De systeembeheerder heeft veel macht: hij kan wachtwoorden, e-mail en andere gevoelige informatie inzien. Hij moet die verleiding weerstaan, maar dat is niet makkelijk. Het expertpanel Beheer helpt.
Het expertpanel van Computables topic Beheer stelt dat beheerders weliswaar veel macht hebben, maar dat daar ook verantwoordelijkheid bij hoort. Opvallend genoeg stellen de experts dat dat niet alleen iets van de beheerder is.
Ook zijn collega's én manager dragen verantwoordelijkheid. Mogelijk moeten zelfs eindgebruikers betrokken worden, want dat kan weer helpen mensen bewust te maken – zowel de beheerder als de eindgebruiker. Dit naar aanleiding van de machtspositie van de beheerder, die een grote rol speelt bij forensisch computeronderzoek. De beheerder kan een obstakel of zelfs de dader zijn.
Maak afspraken
Aad Brinkman, principal consultant bij Apreton, herkent dit uit zijn eigen ervaring: "Ik was in een grijs verleden systeembeheerder. Destijds was ik me erg bewust van de macht die ik zou kunnen hebben. Ik kon in alle systemen. Ik kon data – ook privé – van collega's inzien."
Brinkmans manager wist wel raad met de situatie. "Hij sprak mij aan op die verantwoordelijkheid en gaf aan die te willen delen en deed dat ook", aldus Brinkman. "Hij maakt aan mij, als jonge systeembeheerder, duidelijk dat hij heel goed wist wat ik zou kunnen doen. Samen legden wij het ook uit aan gebruikers en het management van de organisatie. Iedereen werd bewust van deze zaken en er werden heldere afspraken over gemaakt. Wat doe je met privédata, wat kan wel en wat kan niet? Hoe ga je om met bedrijfskritische gegevens? Etcetera. Daar ligt nou precies de oplossing. Let op: iemand die echt kwaad wil hou je niet tegen. Neem echter wel voorzorgsmaatregelen, wees open en direct en maak heldere afspraken. Dan kom je een heel eind."
Niet uitzonderlijk
Mark Smalley, directielid van de ASL BiSL Foundation, vindt het niet zo'n groot probleem: "Een kwaadwillende garagemonteur kan ook je remleiding doorknippen; wat dat betreft is de macht van een ict-beheerder niet uitzonderlijk." Voor de ict'er komt daar bovendien nog een groter ontdekkingsrisico bij: "Als er een dreiging van controle is, bijvoorbeeld door audit trails, dan is het gevaar een stuk minder."
Brinkman haalt de vergelijking met een garagemonteur echter onderuit: "Ik kon toen als systeembeheerder ‘iets flikken' onder de naam van een ander. De verleidingen zijn dan groot."
P&O screening
Sjaak Laan, infrastructuur architect bij LogicaCMG, verbaast zich over dit machtsprobleem en ziet een opvoedingstaak. "Goed beschouwd is het natuurlijk vreemd dat systeembeheerders zonder enige moeite inzage kunnen hebben in meer informatie dan de directie van een bedrijf. De (meestal jonge) systeembeheerders worden vrij gemakkelijk achter systemen gezet waar ze enorm veel macht over krijgen. Vaak zonder dat ze goed worden voorbereid hoe ze om moeten gaan met die macht."
Laan legt een deel van de verantwoordelijkheid ook neer bij P&O. "Er zou een goede screening moeten zijn van systeembeheerders. Let wel: die screening moet regelmatig herhaald worden."
Voor de toekomst ziet Smalley ook nut in sociale netwerken, zeker als die ook benut worden door leidinggevenden en P&O-afdelingen. "Wat ook gaat helpen is wanneer het fenomeen reputatiemanagement verder op gang komt: als je de boel belazert sta je niet meer in LinkedIn maar in LinkedOut. Probeer dan eens aan werk te komen."
Geen complete inzage
Daarnaast valt er ook aan de technische kant één en ander te verbeteren, stelt Laan. "Er bestaan al systemen die de systeembeheerder niet complete inzage in alle data geven. Alle data kan standaard gecodeerd (encrypted) worden opgeslagen en kan ook zo over het netwerk worden gestuurd. Alleen degene die inzage in de data moet hebben, zou hiervan de (digitale) sleutel moeten hebben."
"Voor het werk dat systeembeheerders doen is het meestal helemaal niet nodig om alle informatie van iedereen te kunnen zien. En mocht het nodig zijn, dan zou dat alleen moeten kunnen met medewerking van personen die normaal gesproken ook bij de informatie kunnen. Of in een uitzonderlijk geval met medewerking van het hoger management."
