4 IT-geheimen die de rest van de wereld niet mag weten
09-01-2014
IT'ers kunnen overal bij en nemen allerlei afgeschreven apparatuur mee naar huis. 4 min of meer publieke geheimen van de IT.
IT'ers hebben veel macht, omdat ze het systeem zo goed kennen dat ze weten waar alle geheimen verborgen zitten. Maar hebben systeembeheerders zoveel macht dat CIO's 's nachts zwetend wakker worden? Gaan IT'ers er regelmatig vandoor met bedrijfsapparatuur? En betaal je veel te veel voor IT-ondersteuning? We maakten een rondje langs IT-consulants, systeembeheerders en IT-managers om hierachter te komen.
Publiek geheim 1: Systeembeheerders zien alles wat er gaande is
Iedereen die heeft gezien hoe het NSA-schandaal aan het rollen is gekomen door klokkenluider Edward Snowden weet wat voor schade een systeembeheerder met een eigen plan kan doen. Maar zelfs IT'ers hebben vaak niet goed welke ellende de onbeperkte toegang van systeembeheerders met zich meebrengt.
Werknemers hebben maar weinig geheimen voor een systeembeheerder die erop gebrand is mensen te monitoren. Met een sniffer kan de hele datastroom van een specifieke pc worden opgevangen, waardoor te zien is wat een werknemer verstuurt en welke sites ze bezoeken. Het enige wat ze tegenhoudt is hun eigen beroepsethiek.
Chief Strategy Officer Tsion Gonen van beveilingsbedrijf SafeNet denkt dat dit monitoren veel vaker voorkomt dan CIO's beseffen. "Ik schat dat het bij 9 van de 10 bedrijven gebeurt. Bedrijfsbeveiliging is vaak alleen maar zo sterk als de ethiek van de systeembeheerder zelf. "
"Het is onmogelijk in te schatten hoe vaak het daadwerkelijk voorkomt, maar gezien de wekelijkse stroom van berichten over op hol geslagen systeembeheerders, gebeurt het in elk geval vaker dan we willen", aldus de marketingdirecteur. "Het engste is nog wel dat de mensen die de grootste risico vormen voor de bedrijfsvoering in dit geval ook de mensen zijn die toegang tot systemen goedkeuren."
David Gibson, onderdirecteur bij datagovernance-provider Varonis is het ermee eens dat systeembeheerders veel meer toegang hebben tot data zonder dat het opvalt, maar schat dat het eerder in de helft van de gevallen gebeurt. Maar hij voegt eraan toe dat niet alleen de systeembeheerders te veel toegang hebben, maar dat ook veel gebruikers bij meer data kunnen dan nodig is voor hun werk.
Hij zegt dat de oplossing ligt in twee aspecten, namelijk de toegang verkleinen door een model waarbij de minst mogelijke toegang noodzakelijk is om je taak uit te kunnen voeren en door het monitoren van wie toegang verkrijgt tot data. "IT-organisaties moeten kunnen zien wie toegang heeft tot welke gegevens, van wie deze zijn en wie ze gebruikt heeft", aldus Gibson. "Daarmee kan IT de data-eigenaren direct betrekken bij het proces van het bepalen van rechten en van wat acceptabel gebruik is."
Publiek geheim 2: Werknemers nemen spullen mee naar huis
Oude hardware gaat maar zelden echt dood en vindt vaak een nieuwe eigenaar. En soms is dat bij de IT'er thuis. LVT (leuk voor thuis) noemen we dat ook wel eens. "Diefstal van afgeschreven apparatuur is heel gewoon", zegt Kyle Marks, CEO van Retire-IT dat zich specialiseert in compliance-issues die opdoemen na het afschrijven van IT-apparatuur.
"Ik ben nog nooit een IT'er tegengekomen die geen hardwarecollectie van meegenomen spullen thuis had. Voor de meeste mensen is dit ook geen misdaad, omdat het om afgeschreven apparatuur gaat. De meesten zien dit niet als een beveiligingsissue. Als apparatuur eenmaal is afgeschreven, wordt het gezien als vogelvrij spul."
Het probleem is dat apparatuur die voor de afvalstapel is bedoeld nog vaak gevoelige gegevens bevat. Het verlies daarvan kan leiden tot grote aansprakelijkheidsissues, zegt Marks. En het blijft diefstal van bedrijfsapparatuuur. "Dat houdt een groot aansprakelijkheidsrisico in. Een IT'er die niet zorgvuldig omgaat met die data, kan voor een kostbare misser zorgen."
In de meeste gevallen is de persoon die er zorg voor moet dragen dat de apparatuur netjes wordt afgevoerd - met de data grondig gewist - juist die IT'er die het niet zo netjes afvoert. Organisaties moeten daarom een soort 'omgekeerd aanbestedingsbeleid' nodig om te zorgen dat apparatuur correct wordt afgevoerd", aldus Marks.
