Skip to main content

Blog Archives

Older posts
Newer posts

Continuous Auditing & Continuous Monitoring (CA/CM): How to Overcome Hesitation and Achieve Success

This article describes the main outcomes of a CA/CM survey, a CA/CM success story and important lessons learned for a CA/CM implementation. The survey was conducted within the EMA region (Europe, Middle East, and Africa) and was intended to determine the current status and future expectations of CA/CM within organizations. The main conclusion was that, although organizations understand the benefits of CA/CM, current adoption of CA/CM is still low due to hesitation. Based on the survey results we concluded that the problem was not any negative attitude toward CA/CM; rather, the low adoption was mainly caused by not knowing how to apply CA/CM to the organization and how to determine the business case for it. We have included a CA/CM success story where, based on events, the need and business case for CA/CM were evident. This organization implemented CA/CM throughout the whole organization to prevent fraud and also found other cases for using CA/CM. The final part of this article describes important lessons learned for successful CA/CM implementations to help other organizations achieve their own CA/CM success stories.

Introduction

Organizations are nowadays faced with increasing pressure, both internal and external, to provide assurance on financial reporting and on the reliability and effectiveness of their business processes. For example, we will describe a case where the client paid a fine of 150 million euros for failing to follow government regulations. At the same time, organizations want to have more insight into how risks are mitigated throughout the organization. In the current economic climate this assurance and insight must be obtained with a high degree of efficiency, and new IT developments are increasingly used to achieve this. Implementing Continuous Auditing or Continuous Monitoring (CA/CM) not only contributes to obtaining efficient assurance and insight, but often also provides insight into potential ways to establish reliable and efficient business processes.

The added value that CA/CM provide for organizations

In general, CA/CM adds value by improving compliance with laws and regulations and by supporting business goals. From a technology perspective, CA/CM enables a high degree of automation for monitoring systems and data, and implements closed-loop mechanisms for any exceptions detected. As a monitoring mechanism, CA/CM helps to detect irregularities in system configurations, processes and data, either from a risk or a performance perspective. Potential benefits of CA/CM include:

  • Enhanced and more timely oversight of compliance across the enterprise;
  • Improved efficiency and effectiveness of the control environment through automation, leading to cost-reduction opportunities;
  • Business improvement through reduced errors and improved error remediation, allowing reallocation of resources to activities that add value;
  • The ability to report more comprehensively on compliance with internal and regulatory requirements

C-2013-3-Scherrenburg-01

Figure 1. Sample compliance monitoring dashboard for IT. Source: BWise IT GRC solution.

The definition of CA and CM[[KPMG2008]]

Continuous auditing (CA) is the collection of audit data and indicators by either the external auditor or the internal auditor in information technology (IT) systems, processes, transactions and controls on a frequent or continuous basis throughout a period of time.

Continuous monitoring (CM) is a feedback mechanism used by management to ensure that controls operate as designed and that transactions are processed as described. This monitoring method is the responsibility of management, and forms an important component of the internal control structure.

Main outcomes of the CA/CM survey

CA/CM is winning ground within organizations that aim for continuous control and continuous performance. The level of awareness, the increasing availability of tools and the aim for greater efficiency in assurance are important drivers for further investigation into what CA/CM can bring to the organization.

Examples of CA/CM tools

  • BWise Continuous Monitoring & Audit Analytics
  • SAP Fraud Management
  • RSA Archer
  • Aptean Event Management Framework
  • IDEA Caseware Monitor
  • Data2Act
  • ACL AuditExchange
  • Oversight Systems
  • SecurityWeaver

This section summarizes the outcome of an online EMA survey. The online survey was rolled out across the EMA region and contains responses from 718 individuals. The respondents are primarily from internal audit departments as well as from boards of directors, operational/line management in the office of the CFO, and finance and risk management sectors throughout the organization.

Respondents do understand the benefits of CA and CM. As depicted in Figures 2 and 3, 89% of the respondents realize that CA aims to bring comprehensive assurance with greater coverage across the organization; and 90% understand that CM enables the detection and correction of irregularities and helps to identify process improvements. However, understanding the benefits of CA/CM alone cannot drive it forward. Strategic drivers include the pressure to strengthen governance, enhance performance and accountability and improve oversight for global operations. Operational drivers include the occurrence or risk of fraud and misconduct and process improvement through the identification of irregularities on a continuous basis. External drivers include the expanding regulatory and risk environment, scrutiny from rating agencies, and an uncertain economic environment.

C-2013-3-Scherrenburg-02

Figure 2. Benefits from CA.

C-2013-3-Scherrenburg-03

Figure 3. Benefits from CM.

CA/CM is considered to be most valuable in scenarios where processes are repetitive and susceptible to risk, e.g., financial management reporting (82%). These processes are often transaction-based and supported by applications with structured data. On the whole, CA/CM helps to foster a culture focused on efficiency. For example, organizations can use CM to help align components of the purchase-to-pay cycle so vendors are not paid too early but in line with the terms of the contract. Automating manual processes to detect issues early can save remediation costs. Obviously, preventing errors from occurring improves the overall business process efficiency as well.

Eighty five percent of the respondents stated that the internal auditors introduced CA/CM into the organization and that they are also seen as its main beneficiary (85%). Operational/line management is not often the initiator (59%) of CA/CM but certainly enjoys its benefits (85%). Internal audit often triggers CA/CM initiatives because it has experience with data analytics from a control testing perspective and CA constitutes the next logical step. Operational/line management is not often the first initiator of CA/CM but does benefit from it. This may be due to the fact that operational/line management does not solely act from a risk perspective – it is primarily responsible for the organization’s core business processes. However, operational/line management realizes that its responsibilities extend further and include internal controls, which are often closely linked to CA/CM.

The current state of adoption is low. Only 9% of respondents have both CA and CM embedded across their organizations. However, a remarkable 83% have at least considered implementing CA/CM. The main reason for this gap is that organizations find it difficult to quantify the benefits of CA/CM to justify the business case for its implementation. The first step towards adoption is to build a business case to secure support from senior management and to outline the objectives, scope, expected costs and projected benefits of CA/CM. Starting on a small scale (e.g., by experimenting with tools on pilot projects) allows management or internal auditors to test the CA/CM concept first. The next step is to draw up a road map to be able to fully achieve the objectives of the CA/CM implementation.

Respondents consider the limited insight into the CA/CM tooling available on the market as the largest barrier to the adoption of CA/CM (69%). As illustrated in Figure 4, it is not always clear what suitable CA/CM tooling should consist of. From our perspective, CA/CM tooling includes at least: data extraction (from source systems), data analysis, case management (to make exceptions actionable) and reporting (e.g., via dashboards). Advances in technology have paved the way for increased use of CA and CM in organizational processes, transactions, systems, and controls.

The success of a CA/CM initiative is highly dependent upon the effective implementation and use of the right technology tools. In the same way, those tools will only be successful if used effectively. Currently 75% of the respondents are using IT tools, with only 13% of them using business intelligence (BI) dashboards and 10% using dedicated CA/CM tools. Furthermore, CA/CM is partly a technology solution and this obviously requires expert knowledge.

Organizations need to evaluate how suitable the features, functions and capabilities of any tool are for their needs before engaging a specific tool provider. They should take steps to increase their knowledge and become more familiar with the concepts of CA/CM in order to overcome specific barriers to the implementation of CA/CM.

C-2013-3-Scherrenburg-04

Figure 4. Barriers to adoption.

Organizations are changing from just being interested in CA/CM to actually investing in CA/CM-related projects. In the next two years, the percentage of organizations that are not investing in CA/CM will decline from 37% to 19%, while 62% expect to commence projects valued at up to €250,000 (Figure 5). Organizations are eager to learn, but shy away from high up-front investments. Some companies have successfully managed the cost challenges associated with CA/CM by integrating these into wider project budgets. For companies looking to implement CA/CM, pilots can deliver results quickly and potentially help CA/CM to become auto-financing. An investment in CA/CM fits well in the context of a larger business intelligence initiative where CA/CM can provide critical business decision-making capabilities. In most other cases, an incremental approach based on an ROI analysis may be more appropriate.

C-2013-3-Scherrenburg-05

Figure 5. Past and future investments in CA/CM.

The key observations of the EMA survey are:

  • Respondents do understand the benefits of CA and CM. They realize that CA aims to bring comprehensive assurance with greater coverage across the organization. Many believe CM is set up to detect and correct process irregularities and helps to identify process improvements;
  • CA/CM is considered to be most valuable in scenarios where processes are repetitive and susceptible to risk, e.g., financial management reporting;
  • Most of the respondents stated that the internal auditors introduced CA/CM into the organization and that they are also seen as its main beneficiary. Operational/line management is not often the initiator of CA/CM but certainly enjoys its benefits;
  • The current state of adoption is low. However, a remarkable number of respondents have at least considered implementing CA/CM;
  • Respondents consider the limited insight into the CA/CM tooling available on the market as the largest barrier to the adoption of CA/CM. It is not always clear what suitable CA/CM tooling should consist of;
  • Organizations are changing from just being interested in CA/CM to actually investing in CA/CM-related projects.

Case study: large-scale implementation of CA/CM

Background

The client was accused of paying bribes. This accusation led to comprehensive investigations by the government. The bribes were paid to secure new deals. An estimated total of 14 million euros in bribes was paid in the period between 2002 and 2005. As result of the investigations, the client had to pay a fine of 150 million euros for failing to follow government regulations. In addition to the fines, the client received a lot of negative publicity and a number of board members and employees were terminated.

Design and build phase

The public prosecutor said that there was no sufficiently effective internal control system for detecting bribes. Therefore, a solution to monitor the entire purchase-to-pay process had to be introduced. The design phase resulted in 23 blueprint documents regarding system architecture, data analytics, security, training, etc. In the design phase a lot of attention was paid to the flexibility and scalability of the solution, in order to make the solution applicable for future extensions such as order-to-cash controls, IT controls and business performance indicators.

Due to very specific client requirements, the solution existed of a combination of software applications and databases (Figure 6) instead a of commercial off-the-shelf CM software. Key requirements were connection to multiple source systems, both SAP and non-SAP and integration with Microsoft SharePoint for case management and reporting. The scheduling tool was used to trigger the data extraction and data analytics processes in the backend. The data analytics rules (queries) were build in an Oracle database (the standard database at this client). The results of the data analytics were pulled into a Microsoft SQL Server database to allow integration with Microsoft SharePoint.

C-2013-3-Scherrenburg-06

Figure 6. Conceptual overview of CM architecture

To monitor the entire purchase-to-pay process 40 controls were defined in two categories: process controls and access controls. The process controls consisted of master data controls (e.g., changes to bank accounts), transactional controls (e.g., direct invoices), customizing controls (e.g., changes to three-way-match settings) and transactional analysis to detect violations in the segregation of duties (e.g., posting of an invoice and purchase order by the same person). The access controls consisted of personnel authorizations (e.g., who is authorized to process payment) and segregation of duties (e.g., who is authorized for both posting purchase orders and invoices). Figure 7 depicts an overview of the main controls in the different sub-processes of the purchase-to-pay process. As described in the previous section, we think that for companies looking to implement CA/CM, pilot projects can deliver results quickly and potentially help CA/CM to become auto-financing. As an example, organizations can start a pilot project with only one source system and select the most critical controls of the purchase-to-pay process to implement.

C-2013-3-Scherrenburg-07

Figure 7. Overview of controls in the purchase-to-pay process.

During the development phase significant effort was put into building workflows to provide follow-up when alerts were triggered, to escalate the level of alert in some cases, and to reduce false alarms. For some alerts a dynamic workflow was used: the person who triggered an alert in the source system (e.g., SAP) was also the person who received the alert. This led to a reduction in workload: i.e., the person who could best explain and solve the alert was directly involved in the follow-up.

For each alert a second person (often the boss of the first person) would be informed about the alert, as part of ensuring disclosure of alerts. This person was also responsible for reviewing the explanation and possible remedial action by the first person. In addition, an escalation workflow was triggered in case no timely follow-up was performed. Escalation included multiple steps with particular time intervals (e.g., 30 days). The last escalation step was informing the CFO.

In case an alert was a false alarm, an exception or override could be created. An exception could be based on information identified by the alert-triggering mechanism indicating that an alert is unnecessary. The fields in the alert on which the exception could be created were predefined (e.g., vendor) and the content of the field could not be changed: e.g., if an alert contained information about vendor ABC, no exception could be created for vendor XYZ. The creation of each exception triggered a new workflow for approval because it was a critical function (future alerts were excluded). Each year internal audit reviewed all exceptions, to ensure that only appropriate exceptions were created.

Roll-out phase

After the implementation of the CM solution the next step was to do a roll-out of the solution to the different sites and countries including Germany, France, Switzerland, Denmark, US, China. Two implementation teams were created (one for each division) that travelled to the countries where the client had local sites. A typical roll-out included the following phases: preparation, delta concept, configuration, test & acceptance and go-live. The preparation phase included the explanation of the CM solution, the controls and the roll-out process to the local site.