Deze gedegen, veilige aanpak heeft ook een nadeel, merkt Laan zelf al op: "Een dergelijke opstelling maakt het forensisch onderzoek naar frauderende medewerkers natuurlijk wel wat lastiger."
Belastinggegevens verkocht
Lezer Jan van Leeuwen ziet wel degelijk beren op de weg: "Ik ben lang systeembeheerder geweest en heb altijd toegang tot alle gegevens gehad. Dat betekent niet dat je naar believen gaat snuffelen. Normaal is daarvoor ook geen tijd, maar met een nieuwe generatie van point-and-click beheerders kunnen misschien meer problemen verwacht worden. Ook omdat ze het goede voorbeeld van hun directie krijgen, die met miljoenen gaat schuiven en die daar ook niet bepaald eerlijk aan gekomen zijn."
"Wanneer in een maatschappij de verdeling niet meer terecht is, kweek je problemen, dus ook deze. Dat is een maatschappelijk fenomeen dat niet specifiek voor de ict is. Vraag maar in Liechtenstein waar een ict-er gegevens van belastingontduiking van Duitsers op grote schaal aan de Duitse belastingdienst verkocht heeft. Een beter voorbeeld bestaat niet."
Vaak miskend
Ton van den Berg, business consultant bij Kender Thijssen, neemt het juist op voor de beheerder; die wordt vaak miskend. "In sommige kleine of middelgrote organisaties heeft een systeem- of applicatiebeheerder een positie als goeroe, nerd, techneut, God in Frankrijk of noem de scheldwoorden, liefkozingen en andere kwalificaties maar op. In het artikel worden ze jochie of jongen genoemd. Geen wonder, dat het een week duurt voor het gevraagde komt."
"Neem een beheerder eens serieus. Hij kan die vaak eenzame post aan, omdat hij een vak geleerd heeft. Je moet er niet aan denken dat hij weggaat. Niemand heeft grip op zijn werk of kan het controleren. In het beste geval heeft hij een geheimhoudingsverklaring ondertekend. Dit geldt vaak weer niet voor tijdelijke, ingehuurde beheerders." Van den Berg lijkt dan ook voorstander van de SysAdmin Day, die in Nederland weinig gevierd wordt.
Auditingtools
"Ict helpt de beheerder daarbij ook niet. Welke leverancier of producent van ict (applicatie of apparatuur) levert ook hulpmiddelen waarmee de beheerder bijvoorbeeld aangebrachte veranderingen in een systeem kan terugvinden? Laat staan dat een in- of externe auditor het kan. Welk systeem beschermt de beheerder tegen zichzelf en voorkomt daarmee, al dan niet opzettelijke, fouten?"
Volgens Van den Berg komt uit dat gebrek juist de grote macht van de beheerder voort. "Een beheerder in een middelgrote organisatie moet alle rechten hebben om tekortkomingen in systemen of applicaties te kunnen corrigeren, zodat de business verder kan. Beveiligingsnormen op het gebied van informatie- of netwerkbeveiliging veranderen daar niets aan, omdat zij uitgaan van de huidige complexiteit en de facto onbeheersbaarheid. Als de beheerder maar documenteert, maar wie stelt vast dat het gebeurt? Waarom gebeurt dat niet automatisch?"
Overzicht kwijt
Het automatiseren van deze kant van de automatisering is overigens niet alleen nodig om de beheerder te ontlasten of minder machtig te maken. "De complexiteit van ict neemt dusdanige vormen aan, dat vrijwel niemand de gevolgen van veranderingen of misbruik meer overziet. Een beheerder kan en mag rechtstreeks in configuratiebestanden, systeemregisters en stuurbestanden, maar ook in de personeelsdossiers wijzigen. Voor de organisatie lijkt er niets aan de hand."
Ook Van den Berg concludeert dus dat de systeembeheerder miskend wordt, ook door de eigen werkgever. "De hedendaagse beheerder is zich meer dan wie ook bewust van zijn verantwoordelijkheid voor de beschikbaarheid en veiligheid van zijn ict voor de organisatie. Hij zorgt ervoor, dat ict de business zo goed mogelijk en naar eer en geweten ondersteunt. Verlang echter niet, dat hij ook nog eens alle vormen van machtsmisbruik uitbant. Net als persoonlijke veiligheid in een bedrijf is ook ict-veiligheid een zaak van organisatie en van middelen, die de ict-industrie moet inbouwen."
