Miljoenenbrand om ‘dagje vrij’

Een 24-jarige dokwerker wilde zo graag naar huis dat hij de kernonderzeeër waar hij aan werkte in brand heeft gestoken. De schade aan de boot is ruim 400 miljoen dollar (bron).

Nu kun je natuurlijk een keer een slechte dag hebben en de balen hebben van je werk. Maar om daarvoor nou een onderzeeër in de brand te steken gaat wel erg ver. Ach, een incident zul je denken en gelukkig lijkt het daar ook op. Toch gebeuren dit soort zaken meer dan we denken alleen is de schadepost dan minder groot.

Het is altijd moeilijk om hard te maken maar: er zullen altijd medewerkers zijn die naar hun werk komen omdat ze nu eenmaal geld moeten verdienen. Werk is niet de uitdaging maar juist een vervelende onderbreking van het weekend. Het merendeel van die ongemotiveerde medewerkers zal gewoon zijn of haar werk doen en stipt om 5 uur de spullen pakken. Maar er lopen er ook tussen die een groot gevaar kunnen vormen voor een bedrijf.

De medewerker heeft al toegang tot allerlei informatie, systemen en andere waardevolle zaken van het bedrijf. Hoe gefrustreerder hij of zij raakt hoe groter het gevaar. En ja, dat gevaar heb je waarschijnlijk niet zien aankomen. Misschien is deze medewerker wel netjes gescreend toen hij binnen kwam, maar hoeveel jaar geleden was dat? En betekent een screening niet alleen maar dat men nooit ergens voor gepakt is? Het geeft geen absolute zekerheid dat iemand niets op zijn kerfstok heeft.

De signalen van je medewerkers moet je dus goed in de gaten houden en dat is als security manager een moeilijke zaak. Je kent immers niet alle medewerkers persoonlijk en hebt al helemaal geen zeggenschap over ze. Je zult dus een goede verstandhouding moeten hebben met de middenmanagers binnen jouw bedrijf en je moet ervoor zorgen dat zij je informeren als ze afwijkende signalen opvangen.

En dan nog blijft het een moeilijke zaak want dit soort incidenten kondigen zich meestal niet van te voren aan. Zeker in tijden waarin er flink gereorganiseerd wordt binnen organisaties neemt het risico van gefrustreerde medewerkers sterk toe. Er wordt bezuinigd en de medewerkers zien hun jaarlijkse loonsverhoging verdampen en op een bonus hoeven ze wat jou betreft al helemaal niet te rekenen.

Aan deze kant van het verhaal zitten natuurlijk 2 zijden. Vanuit de organisatie vind je het niet meer dan logisch dat je geen loonsverhogingen geeft in moeilijke tijden, dat is immers geen recht dat de medewerker verworven heeft. De medewerker denkt daar heel anders over en heeft ieder jaar nog een loonsverhoging ontvangen dus men vindt dat ze er recht op hebben. Twee kanten van de medaille, zullen we maar zeggen.

Dit mag misschien allemaal niet zo belangrijk lijken maar toch moet je de medewerkers niet onderschatten. Hoe meer er intern bezuinigd en gereorganiseerd wordt hoe groter de kans dat medewerkers gefrustreerd raken en als dat vuurtje zich aanwakkert dan kan het zomaar zo zijn dat jouw bedrijf ook in de (virtuele) brand staat.

Hou je oren en ogen goed open en kijk hoe tevreden of gefrustreerd de medewerkers zijn. Misschien moet je het hoger management waarschuwen en na gaan denken over aanvullende beveiligings- en managementmaatregelen om de risico’s beheersbaar te houden.

Lekken informatie jaagt bedrijven op kosten

Gisteren hadden we het nog over IT-managers en andere medewerkers die bij reorganisaties informatie meenemen. Daar haalde ik al aan dat de echte schade daarvan onbekend is en nauwelijks in geld is uit te drukken. Maar aan de hand van onderstaand bericht kunnen we er toch enig gevoel bij krijgen.

Het lekken van bedrijfsgevoelige informatie kost bedrijven jaarlijks in totaal 115 miljoen euro. Bij circa 10.000 Nederlandse bedrijven zijn de afgelopen 5 jaar ongewenst gevoelige gegevens op straat komen te liggen. Het lekken van informatie gebeurde in 58 procent van de gevallen doordat medewerkers van een bedrijf overstapten naar een concurrent. Ook slordig gedrag 31 (procent) en diefstal (17 procent) worden als oorzaken genoemd (bron).