The purpose of the delta concept, which consisted of a number of workshops with the purchasing and finance department, was to verify whether the controls in the CM solution were applicable for the local site (e.g., a control might not be applicable because the local business process was different). Based on the delta concept it was decided which controls could be implemented for the local site and which exceptions could already be configured (e.g., exclusion of specific general-ledger accounts). Secondly, a dry run was performed on the controls with actual data from the site. The alerts created based on the dry run were reviewed with the business, and settings were adjusted in the CM solution to remove false positives that would trigger false alarms.

In the test & acceptance phase the user acceptance test was performed. People from the purchasing and finance department had to post bookings in the source systems. We knew that some would lead to alerts and some not. These people were then asked to check the CM solution to see whether an alert had been created or not. Furthermore, in this phase the people were also trained in using the CM solution.

The final phase of the roll-out was the Go-live. When the CM solution produced stable results (i.e., an appropriate number of alerts) for a couple of weeks in a row, a decision was made to perform a complete go-live or to do a partial go-live (a limited set of controls).

Results and critical success factors

The implementation of the CM solution was a success: a lot of irregularities were detected via the CM solution, although most were related to human errors instead of fraud. After some initial skepticism at the local sites, people starting seeing the advantages of such a powerful tool. It reduced manual work in monitoring controls and it detected human errors. As result of positive feedback, plans are now being made to expand the usage of the CM solution to more areas than controls alone: for example, to improve business performance. The critical success factors of this project were:

  1. Building a CM solution of standard technology components already in use by the client
  2. The buy-in of the client’s key stakeholders and project members
  3. A flexible and scalable solution regarding growth, functionality and multi usage
  4. A lot of attention on end-user acceptance (e.g., through reducing false alarms)

In the next part we will describe lessons learned based on this and other CA/CM implementations.

Implementing CA/CM: The lessons learned

Organizations should realize that effective implementation of CA/CM can take time and effort. A variety of challenges can be expected along the way. Implementing CA/CM goes beyond technology. It is about changing the nature, speed and visibility of information on risk and performance. This should ultimately transform the way in which business decisions are being made and monitored. But most of all, implementing CA/CM is about understanding the extent to which CA/CM can transform processes, risk and controls, technology, and people.

Lessons have been learned from CA/CM implementations at different organizations:

C-2013-3-Scherrenburg-08

Figure 8. Lessons learned for achieving successful CA/CM implementations.

1 Start with smaller pilot projects to explore the potential of the CA/CM concept

For companies looking to implement CA/CM, pilot projects can deliver results quickly and potentially help CA/CM to become self-financing. An investment in CA/CM fits in well in the context of a larger business intelligence initiative where CA/CM can provide critical business decision-making capabilities. In most other cases, an incremental approach based on an ROI analysis may be more appropriate.

To enhance the impact of the pilot project it is critical to only select controls or KPI’s for CA/CM that directly result in significant reduction of critical risks or in business performance improvements. After a successful pilot the actual CA/CM implementation can include more controls and KPI’s to have wider coverage of risks and potential performance improvements.

2 Manage cost challenges by integrating CA/CM pilots into wider projects

One way that some companies are getting round the issue of cost is to build CA/CM into wider projects, such as major ERP or GRC implementations or upgrade projects. Typically these projects have significant budgets and expenditure on CA/CM is small in comparison. This moves the cost burden away from cost centers (like internal audit) that have very little spare budget. It can also expand the potential value, by recognizing the benefits of business process efficiency and by ensuring that control and compliance efforts of different compliance functions are coordinated, using the same methods and tools ([KPMG2010]).

3 CA/CM is largely just automating manual labor, which can be used as a business case

During the current economic downturn, budgets are tight and competition for funding is tough. The first step towards adoption is to build a business case to secure support from senior management and to outline the objectives, scope, expected costs and projected benefits of CA/CM. Automating manual processes to detect issues early, prevent escalation of problems and decrease the manual analysis or intervention needed can save retrospective remediation costs. Obviously, preventing errors from occurring improves the overall business process efficiency as well. Typically, areas that tend to have the greatest return on investment (ROI) in an initial CA/CM implementation include manual journal entries, time and expense, tax, purchase-to-pay, order-to-cash, and inventory management.

4 Get involvement from business owners, compliance regulators, and assurance providers directly from the start of the project

We have found that internal audit is often the catalyst to get CA up and running, and that CA can be implemented successfully without CM. But, in the long run, management typically ends up adopting some of those responsibilities commonly associated with CM, thus allowing audit to provide assurance over the effectiveness of management’s CM processes and helping prevent the lines of responsibility from becoming blurred.

5 Investigate whether you can leverage software you have already purchased

CA/CM is partly a technology solution, so it obviously requires expert knowledge. At the same time there appears to be uncertainty about what functionality CA/CM tooling actually provides. From our perspective, CA/CM functionality includes at least data extraction (from source systems), data analysis, case management (to make exceptions actionable) and reporting (e.g., via dashboards). Organizations often have “in-house” tooling which includes one of these functionalities. If this is the case, then investigating whether they can leverage this software may be a more appropriate alternative than implementing expensive CA/CM tools.

6 Integrate CA/CM as much as possible in the existing management reporting structures

Typically, CA/CM is most valuable in scenarios where processes are repetitive and susceptible to risk (e.g., financial management reporting). These processes are often transaction-based and supported by applications that run on structured data. CA/CM tooling implemented on applications that run on structured data can easily be modified and extended to meet specific management reporting requirements.

7 The number of false alarms should be at an acceptable level to ensure buy-in from the end-user

Before significant resources are allocated to monitoring controls and transactions, management will need to consider whether the existing controls are the most effective to be able to address the underlying risks. In addition, management should give careful consideration to what should be measured, where the necessary data resides, and the quality of the data. Simply “switching on” rules that may exist within a standard technology tool without refining them could result in an unmanageable number of “exceptions” or “false positives” requiring attention, in turn resulting in increased inefficiencies as well as a false sense of assurance. Similarly, “switching on” poorly designed rules may also result in a false sense of assurance.

8 Visualizations can help the business to identify trends and improvement opportunities

CA/CM gives managers and auditors greater visibility into processes, activities, and transactions. However, visualizing the information in dashboard form gives business greater visibility into processes, activities, and transactions. In addition, visualized information can generate other specific benefits for the enterprise: e.g., identifying trends and improvement opportunities.

C-2013-3-Scherrenburg-09

Figure 9. Example CA/CM dashboard for accounts receivable including trends (Source: BWise CM).

9 Organizational change and moving towards an information-driven culture is key

Organizations should understand that CA/CM is not only about implementing tooling; it is a change in the way of working where you have to redefine your objectives, roles and responsibilities and the way to handle the “informative” outcome. Moreover, implementing CA/CM is about understanding the extent to which CA/CM can transform processes, risk and controls, technology, and people in an integrated way. When implementing CA/CM, organizations typically follow several stages of maturity, starting with the introduction of data analytics techniques to support existing manual procedures. Depending on the drivers behind CA/CM, the end state may be CA/CM systems that are fully embedded and used throughout organizations.

Role of external auditor/advisor regarding CA/CM

As elaborated in the previous section, management and internal audit understand controls, but there is often a lack of understanding regarding the concept of CA/CM and its benefits. They may not be aware of the emerging field of CA/CM software. Therefore there is an opportunity for external auditors and advisors, who bring a broader focus on improving the business and who recognize CA/CM as low-hanging fruit, to recommend specific CA/CM solutions that can impact the business in a positive way. The external auditor/advisor with knowledge and experience in data analytics, control monitoring, KPI’s and reporting dashboards can help clients to point out these benefits and explain how CA/CM could be applied in their organization.

Besides that, external auditors/advisors can play an important role before, during and after the implementation of CA/CM. They can use their expertise and industry knowledge to help organizations with CA/CM in different ways:

  • Building a business case for CA/CM including effects on ROI;
  • Designing a CA/CM framework that supports strategic management objectives;
  • Assist in designing and implementing CA/CM (e.g., creating dashboards, scorecards, analytics, and management protocols);
  • Optimizing controls and performing root-cause analyses for control failures;
  • Evaluating the CA/CM methodology and/or project; and
  • Providing training on CA/CM and the usage of CA/CM tooling.

Conclusion

The survey showed that there is a high degree of awareness of the potential benefits of CA and CM to organizations. Despite the interest to-date, only a limited number of organizations have been involved in an enterprise-wide adoption of CA/CM practices, largely due to the lack of a suitable business case or their inability to effectively measure the benefits of such initiatives. However, with the growing interest in risk assessment and compliance monitoring, there are strong prospects for CA/CM practices to be adopted by more businesses in the foreseeable future.

The survey further revealed that the functions across an organization gained added value from CA/CM practices, irrespective of whether they were the initiators. Beyond other functions, internal audit remains the main initiator and beneficiary of CA/CM. Other services, such as operational/line management, are not usually the first initiators of CA/CM, but benefit from it.

Most respondents believe that CA/CM is best suited to support processes such as “financial management reporting,” regulatory reporting and “treasury and cash management.” Typically, the areas that tend to have the greatest return on investment (ROI) included “manual journal entries,” “time and expense,” “purchase-to-pay,” “p-cards,” “order-to-cash” and “inventory management.”

Our recommendation is that to fully benefit from each CA/CM initiative, management should focus on achieving a healthy ROI, while focusing on lowering exposure to risks. Pilot projects, with a limited set of analysis and connections, may deliver results quickly and potentially help CA/CM to become self-financing, thus fuelling the business case for adopting an enterprise-wide CA/CM program.

Finally, we believe that organizations that are interested in CA/CM need guidance and sufficient information on the benefits and techniques associated with CA/CM. Here’s where external auditors and advisors come into play. The success of a CA/CM initiative largely depends on its effective implementation and integration in day-to-day operations, as well as the judicious, appropriate and effective use of technology.

Organizations should realize that effective implementation of CA/CM can take time and effort. A variety of challenges can be expected along the way. No matter how they choose to launch the effort, organizations should look to define the desired end-state for their CA/CM efforts. Organizations should understand that CA/CM is not only about implementing tooling, it is a change in the way of working where you have to redefine your objectives, roles and responsibilities and the way to handle the outcome. Moreover, implementing CA/CM is about understanding the extent to which CA/CM can transform processes, risk and controls, technology, and people in an integrated way.

Based on our practical experience in supporting organizations before, during and after the implementation of CA/CM initiatives, we strongly believe that this will be a way forward to create greater transparency in an efficient and sustainable way. With the evolution of CA/CM we predict an organizational shift regarding the providers of assurance and analysis: from internal audit and risk management (3rd and 2nd line of defence) towards management (1st line of defence), as illustrated in Figure 10.

C-2013-3-Scherrenburg-10

Figure 10. Organizational shift regarding the providers of assurance and analysis.

References

[KPMG2008] KPMG, “Continuous Auditing and Continuous Monitoring: Transforming Internal Audit and Management Monitoring to Create Value,” 2008.

[KPMG2010] KPMG, “Continuous Auditing and Monitoring: Are Promised Benefits Now Being Realized,” 2010.

The 2020 Vision of Information Risk Management

This article briefly surveys the history of business information risks, from early risks to business continuity to increasingly severe cyber attacks. Over the years, the Information Risk Management landscape has changed, and managing it has become more complex. Still, the Risk Management function hasn’t changed that much. Looking ahead to 2020 we can imagine an ideal Information Risk Management process being in place, characterized by a number of key capabilities. Those capabilities would include real-time reporting and dynamic controls to monitor multiple factors, as well as flexible mechanisms to respond to higher or lower levels of risk. These features will need to be in place for businesses to perform effective Information Risk Management in the years ahead.

Introduction

Throughout the years, Information Risk Management has identified risks associated with the IT environment. Risks have evolved with changes to that IT environment. In the ’70s and ’80s, computers were entering the work space, and they were centralized and well managed. They were large mainframes, water cooled, taking up valuable space the size of a large office, but with less power than today’s average calculator. Risk Management was focused on business continuity issues, which were mitigated by backup and recovery functions. In the beginning of the ’80s new risks emerged as “high-powered” PC’s were entering the market. Computing power moved out of the central computer room into the private working space of employees. Although the first network communications were slow, and were only enabled when needed, the current IT environment demands always-on, all-encompassing network connectivity. Businesses have been moving in parallel with these changes, becoming increasingly dependent upon the availability of PC’s, servers, network connectivity, large storage capabilities, huge processing power, the internet and cloud computing. Data and information is the life blood of the business, and in some respects, is a company’s most important asset. Imagine if all the information that is used to steer an organization were suddenly lost. In a manufacturing context, production lines would grind to a halt, distribution would lose all direction, and managing accounts would become a real challenge.

Although IT has changed dramatically, Risk Management in essence is still the same as always. The complexities in IT are much more difficult than they were in the ’70s. IT has grown from specialty to commodity, and threats are changing by the minute.

This article showcases how Information Risk Management can work, and what Information Risk Management can bring to a company. It also describes the key capabilities that are needed to realize the benefits in common practice. The best Information Risk Management is not created overnight, certainly not in large and complex companies. Therefore we call this the 2020 Vision of Information Risk Management.

