Helft IT-managers steelt bedrijfsgegevens bij ontslag

Ik kan me herinneren dat we het er in het verleden ook al eens over gehad hebben en hoewel ik de exacte cijfers niet helder meer voor ogen heb, is er gevoelsmatig niet zoveel veranderd de afgelopen jaren.

De helft van de IT-mangers die weet dat ze morgen ontslagen worden, neemt bedrijfsgegevens mee, zoals wachtwoorden en klantgegevens. Dat blijkt uit onderzoek onder 820 IT-managers in Amerika en Europa. Verder blijkt dat 45% van de managers toegang tot informatie op systemen heeft die niet nodig voor de dagelijkse werkzaamheden is (bron).

In tijden van reorganisaties zijn dit soort berichten goed om te delen. Helaas zullen we afscheid moeten nemen van een aantal medewerkers en daarbij proberen we (hopelijk) zo sociaal mogelijk met ze om te gaan. Het is immers allemaal al vervelend genoeg.

Toch zien we dat er te weinig rekening wordt gehouden met de rechten die die medewerkers hebben en de informatie waar ze bij kunnen. Voor je het weet is een deel van jouw vertrouwelijke informatie gekopieerd of gemanipuleerd. Voor je het weet zijn er bestanden weg die op de “persoonlijke” harde schijven van de medewerkers stonden.

Ook bij dergelijke reorganisaties moet je goed kijken naar de risico’s en de bedrijfscontinuïteit. Helaas gebeurt dat nog niet of slechts minimaal. Er wordt gekeken naar de grote hoop mensen en daarvan moet er van een bepaald percentage afscheid worden genomen. Je kunt vaak al je vraagtekens zetten bij hoe de daadwerkelijke selectie plaatsvind, maar dat is meer een managementprobleem dan een security issue.

Juist als we weten dat er onzekerheid gaat ontstaan in de organisatie zullen we de controles aan moeten scherpen. Maar helaas bezuinigen we meestal eerst op die controles en/of controleurs. Zij leveren immers al helemaal geen directe bijdrage aan de omzet en winst. Nee, sterker nog, zij zijn een directe kostenpost waar we op kunnen bezuinigen.

Ja, dan vraag je er als organisatie natuurlijk ook wel om. Toch is er maar weinig bekend over de echte schade die organisaties hiermee lopen. En ik denk dat die ook moeilijk in echte Euro’s (of Dollars in dit geval) is uit te drukken. Je zou je als organisatie af moeten vragen hoeveel klanten je bent verloren na je reorganisatie, hoeveel de omzet (relatief) is gedaald en welke informatie allemaal niet meer beschikbaar is. Maar of je daar een echt antwoord op zult vinden is de vraag.

Zaak is wel om, juist in tijden van reorganisatie en onzekerheid, goed de risico’s in de gaten te houden en de controles op te schroeven…maar, eerlijk is eerlijk: dat lijkt tegen dovemansoren gezegd want in de praktijk bezuinigen we daar eerst maar eens op.

Manager vindt scheiden minder stressvol dan IT-security

Een opmerkelijk bericht dat ik vorige week onder ogen kreeg.

72% van de IT-managers vindt een klein auto-ongeluk, persoonlijke schuld of een scheiding minder stressvol dan het verantwoordelijk zijn voor en beschermen van bedrijfsgegevens. Voor 14% is het zelfs minder stressvol om ontslagen te worden dan als IT-manager actief te blijven. Dat beweert beveiligingsbedrijf Websense in een nieuw onderzoek.

Bijna negentig procent van de duizend ondervraagde managers zegt dat hun baan risico loopt als er een beveiligingsincident plaatsvindt, waaronder als er vertrouwelijke gegevens van de CEO of andere bestuurders wordt gestolen. Verder stelt dertig procent dat hun onderneming 100% beveiligd is, terwijl vijftig procent stelt dat ze over voldoende bescherming beschikken, maar dat sommige dreigingen er altijd doorheen zullen glippen. (bron)

Blijkbaar speelt er zich nogal wat af in de hoofden van IT-managers. Op zich ook niet zo vreemd natuurlijk. Met de huidige economische situatie wordt er flink bezuinigd. Ook op het gebied van informatiebeveiliging. Het is eerder pappen en nat houden dan op basis van de onderkende risico’s aan de slag gaan.

