Maadelijks Archief: september 2014

De kasteelvrouwe van Calimeromarketing 3.0

Door | Geen categorie | Geen reacites

“Omdat een inbreker niet met zijn tengels van mijn schrijfcomputer kon afblijven, kwam er een kink in de schrijfkabel en duurde het schrijven maanden langer dan gepland.” Aan het woord is Karin Romme, schrijfster van het boek Calimeromarketing 3.0. , dat kleine bedrijven helpt om zichzelf succesvol in de markt te zetten. Daarin is ze een kei, kan ik uit eigen ervaring vertellen: haar adviezen snijden hout en zijn goed toe te passen.

Maar op het gebied van security en continuity is er dus blijkbaar iets vreselijk fout gegaan bij Karin Romme.

Ook kleine ondernemers kunnen te maken krijgen met een inbreuk op hun security en continuity. En als zij daar – net zoals Karin Romme – niet op voorbereid zijn, dan komt het totaal onverwacht, zijn de gevolgen groot en duurt het herstel vaak langer dan je lief is.

Gelukkig kun je ook als Calimerobedrijf het nodige aan preventie doen.

Om te beginnen met het in kaart brengen van je kritische bedrijfsprocessen: als kleine ondernemer is dat niet al te ingewikkeld. Je weet immers waar je organisatie voor staat (raison d’etre) en waar je business van bestaat (waar je inkomsten vandaan komen). Karin Romme kent haar afspraken met de uitgeverij, eventuele klanten, en kan heel goed vaststellen hoeveel schrijfwerk of schrijftijd ze mag verliezen zonder in de problemen te komen.

Desgevraagd zou Romme vast niet hebben gekozen voor enkele maanden…

Dan komen de IT-deskundigen om de hoek kijken: welke reële risico’s kunnen in deze onderneming welke kritische bedrijfsprocessen verstoren? Ik kan me voorstellen dat voor Romme alles kritisch is, wat haar boek-in-wording (de data) bedreigt. Van inbraak, brand, kortsluiting tot wateroverlast. Een kapotte of gestolen pc hoeft geen probleem te zijn, als de data maar bereikbaar blijven.

Ik vermoed dat Romme geen back-up van haar bestanden bewaarde op een veilige plaats. Of wellicht deed ze dat wel, maar bleken die bestanden, toen puntje bij paaltje kwam, niet benaderbaar…

Kortom: of je nu een kleine of een grote onderneming runt, het is raadzaam om de gevaren te kennen en te weten hoe je kunt handelen als er onverhoopt iets gebeurt.
Mijn rol als consultant in security en continuity is een brug te slaan tussen de ondernemer of het management en de mensen van de IT: twee werelden die elkaar op deze onderwerpen soms maar moeilijk lijken te begrijpen.

Een lot uit de Staatsloterij?

Door | uit het nieuws | Geen reacites

intralotIntralot is gespecialiseerd in het bouwen en beheren van applicaties in de gok- en loterijwereld en draait daarmee een alleszins respectabele jaaromzet van 1,5 miljard euro. Ook de Nederlandse Staatsloterij en de Lotto maken gebruik van de diensten van Intralot. Maar waar is hun respectabiliteit gebleven sinds het akkefietje met de Staatsloterij? En wat betekent dat?

Hoe zat het ook alweer met Intralot en de Staatsloterij? Onbevoegde medewerkers van Intralot konden de database met lotnummers van de Staatsloterij rechtstreeks bewerken, zonder daarvan sporen in logboeken en dergelijke na te laten. Ook vanuit locaties op afstand. Mogelijk zijn regulier gekochte lotnummers vervangen door eigen lotnummers, maar niemand weet wat er precies gebeurd is.

Intralot lijkt dus onvoldoende grip te hebben op de integriteit van het systeem, de integriteit van de data en wellicht ook de integriteit van de medewerkers. En dat is nu juist de core-business van Intralot. Hun imago is daarmee ernstig geschaad. Hoe ernstig, dat is voor Intralot op dit moment een kwestie van afwachten.
Als Intralot een goede Business Impact Analysis (BIA) had uitgevoerd, dan was het wellicht niet zo ver gekomen. Dan had het management zich beter gerealiseerd wat er op het spel staat.

Een BIA kwantificeert de impact van falende processen en systemen op het gebied van security en continuity van je IT. Imagoschade is een van de impactfactoren. In het geval van Intralot is integriteit van systeem, data en medewerkers een bepalende factor voor het imago. Een BIA maakt duidelijk welke bedrijfsprocessen cruciaal zijn, wat je hebt te verliezen, en hoeveel het je waard is om dat te beschermen.