Maar nemen alle IT'ers spullen mee? We spraken een deskundige op het gebied van afschrijvingen - die liever anoniem wil blijven - die zegt dat het probleem niet zo groot is als sommige mensen doen voorkomen. "Ik zeg niet dat het niet voorkomt, alleen dat ik maar weinig mensen tegenkom met die LVT-instelling", aldus deze ervaringsspecialist.
De meeste spullen verdwijnen niet vanwege kwade opzet, zoals het versturen van de apparatuur naar de verkeerde plaats of afdeling, voegt hij daaraan toe. "Het klinkt als een kwalijke generalisatie, vooral omdat veel bedrijven beveiligde diensten aanbieden en zich op een eerlijke en integere manier gedragen."
Publiek geheim 3: Je trekt aan het kortste eind qua ondersteuning
Klinkt dit bekend? Je hebt een gesprek met een technicus van een telefonische helpdesk en je krijgt de indruk dat ze de ballen verstand hebben van wat ze eigenlijk doen en maar een uitgekauwd scenario volgen. Weet je, dat klinkt zo omdat het zo is.
"IT-ondersteuning hoeft geen dure aangelegenheid te zijn", vertelt Tim Singleton, directeur van supportbedrijf Strive Technology Consulting. "De tools die het meeste werk doen zijn vaak gratis en er is veel minder kennis nodig om computers te beheren dan vroeger. Tegenwoordig kan de dochter van de buurman of een slimme jongen van de afdeling financiën je computerprobleem net zo goed oplossen als een IT-bedrijf."
Maar hoewel dit geldt voor simpele problemen, is het geen oplossing voor complexe zaken. Niet elk probleem valt netjes te vatten in de hokjes die veel goedkope IT-ondersteuningsorganisaties behandelen. Enkele standaardissues zijn snel gevonden, maar als het iets lastigers is, helpt die dochter van de buurman ook niet meer.
"Je betaalt dan uiteindelijk veel meer dan dat je betaald zou hebben met grondige ondersteuning", vertelt New York Computer Help-CEO Joe Silverman. Zulke hoge opruimkosten zijn vaak het gevolg van het inhuren van een goedkope helpdesk of door de eigen ondersteuningsafdeling te zwaar belasten.
"Die persoon bij financiën die soms je pc-probleem verhelpt, is waarschijnlijk te druk met zijn eigen werk om écht naar het probleem te kijken. Als er iets serieus mis is, zoals een interne malwaredreiging of een server die dreigt om te vallen, wie wil je dan dat er naar dit probleem, kijkt: die financieel deskundige of de netwerkexpert met 20 jaar ervaring?"
Publiek geheim 4: Er is een geheime aanvraagprocedure
In elke middelgrote of grote organisatie zijn er eigenlijk twee manieren om een aankoop goed te laten keuren. Er is een officiële procedure, met een aanvraag, wijzigingsbehandeling en andere tijdrovende stappen. Maar er is ook een tweede manier die alleen aan een kleine elite is voorbehouden, vertelt Mike Meikle, CEO van IT-consultancy Hawkthorne Group.
"Managers in de hogere regionen hebben hun eigen ingang", vertelt hij. "Wat een IT'er acht maanden kost via een officiële procedure, lukt een goedgeplaatste leidinggevende in een paar weken of zelfs sneller. Bijna elk bedrijf heeft zo'n officieus Elite Plan. Ik heb nog nooit een overheidsorganisatie of privébedrijf meegemaakt dat niet zo'n geheime procedure heeft."
Het idee achter een wijzigingsprocedure om materiaal aan te schaffen is om het moeilijker te maken voor werknemers om geld van het bedrijf uit te geven, vertelt de CEO. Tenzij ze weten hoe ze dat moeten omzeilen. Helaas wordt deze belangrijke truc vaak niet verteld aan de CIO die zich wel aan de procedure houdt. Dat betekent dat andere managers IT-aankopen kunnen doen zonder kosten-batenanalyse of een strategische visie.
"Ze gaan dan naar een lunchbespreking waarbij een leverancier mooie verhalen ophangt en opeens zie je dat het bedrijf een half miljoen uitgeeft aan een MDM-applicatie, niet beseffende dat er allang eentje actief is. En opeens heb je er twee."
Een anonieme consultant zegt dat dit wel meevalt. Meestal is er inderdaad een manier om de procedure te omzeilen, maar in de meeste gevallen is dat omdat de IT-afdeling het meteen nodig heeft en geen tijd heeft voor het bureaucratische proces. "Leidinggevenden buiten IT hebben niet genoeg kennis om een grote aankoop te doen", zegt hij.
"Zelfs als iemand van het bestuur de aanbestedingsprocedure weet te omzeilen, dan moet het contract nog steeds getekend worden voordat de leverancier het product kan verschepen. En als er iets mis is, dan staat de handtekening van het bestuurslid op het contract. Zo'n duidelijke verantwoording is als kryptoniet voor dit soort lui[RT1] ."
WebWereld Dan Tynan