The Working Environment of an Information Risk Manager in 2020

Today most Information Risk Managers perform tedious risk processes, either on the input side or on the output side. On the input side, it is very difficult to definitively assess risk level. “Definitively” in this context means based on measureable risk factors instead of high-level assessments like: “The risk is about the same as last year, I think nothing has changed.” On the output side, there are issues in reporting on risk, starting with collecting the requisite data to provide a clear overview to business management regarding the risks the organization is facing. Furthermore, it is very difficult to link the information risks to business risks. In most large organizations all the mentioned risk activities (input, processing, output) take up enormous amounts of energy, without producing a definitive risk overview.

In drawing this picture of today’s Information Risk Management, we want to envision an ideal situation in the Information Risk Management of tomorrow. There certainly is a need to move toward better Information Risk Management, which today is insufficiently aligned with the current environment. Today’s environment is a hyper-connected world in which managing your own network is not enough. It is also an environment that is much more dynamic than it was twenty years ago: new threats might emerge tomorrow or next week, threats for which we have no planned response. Today, your risk process has to be agile.

If an Information Risk Manager in 2020 had “carte blanche” to design the organization’s IRM-world, what would it look like? Let’s select a couple of items for a “wish list,” and have a look at how they could contribute to risk management in 2020.

Single view of risk

First of all, the 2020 risk manager would have a single view of risk. This means that there would only be one place to find all the necessary data for reporting on Information Risk. This single resource would include information about all assets: from infrastructure assets such as routers, to business software and the business processes. Also, this single resource would contain information on risk factors related to joint ventures or third-party service providers, since they all impact risk levels.

Real time

Taking the concept of an optimum resource for assessing risk a step further, there would not only be a single place to find data about risk, but also the ability to view it in real time. With one push of the button, the Information Risk Manager could obtain a current overview of risk levels. No more ad hoc questionnaires or workshop assessments; no more chasing non-responders for their assessment of the current status. Data is fed into the system, either by automated scanning or by specialized staff, and is evaluated in real time for increased levels of threat, impact or vulnerability.

Dynamic reporting

This real-time view would also provide more detailed information, on demand. Although high-level management would normally be interested in the company overview, there might be reasons for them to drill down. For example, if an alert were triggered, management might want a report on the situation: it might be the local IT infrastructure, or it might be the core-ERP system. This could be a very powerful tool for the Risk Manager, based on data analytics and well-designed dashboards.

Department-specific views

In developing a single view on risk, it should be easy to create custom views for Finance, Sales, IT, but also for functions like CEO, COO, etc. In these views, risks will be displayed that are very specific to the department at hand. For example, the Sales department would see risks of disclosing cost and markup prices (not the risk of hacking, which is not a direct risk the sales department typically faces). The IT department would see risks of hacking, and so on.

C-2013-1-Hermans-01-klein

Figure 1. A department-specific view. [Click on the image for a larger image]

Evolution of risks

With all this data on risk, there is just one more element needed to see risks over time: a time stamp. The Information Risk Manager of 2020 has the ability to zoom in on specific risks, organizational entities, or threat categories, and would be able to see how the risk levels have changed over time. The risk of hacking or cybercrime would emerge somewhere in the 80’s: popping up as a little dot, then growing to a serious threat over time. Another benefit of this is that it would be possible to extrapolate this view in order to predict the biggest threats. If linked to scenario modeling, it would be possible to identify the impact of possible future threats on the risks to IT and to the business.

C-2013-1-Hermans-02

Figure 2. Evolution of risks.

Risk based, linked with the business

The main objective of the IRM function is to continuously manage information risk and link it to business risk, with the sole purpose of determining the impact on business risk in order to provide dynamic, risk-based protection. In many large organizations Risk Management is limited to Compliance Management, i.e. reporting on the percentage of controls that are effective. However, business is crying out for insight into Risk! If controls fail, what does it mean for my business? The level of compliance as a figure on its own is not informative. In the 2020 vision, the risk manager is able to report on risk instead of compliance. More importantly, the risk manager is able to report on business risks, because threat categories in the IT-domain are linked to business processes.

Risk appetite

The risk manager of 2020 has an updated overview of risk appetite. The risk appetite is set by the business, as a measure of the level of risk the business is willing to take. When risk levels rise above the threshold of tolerance, action is taken to reduce the level of risk, either by initiating controls or by implementing additional measures on the level of the IT-infrastructure. Risk appetite is determined by modeling worst-case scenarios, which help the business imagine possible impacts. Risk managers can select and present control measures to the business, immediately showing the business what the effect of implementing them would be on the risk level. Both the effect on the risk level and the cost of the control measures is set out. In this way it is possible to find the optimum balance between risk reduction and increased cost levels.

Rationalized remediation

Since the IRM manager can pinpoint risks, and what the sources of the risks are, it is possible to remediate only in the areas where risks rise above accepted levels. In essence, it is not necessary to remediate compliance failures by default, just because a control has failed. Also, it might not be necessary to act on increased threat levels, as long as the risk levels remain below what is acceptable to the organization. Of course, spending money to remediate is not just based on compliance failures. It is also based on projections, emerging threats and so on. By extrapolating current trends, it is possible to make well-balanced investment decisions.

Overlooking the risk chain

In the hyper-connected world we live in, there is a need for looking beyond our own familiar boundaries. Depending on the relationship, partners in joint ventures and third-party suppliers can have a huge impact on a company’s data flows . A well-accepted risk level in our own organization might rise sky-high when security at a third-party data communications provider is found to be not up to specs. In the risk management processes of 2020, there should be a link with the risk management processes of our business partners. The same risk assessment processes would be used, making it easy to obtain risk levels from our vendors and link them to our risk levels. The drill-down capability mentioned earlier in “Dynamic reporting” could identify a specific vendor as the source of an increased risk.

Needed Structure and Key Capabilities for the IRM Function in 2020

In order to continuously manage and mitigate the information risks, the organization needs to be able to address these risks in a flexible and ongoing manner. This requires a central and overarching perspective on those risks that require management attention. An emerging threat landscape, a change in business activities, and a shift to using new technologies: these are all indicators that the risk landscape is changing. So far IRM methodologies and IRM models have not been able to capture this, in practice, in a dynamic way. For IRM practice to be able to provide a real-time and accurate view of the current risk environment would be the next step in the maturity of IRM.

The major elements in the 2020 vision are: a real-time view of actual IRM risks that provides senior management with insight into the risks that exceed the organization’s risk appetite and require attention. The risk view is an integral part of the business, and is aligned with enterprise risk management. IRM is able to assign resources to the risks that matter in an agile way, and is able to provide business opportunities.

Combining the earlier mentioned “wish list,” the IRM function of 2020 would look like Figure 3, outlining the required key capabilities. These key capabilities will be explained further in this article.

C-2013-1-Hermans-03-klein

Figure 3. Key capabilities of IRM. [Click on the image for a larger image]

Key Capability 1: Integrated, standardized IRM processes, linked together by the Risk Register

In the center, we see the four core IRM risk processes, in effect:

  • Risk Assessment – the process of performing risk assessment;
  • Risk Treatment – the process of controls selection and implementation, or determining other treatment options, including risk acceptance or avoidance;
  • Compliance Monitoring – the process of control compliance monitoring;
  • Security Monitoring – the process of incident response and surveillance, threat and vulnerability management.

The four core IRM processes must be fully standardized across the organization. They must also be integrated via a Risk Register and by using automated processes to perform IRM with extensive workflow mechanisms. Integration also means that newly identified threats will feed the risk assessment process, making the risk register a dynamic system.

The IRM function ensures all information risks are monitored, identified and handled as part of regular business processes. The concept of a Risk Register plays a crucial role in this model: it acts as the heart of information risk management, where all risks are listed as they are input from the IRM processes, and where the strategy of managing relevant risks comes together. Based on the information in the Risk Register a real-time view of the risk status can be provided (both within the IRM function and also outside of the function) to stakeholders in the business and to IT management.

One important prerequisite is having a uniform approach to Risk Management throughout the entire organization. In large organizations there might be multiple IRM staff who all need to adopt the same methodology to achieve comparable risk results. Clear governance needs to be in place to enforce this.

Key Capability 2: Top-down, proactive Risk Management – determining the risk appetite

Linking to enterprise risk management

IRM must be part of the business context and must be fully aligned with business goals and needs. Only then will IRM be able to show its added value by providing insight into business opportunities and risks that should be avoided. To be able to show the added value of the IRM function, the IRM risks need to be mapped or linked to business risks (or “enterprise risk management”). This enables a top-down approach where IRM and ERM are aligned instead of existing in two separate worlds.

C-2013-1-Hermans-04

Figure 4. Alignment of IRM and ERM.

This brings us to another important prerequisite: asset management. Since there is an undeniable relationship between business processes, applications and infrastructure, it is necessary to define these relationships, so that risks on the infrastructure level can be linked to specific business processes. This is not going to be easy to accomplish.

Using worst-case business information scenario planning to determine the information risk appetite

In many organizations it is a common “Pavlovian response” to immediately start drafting and implementing controls when a risk is identified, without asking what level of risk is acceptable. These decisions are often made, although with all good intentions, by IRM professionals without consultation with the appropriate business representatives.

In the IRM 2020 world, business representatives will identify the level of risk they are willing to take (risk appetite), which allows for risk management in the most efficient and economical way possible.

This requires a sound and structured process to define the risk appetite of the business, by using the technique of worst-case business information scenario planning. This process must translate the risk appetite into discrete levels of acceptable risk, taking into account factors like changing business models, new and/or changing legal and regulatory requirements, as well as emerging IRM industry standards.

Key Capability 3: Bottom-up continuous compliance testing / monitoring

Compliance testing / monitoring is also an essential function of IRM 2020. Whether it is monitoring for specific regulatory requirements, for internal control, or for certification reasons, organizations are used to testing typical controls. In the world of IT auditing, the results of controls monitoring are binary: either the control is operating effectively or it is not. Knowing the results from controls monitoring helps managers verify and approve current protocols, and it also provides valuable insight into whether, in practice, risks are being effectively mitigated or not. Where control failures are identified, the risk is apparently not being effectively mitigated.

In the IRM 2020 world, we will have extensive and continuous compliance monitoring, using sophisticated tools. This continuous compliance monitoring will enable an organization to have nearly real-time view on the compliance level of IT assets. Of course, IT assets that require continuous monitoring will not be limited to those within the boundaries of the organization. Some IT assets will be outsourced to managed services providers or cloud providers, and some will be managed by the organization’s business partners.

Key Capability 4: Anticipating emerging threats

Threats – changes in the threat landscape affect risk levels

A hot topic in the media these days is cyber attacks. It is almost impossible not to have noticed the increase in external threats sometimes called cyber crime or even cyber warfare. Organizations should be careful of believing too readily in media hype, on the one hand; but on the other hand, they should not be blind to the fact that cyber-related threats are emerging.

These threats are a factor in determining risk levels, but the actual threat is difficult to assess with a mathematical accuracy. These threats are external, and it is difficult to estimate the threat level. There are, however, several sources that can determine changes in threat levels. Scientific reports on natural disasters, internal data on IT equipment theft, and cyber intelligence reports from governmental institutes are just a few examples of sources that can provide insight into the decrease or increase of a threat level. It is important to include a threat-management process in the IRM function, as an increase or decrease in the threat level might mean that an organization’s response is no longer appropriate (either too much or too little is being done to mitigate the threat).

Changes in threat levels often focus on cyber-related areas, such as hacking and espionage. Although this area is seeing the highest degree of change, it should not be forgotten that other threats are also subject to change. In the IRM 2020 model, threat intelligence is considered to include all areas of threat management.

Vulnerabilities – findings have impact on risk levels

In recent years the focus has been on identifying vulnerabilities in the IT environment, especially within the IT infrastructure. Ethical hackers identify numerous technical vulnerabilities in IT systems through performing penetration tests. In addition, automated tooling performs scanning activities with even more (negative) results. Apart from the obvious response (fix the vulnerabilities), these results should be assessed to determine whether these vulnerabilities affect the risks documented in the Risk Register.

This poses a challenge for the security professionals, as the identified vulnerabilities cannot be related one by one to specific risks. It is not uncommon that an ethical hacker or penetration test discovers several hundred vulnerabilities. Therefore it’s necessary to translate from individual vulnerabilities to categories of vulnerabilities on the level of risks. In this way discovering vulnerabilities leads to an increase in the risk level. As long as the adjusted risk level does not exceed the risk appetite level, no direct action is required.

There is a critical consideration that is easy to forget here. Performing penetration tests or other scanning activities results in discovering vulnerabilities in the selected areas, while other areas not subject to the test might appear to be safe. It is therefore important to be able to extrapolate the results of testing in one area to other areas, when there is sufficient similarity to support comparison. This might mean that a vulnerability category is adjusted over a range of assets, although not all these assets have been tested.