115 miljoen euro klinkt natuurlijk als een enorm bedrag, maar het is denk ik slechts het topje van de ijsberg. Dat topje dat boven het water uitsteekt en dat we kunnen zien. Maar net als bij een ijsberg zit het merendeel onder water. Daarvan weten we helemaal niet dat de informatie gelekt is.

Volgens de Vereniging voor Weerkunde en Klimatologie is slechts 10% van de ijsberg zichtbaar en zit dus 90% onder water. Als we die parallel trekken dan is die 115 miljoen euro dus slechts 10% van de totale schade.

Te weinig bedrijven monitoren hun informatie op een serieuze manier. Natuurlijk zijn er bedrijven die hun emailverkeer monitoren en natuurlijk zijn er bedrijven die nog steeds het gebruik van USB-sticks verbieden. Maar een integrale aanpak waarbij de daadwerkelijke data gemonitord wordt, kom je nog maar zelden tegen. En het is ook geen sinecure. We beschikken over Terabytes aan informatie en zorg er maar eens voor dat die gevolgd kan worden.

Dat lukt misschien nog bij informatie die in allerlei databases staat en daar kunnen we ook nog allerlei rechten opzetten. Maar hoe ga je om met al die Word, PowerPoint en Excel documenten die door de medewerkers zelf gemaakt worden. Als het goed is, is die informatie belangrijk voor de organisatie want waarom zou ze anders gemaakt worden? Toch zie je dat bij het vertrek van een medewerker zijn persoonlijke schijf na een paar weken geleegd wordt en de informatie dus verloren raakt.

Was die informatie dan niet belangrijk? Of weten we eigenlijk helemaal niet wat voor informatie onze medewerkers uit onze gegevens samenstellen? Blijkbaar niet en we missen die informatie ook eigenlijk niet als ze verloren gaat. Raar, toch? Als medewerker zet je je met hard en ziel in voor je organisatie en je zorgt voor allerlei informatie die jij voor je werk nodig hebt, maar bij ontslag is er niemand meer die er om maalt. En een overdracht vindt meestal ook al niet plaats.

Vertrekt er dus een medewerker (vrijwillig of niet) dan moet je je als organisatie afvragen over welke relevante informatie hij of zij beschikt en wat je daar dan nog mee wilt doen. Doe je dat niet dan zet je als organisatie misschien wel wat stappen terug in de tijd en kost die reorganisatie je straks meer dan dat hij je oplevert.

Helft IT-managers steelt bedrijfsgegevens bij ontslag

Ik kan me herinneren dat we het er in het verleden ook al eens over gehad hebben en hoewel ik de exacte cijfers niet helder meer voor ogen heb, is er gevoelsmatig niet zoveel veranderd de afgelopen jaren.

De helft van de IT-mangers die weet dat ze morgen ontslagen worden, neemt bedrijfsgegevens mee, zoals wachtwoorden en klantgegevens. Dat blijkt uit onderzoek onder 820 IT-managers in Amerika en Europa. Verder blijkt dat 45% van de managers toegang tot informatie op systemen heeft die niet nodig voor de dagelijkse werkzaamheden is (bron).

In tijden van reorganisaties zijn dit soort berichten goed om te delen. Helaas zullen we afscheid moeten nemen van een aantal medewerkers en daarbij proberen we (hopelijk) zo sociaal mogelijk met ze om te gaan. Het is immers allemaal al vervelend genoeg.

Toch zien we dat er te weinig rekening wordt gehouden met de rechten die die medewerkers hebben en de informatie waar ze bij kunnen. Voor je het weet is een deel van jouw vertrouwelijke informatie gekopieerd of gemanipuleerd. Voor je het weet zijn er bestanden weg die op de “persoonlijke” harde schijven van de medewerkers stonden.

Ook bij dergelijke reorganisaties moet je goed kijken naar de risico’s en de bedrijfscontinuïteit. Helaas gebeurt dat nog niet of slechts minimaal. Er wordt gekeken naar de grote hoop mensen en daarvan moet er van een bepaald percentage afscheid worden genomen. Je kunt vaak al je vraagtekens zetten bij hoe de daadwerkelijke selectie plaatsvind, maar dat is meer een managementprobleem dan een security issue.