Wat misschien nog wel erger is, is dat 30% denkt dat ze 100% beveiligd zijn. Klinkt toch als onze kop in het zand steken. Geen enkele organisatie is 100% beveiligd. Dat komt omdat we nu eenmaal risico’s lopen. Zeer verschillende risico’s.

Denk alleen maar aan risico’s van natuurlijke aard (storm, hagel, overstroming). De natuur kunnen we nog steeds niet beïnvloeden. Dus lopen we risico’s. Daarnaast hebben we nog de risico’s van meer persoonlijke aard. Daarbij kunnen we dan weer onderscheid maken tussen eigen medewerkers en buitenstaanders, maar ook bewuste en onbewuste fouten. Kleine kans dat we die allemaal onder controle hebben.

Als het inderdaad allemaal zo stressvol is, dan is het een goed idee om toch eens een goede nulmeting uit te voeren. Zo kom je er vanzelf achter waar nog eventueel de blinde vlekken zitten. Het is niet zozeer de vraag of die blinde vlekken er zijn, maar meer waar zich die bevinden. Daarbij kijken we dan weer naar de beveiliging van geautomatiseerde, niet geautomatiseerde data maar natuurlijk ook naar de personele en materiële beveiliging.

Ik moet de organisatie nog tegenkomen die het over de hele linie goed voor elkaar heeft. Dat is natuurlijk niet erg, als we maar niet onze kop in het zand steken en denken dat wij geen risico’s lopen. Vergeet niet: het grootste risico’s is het risico dat we niet onderkend hebben…

IT-manager begluurt honderden patientendossiers

Een Britse IT-manager moet mogelijk de gevangenis in omdat hij honderden patiëntendossiers begluurde. De 22-jarige Dale Trever bekeek in 431 gevallen de dossiers, die allemaal van vrouwen waren. In 336 gevallen ging het om de gegevens van familie, vrienden en collega’s…De IT-manager ging zelfs in het weekend terug om in de dossiers te grasduinen. Trever heeft inmiddels schuld bekend, maar ontkent dat hij de medische dossiers heeft aangepast of geprint. De rechter doet volgende maand uitspraak (bron).

Ja daar kun je op wachten zullen we maar zeggen. Er zijn al vaker discussies gevoerd over de IT-managers en IT-beheerders die toegang hebben tot alle systemen en gegevens zonder dat iemand daar achter komt (tenzij je natuurlijk een goede controle inbouwt of functiescheiding doorvoert). Geloof me het is een risico dat door organisatie te weinig wordt gezien en als het al gezien wordt dan wordt het onderschat.

IT-ers kunnen binnen vele organisaties overal bij, bij klanten dossiers, bij geheime gegevens maar ook bij de financiële gegevens. Vele IT-ers weten dan ook exact wat de directeur verdient. Zeker in tijden van reorganisaties is dit een reëel risico. Zodra er onrust ontstaat zijn je gegevens niet veilig meer. Dat geldt overigens niet alleen voor de IT-ers, maar ook voor de andere medewerkers.

Er wordt wel degelijk onderscheid gemaakt in mappen op servers. Zo kan een medewerker van afdeling A vaak niet bij de gegevens van afdeling B. Maar binnen de mappenstructuur van zijn afdeling kan hij vaak wel alles of heel veel zien. Een kopietje van die gegevens is snel gemaakt en de capaciteit van een USB-stick is ook geen beperking meer.

Reorganisaties, die soms erg onmenselijk zijn, zijn een reëel beveiligingsrisico voor organisaties. Juist in die tijden moeten de beveiligingsmaatregelen verhoogd worden en moet de beveiligingsafdeling voldoende budget hebben. Het omgekeerde is vaak waar, beveiliging is één van de aspecten waarop het eerst bezuinigd wordt, het heeft geen direct omzet gerelateerde meerwaarde (althans dat is de perceptie).

De komende tijd gaan er nog heel wat reorganisaties plaatsvinden en het is te hopen dat de medewerkers dan meer gevoel hebben voor de organisatie dan de organisatie voor de medewerkers. Helaas worden de medewerkers nog te vaak als kostenpost gezien (een erg oude management gedachte).

Oh ja een bijkomend aspect: medewerkers die je organisatie verlaten zijn een ambassadeur voor jouw organisatie. Als je ze slecht behandeld dan kan dat funest zijn voor het imago van de organisatie.

Kortom: reorganisaties zijn een groot beveiligingsrisico voor organisaties, maar dat wordt nog niet vaak onderkend. Schroef de beveiligingsmaatregelen op en behandel je ex-medewerkers met respect.