Incidents – analysis leads to understanding threats and vulnerabilities

As indicated by an ISF report in September 2012 (“You Could Be Next: Learning from incidents to improve resilience, ISF 2012”), incident response is an often overlooked area. The ISF report even states that Risk Management is incomplete without post-incident review. An information risk management incident is the exploitation of an existing vulnerability by a threat. Vague definitions, such as provided by ITIL (“Information security incidents are those events that can cause damage to confidentiality, integrity or availability of information or information processing”) do not help much. In practice a distinction is often made between an event of interest (EoI) and a security incident, where the EoI can, but not necessarily will, lead to an incident. Organizations are inclined to solve incidents as quickly as possible to be able to get back to normal operation. This is not surprising: the controls that have been implemented to mitigate the risk have failed, and the risk of an incident occurring has become reality. However, security incidents should be carefully analyzed for the underlying problem (also known as the root cause), as this might indicate a structural failure among controls, a general increase in vulnerabilities, or an increase in a threat. This information must be captured and incorporated into the central Risk Register to be able to determine changes in the risk posture.

Key Capability 5: Risk quantification to compile extensive risk dashboarding and steer to sustainable IRM investments

Small business environments might benefit from a qualitative approach where risks are categorized and described in a few paragraphs. Providing senior management with insight into the risk posture requires a risk manager to analyze the risks and aggregate them into a high-level report.

However, in large-scale IT environments with hundreds of applications, multiple networks and various sites, this approach would take months, and the aggregated report would consist of hundreds of pages.

To solve this, large organizations move from a purely qualitative risk management approach to a more quantified approach. This requires some more explanation. Risk Quantification as a financial instrument that provides exact, numerical values on impact and likelihood is a common method in the financial services industry. Insurance companies have a huge amount of historical data on the chance that an event will occur and the average cost of this occurrence. Depending on how much risk the company is willing to take, it can calculate the insurance fee that it will charge for its product. Due to the large volumes of data, these calculations have a relatively high degree of accuracy. Individual deviations will be relatively few and will be compensated for within the largely predictable insured population.

Regarding information risk management, this quantification is not supported by hard figures that make it possible to quantify risks. However, the IRM function needs a uniform method to quantify risk. If risk is defined as the result of Threat level, Vulnerability level and Impact level, then IRM needs a method to assign numbers to these levels. This will be one of the most challenging aspects of IRM in the coming years. To make it even more challenging, the levels constantly change, due to increased threat assessments, compliance failures, or newly discovered vulnerabilities or re-assessed impact levels.

The risk quantification, feeding the risk register, will also allow managers to steer towards sustainable IRM improvement programs. Based on the risks in the Risk Register, a project portfolio plan can be drafted to identify projects and programs that aim at improving the risk treatment in a sustainable way. With this intelligence, organizations can spend their resources on those risks that matter, resulting in a rationalized risk remediation.

Risk Management Fundamentals

  • Risk Management should, ideally, take inventory of threats and probabilities, producing an overview of the risks sorted from highest to lowest, so that the most invasive risks are handled first. It should monitor the mitigating controls and/or actions, in order to ensure that identified risks are correctly handled by the organization.
  • Risk = Threat × Vulnerability × Impact. There is no one single risk. Risk is always related to a threat. If there are 50 relevant threats (or threat categories) identified, this would result in 50 risks (the ISF standard of good practice (2012) identifies 39 Threat Categories).
  • For the initial set-up of a solid risk management process, this standard details the following stages:
    • Context establishment: understanding the business environment you are operating in. This helps to value the impact of certain threats, were they to occur. It also helps you to identify the right threats in the first place.
    • Risk assessment: identifying threats, estimating vulnerability and impact.
    • Risk treatment: implementing measures to mitigate risk, to monitor, to plan, and to act.

Conclusion

Even though the IT landscape has changed dramatically since the ’60s and ’70s, IRM methodologies have not changed all that much. True, IRM processes have successfully identified new risks arising in our current environment, but the process and the tooling that is used to achieve this is largely unchanged . Accurate and timely insight into Risk Levels is still hard to achieve, but under the right circumstances it is definitely achievable.

This article mentioned the key capabilities that are needed to realize the potential of the 2020-IRM manager. Inspired by Martin Luther King’s famous speech “I have a dream,” we should be looking forward to these possibilities, instead of only running behind and fixing the disasters after the fact. In large organizations, it will be possible that the person who is ultimately accountable for risk management has a real-time overview of current risks, aggregated to a comprehensive level. Exceeding tolerable thresholds will automatically lead to alerts, where it will be possible to drill down to the harmed asset(s) or business entities and identify the localized problem. Designing new projects or programs will be facilitated by simulating threats or overruns, to better defend against malicious entities or spontaneous events.

Realizing these possibilities requires a structural approach, starting with embedding the key capabilities mentioned earlier and knowing where you are heading. By determining how far you are from the goal, you can design a program to go forward and attain that goal. As always, without change there is no progress.

References

ISF report September 2012: “You could be next, learning from incidents to improve resilience.”

ISO/IEC 27001:2005 Information security management systems.

ISO/IEC 27005:2011 Information security risk management.

The Standard of Good Practice for Information Security (ISF 2012).

Sustainable IT

This article deals with the challenges confronting Chief Information Officers (CIOs) in 2013, and particularly the challenges in the field of sustainable IT. Good cooperation between the CIO and the Chief Sustainability Officer is essential for making progress on the general organizational goals. It is also vital to have good and intensive collaboration between the CIO and the ultimate IT users and IT suppliers. The Dutch CIO covenant on energy savings is a step in the right direction, and demonstrates that some CIOs have the nerve to take on the challenge.

Introduction

Information Technology (IT) has a negative impact upon the sustainability efforts of companies and governmental bodies. In the framework of sustainability and IT, obviously energy use must be examined. The use of IT accounts for more than two percent of the total amount of energy consumed worldwide. With this, IT can be classified as a major user, substantially contributing to CO2 emissions worldwide. Nevertheless, this is not the only contribution of IT to the burden on the environment. The production and removal (e-waste) of IT devices also has a large impact on the environment.

Nonetheless, IT can also contribute positively to the sustainability efforts of companies and governmental organizations, in primary business processes and in internal operations. IT may account for two percent, but it influences the other 98 percent of the energy used by organizations. There are many examples of this from all over the organization, ranging from IT facilities that enable a “new style of working” to the optimization of planning processes so that less transportation and travel is required. As a consequence, IT plays an essential role in the reduction of worldwide energy use.

To ensure a good rollout of sustainable IT in an organization, cooperation between the Chief Information Officer (CIO) and the Chief Sustainability Officer (CSO) is vitally important. Until recently, they seemed to be total strangers to one another. However, when Dutch CIOs joined in signing the “CIO Covenant on Energy Efficiency” on 16 November 2011, they showed commitment to the task that now lies before them.

This article covers the challenges faced by CIOs in 2013 and, more specifically, the challenges that have arisen in the field of sustainable IT. The article goes on to deal with the involvement of the internal sustainability unit and its importance in making the right choices with regard to strategy and implementation. The text goes on to outline the importance and means of involving end users and/or suppliers in achieving sustainable IT goals. Finally, it draws conclusions with regard to the future agenda of CIOs.

Introduction: sustainable IT on the corporate agenda

Sustainability is now high on the agendas of many organizations. For multinationals, the Dow Jones Sustainability Index (DJSI) measures the quality of their sustainability policies. Communicating sustainability figures has become the norm: 95 percent of the 250 largest organizations in the world now report their sustainability results ([KPMG11]). Management geared to IT energy efficiency is becoming relevant in an increasing number of companies. For instance, organizations such as Rabobank and Disney Company have formulated concrete goals with regard to IT energy efficiency.

Organizations are also confronted with legislation oriented toward the environment or sustainability. This legislation has an influence on the IT character of an organization, of course, and applies to both producers and users of IT products. European rules restricting hazardous substances and the handling of e-waste (WEEE directive) apply to IT producers and IT importers. E-waste legislation influences the entire processing chain, and is primarily known to consumers in the Netherlands by the fee that has to be paid when an electronic product is returned for recycling.

In addition, there are voluntary initiatives such as the “Code of Conduct on Green Datacenters,” for example (see: http://re.jrc.ec.europa.eu/energyefficiency/html/standby_initiative_data_centers.htm) and the recently signed fourth CIO covenant covering IT energy efficiency ([CIO11]). CIOs from major Dutch companies such as ABN Amro, AkzoNobel, DSM, KPMG, KPN, Nutreco, Rabobank Nederland, Schneider Electric and Vodafone have signed this covenant, which adopts a long-term approach to IT energy efficiency. In the first year, most attention will be paid to measuring energy use and including energy consumption figures in investment decisions. In the following years, the emphasis will lie on realizing the energy goals as specified by the committed organizations. These goals are specified by each organization individually. A logical subsequent step is that the CIOs in question will devote attention to areas other than IT energy efficiency, such as the recycling of electronic devices, for example, and thus increase their overall contribution to sustainability.

The challenge to CIOs

A CIO’s agenda for 2013 is already pretty full. CIOs are currently dealing with globalization and (out-)sourcing, security and cyber attacks, rapidly growing data use, and the limited availability of resources. However, many CIOs acknowledge that attention to sustainability, and therefore sustainable IT, must be given priority.

Sustainable IT has three specific goals:

  • compliance with rules and regulations,
  • cost savings, and
  • contribution to a more sustainable world.

In implementing sustainability initiatives, a CIO is faced with at least two challenges. The first concerns measuring the realized IT energy efficiency. Power Usage Effectiveness (PUE) is the unit of measurement used by datacenters. To measure and monitor the sustainability results of all IT services (datacenters and IT outside datacenters), the level of CO2 emissions is the most obvious unit of measurement, especially since it is already being used by many organizations as one of the yardsticks for measuring sustainability. Using this universal unit of measurement, the impact can be simply calculated and compared.

In achieving further reduction in energy use, renewable energy also contributes to sustainability. Therefore, in measuring total realized IT energy efficiency, it is also important to measure the percentage represented by renewable energy. Using as little energy as possible is, of course, the best option.

With regard to information on sustainable IT, an organization can define its own green labels, such as those displayed in Figure 1, for example.

C-2013-1-vDijk-01

Figure 1. Sustainable IT labeling for sustainable IT reporting.

In identifying the relevant aspects of sustainable IT, organizations themselves can determine the steps and the pace of sustainable IT development (Figure 2).

C-2013-1-vDijk-02-klein

Figure 2. Aspects of sustainable IT and the aspired growth. [Click on the image for a larger image]

The second challenge facing CIOs is reducing the environmental impact of IT products: from mainframe to server to desktop or laptop, and including printers and mobile devices. It is fitting that CIOs take relevant environmental impacts and social aspects into account in their decisions regarding purchase, use and removal of IT products. This is a growing area of concern with regard to sustainability and the responsibilities of a CIO, in view of the diminishing lifespan and the growing number of end-user devices.

CIOs can compare the IT products of various suppliers. How much energy is required to create these IT products? What is their anticipated lifespan? To what extent are products recycled? In such comparisons, the focus is on how a supplier has set up its recycling program (“closed loop”), and on the origins of the raw materials used by the supplier in manufacturing the IT products in question. This is further affected by the increasing scarcity of raw materials and the expected influence of American legislation on the source of raw materials (Dodd-Frank Act).

Coping with these two sustainability challenges demands a significant effort on the part of the CIO and other employees. Accordingly, CIOs are advised to introduce plateau planning with a long timeline, in which the level of ambition gradually rises with the passage of time. To realize a meaningful contribution to sustainability, the CIO will have to collaborate intensively with the organization’s internal sustainability unit. If successful, this will ensure a consistent sustainability strategy within the organization, and consolidate its efforts going forward.

Involvement of the internal sustainability unit

Good cooperation between the CIO and the Chief Sustainability Officer (CSO) is essential for effective contribution to the general organizational objectives. This cooperation begins with shared knowledge of the sustainability strategy and the sustainability goals of the organization, and an assessment of how IT influences the achievement of these goals. This influence may be either positive or negative. When this has been determined, the way in which IT can contribute to realizing the organization’s goals will have to be made operational. An operational structure must take into account technical aspects (such as a datacenter that has recently been opened, for example) and the organizational culture. In any chosen solution, there will be roles and responsibilities for the end users, the IT suppliers and the administrators.

It is also advisable to investigate any areas in which profit or benefits could be gained. Figure 3 displays a number of enablers for sustainable IT.

C-2013-1-vDijk-03

Figure 3. Potential for sustainable IT.

Involvement of end users

An important part of any sustainability initiative is informing end users about the energy use of, and e-waste from, end-user devices such as laptops, monitors, printers and mobile devices (mobile phones and tablets). With the introduction of Bring Your Own Device (BYOD), providing information to end users is becoming increasingly important. On the one hand, an organization no longer needs to purchase so many mobile devices, whereas on the other hand, the organization has less control over the selection, lifespan and e-waste of such devices.

The trend over the past few years has seen the number of devices decline due to a reduction in the number of workplaces (an employee no longer has both a desktop and laptop, but only a laptop) and the centralization of printing facilities. That reduction trend has now ground to a halt. Employees increasingly carry a laptop, a tablet and sometimes even several mobile phones. For this reason, it is important to instill an awareness of security and e-waste among end users.

The CIO can contribute to instilling this awareness among the employees by training end users. Such training would be action-oriented: teaching the employee how to consume less energy at the workplace, or what criteria are important in selecting an IT device.

In addition, a CIO can facilitate video conferencing. This limits travel and thus not only saves employees travel time but also saves energy. In organizations that are not accustomed to video conferencing, the introduction of such possibilities may be very beneficial. This also extends, naturally, to encouraging opportunities to work at home, although this is already an option at many organizations.