Juist als we weten dat er onzekerheid gaat ontstaan in de organisatie zullen we de controles aan moeten scherpen. Maar helaas bezuinigen we meestal eerst op die controles en/of controleurs. Zij leveren immers al helemaal geen directe bijdrage aan de omzet en winst. Nee, sterker nog, zij zijn een directe kostenpost waar we op kunnen bezuinigen.

Ja, dan vraag je er als organisatie natuurlijk ook wel om. Toch is er maar weinig bekend over de echte schade die organisaties hiermee lopen. En ik denk dat die ook moeilijk in echte Euro’s (of Dollars in dit geval) is uit te drukken. Je zou je als organisatie af moeten vragen hoeveel klanten je bent verloren na je reorganisatie, hoeveel de omzet (relatief) is gedaald en welke informatie allemaal niet meer beschikbaar is. Maar of je daar een echt antwoord op zult vinden is de vraag.

Zaak is wel om, juist in tijden van reorganisatie en onzekerheid, goed de risico’s in de gaten te houden en de controles op te schroeven…maar, eerlijk is eerlijk: dat lijkt tegen dovemansoren gezegd want in de praktijk bezuinigen we daar eerst maar eens op.

Geheimhoudingsverklaring

Inmiddels hebben we de mensen allemaal verteld wat ze moeten doen, we hebben gedragscodes en sanctiebeleid waar ook nog eens voor getekend is. Als we ze dan toch allerlei formulieren laten ondertekenen dan kan de geheimhoudingsverklaring daar ook nog wel bij.

De vraag is daarom:
Wordt door iedere medewerker een geheimhoudingsverklaring ondertekend?

Het lijkt misschien een pure formaliteit en helaas is dat in de praktijk ook veelal het geval. Dat heeft niets te maken met de geheimhoudingsverklaring maar veel meer met het feit dat er nauwelijks gecontroleerd wordt welke informatie er zoal onze organisatie verlaat.

De geheimhoudingsverklaring is er op gericht om stappen te kunnen ondernemen als een werknemer tijdens het dienstverband uit de school klapt. Het merendeel van de medewerkers is zich daar, hopelijk, van bewust en past wel op met wat hij zoal de wereld in slingert. Maar hoe zit het met de informatie nadat de werknemer ontslag heeft genomen of gekregen?

Dan wordt het al een lastiger verhaal en misschien moeten we het ook nuanceren. Natuurlijk willen we niet hebben dat onze vertrouwelijke informatie bij de krant of concurrent terecht komt. We willen niet met onze eigen fouten geconfronteerd worden. Maar hoe zit het nu met die kennis die de werknemer heeft opgedaan?

Dan doel ik niet zozeer op de vertrouwelijke bedrijfsgegevens maar meer op algemene kennis. Hij heeft hopelijk een berg geleerd de afgelopen jaren en hij heeft zich goed ingezet voor de organisatie. Met zijn overstap naar een nieuwe carrière bij een ander bedrijf is hij die kennis niet ineens vergeten. Nemen wij zelf nieuwe medewerkers niet aan op basis van een bepaald denk- en werkniveau? Hoe is dat niveau behaald? Waarschijnlijk door een combinatie van opleiding en werkervaring.

Goed, wat in het hoofd zit van die medewerker wordt dus hergebruikt. En, ach, zolang het onze vertrouwelijke gegevens niet zijn, zullen we daarmee moeten leren leven. Maar hoeveel informatie is in digitale of geprinte vorm meegegaan met die medewerker? En wat vinden we daar dan van?

Stel dat iemand procesmanager is geweest. Zeer waarschijnlijk kan hij de opgedane proceskennis hergebruiken in zijn nieuwe werkomgeving. De procesflows waar hij jaren mee gewerkt heeft hergebruikt hij en herschrijft hij naar de nieuwe omgeving. Vinden we dat erg of accepteren we dat ook? Daar is geen eenduidig antwoord op maar is wel een aspect waar we eens over na moeten denken.