Een leuk artikel. De ICT-wereld kan wat dit betreft nog veel leren van de bankwereld. In de bankwereld zijn er ook veel functies met een vergelijkbare machtspositie als beheerders in de ICT. Een van de oplossingen van de bankwereld is strikte functiescheiding. Dat is in de ICT-wereld (nog) niet het geval. Deze functiescheiding kan niet alleen doorgevoerd worden voor “Human Resource” functies maar ook voor “ICT Resource” functies. Bijvoorbeeld kunnen de “End-User” en “Beheerder” “Human Resource” functies veel stricter gescheiden worden dan nu het geval is. Ook kunnen bijvoorbeeld de “ICT Resource” functies “Information” vs. “Data” of “Storage Security” vs “Communication” veel beter gescheiden worden dan nu het geval is.
Kan iemand mij duidelijk wat de heer Heinen hier wil behalve zichzelf interessant maken?
Hij was klaarblijkelijk nog nooit beheerder in een organisatie met gevoelige gegevens. Voorstander zijn van functiescheiding kan men in een zin zeggen en draagt niets bij tot inzicht, kennis of een oplossing.
Er is een simpel antwoord: verplicht beheerders tot dokumenteren en zorg dat het consequenties heeft wanneer dat niet gedaan wordt (ook na het verlaten van het bedrijf). Maar geef ze dan ook de tijd daarvoor!
@Jan van Leeuwen
We hebben reeds jaren systemen operationeel waarin de geschetste functiescheiding tot volle tevredenheid is doorgevoerd. Bij de uitwisseling van vertrouwelijke gegevens zijn de rollen van de End-User en de Systeem beheerder volledig gescheiden.
Ook is in deze systemen de geschetste scheiding van Informatie Security en Data Communicatie volledig gescheiden.
Deze volledige scheiding van funkties werkt zeer goed en naar volle tevredenheid. Het is in deze systemen bijvoorbeeld gegarandeerd dat een beheerder niet bij onbeveiligde informatie kan komen. Tevens is het gegarandeerd dat een end-user nooit de controle kan verkrijgen over de netwerk functionaliteit.
Wat betreft de scheiding tussen onbeveiligde en beveiligde informatie valt er mijns inziens in het ICT-beheer nog heel wat te verbeteren.
Ja daarom heet die functie ook systeem”beheerder. beheerser” ;-). En die verantwoordlijkheid wordt over het algemeen zeer zwaar onderbetaald, ondergewaardeerd en uitgebuit door de rest van enterprise!
En dat een systeembeheerder alleen bij de dingen zou moeten kunnen die hij – uit hoofde van zijn werk – nodig heeft is helemaal waar! Vaak is een systeembeheerder almachtig op het company netwerk, en das een reden te meer om in je enterprise de functie van een ict-auditor in te schakelen. Zie ‘m maar als de accountant van je systeembeheerder.
@Aad…
Gefeliciteerd, Jij heb een geluk gehad een goede manager te treffen! Bewustwording is het hoogste goed wat je als ict-er kunt hebben, daarna om kunnen gaan met de verantwoordelijkheid. Deze eigenschappen vind je nooit terug in functioneringsgesprekken en salarisschalen 😉
@Sjaak :
Helemaal mee eens! En idd iemand die toch bewust kwaad wil hou je niet tegen. Het merendeel van de ‘security breaches” komt van binnenuit je organisatie en niet van buiten. Hiermee is weer bewezen dat ict mensenwerk is en blijft , en dat dit een zeer belangrijk issue zou moeten zijn op de hrm agenda. Als de vertrouwensbasis weg is in een bedrijf, kunnen als snel daarna meerdere zaken volgen die je niet wil intern missen 😉
“Geen complete inzage”
Goed punt, zo leg je de verantwoordelijkheid ook buiten de ict afdeling, net zoals dat nu al gebeurd bij de afdeling financien. Die word ook regelmatig gecontroleerd door een (hopelijk externe) accountant?
En bij frauderen medewerkers, heb je een betere P
AND O afdeling nodig.
Denk eerst eens na WAAROM mensen gaan frauderen, wat is hun motivatie voor fraude gedrag?? Als je daar niet achterkomt (de basis) dan ben je een veelvoud aan tijd kwijt in de security corner.
@Jan
Precies.. goed voorbeeld doet goed volgen. leuke kreet “point and click beheerders” Bedoel je hiermee die papieren MCSE tijgers die alleen maar schermpjes kunnen kijken maar nog geen commandline script kunnen schrijven of weten van een interrupt is 😉
@Ton..