It is important to involve end users. The CIO ought to periodically measure sustainable IT awareness among employees, calculating such things as the number of devices, the lifespan of these devices, and their actual use. It is also useful to encourage end users to switch devices off, restrict printing on paper, etc.

Involvement and assessment of suppliers

Further, it is essential to work intensively with suppliers. In fact, sustainability is becoming one of the criteria by which suppliers are chosen. If some suppliers cannot live up to the expectations of an organization, the organization may have no option but to find suppliers with more sustainable products. The current market has an abundance of IT suppliers, most of whom have invested heavily in sustainability. This presents a great opportunity for CIOs to capitalize on this situation and improve their overall environmentally friendly profile.

For decades, companies have been engaged in contracting out an increasingly large part of their IT infrastructure. This includes not only purchasing hardware and software but also maintaining IT services: the management and upkeep of information systems and application development. These external suppliers form an important link in the chain. If an organization wishes to truly improve its overall environmental profile, these suppliers must have a role in making IT more sustainable.

The moment when an investment decision is being made is the ideal time to impose sustainability demands on potential IT suppliers. Which demands does an organization wish to make upon its future suppliers? In formulating a sourcing strategy, it is vital to pay attention to these sustainability requirements. This can be further elaborated in the Request for Proposal (RFP). The significance an organization attaches to sustainability becomes crystal clear in how it formulates the maximum scores on parts of the RFP. Of course, the quality of the service proposed and the price are important. Organizations that take sustainability seriously allocate between 7.5 and 12.5 percent of the total points to sustainability. This makes sustainability an important factor but not the deciding factor. If it were given too much weight, that could mean having to award the contract to a supplier who scores high on sustainability but delivers qualitatively poor service or charges above-market price.

In the market, sustainability is explicitly used as a selection criterion. For example, organizations assess potential suppliers on their IT energy efficiency according to the CO2 performance ladder of the Stichting Klimaat-vriendelijk Aanbesteden & Ondernemen (Foundation for Climate-Friendly Contracting and Enterprise, see www.skao.nl). ProRail developed this CO2 ladder, and has now transferred ownership of the ladder to the Foundation.

Organizations vetting potential suppliers in an RFP process can also impose minimum demands. These may include certification (ISO 14001 and EMAS, for example) or attention to content-related aspects (such as the Energy Star 4.0 standard or “ecodesign requirements”). Further, the proposal tendered might include the condition that, if the successful supplier’s certification expires during the period covered by the contract, this could constitute a reason to terminate the contract. This gives some certainty that a selected supplier will take care with its certification.

Finally, in assessing potential suppliers, consider asking for commitments to improve organizational sustainability during the contract period. This kind of obligation, to formulate and follow annual improvement plans, can be added to the RFP. It is important that an organization takes into account, when making an assessment, the extent to which a potential supplier has been successful in following through on such commitments in the past: so ask for sustainability references!

Conclusion

Sustainable IT is becoming increasingly prominent on the CIO’s agenda. This prominence is based on new rules and regulations, the need for cost savings, and the growing intrinsic necessity for organizations to foster sustainability throughout their consolidated operations.

The CIO can contribute by paying attention to IT energy efficiency. However, this is merely the first step. In the future, e-waste will certainly become an item on the sustainability agenda of the CIO.

The CIO can make more sustainable choices within his or her direct sphere of influence. These initiatives can enhance awareness of sustainable IT among users, thus making a significant contribution to IT energy efficiency.

Suppliers can make their own contribution to the objectives in the field of IT energy efficiency. By imposing sustainability criteria, CIOs can oblige potential suppliers to improve and contribute to IT energy efficiency. In selecting suppliers in the future, IT energy efficiency will play an increasingly important role.

Juridische aandachtspunten bij bedrijfsmatig gebruik van social media

Niemand ontkomt er meer aan. Sociale netwerksites zijn steeds meer een bijna vanzelfsprekend onderdeel van het dagelijks leven geworden. Werkgevers en werknemers zien zich daarbij steeds vaker voor de vraag geplaatst wat de grenzen zijn van het gebruik van sociale netwerksites. Wat is toelaatbaar gebruik? Waar liggen de juridische risico’s? En hoe gaan we daarmee om?

Inleiding

‘Wie schrijft, die blijft’, zo luidt een bekend gezegde. Dit geldt des te meer voor alle informatie die wordt gepubliceerd op het internet. Controle over de boodschap vormt in toenemende mate een uitdaging. Het is door de persistentie van online informatie moeilijk deze te corrigeren of, in het meest verstrekkende geval, te trachten deze te wissen. De Facebooks en Hyves van deze wereld hebben zelfs hun businessmodel rondom het gebruik van persoonsgegevens opgezet. Zij bieden eindgebruikers een digitaal platform waarmee ze hun persoonlijke relaties, ervaringen en memento’s kunnen beheren, vastleggen en, belangrijker nog, delen met een groot publiek. Gebruikers geven hun mening, schrijven hun eigen recensies en houden het netwerk op de hoogte van vakanties, de opvoeding van de kinderen en het reilen en zeilen bij de werkgever.

Dit laatste vormt een risico voor zowel de gebruiker als het bedrijf waar deze werkzaam is. Het gebruik van sociale netwerksites binnen een bedrijfsomgeving of door werkgevers is ook niet zonder juridische implicaties. Wat echter die juridische implicaties zijn, is niet altijd even duidelijk. Mag social-mediagebruik worden gemonitord? Is het screenen van sollicitanten op basis van hun profielen juridisch toelaatbaar? En wat zijn de aandachtspunten indien een bedrijf zelf een social-mediaproduct op de markt zet? Op deze vragen wordt getracht in dit artikel een antwoord te geven.

Wat is een sociale netwerksite?

Wat verstaan wij onder het begrip ‘sociale netwerksite’? Wij hanteren hier de definitie van Boyd en Ellison, die sociale netwerksites als volgt omschrijven:

‘(…) web-based services that allow individuals to:

  1. Construct a public or semi-public profile within a bounded system,
  2. Articulate a list of other users with whom they share a connection, and
  3. View and traverse their list of connections and those made by others within the system’.[D.M. Boyd en N.B. Ellison, Social Network Sites: Definition, History, and Scholarship, Journal of Computer-Mediated Communication, 13(1), 2007, pp. 210-230.]

Ook ENISA heeft zich aan een definitie gewaagd. In haar onderzoek geeft ze een aantal karakteristieken van sociale netwerksites:

  1. Er kan persoonlijke informatie en door de gebruiker gemaakte ‘content’ worden geplaatst. Dit alles wordt gelinkt aan iemands interesses en persoonlijke leven.
  2. Er zijn middelen die sociale interactie mogelijk maken vanuit iemands profiel.
  3. Er zijn methoden om de sociale relaties die iemand onderhoudt binnen het netwerk te definiëren (door bijvoorbeeld een vriendenlijst aan te maken).[ENISA Position Paper No. 1, Security Issues and Recommendations for Online Social Networks, 2007, p. 6.]

Drie kenmerken lijken er wat betreft de definities uit te springen: er is altijd sprake van de mogelijkheid tot het presenteren van het zelf (het vormen van de identiteit), het leggen van een connectie met anderen, ook wel ‘vrienden’, en het sociaal interactief zijn met die anderen. De huidige sociale netwerksites lijken zich daarnaast te kenmerken door een totale convergentie van beschikbare middelen van communicatie. Afgezien van het feit dat de diverse netwerken zowel web-based als mobiel te benaderen zijn, kan vaak gebruik worden gemaakt van tekst, film, beeld en geluid en kunnen conversaties meestal zowel synchroon als asynchroon plaatsvinden. De meeste sociale netwerksites beschikken over chatfunctionaliteit en de mogelijkheid tot het versturen van privéberichten en kennen een bestendigheid wat betreft de informatie die daar door de gebruiker geplaatst wordt. Tevens bieden de meeste netwerksites de mogelijkheid (delen van) het profiel af te sluiten waardoor het te bereiken publiek beperkt kan worden.

Welke wetgeving is van toepassing bij sociale netwerksites?

In het navolgende wordt kort op een rijtje gezet wat volgens ons de meest in het oog springende toepasselijke wetgeving is rondom het gebruik van sociale netwerksites. Het betreft de wetgeving met de meeste impact en de wetgeving die mogelijk juridische risico’s inhoudt als het gaat om het gebruik van sociale netwerksites. Wij gaan daarbij uit van voor Nederland geldend recht en nemen waar toepasselijk het Europees rechtelijk kader mee in beschouwing.

Dataprotectiewetgeving

Op sociale netwerksites wordt enorm veel data verwerkt door gebruikers, maar ook door aanbieders en eventueel derde partijen (denk aan third-party apps die toegang krijgen tot het profiel van de gebruikers). In de Wet bescherming persoonsgegevens (Wbp) zijn verschillende normen opgenomen die de behoorlijke en zorgvuldige verwerking van persoonsgegevens moeten garanderen. Onder persoonsgegevens worden die gegevens verstaan waarmee een natuurlijk persoon kan worden geïdentificeerd. Rechtspersonen zoals een bv of nv kunnen geen aanspraak maken op bescherming vanuit de Wbp. Voor de hand liggende persoonsgegevens zijn bijvoorbeeld iemands naam, adres en woonplaats. Maar ook combinaties van andere persoonskenmerken, zoals uiterlijke kenmerken en eigenschappen die herleidbaar zijn tot een natuurlijk persoon, zoals een IP-adres, kunnen als persoonsgegeven worden gekenmerkt. Binnen de Nederlandse (maar ook de Europese) systematiek en uitleg van de wet wordt al vrij snel aangenomen dat gesproken kan worden van een persoonsgegeven, waardoor de wet in veel gevallen van toepassing kan worden geacht. Het begrip ‘verwerken’ moet daarbij ruim worden opgevat, want de Wbp schaart onder meer het verzamelen, vastleggen en ordenen van persoonsgegevens daaronder, waardoor de toepasselijkheid voor sociale netwerksites al snel mag worden aangenomen.

De cookiewet

In 2012 is een wijziging doorgevoerd in de Telecommunicatiewet. Deze wijziging omvat onder meer een bepaling die moet garanderen dat de privacy van personen wordt gewaarborgd indien een aanbieder van een dienst niet-functionele cookies gebruikt. Onder niet-functionele cookies worden onder meer verstaan cookies die het surfgedrag van gebruikers volgen voor advertentiedoeleinden. Als een dergelijk cookie wordt geplaatst, moet daarvoor van tevoren toestemming worden gevraagd.

De meldplicht datalekken

Nederland kende al enige tijd een tweetal smalle meldplichten die specifiek gericht zijn op de financiële sector en de telecomsector. Naar verwachting zal de Wbp binnen een jaar worden aangepast ter opneming van een brede meldplicht datalekken. Als zich een lek heeft voorgedaan waarbij persoonsgegevens in het geding zijn, dient dit onverwijld gemeld te worden aan de toezichthouder, het College Bescherming Persoonsgegevens. Als de gegevens niet goed beschermd waren (er was geen sprake van bijvoorbeeld versleuteling van de gegevens), dient het weglekken van de gegevens ook aan de betrokken personen gemeld te worden. Op het nalaten van de melding staat een boete van 200.000 euro.

Het intellectuele eigendomsrecht

Op sociale netwerksites wordt veel materiaal gedeeld waar mogelijk intellectuele eigendomsrechten op rusten, denk aan films en foto’s, maar ook bedrijfsgerelateerde informatie zoals logo’s en merken. Deze zaken worden beschermd onder het intellectuele eigendomsrecht, waarbij de maker en/of rechthebbende doorgaans het exclusieve recht heeft op het gebruik ervan. Op sociale netwerksites is het gebruikelijk dat de aanbieder van de site binnen de algemene voorwaarden een niet-exclusieve licentie krijgt voor gebruik van het materiaal waar deze rechten op rusten.

Goed werknemer- en werkgeverschap en privacy van de werknemer

Binnen het arbeidsrecht geldt het beginsel van goed werkgever- en werknemerschap, voor Nederland vastgelegd in het Burgerlijk Wetboek. Werkgever en werknemer horen zich te gedragen zoals zich dat in het maatschappelijk verkeer betaamt. Tussen de werkgever en werknemer bestaat daarnaast een gezagsrelatie. Binnen het arbeidsrecht bestaan daarom meerdere waarborgen om veilig te stellen dat die gezagsrelatie niet wordt misbruikt. Ten aanzien van de privacy van de werknemer kent de arbeidswet echter geen specifieke bepaling. Om te bepalen in hoeverre juridische aandachtspunten gelden binnen de arbeidsrelatie, zal dus een antwoord moeten worden gezocht in de wisselwerking tussen het arbeidsrecht en de privacywetgeving. Het Europees Verdrag voor de Rechten van de Mens (EVRM) speelt hierin ook een rol. Onder het grondrecht op privacy, zoals dat is vastgelegd in art. 8 EVRM, wordt ook de privacy van de werknemer op de werkvloer geschaard. Zo heeft een werknemer het recht in beperkte mate gebruik te maken van communicatiefaciliteiten op de werkplek in het kader van privécommunicatie en is monitoring van werknemers in bepaalde mate toegestaan mits de privacy van deze werknemers gewaarborgd wordt.