Te vaak zien we dat informatie voor het grijpen ligt. Op intranet staat hele boeiende informatie, op de servers nog meer en dan hebben we het nog niet over de sharepoint omgevingen gehad. Controleren we wel eens wat er met die informatie gebeurt? Weten we wie daarover kan beschikken en wat er mee gebeurt? Weten we hoeveel kopietjes er op USB-sticks worden opgeslagen of via webmail onze organisatie verlaat?

Natuurlijk doen we iets aan autorisatiebeheer, niet iedereen kan dus bij alle informatie. Allemaal leuk en aardig en hartstikke noodzakelijk. Maar deze medewerker is gewoon geautoriseerd, hij moet er immers mee werken. Maar als hij niet meer voor ons wil werken, moeten we dan de controle niet wat opschroeven?

Het hangt natuurlijk allemaal van de cultuur van het bedrijf af. We zijn in Nederland nogal gematigd en als iemand ontslag krijgt of neemt dan mag hij gedurende zijn opzegtermijn nog gewoon alles doen. Een risico, dat zeker. En dat risico wordt alleen maar groter als we weer een aantal befaamde reorganisaties aankondigen. Mensen worden onzeker en gaan vast hamsteren.

Vinden we dat niet erg en accepteren we dat dan is het goed om ons dat te realiseren. Accepteren we dat zeker niet dan zullen we na moeten gaan denken over de wijze waarop we de informatie beter willen monitoren. Een hele opgave, dat zeker, maar goed om niet te lang te wachten…want een volgende reorganisatie kan er zomaar aan komen.

Wraakzuchtige IT-directeur hackt ex-werkgever

Hadden we gisteren nog een Canadese scholier die misschien 10 jaar moet brommen omdat hij het netwerk van zijn school hackte. Vandaag hebben we een ex-IT-directeur die een mildere straf krijgt.

De ontslagen IT-directeur van het Amerikaanse Transmarx is tot een gevangenisstraf van 27 maanden veroordeeld wegens het hacken van zijn voormalige werkgever. De 53-jarige Darnell H. Albert-El moet daarnaast ook een schadevergoeding van 6.700 dollar (4.800 euro) betalen
(bron).

Ex-medewerkers zijn nog steeds een zwaar onderschat probleem. Zij hebben rechten op het netwerk en kunnen bij een groot aantal bestanden. Zijn het IT-ers dan is het risico alleen maar groter, want die beschikken over nog meer rechten en niet te vergeten kennis om het netwerk plat te gooien.

In tijden van reorganisaties en ontslagrondes moet met een dergelijk risico rekening worden gehouden. Denk daarbij niet alleen aan het verwijderen van bestanden of het platgooien van het netwerk. Nee, een evenzo groot gevaar is de bestanden en informatie die je organisatie verlaat op een illegale wijze. De documenten worden niet vernietigd maar wel in grote getale gekopieerd. Niemand die daar zicht op heeft en niemand die daarbij stil staat, zo lijkt het wel.

Je moet dan ook niet gek opkijken als jouw ex-medewerker ineens met open armen ontvangen wordt bij je concurrent. Met de informatie die hij heeft kan de concurrent je ineens voorbij streven. Misschien heb je de medewerkers een geheimhoudingsverklaring laten ondertekenen, maar toon jij als werkgever maar eens aan dat ze je informatie hebben gestolen. Een geheimhoudingsverklaring kan natuurlijk nooit kwaad, maar de echte meerwaarde is beperkt.

Natuurlijk moet je kosten besparen in moeilijke tijden (mijn mening is trouwens dat kosten besparen niet gelijk staat aan het ontslaan van mensen, maar goed dat is weer een ander verhaal), maar je moet wel degelijk rekening houden met de gevaren en risico’s daarvan. Wil je mensen meedelen dat ze ontslagen worden en ze vervolgens nog 3 maanden voor je laten werken? Of besluit je direct alle toegang te blokkeren zodat ze minder schade kunnen berokkenen? Dat is een keuze die je zult moeten maken, een risicoanalyse dus.

Niet alle medewerkers die ontslagen worden zullen je netwerk plat (kunnen) leggen. Misschien moet je je meer focussen op de risico’s die IT-ers met zich meebrengen. Maar wel alle medewerkers kunnen bestanden kopiëren en doorverkopen. Geloof me, het gebeurt meer dan je denkt. Iedere medewerker die vertrekt neemt wel een stukje informatie mee, het merendeel ter goede trouw (omdat ze er zelf aan gewerkt hebben) maar ook een deel met wrok in het achterhoofd.

