op het feit dat ICT-beslissers in Nederland helemaal niet zo wakker liggen van de risico’s van privé apparaten.

ICT-beslissers in Nederland maken zich het minst zorgen om de beveiliging van privé-apparaten. In Nederland is 18 procent van hen totaal niet bezorgd over het toelaten van bedrijfsinformatie op persoonlijke apparaten van medewerkers, terwijl dit percentage wereldwijd gemiddeld 11 procent is. Dat blijkt uit onderzoek door Vanson Bourne onder 1100 ict-managers in elf landen (bron).

Het blijft opmerkelijk. Informatie is het nieuwe goud, informatie vertegenwoordigt een grote waarde voor veel organisaties. Toch maken we ons er geen zorgen om. Wat ons betreft mag iedereen die informatie lekker op een privé apparaatje zetten en er mee doen wat ze willen. Dat is natuurlijk niet zo, want als je deze ICT-beslissers letterlijk zou vragen of ze het acceptabel vinden dat vertrouwelijke informatie gestolen wordt, dan mag ik toch hopen dat het antwoord “nee” is.

Jammer genoeg weten we niet wie er naar de antwoorden gevraagd is en welke rol deze zogenaamde ICT-beslissers in de organisatie vervullen. De vraagstelling en context zijn ons evenmin duidelijk. Ik kan me zomaar voorstellen dat de ICT-beslissers (wat een raar woord overigens, maar goed we blijven hem vandaag gewoon gebruiken) wel andere zorgen aan de kop hebben.

Zeer waarschijnlijk staat er een enorme druk op hun budget, we moeten het immers allemaal met minder geld doen op dit moment. In dat geval kan ik me heel goed voorstellen dat men het toejuicht dat personeel privé apparatuur mee neemt naar het werk. Hier komt natuurlijk ook het Bring Your Own-principe om de hoek kijken.

Nederlandse ict-beslissers verwachten dat over twee jaar zes op de tien medewerkers een privé-apparaat gebruikt om te werken en dat is meer dan in andere landen. 

Het scheelt natuurlijk een flinke slok op een borrel als je als organisatie voor 4 in plaats van 10 medewerkers een werkplek aan hoeft te schaffen. Hoe groot die slok is? Nou, zo’n 60% dus alleen al aan aanschaf van hardware. Stel dat je 100 man personeel hebt lopen en de vervanging van de hardware er aan zit te komen. Een beetje werkplek kost je toch al snel zo’n € 2.500 (ja ja, ook ik vraag me af waarom die prijs zo hoog is een laptopje heb je ook al voor € 300 maar de beheerkosten zijn hierin ook verwerkt). € 2.500 x 100 = € 250.000 terwijl € 2.500 x 40 maar € 100.000 is.

In de ogen van de ICT-beslisser kan er natuurlijk nog veel meer bezuinigd worden want ook ondersteuning van de medewerkers kan flink teruggeschroefd worden. Die medewerker geven we per 5 jaar € 500 en de rest zoeken ze maar lekker zelf uit, toch?

Zolang er nog te weinig incidenten zijn of bekend worden, zal deze trend zich zeer waarschijnlijk door blijven zetten. Beveiliging kost in de ogen van de ICT-beslissers alleen maar geld en levert niets op. Het Bring Your Own-principe zorgt voor flinke besparingen en die zijn veel makkelijker aan het management uit te leggen dan de bijbehorende risico’s. Als ICT-beslisser gooi je dus hoge ogen en de Security manager lost het probleem van de beveiliging maar lekker op.

Dat de Security manager vervolgens om een flink hoger budget vraagt, komt als een complete verrassing voor dat management en dat budget zal dan ook niet toegezegd worden…ook hij moet maar eens bezuinigen, toch? Ja, integrale beveiliging, ik heb er al zoveel over geschreven, maar hiermee wordt maar weer eens duidelijk dat we aan moeten tonen dat beveiliging geen technisch maar een bedrijfskundig vraagstuk is…gericht op de continuïteit van de organisatie. Werk aan de winkel dus.

Installatie van nieuwe apparatuur

Hartstikke goed dat we als organisatie groeien. We nemen nieuwe mensen aan, we lanceren nieuwe producten of diensten dus we hebben meer rekencapaciteit nodig. We installeren allerlei apparaten om onze klanten zo goed mogelijk te kunnen bedienen. Na verloop van tijd veroudert de apparatuur en moeten we aan vervanging gaan denken. Een normale gang van zaken waar zeker niets mis mee is, maar waar we wel even naar moeten kijken is of onze stroomvoorziening die vernieuwingen ook allemaal aan kan.

De vraag:
Wordt bij de installatie van nieuwe apparatuur rekening gehouden met de beperkingen van de stroomvoorziening?

Ooit, toen we ons gebouw lieten bouwen of gingen huren, beschikten we over een bepaald aantal apparaten (servers, computers, koffiezetapparaten en alle andere apparatuur met een stekker). De stroomvoorziening kon dat makkelijk aan dus er waren geen “issues”. Nu, jaren later, hebben we allerlei apparaten bijgekocht en inmiddels weten we niet meer hoeveel computers en laptops we hebben laat staan dat we nog zicht hebben op alle Senseo-apparaten die de medewerkers zelf mee hebben gebracht. “Raar, de laatste tijd komt het steeds vaker voor dat de stoppen in de meterkast er uit springen”.

Grotere organisaties beschikken misschien over een noodstroomvoorziening. Grote dieselmotoren in de kelder die vanzelf aan gaan als de stroom de geest geeft. Ook die noodstroomvoorziening is ingericht op de situatie uit het verleden. Als dit specifieke gebouw echt zo kritisch is dat we noodstroomvoorzieningen getroffen hebben, dan moeten we periodiek nog wel even bekijken of die nog toereikend is.

Of het nu gaat om de stroom- of noodstroomvoorziening, beide zijn er om ons te ondersteunen in ons werk. Ze zijn net zo normaal als het water uit de kraan en de medewerkers vinden het niet meer dan normaal dat het allemaal vlotjes werkt. Totdat het er een keer niet meer is. De lichten in het gebouw zijn uit, de computers komen abrupt tot stilstand (waardoor de medewerkers het werk dat nog niet was opgeslagen kwijt zijn), de telefoons zijn niet meer bereikbaar. Kortom: onze organisatie komt tot stilstand.

Hoe erg dat is? Dat hangt natuurlijk van de processen af die er plaats vinden. Dat hebben we bepaald bij de risicoanalyses, toch? Voor de ene organisatie zal het lastig zijn als de stroom 4 uur uitvalt, voor de andere organisatie zal het onacceptabel zijn. Stel dat in een ziekenhuis, midden in een operatie, de stroom uitvalt en het ons niet lukt om die dip goed op te vangen…wat zijn daar de gevolgen dan van?

Knap lullig, als we aan de nabestaanden en de media, uit moeten leggen dat de patiënt is overleden omdat Dokter Bernhard op de derde verdieping zijn Senseo-apparaat opdracht gaf een bakkie koffie te maken. Stroomvoorziening is een van de ondersteunende systemen waar we vanuit gaan dat het werkt en waar we pas last van gaan ondervinden als het er een keer niet is. Daarom is het goed om bij installatie van nieuwe apparatuur kort stil te staan bij het stroomverbruik en periodiek nog eens door te laten meten of we nog wel genoeg restcapaciteit beschikbaar hebben om piekstroom op te vangen.