Stel dat het akkefietje met de Staatsloterij er toe leidt dat Intralot 10% van zijn omzet verliest omdat een aantal klanten er geen vertrouwen meer in heeft, dan gaat het om 150 mio jaarlijks. Het preventief aanpakken van de integriteit van systemen, processen en mensen, en al helemaal het uitvoeren van een BIA en een Risk Assessment valt hierbij in het niet.

Meer lezen over de Staatsloterij en Intralot in de Volkskrant .

Meer lezen over de Business Impact Analyse?

Of neem direct contact op voor een vrijblijvende afspraak.

De Staatsloterij en de (schijn)zekerheid van security certificaten

Door | uit het nieuws | Geen reacites

staatsloterijDe deelnemers aan de Staatsloterij zullen zich vast niet hebben gerealiseerd dat hun loten in de database terechtkwamen van een extern bedrijf, Intralot.

Nu blijkt dat onbevoegde medewerkers van Intralot deze database rechtstreeks konden bewerken, zonder daarvan sporen in logboeken en dergelijke na te laten. Ook vanuit locaties op afstand. Mogelijk zijn regulier gekochte lotnummers vervangen door eigen lotnummers, maar niemand weet wat er precies gebeurd is.

Hoe kan dit? Intralot heeft toch een certificaat van de International Standard on Assurance Engagements (ISAE 3402)?. Dat is toch een kwaliteitsstempel voor security waarop je als opdrachtgever kunt vertrouwen? Dat is in ieder geval het verweer van de Staatsloterij.

Maar zo’n certificaat is geen kwaliteitsstempel waarop je als opdrachtgever volledig op kunt vertrouwen. Niet omdat het ISAE 3402 certificaat (en alle andere overigens) geen waarde zou hebben, maar wel omdat certificaten specifieke zaken beoordelen en nooit een garantie zijn voor succes.

Certificaten hebben dus wel wat beperkingen:

  • Een certificaat hoeft niet voor de hele organisatie te gelden. Certificaten geven alleen de zekerheid dat een organisatie bepaalde – specifiek omschreven – processen volgt op de manier zoals ze dat zelf hebben vastgelegd.
  • Certificaten laten ruimte voor ongecertificeerde diensten van onderaannemers. Het is vaak voldoende om in de procesbeschrijving op te nemen dat je je onderaannemers controleert. De certificerende instantie controleert of de onderaannemer security rapportages opstuurt, en of die beoordeeld worden. Of de maatregelen van de onderaannemer effectief zijn kan niet worden beoordeeld..
  • Certificaten kijken naar het proces en minder naar het resultaat. Als in een certificaat staat dat de toegang tot de database gecontroleerd wordt, en dit is inderdaad het geval, dan is dat goed genoeg voor de audit. Maar is dit wel goed genoeg voor kritieke informatie?
  • Natuurlijk geeft een zorgvuldig gevolgd proces meer zekerheid op kwaliteit van de output dan wanneer een organisatie maar wat aanrommelt. Toch kun je er als opdrachtgever niet op vertrouwen dat het wel goed zit als je dienstverlener een certificaat kan overleggen.

Extra zekerheden die je als opdrachtgever kunt inbouwen:

  • Onderzoek welke scope het certificaat heeft: welke processen en welke delen van de organisatie vallen eronder? Het komt bijvoorbeeld voor dat de verkoopafdeling van een bedrijf is gecertificeerd, maar de technische dienst niet.
  • Neem in het contract op dat cruciale onderdelen van de dienstverlening regelmatig kunnen worden getest door een partij die je als opdrachtgever aanwijst. Stel bijvoorbeeld dat ‘controle op toegang tot systemen’ onderdeel uitmaakt van het contract, neem dan in het contract op dat er regelmatig een penetratietest wordt uitgevoerd door een gespecialiseerd bedrijf, door jou als opdrachtgever aan te wijzen. Dergelijke bedrijven kunnen bijvoorbeeld ook een systeemintegriteitstest doen.
  • Zorg ervoor dat je de kwaliteit van de processen kunt beoordelen. Het is prachtig als een bedrijf een bepaald proces keurig volgt, maar dekt dit proces alle risico’s af, zorgt het voor de benodigde kwaliteit van de output?

Als zelfstandig consultant kan ik je organisatie helpen de schone schijn van de certificering te doorgronden zodat je inderdaad kunt vertrouwen op de kwaliteit van output die je van je dienstverleners verwacht.

De feiten zoals die op 21 september bekend zijn:

  • Volkskrant van 20 september 2014: trekking Staatsloterij mogelijk manipuleerbaar
  • Er zijn onregelmatigheden geconstateerd.
  • Beheer en uitvoering van ‘de IT’ is door Staatsloterij uitbesteed bij Intralot
  • Onbevoegden (van Intralot) kunnen buiten alle inlog- en controlemaatregelen om de database rechtstreeks bewerken, ook vanuit remote locaties.
  • Intralot BV is ISAE 3402 gecertificeerd (International Standard on Assurance Engagements).