Social-mediatijdslijnen en een aantal actuele casussen

Het overgrote deel van de hiervoor beschreven wetgeving bestond al voordat social media in zwang raakten. Vaak echter leidt de voortschrijding der techniek tot een herinterpretatie van bestaande wetgeving en in een aantal gevallen tot een specifieke aanpassing, zoals in het geval van de zogeheten Cookiewet. Figuur 1 verschaft enig inzicht in hoe de ontwikkeling van de wetgeving en die van het internet en social media in verhouding staan tot elkaar.

C-2012-4-Voges-01

Figuur 1. Ontwikkeling van wetgeving in verhouding tot ontwikkeling van internet en social media.

Om het samenspel tussen de nieuwe techniek en bestaande en nieuwe wet- en regelgeving tastbaar te maken voor de lezer, werken we een aantal door de werkelijkheid geïnspireerde casussen uit waarbij sprake is van het gebruik van sociale netwerksites en/of sociale media. Daarbij worden de hier benoemde wetten gebruikt om te tonen welke uitdagingen gelden en welke rechtsregimes hierbij worden geraakt.

Voor het behandelen van de juridische aandachtspunten wordt aansluiting gezocht bij de verschillende vormen waarin sociale netwerksites binnen een bedrijfsomgeving of door een bedrijf gebruikt kunnen worden. De eerste casus beschrijft het gebruik van social media op de werkvloer. Casus 2a en 2b beschrijven het gebruik van social media om bepaalde doelgroepen te bereiken. De laatste casus behandelt de ontwikkeling van social-mediaproducten door bedrijven.

Casus 1. Facebook, Hyves, Twitter en LinkedIn op de werkvloer

Tussen de bedrijven door even je Facebook-pagina bijwerken en recente foto’s uploaden. ‘Kennismaken’ met een nieuwe collega door zijn of haar LinkedIn-profiel door te nemen. Chatten met je vrouw en kinderen, die via hun mobieltjes laten weten dat ze vanavond wel erg zin hebben in chinees en of je even langs de afhaal wilt gaan na het werk. Dit is een normale gang van zaken geworden bij veel bedrijven. Gaat dit niet via het bedrijfsnetwerk, dan bezitten werknemers wel hun eigen mobieltjes waarmee ze contact houden met de buitenwereld. Het heeft daardoor steeds minder zin om een hardwarematige restrictie aan het internetgebruik op te leggen. Wel is er vaak een ‘beleid internetgebruik’ in werking, waarin onder meer een aantal gedragsregels is bepaald, bijvoorbeeld dat gebruikers geen websites mogen bezoeken waarop kansspelen worden aangeboden of die pornografisch materiaal bevatten. Specifieke bepalingen ten aanzien van het gebruik van sociale netwerksites ontbreken echter vaak nog in het beleid.

Juridische aandachtspunten

Binnen deze casus dienen twee zaken onderscheiden te worden. Ten eerste is er het gebruik van social media onder werktijd (al dan niet voor privédoeleinden) en ten tweede de content die werknemers op sociale netwerksites kunnen plaatsen. Beide worden vaak bij elkaar genomen wanneer er beleid voor het gebruik van social media geschreven wordt, maar juridisch gezien is het zinnig deze twee zaken uit elkaar te trekken. Zoals in het voorgaande bij de toepasselijke wetgeving al is aangehaald, heeft een werknemer het recht in beperkte mate gebruik te maken van social media op de werkplek. Dit lijkt ook in lijn met de tijdgeest waarin de scheiding tussen werk en privétijd vaak niet meer gemakkelijk te maken valt. Op basis van de gezagsrelatie die de werkgever heeft, mag hij echter wel regels stellen ten aanzien van het gebruik van ICT-middelen. Het verdient daarbij de voorkeur dat de werkgever heldere regels opstelt ten aanzien van het privégebruik van ICT-middelen zodat de werknemer weet wat er van hem verwacht wordt, wat niet toegestaan is en welke sanctie er op mogelijk overtreden van deze regels staat. Ook de ‘vuistregels internetgebruik’ van het College Bescherming Persoonsgegevens, hoewel geschreven in 2002 en dus van voor het tijdperk van sociale netwerksites stammend, kunnen handvatten bieden voor het gebruik van social media. Het lijkt niet voor de hand te liggen om het gebruik geheel te verbieden, één uitzondering daar gelaten: stel, uw medewerkers werken aan staatsgeheime zaken waarbij elke vorm van contact met de buitenwereld een risico kan opleveren. In een normaal scenario is verbieden ons inziens geen optie voor de werkgever; dit stuit namelijk op weerstand van werknemers, die zich gesterkt zien in de jurisprudentie van het Europees Hof voor de Rechten van de Mens omtrent het privégebruik van ICT-middelen.

Wat betreft de content die werknemers kunnen plaatsen op sociale netwerksites, dienen nog wel enkele opmerkingen gemaakt te worden. In principe kan worden geoordeeld dat het een persoon vrij staat om op zijn privéprofiel die informatie te plaatsen die hij zelf wenselijk acht. Niet voor niets kennen wij binnen onze rechtsstaat de vrijheid van meningsuiting en het grondrecht op privacy. Die vrijheid kent echter wel haar restricties. Het is niet toegestaan inbreuk te maken op een anders recht (vergelijk hierbij ook de in Nederland geldende leer van de onrechtmatige daad die vastgelegd is in art. 6:162 BW). Zo is het niet denkbeeldig dat werknemers inbreuk maken op het intellectuele eigendomsrecht van de werkgever als zij informatie (beeldmateriaal of anderszins) plaatsen op sociale netwerksites. Dit zou zelfs een grond voor ontslag kunnen zijn. Een werknemer die een screenshot van een 3D-ontwerp op Facebook plaatste, verloor daardoor zijn baan.[J. Custers, Ontslagen om Facebookfoto: geheime informatie onthuld, ZDNET, http://www.zdnet.nl/news/125139/ontslagen-om-facebookfoto, 15 februari 2011.] Maar ook het beledigen van de baas (smaad en laster) kan een reden zijn de werknemer te ontslaan, een beroep op de vrijheid van meningsuiting mag dan niet meer helpen. Zo ondervond de werknemer die zijn baas op Facebook een ‘achter de ellebogen nijmegseple nep wout’ noemde.[Mr. drs. T. Devens, Ontslag door Facebook, http://maastricht.dichtbij.nl/column/mr-drs-t-devens-ontslag-door-facebook, 12 juni 2012.] Overigens is het ook denkbaar dat een door de werknemer ondertekend NDA (Non Disclosure Agreement) geschonden wordt op het moment dat hij gebruikmaakt van de functie om bij de betreffende klant ‘in te checken’. Binnen de wereld van de informatiebeveiliging is het bijvoorbeeld zeer gebruikelijk dat een dergelijk NDA getekend wordt. Door in te checken op diensten als Foursquare of Google Latitude geeft de werknemer weg bij welke klant hij op dat moment werkzaam is, en indien daarnaast ook nog eens bekend is wat voor werkzaamheden deze werknemer doorgaans verricht, is het voor de buitenwereld niet erg moeilijk om daarover conclusies te trekken.

Casus 2a. Screening van sollicitanten met behulp van social media

Social media zijn een potentieel enorme bron van informatie over een persoon. Het is dan ook verleidelijk om een mogelijke kandidaat voor een functie eens even ‘te googelen’ om te zien wat er boven komt drijven. Stel nu dat de tekst op de website van organisatie X, waarop sollicitanten hun reactie op open vacatures kunnen plaatsen, als volgt luidt: ‘Sollicitanten kunnen onderworpen worden aan een social-mediascreening’. De organisatie laat een informele screening van sollicitanten uitvoeren door de medewerkers van HR. Zij maken geen rapport op van de screening, maar gebruiken de informatie van de openbare profielen van de kandidaten als input voor de beslissing om een kandidaat wel of niet uit te nodigen voor een sollicitatiegesprek. Is die enkele mededeling op de website voldoende? Of moeten kandidaten uitdrukkelijke toestemming geven alvorens screening mag worden toegepast? En mag dat eigenlijk wel, grasduinen in de privéprofielen van personen?

Juridische aandachtspunten

De Wet bescherming persoonsgegevens is onverkort van toepassing omdat het in het geval van een screening gewoon gaat om het verwerken van persoonsgegevens. Zelfs als geen rapport wordt opgesteld, dan nog is sprake van verwerken, de gegevens worden immers gebruikt als input voor de beslissing om iemand al dan niet uit te nodigen voor een gesprek. Dan nu een belangrijkere vraag: mag dat screenen van privéprofielen eigenlijk wel? De Wbp stelt dat gegevens mogen worden verwerkt voor het doeleinde waarvoor ze verzameld werden. Ervan uitgaande dat het doeleinde in dit geval ‘het selecteren van geschikte kandidaten voor het uitnodigen tot een sollicitatiegesprek’ is, kan worden betwijfeld of het screenen van privéprofielen daaronder te scharen valt. Alles staat en valt met de vraag of het vergaren van de gegevens noodzakelijk is om dat doel te bereiken. De vakantiefoto’s van een potentiële kandidaat op Facebook bekijken kan niet echt noodzakelijk genoemd worden, maar het bekijken van de referenties die iemand krijgt op LinkedIn, kan wel worden aangemerkt als iets wat het doel dient. Er moet wel altijd vooraf toestemming worden gevraagd aan de kandidaat. Daarnaast heeft een bedrijf altijd toestemming van de ondernemingsraad nodig in het geval zij procedures wil gaan instellen voor de screening van sollicitanten. Een en ander staat overigens nog los van de meer ethische vraag die werkgevers zich in dergelijke gevallen zouden moeten stellen: willen wij als bedrijf op een dergelijke manier meekijken in het privéleven van onze toekomstige medewerkers?

In het kader van sollicitaties geldt ten slotte de sollicitatiecode van de Nederlandse Vereniging voor Personeelsmanagement & Organisatieontwikkeling (NVP). Deze code is vrijwillig en organisaties zijn dus niet verplicht de sollicitatiecode toe te passen. Wel kan worden verwacht dat de concepten van de code mede in overweging worden genomen door een rechter indien een conflict ontstaat naar aanleiding van een sollicitatie. De code schrijft voor dat een werkgever toestemming behoort te vragen voordat hij informatie over een sollicitant inwint ‘bij derden en/of andere bronnen’. Verder bepaalt de code dat de bij derden en andere bronnen (waaronder websites) verkregen informatie, indien relevant, aan de sollicitant moet worden meegedeeld, met uitdrukkelijke vermelding van de bron, en met de sollicitant moet worden besproken.

Casus 2b. Communiceren met en betrokkenheid verwerven van klanten

Steeds meer bedrijven zijn aanwezig op sociale netwerksites waar zij zich kunnen profileren en gebruikers kunnen wijzen op het feit dat zij geweldige producten verkopen. Naamsbekendheid genereren is daar een essentieel onderdeel van. ‘Ga naar onze Facebook-pagina en klik op de Like-knop.’ In een poging om betrokkenheid van klanten te verwerven proberen bedrijven steeds vaker een positieve aanbeveling te bemachtigen op sociale netwerksites. Daarnaast worden op de bedrijfswebsite ook vaak verschillende knoppen geplaatst zodat de bezoeker door middel van zijn social-media-account aanbevelingen kan doen aan dan wel aanbiedingen kan delen met zijn vriendengroep. Wat dikwijls over het hoofd wordt gezien, is de achterliggende techniek die dit mogelijk maakt. In verreweg de meeste gevallen betekent het dat gebruikers via cookies gevolgd worden om zo de aansluiting te zoeken met een Facebook- of Twitter-account. Bedrijven zetten daarnaast ook steeds vaker social media in om gebruikers content te laten genereren. Zo mochten de liefhebbers van Moleskine (een bekende producent van notitieboekjes) via Facebook het nieuwe logo ontwerpen en mochten fans van de band Making April het nieuwe T-shirt ontwerpen.[Moleskine logo competition, http://www.designboom.com/weblog/cat/8/view/16682/moleskinerie-logo-competition.html; Making shirts for Making April, http://communityblog.brickfish.com/communityblog/?p=624.]

Juridische aandachtspunten

Het is in de casus al benoemd: voor al het verkeer dat via zogenaamde like-knoppen wordt gegenereerd, worden cookies gebruikt. Praktisch gezien betekent dit dat je als bedrijf op je eigen website kenbaar moet maken dat gebruik wordt gemaakt van dergelijke (niet-functionele) cookies en dat daarvoor dus ook toestemming moet worden gevraagd. Die toestemming mag niet impliciet worden aangenomen als personen klikken op die like-knop. De Nederlandse wetgever heeft de wet dermate streng vormgegeven dat impliciet toestemmen niet voldoende is voor wettelijke naleving. Er moet daarom zeer letterlijk en duidelijk om toestemming worden gevraagd, bijvoorbeeld door een pop-up te tonen met uitleg over het cookiegebruik en twee opties (‘Ja, dat wil ik’ en ‘Nee, dat wil ik niet’).