Dit is in mijn ogen ook issue nummer 1. Als systeembeheerder DRAAG je – uit hoofde van je functie – ictmatig een gehele enterprise. Vaak word je financieel, emotioneel, organisatorisch als voetveeg behandeld, en dan spreek ik helaas ook uit eigen ervaring.
Maar ow wee als “de server down is”, dan krijg je als sys_admin “je 10-Minutes-Of-Fame, geven ze je het gevoel dat je even God bent” totdat alles weer werkt. Dan word je weer teruggetrapt in de kelder van de enterprise en er word niet meer naar je geluisterd. Until the shit hits the fan again, meestal your fan ;-(
“Sys_admin day”
Iedere dag zou Sys-admin day moeten zijn, want zij/hij DRAAGT jouw enterprise op zijn nek. Een CEO kan doodvallen, die is (sneller) vervangbaar dan een systeembeheerder. En dit word door menig leidinggevende niet of nauwelijks beseft. Of ze weten het maar al tegoed en kunnen / willen er niet mee omgaan. En voor sys_admins die nog dagelijks vechten om (h)erkenning.. “de server” is ook maar een machine en machines gaan wel eens down door Murphy toch? 😉 En een griepje is zo opgelopen hatsoee.. Het crash_recoveren van een flinke burnout duurt voor jou langer dan het terugzetten van de backup van je serverfarm, En tegen de tijd dat jij de werkvloer weer KUNT betreden, ben je al lang vervangen door zon inhuur “point-and-click-beheerder” Think about that for change als je weer eens overuren maakt
Plaats je gezondheid op de eerste plaats.. dit kun je niet backuppen, down == down!
“Auditing Tools”
“Als de beheerder maar documenteert, maar wie stelt vast dat het gebeurt?” Is hier dan nog wel tijd voor? Vaak hebben beheerders het zo druk, dat ze er niet aan toe KUNNEN komen, ook al zouden ze dat willen! Wiens verantwoordelijkheid is dat? Juist company mnagement, maar die klagen alleen maar dat het werk niet snel genoeg gaat, het werk nog niet af is. Maar extra resources, budget of personeel naar de ict afdeling schuiven ho maar 🙁
Gek he dat er dan vele ict-ers afbranden, opraken. Maar ja das niet belangrijk in hun ogen, want dat trekt je gewoon een nieuw blik mensen open of je outsourced je gehele ictafdeling, dan is het andermans probleem.
“Overzicht Kwijt”
Dan doe je toch iets fout in mijn ogen.
Automatisering van automatisering is in mijn ogen een MUST om de werkdruk te verlagen en bij pro-actief te blijven.
Het is zeer in-efficient om – als systeembeheerder niet je eigen toke EERST zover mogelijk te automatiseren. Das toch de basis waarom dit spul is uitgevonden? Of ben jij nog steeds slaaf van de companies ict-infra-structuur?
Aan de andere kant zul je dan ook wel geen voldoende
– tijd
– middelen
– resources
– budget
hebben gekregen van jouw leiding gevenden om jouw werkplek eerst te tweaken en optimizen to the max “want dat levert niet op op de account balans van de ict afdeling bla bla bla”.
@van den berg:
Helemaal mee eens. Erkenning,en voldoende budget, waardering, en de ruimte om zichzelf te mogen en kunnen ontplooien! geeft de systeembeheerder vleugels en daar profiteert de gehele company van.
– Ja het duurt effu voordat je ROI ziet
als ongeduldige CEO.
– Ja het kost een paar centen, maar dan heb je ook wat.
– Ja het zou handig zijn als de systeembeheerder – zo vroeg mogelijk – ict-matig betrokken werd bij IEDERE company beslissing, toekomstplan.
Dan weet zij,hij bij voorbaat wat er gaat komen, kan alles rustig voorbereid worden, en gaat het van een leien dakje. Dan word de sys_admin niet op het laatste moment gebruikt als “ict-elastiek” tussen de verschillende niet samenwerkende machts-eilanden in je bedrijf, om alle planning, communicatiemissers aan elkaar te knopen.
Dat geeft minder stress en daardoor blijft de sys_admin met plezier naar zijn werkplek komen.
Voelt u ‘m?? wat u zelf in de hand heeft om het leven van uw sys_admin zo aangenaam mogelijk te maken.
Dan word iedere dag weer sys_admin day en gaat ie eindelijk gewaardeerd worden, GELIJK ieder ander company personeelslid.
Veel succes met het opnieuw (her)bouwen en communiceren aan uw trust_relation_ship met de vrouw, man, het team waarop uw enterprise steunt.