Kortom: kijk ook eens naar de beveiligingsrisico’s bij grote reorganisatie rondes en ontslag van personeel. Je kunt er wat aan doen, maar daar moet je niet mee wachten tot het water je aan de lippen staat.

IT-manager begluurt honderden patientendossiers

Een Britse IT-manager moet mogelijk de gevangenis in omdat hij honderden patiëntendossiers begluurde. De 22-jarige Dale Trever bekeek in 431 gevallen de dossiers, die allemaal van vrouwen waren. In 336 gevallen ging het om de gegevens van familie, vrienden en collega’s…De IT-manager ging zelfs in het weekend terug om in de dossiers te grasduinen. Trever heeft inmiddels schuld bekend, maar ontkent dat hij de medische dossiers heeft aangepast of geprint. De rechter doet volgende maand uitspraak (bron).

Ja daar kun je op wachten zullen we maar zeggen. Er zijn al vaker discussies gevoerd over de IT-managers en IT-beheerders die toegang hebben tot alle systemen en gegevens zonder dat iemand daar achter komt (tenzij je natuurlijk een goede controle inbouwt of functiescheiding doorvoert). Geloof me het is een risico dat door organisatie te weinig wordt gezien en als het al gezien wordt dan wordt het onderschat.

IT-ers kunnen binnen vele organisaties overal bij, bij klanten dossiers, bij geheime gegevens maar ook bij de financiële gegevens. Vele IT-ers weten dan ook exact wat de directeur verdient. Zeker in tijden van reorganisaties is dit een reëel risico. Zodra er onrust ontstaat zijn je gegevens niet veilig meer. Dat geldt overigens niet alleen voor de IT-ers, maar ook voor de andere medewerkers.

Er wordt wel degelijk onderscheid gemaakt in mappen op servers. Zo kan een medewerker van afdeling A vaak niet bij de gegevens van afdeling B. Maar binnen de mappenstructuur van zijn afdeling kan hij vaak wel alles of heel veel zien. Een kopietje van die gegevens is snel gemaakt en de capaciteit van een USB-stick is ook geen beperking meer.

Reorganisaties, die soms erg onmenselijk zijn, zijn een reëel beveiligingsrisico voor organisaties. Juist in die tijden moeten de beveiligingsmaatregelen verhoogd worden en moet de beveiligingsafdeling voldoende budget hebben. Het omgekeerde is vaak waar, beveiliging is één van de aspecten waarop het eerst bezuinigd wordt, het heeft geen direct omzet gerelateerde meerwaarde (althans dat is de perceptie).

De komende tijd gaan er nog heel wat reorganisaties plaatsvinden en het is te hopen dat de medewerkers dan meer gevoel hebben voor de organisatie dan de organisatie voor de medewerkers. Helaas worden de medewerkers nog te vaak als kostenpost gezien (een erg oude management gedachte).

Oh ja een bijkomend aspect: medewerkers die je organisatie verlaten zijn een ambassadeur voor jouw organisatie. Als je ze slecht behandeld dan kan dat funest zijn voor het imago van de organisatie.

Kortom: reorganisaties zijn een groot beveiligingsrisico voor organisaties, maar dat wordt nog niet vaak onderkend. Schroef de beveiligingsmaatregelen op en behandel je ex-medewerkers met respect.

De beveiligingsrisico’s bij een reorganisatie

Een arbeidsconflict is de aanleiding geweest voor een schietpartij in de Verenigde Staten, waarbij negen mensen het leven verloren…Een werknemer van een bierdistributiebedrijf in de stad Manchester die op het matje was geroepen door zijn bazen, schoot om zich heen, vermoordde acht collega’s, waarna hij zichzelf doodschoot (bron).

Alcohol maakt meer kapot dan je lief is, zelfs als je broodnuchter bent in dit geval. Triest natuurlijk dat dit soort incidenten zich voordoen, maar ik denk dat veel managers dit toch nog onderschatten.