Binnen deze casus is het ook van belang te wijzen op de mogelijke implicaties voor het intellectuele eigendomsrecht. Wat veel gebruikers van sociale netwerksites zich niet realiseren is dat zij hun eigen intellectuele eigendomsrechten in niet-exclusieve licentie hebben overgedragen. Dit betekent dat de aanbieder van een sociale netwerksite alle content die op een profiel geplaatst wordt, mag gebruiken. Het feit dat het een niet-exclusieve licentie is, garandeert in ieder geval nog wel dat de maker van het profiel de content zelf ook nog mag gebruiken. De licenties zijn echter doorgaans dermate breed omschreven dat aanbieders van sociale netwerksites daar praktisch alles mee mogen doen, inclusief het gebruiken van naam, merk, logo en dergelijke, om reclame te maken voor de eigen sociale netwerksite. Het is dus denkbaar dat uw bedrijf ineens in de reclame-uitingen van Facebook, LinkedIn of andere sites te vinden is, en dit zou zelfs zover kunnen gaan dat u uw concurrent aanbeveelt …

Wanneer het gaat om het laten genereren van content door gebruikers, is het wederom zaak goed te bezien hoe een en ander geregeld is of dient te worden wat betreft de intellectuele eigendomsrechten. Ten eerste de positie van het bedrijf ten opzichte van de deelnemende gebruiker(s) – u wilt immers gebruikmaken van de door die gebruiker gegenereerde content. En ten tweede de positie van uw bedrijf ten opzichte van de aanbieder van de sociale netwerksite, wanneer u bijvoorbeeld van een bestaand platform gebruikmaakt om daar uw content te laten genereren.

Casus 3. Lancering van een nieuw social-mediaproduct door bedrijven

Gebruikmaken van social media lijkt bijna een must geworden binnen het bedrijfsleven. Gevestigde bedrijven zoeken de aandacht op Facebook en vergelijkbare platformen en bijna dagelijks worden initiatieven geboren van nieuwkomers op de social-mediamarkt. Een start-up kan het zich nog enigszins veroorloven fouten te maken in de bètafase (voor Google was dat zelfs het eindstation van veel van hun producten). Een slippertje wordt hen al gauw vergeven, de gebruikers zijn namelijk vaak ‘early adopters’ en zijn bereid wat experimenten tegemoet te zien om ‘on the cutting edge’ te blijven. Een bank, verzekeraar of overheidsinstantie daarentegen heeft vaak het duur gewonnen vertrouwen in stand te houden en moet de zorgvuldig opgebouwde reputatie beschermen. Voor die gevestigde bedrijven is het niet zo gemakkelijk een halffabricaat te lanceren dat tijdig inspeelt op de social-mediabehoefte van hun klanten. De afdelingen productontwikkeling en marketing stuiten dan gauw op een veto van de compliance- en de securityafdeling.

Een aantal gevestigde organisaties is de markt inmiddels wel aan het aftasten. Denk aan vliegtuigmaatschappij KLM, die het sinds kort mogelijk maakt voor passagiers om erachter te komen welke van hun Facebook- of Twitter-vrienden op dezelfde vlucht zitten en daarbij de optie verschaft om stoelen naast elkaar te reserveren.[http://www.bright.nl/vliegen-met-je-vrienden.] Wel zo prettig dat je van tevoren weet wie je gesprekspartner is op een lange vlucht. Een concurrent van KLM verkondigt dat zij met behulp van Google Images en gezichtsherkenning passagiers voortaan bij het instappen persoonlijk zal verwelkomen. Dit nieuws is niet overal even goed ontvangen.[http://www.theregister.co.uk/2012/07/05/british_airways_staff_google_images.] Zelfs de social-mediapioniers maken dus nog wel eens fouten. Facebook en LinkedIn hebben beide geëxperimenteerd met advertenties waarbij foto’s van hun gebruikers worden ingezet, wat tot veel kritiek van hun gebruikers en de publieke opinie heeft geleid.[http://nakedsecurity.sophos.com/2011/08/11/linkedin-copies-facebook-does-a-privacy-bait-and-switch.]

Juridische aandachtspunten

Gevestigde bedrijven zijn druk bezig met nadenken over hoe ze op een beheerste manier kunnen meedoen aan social media. Want inmiddels valt het gebruik hiervan niet meer weg te denken uit ons toekomstbeeld. Waar moeten zij aan denken voor zij een social-mediaproduct lanceren en wie zijn de beste gesprekspartners om dit mee te bespreken? Welke technologische aspecten spelen mee en welke wetten gelden? Hoe denkt de toezichthouder erover? Het hiervoor genoemde gebruik van gezichtsherkenning is bijvoorbeeld een heikel punt voor een Europese privacywaakhond.[http://tweakers.net/nieuws/83793/duitse-privacywaakhond-hekelt-gezichtsherkenning-facebook.html.]

Juridisch gezien zit er nog wel enig verschil in de situatie dat een volledig nieuw product in de markt wordt gezet of dat een gevestigd bedrijf gebruik wil gaan maken van bestaande sociale netwerksites (door bijvoorbeeld een eigen Facebook-pagina te openen). Om met het laatste te beginnen, indien je als bedrijf van bestaande netwerken gebruikmaakt, zul je akkoord moeten gaan met de voorwaarden die zij aan dat gebruik stellen. Het is daarom altijd zaak de algemene voorwaarden en het privacybeleid van deze sites goed te bestuderen. Is dit iets waar je als bedrijf mee uit de voeten kunt? Het nadeel van een dergelijke situatie is dat er praktisch gezien geen enkele onderhandelingsruimte bestaat over die voorwaarden. Het is een kwestie van slikken of stikken. Juist daarom is het raadzaam een jurist naar de voorwaarden te laten kijken om te bezien hoe die zich verhouden tot de bedrijfsvoering en te kijken waar mogelijke juridische risico’s liggen. Dat kan voor elk bedrijf weer anders zijn, vandaar dat wij hier niet specifiek op de details kunnen ingaan. Wel is het goed om in ieder geval de al eerder benoemde implicaties voor de intellectuele eigendom te bekijken. Dit hoeft voor een bedrijf geen showstopper te zijn, maar kan wel een reden zijn om niet alles te delen via social media.

Als een bedrijf zelf een nieuw social-mediaproduct in de markt zet, dient nog met een aantal extra zaken rekening te worden gehouden. Denk aan het hiervoor genoemde voorbeeld van de KLM-dienstverlening. In dat geval zal moeten worden bekeken welke eisen de privacywetgeving hieraan stelt. Mogen de gegevens voor dit doeleinde worden verwerkt? Hoe verkrijg ik toestemming en kan die ook weer worden ingetrokken? Moet dit gemeld worden aan het College Bescherming Persoonsgegevens? Worden er gevoelige gegevens verwerkt? Worden er koppelingen gelegd tussen het eigen klantenbestand (dat voor andere doeleinden is aangelegd) en de database van Facebook en hoe verloopt dit? Is de beveiliging van de app op orde? Dit zijn slechts enkele van de vragen die gesteld moeten worden. Ook iets om rekening mee te houden is de aanstaande meldplicht datalekken (de wijziging van de Wbp waarin deze zal worden opgenomen is inmiddels zeer ver gevorderd). Deze zal gelden voor alle verantwoordelijke verwerkers van persoonsgegevens, iets wat dus bij het nieuw in de markt zetten van een social-mediaproduct voor ogen gehouden moet worden. Het is daarbij van belang om niet alleen de beveiliging goed op orde te hebben, maar vooral ook te weten wanneer er een datalek heeft plaatsgevonden en wat voor acties in een dergelijk geval moeten worden ondernomen. Datalekken zullen onverwijld gemeld moeten worden, wat inhoudt dat u onder meer dient te weten wat voor gegevens gelekt zijn, hoeveel gegevens er gelekt zijn en welke maatregelen zullen worden ondernomen om de risico’s voor de privacy van personen in te dammen.

Conclusie

In de eerste casus is uiteengezet wat de aandachtspunten zijn bij het gebruik van social media in een werkgever-werknemerrelatie en in hoeverre een werkgever kan interveniëren in het social-mediagebruik van een werknemer. Hiermee is duidelijk geworden dat het gebruik van social media de nodige juridische implicaties met zich meebrengt. Het is daarom raadzaam een helder IT-beleid op te stellen dat duidelijke bepalingen omvat ten aanzien van het gebruik van social-mediaplatformen en deze al bij indiensttreding aan werknemers te communiceren.

Het is bij voorbaat echter moeilijk vast te stellen wat exact de juridische implicaties zijn bij het gebruik van social media in een werkgever-werknemerrelatie. Uit een verkenning van rechterlijke oordelen op dit terrein kan de conclusie worden getrokken dat ook de rechter zich sterk laat leiden door de concrete omstandigheden van het geval. Het verdient daarom aanbeveling om bij het opstellen van social-mediabeleid zorgvuldig te overwegen welke juridische aandachtspunten gelden, om zodoende toekomstige geschillen te voorkomen.

In dit artikel is ook het innovatief gebruik van social media door organisaties aangestipt. Veel toezichthouders raden als hulpmiddel een Privacy Impact Assessment aan alvorens wordt overgegaan tot het lanceren van een product waarmee persoonsgegevens zijn gemoeid.[http://www.ico.gov.uk/for_organisations/data_protection/topic_guides/privacy_impact_assessment.aspx.] Daarnaast is het concept van Privacy by Design van belang, dat inhoudt dat al vroeg in de ontwerpfase van een IT-oplossing rekening wordt gehouden met privacyverplichtingen. Dit geldt des te meer voor social-media-initiatieven. Het standpunt van de Europese toezichthouder is dat Privacy by Design onontbeerlijk is geworden in dit tijdperk.[http://www.cbpweb.nl/Pages/med_20101104_reactie_plan_reding.aspx.]

Ten slotte, als eenmaal een social-mediaproduct is gelanceerd, is het aan te bevelen om periodiek een privacy-audit te laten uitvoeren, om de continue compliance met de wetgeving te waarborgen. De beroepsgroep van IT-auditors beschikt hiervoor over NOREA-richtlijn 3600[https://www.privacy-audit-proof.nl.], ook bekend als het Privacy Audit Proof-keurmerk. Hiermee biedt deze richtlijn de beroepsgroep een middel om de grondslagen vast te stellen en aanwijzingen te geven voor de uitvoering van assuranceopdrachten op dit terrein.

Data security in an era of cybercrime: steering through feeling

IT security has always focused on the prevention of threats from hackers and internal fraud. However, something that we ought to have learned from previous incidents of publicized cybercrime, is the fact that one-hundred-per-cent security does not exist and, moreover, actual break-ins frequently remain undetected. Organizations should realize preventive controls as a precondition, and they should also have adequate controls for the detection of, and response to cybercrime.

Security begins with an awareness of the values that deserve to be protected, the recognition of threats, the definition of roles and responsibilities, and the determination of the required maturity of security processes. Then comes the configuration of a secure IT infrastructure. However, how can security be realized without the introduction of a surplus of measures?

Introduction

The world seemed simple prior to the advent of IT; physical security was the only area that potentially could be in danger. Organizations that had to deal with highly sensitive information made (limited) use of data classification and labeling (the marking of data classification on documents).

With the arrival of the first computers, security appeared to have become even simpler, in view of the fact that applications could only approach the data stored in centrally managed mainframes via previously defined functionalities and via strict procedures. Transactional data, in particular, was processed in this mainframe environment. The advent of the PC essentially altered the complexity of security. Users now created and processed data themselves in documents (files), and also dealt primarily with non-transactional data, which often included the highly sensitive data.

We have advanced quite a distance in the meantime. USB sticks are used for the exchange of data and, unfortunately, also for the transfer of viruses and trojans. Phishing occurs via e-mails, and users are enabled to install software on their own PC. End users store and even process documents in the cloud.

Also, with the advance of social media and a new – young – generation of users, combined with the deployment of private IT resources such as smartphones and tablets within one’s own organization, it is becoming increasingly unclear whether or not an adequate level of IT security has been or can be realized.

Therefore, it is time for reflection. Can we apply fewer hard controls and more soft ones? Which criteria have to be imposed on security, where should security be regulated in the technology to ensure transparency, and where should we be able to rely upon the security awareness on the part of end users, developers and managers? Rules for IT management have become increasingly extensive and complex. There are even more rules than the users, managers and developers know about. So, it is time to apply the modern principle of ‘steering through feeling’ to data security to a greater extent.

More steering through feeling and, with that, greater awareness, are required considering the impact that a positive culture (security consciousness) and governance (organization, roles and responsibilities) can have upon data security, resulting in adequate IT security processes and a secure IT infrastructure (see Figure 1).

C-2013-0-Kornelisse-01

Figure 1. Cause and effect.

This article will cover the following themes, analyzing whether or not it is possible to have more ‘steering through feeling’:

  1. security awareness
  2. classification and labeling
  3. security measures in IT processes and IT infrastructure
  4. demonstrability of security.

Security awareness

The regular stimulation of security awareness supports steering through feeling. In terms of security awareness, this means that organizations should pay more time and energy to this development, with the result that users and managers spontaneously deal with data in a better way.