We zitten in een economisch moeilijk klimaat, er zijn vele reorganisatierondes en er zullen er naar alle waarschijnlijkheid nog vele volgen. Natuurlijk hebben de managers allemaal training gehad in moeilijke gesprekken maar een risico lopen ze daarbij altijd. Het merendeel van de werknemers zal gelaten en depressief het gebouw verlaten om er vervolgens nooit meer terug te keren, maar er is een categorie die de confrontatie niet uit de weg zal gaan.

Hoewel het doodschieten van je baas en collega’s wel erg ver gaat en we het gelukkig niet vaak horen, zijn er vele risico’s als gevolg van de reorganisaties (of in dit geval zwaar weer gesprekken). Heb je bijvoorbeeld wel eens stil gestaan bij:

  • Interne diefstal van laptops en vertrouwelijke informatie?
  • Het bewust verstoren van de processen of het infecteren van het netwerk met een virus?
  • De negatieve werkhouding die ontstaat en medewerkers die elkaar opjutten?
  • Het imago van de organisatie dat een knauw kan krijgen?
  • Gerichte aanvallen op het gebouw, bijvoorbeeld door vernieling en brandstichting?
  • Aanvallen op de managers of de directie van de organisatie?
  • Gijzeling van de familieleden van de manager?
  • etc, etc, etc.

Wil ik daarmee zeggen dat je als organisatie niet moet reorganiseren? Nee, natuurlijk niet, dat is de keuze van het management en in veel gevallen is die keuze beperkt: of we reorganiseren of we gaan failliet. In beide gevallen komt het personeel op straat.

Wat ik wel wil zeggen is dat je de risico’s voor de reorganisatie goed in kaart moet brengen en dat je het reorganisatieproces daar zo goed mogelijk op aan moet passen. Hoe vaak zien we niet dat iemand ontslagen wordt maar wel tot het eind van de maand moet werken (en dus over de toegangspas en rechten beschikt)? Hoe vaak zien we niet dat een reorganisatie een kille aangelegenheid is waaruit ieder menselijk aspect is weggelaten? Hoe vaak zien we niet dat de financiële afhandeling een drama wordt? Hoe vaak zien we niet dat er gezegd wordt dat er gezocht wordt naar een nieuwe baan maar de uiteindelijke begeleiding belabberd is?

Mijn advies in deze? Neem bij een reorganisatie ook de risico’s mee, niet alleen de risico’s voor de continuïteit van de bedrijfsprocessen maar ook de risico’s die de medewerkers en managers binnen je organisatie lopen. Voor medewerkers die te horen krijgen dat er voor hen geen plek meer is, is het altijd een hard gelach, maar met het juiste reorganisatieproces kun je een hoop risico’s voorkomen.

Zo zie je maar, op de gekste zaken kun je een risico analyse loslaten en wat mij betreft zouden we meer in risico’s moeten gaan denken.

France Telecom telt 25 zelfmoorden

Sinds februari vorig jaar hebben 25 zelfmoorden plaatsgevonden onder personeel van France Telecom…De golf zelfmoorden bij France Telecom heeft volgens vakbonden alles te maken met een reeks reorganisaties bij het bedrijf en de werkdruk (bron) en daarbovenop wordt nog een groot aantal mislukte zelfmoordpogingen gemeld (bron).

Ongelofelijk wat de cultuur en werkdruk binnen een organisatie met de medewerkers kan doen. Er zijn zat bedrijven die continu reorganisaties doorvoeren, vraag me of het management met dit soort risico’s rekening houdt. Ik kan me niet voorstellen dat dit als acceptabel risico gezien wordt, ik mag toch hopen dat de directie minimaal 25 nachten slecht heeft geslapen.

De oorzaak van de problemen ligt volgens betrokkenen voor een groot deel in de ontstaansgeschiedenis van France Telecom. Eind jaren negentig veranderde het gemoedelijke staatsbedrijf van weleer in een beursgenoteerde onderneming. De voormalige ambtenaren moesten gaan concurreren met andere aanbieders van telecom in Frankrijk. Vroeger ging het om dienstverlening, nu werden winst en aandeelhouders de toverwoorden (bron).

De mensen worden reorganisatiemoe, maar dit moet toch wel een verschrikkelijke bedrijfscultuur zijn. Volgens mij is de privatisering van KPN dan toch een stuk beter verlopen…