Users themselves appear to be rather naïve: ‘Do users think seriously enough about the required IT level of security?’ A good example is the introduction of smartphones and tablets in organizations. These devices are usually brought into the organization by board members, and then this habit spreads to other users in the organization. Due to ease of use and trend sensitivity, the idea has arisen that organizations must be able to use such IT resources immediately. Risks are often (temporarily) accepted.

However, with the use of smartphones and tablets, people are not always aware of the value of the data that is stored and processed on these IT resources, or of the external and internal threats that may be involved.

In reflecting on the value of data, people often think of the value of data for the organization itself. However, it is becoming increasingly important to consider data in the ecosystem of collaborating organizations. Think of cybercrime in the public domain for example, where criminals seek data outside the organization under attack:

  • Diginotar was attacked in order to create digital certificates.
  • RSA was attacked to access SecurID authentication information.

In the past, much attention in security enforcement was devoted to the identification of threats. This tended to result in fear, doubt, and uncertainty. It seems, however, that it is more important for users to think about the values that they are working with, and the values that ought to be protected in that case. This requires training in security awareness – but such training is scarcely available. As a component of security awareness, attention should be paid to the assessment of values, the acknowledgement of generic security facilities, and the corresponding limitations of security facilities for IT resources.

As a part of the data lifecycle, users and managers should reinforce their awareness of how to deal with data security, so that they come to treat data and systems as if these involved their own wallets.

  • Create. Does a user reflect on the stakeholder to whom the data may be valuable, and on what the magnitude of this value may be? Can people assess, on the basis of the recognized value, who should have right of access to, or be able to process, the data? Is it clear which metadata is being created, or what the document properties are?
  • Store. Given the value of the data, is a user aware of where the data can be stored, and of whether or not the data ought to be encrypted (think of the use of facilities such as Dropbox, for example)?
  • Transport. Should a user encrypt his/her data for transport? Can the data be transported via e-mail or a USB stick?
  • Process. Can the data be processed in the cloud, should the user make specific agreements about this?
  • Sleep. Is it clear who the owner is of data when it is dormant?
  • Delete. Are the conditions of data retention known to the users? Is there some kind of guarantee covering the timely or perhaps premature deletion of data?

Classification and labeling

Highly sensitive data should be recognizable. Data that can be easily and intuitively classified, requires no explicit categorization or labeling to ensure careful treatment. That is self-evident. Accordingly, the formal classification and labeling of most data is unnecessary.

Recognition of classification

Only a few users are requested to classify data on the basis of the value of the data, if an organization classifies data at all. Organizations that actually do so mostly make use of a so-called CIA classification (Confidentiality, Integrity, Availability), directed toward applications rather than the data itself.

The classification of data can take place in many ways, and is generally experienced as being complex and difficult to maintain. That is why, in many cases, data classification simply does not occur, or occurs incorrectly or incompletely. As a consequence, no explicit labeling takes place either. This being the case, it is not always clear to third parties who is entitled to view the data, let alone know where data is stored and when the decision to delete it should be taken.

However, there is often a subconscious awareness of the sensitivity of data, which provides a basis through which the distribution of data can be limited.

It will be evident that public media such as Twitter, LinkedIn and Facebook are only intended for data that is allowed to enter the public domain. For data used within an organization, the allowed distribution is often much more complex. It is advisable to acknowledge as few data classes as possible, and to choose these classes in such a way that they are intuitive to the users and yet still function if the users do not spontaneously remember them. In a simple process we can think of a distinguishing (in-house) style that can be clearly recognized by internal members of staff. On the basis of the acknowledged value (what is important to the organization – think of Intellectual Property, what will be the damage if the data becomes public, etc?), the following classes can be deployed and can be spontaneously applied by users despite a lack of knowledge:

  • public (intended for clients and other interested parties)
  • internal (intended for all personnel, preferably not for external distribution)
  • confidential (intended for a small group of people outside of which the data may not be accessible)
  • personal (often intuitive, intended for one specific person, such as HR-specific information).

You should make differences in classification explicit, particularly in situations where the difference in classification is less pronounced. One example is the use of the ‘Internal’ and ‘Confidential’.

Types of data

In the classification of data, it is expected that structured and unstructured data are treated differently:

  • Structured data is processed by an application and is primarily labeled through classification via the processing application. This means that the application can automatically print a classification on reports. The payslips of the members of staff, upon which the label ‘Personal’ can be printed, is a good example of this.

    An organization should ask itself explicitly if all relevant structured data is adequately shown. In the case of payslips, it is obvious that salary information is personal, and the data is indeed shown. However, data that does not seem to have the ‘Personal’ classification – but should nevertheless be regarded as private – is often stored in a structured way, via marketing websites for instance. In this context one can think of security incidents where the clients’ private information, such as e-mails and other data, was made public by hackers of marketing sites. Suddenly privacy-sensitive data was there for the taking. In this way, it became clear that the data ought to have been classified as ‘Personal’, and should have been assigned the appropriately strict security status.

    Accordingly, it is advisable to first formulate an adequate overview of processed data for each application and to classify the data, and only then classify the application itself.

    In view of the fact that structured data is managed for the users, it is advisable to actually classify it.
  • Unstructured data is less easy to define. For unstructured data, it is important that users have an awareness of the necessary degree of security with regard to the IT resources (laptops, tablets, smartphones) and central IT services (file servers and other shares) they use to store sensitive data. In this process, it must be clear who is allowed to store which data where and for how long.

    In view of the fact that unstructured data is managed by the users themselves, the users should be encouraged to steer through feeling; in other words, the issue of classification should be spontaneously assessed at the selection of the IT services, such as e-mail, tablets and file servers.

Measures in IT processes and IT infrastructure

Security services should be realized with the greatest possible transparency, via generic IT services such as e-mail and tablets, which is what a user intuitively expects.

Security services should be directed toward measures for the prevention and detection of, and response to, threats from both outside and in.

In the configuration of security measures, it is advisable to start with the expectations of the end user, and with the value of the data with which the organization normally works. For example, a research department can cover highly sensitive data such as intellectual ownership, while a shop may be dealing with low-sensitive data such as product, price and sales information. Nevertheless, in dealing with data, an organization must be aware of the threats that are directed toward the organization, as well as indirect threats in cases where the organization is a part of a larger chain.

A simple process can consist of limiting necessary measures (not closing off USB ports, for example), and also of the consistent application of measures so that exceptions do not entail an enlargement of complexity (such as the standard configuration of laptops with encryption of harddisks and the use of personal firewalls).

A simple process to realize and maintain data security is shown in Figure 2. First, the necessary security measures are defined in line with an analysis of the risks. Then, on a compliance basis, it is determined whether or not these measures can be maintained. If that turns out not to be the case, any non-compliance is mitigated, explicitly, but in relation to the risk involved.

This security process for the realization of a safe IT service can be run through for both structured data and unstructured data.

With structured data, the sensitivity of the processing application is established, and the security measures are adapted to this.

However, with unstructured data, it is possible that there will be many IT services (IT resources and applications) processing and/or storing the data. In the case of unstructured data, the security process will not be run through for data but for generic IT services (such as the file server, smartphones and tablets, and internet storage services). Unstructured data (such as e-mail) can be read in this framework. Accordingly, with IT services such as these, the possibility to read the highest data classification should be the starting point. On the basis of this classification, the security measures can subsequently be selected. Depending on the sensitivity of the data, more rigorous security measures can be chosen, such as:

  • user name and password, or a second form of authentication such as a token
  • unencrypted storage on a secure server, or encrypted storage on the same secure server
  • standard tablet for the use of e-mail, or e-mail in a so-called ‘encrypted sandbox’ application.

C-2013-0-Kornelisse-02-klein

Figure 2. Security process for data and systems. [Click on the image for a larger image]

The selection of security measures is easier said than done. Keep in mind that four regulation sections can be identified for every IT service (see Figure 3).

C-2013-0-Kornelisse-03

Figure 3. Regulation sections for data security.

An example is given of each of these measures. Internal user processes may involve an authorization process for access to the data. Within business applications, a four-eyes principle (i.e., two observers) can be realized and encryption can be introduced. In the IT infrastructure, security can be arranged by the application of stringent configuration of security parameters. Finally, security can be guaranteed via IT management processes by installing preventative processes for patching and access control, for example, as well as processes for detection and response should the access regulations be breached.

Demonstrability of data security

It is precisely in cases of transparent information security that it is advisable to look under the hood periodically in order to control whether or not confidence in data security is justified.

In this process, the 3-lines-of-defense model stimulates efficiency. Self-control also helps the timely detection of security risks.

Especially when it is steered through feeling, an organization should investigate whether or not adequate security measures have been installed, but this should be done in moderation.

The demonstration of adequate security on the basis of the 3-lines-of-defense model guarantees that the co-coordinators themselves assume their responsibility, and subsequently efficiently and effectively demonstrate status to the management of an organization, so that the management can assume its own responsibility for the data it administers, its own and those of his customers. The efficient and effective input of departments such as IT, risk management, security, and internal audit are thus supported.

Prior to the demonstration of data security it is advisable to determine its scope: which data and IT services should be shown to be adequately protected, and for which data and IT services is this not necessary? Do all sensitive data within the organization light up on the radar? By periodically identifying dataflows across the width of the organization, sensitive data remains on the radar. In this context, one can think of project data on file servers, for example, or customer data on an old server where the corresponding application is still active without anyone knowing about it, even if there are no longer any users. And there may be data on old media or in the cloud.

With scoping, it is important to focus on the value of the data to the organization itself, to other stakeholders, and to hackers for example. Consider also the possible effects of WikiLeaks or the publicizing of data after a burglary.

Development of threats in the chain, and demands imposed

Organizations need not always be involved in the development of threats. These threats may also lie beyond the organization. For instance, various organizations in sectors such as security and transport have to admit that if GSM networks fail, their own services to customers will also fail.

Accordingly, it is advisable to examine the chains periodically, and to show that adequate responsibility has been taken within this domain. In the case of dependence upon GSM networks, the question may be asked concerning whether or not back-up measures should be realized.

Current compliance of measures with previously determined demands

Please ensure that, in the monitoring of compliance, both process-oriented and technology-oriented measures are given sufficient attention (see also Figure 3). In the recent past, considerations of efficiency and perhaps even of knowledge have ensured that attention has been increasingly paid to the monitoring of processes. However, this is no guarantee that the correct technology is being maintained. Technology monitoring requires explicit attention!

Risk assessment of the current demands and non-compliances

Monitoring can show whether or not non-compliances are present. A non-compliance can be accepted or mitigated.

There is an increasing need for a dashboard of non-compliances and potential risks, enabling the management to make satisfactory choices with regard to the non-compliances that are to be accepted or mitigated, as well as the speed with which the mitigation of non-compliances should take place. In this risk evaluation, be careful to only take costs into account, and balance the costs of security against the values to be protected.

In conclusion

More ‘steering through feeling’ will be an important managerial feature in the future, because it turns out to become too complex and expensive to document all data security measures in requirements and to have users and managers remember them all. For measures that are genuinely essential – in other words, those covering the sensitive data and systems – it is important to ensure such measures firmly, and to organize the demonstrability of these measures and report on their outcomes.

Accordingly, the following priorities apply to the management of organizations:

  • Security awareness
    • Remember that the landscape is changing, threats are real and here, security measures cannot provide a hundred per cent security; that has always been the case.
    • Security awareness should be constantly stimulated, by periodic campaigns for example.
  • Data classification and labeling
    • Configure data security specifically for your own organization, on the basis of the acknowledged value of data and systems, and the role of the organization in related business chains.
    • Restrict formal classification and labeling to the essence.
  • Security measures
    • Lead by example, and be cautious with regard to innovations such as smartphones and tablets. Prevent the management of the organization making unsafe use of these resources and insist, in good time, that only secure use is possible.
    • Do not be penny wise and pound foolish, but invest consciously; do not economize on the avoidance of major risks. Consider monitoring, for example. This makes it possible to control whether or not essential security measures are being adequately applied.
  • Demonstrability
    • Apply the 3-lines-of-defense model to security. With a higher degree of maturity in control (evident via demonstrability), protection will become more efficient and also a structured and continuous process.

Duurzaam inkopen: na risicomanagement op weg naar waardecreatie

Duurzaam inkopen wordt (te) vaak nog vereenzelvigd met het uitsluiten van leveranciers op basis van hun duurzaamheidsprestaties om daarmee de eigen reputatie hoog te houden. Dat is een te beperkte interpretatie van het thema. Duurzaam inkopen richt zich niet alleen op risicomanagement maar kan ook leiden tot onderscheidend vermogen, nieuwe producten, een andere werkwijze of lagere totale kosten.

Inleiding

Duurzaam inkopen houdt meer in dan het uitsluiten van leveranciers op basis van hun duurzaamheidsprestaties om daarmee de eigen reputatie hoog te houden. Een duurzame inkoop richt zich niet alleen op risicomanagement maar kan voor de onderneming ook – bijvoorbeeld als gevolg van andere vormen van samenwerking met leveranciers – leiden tot onderscheidend vermogen, nieuwe producten, transformaties in de werkwijze of een verlaging van de totale kosten. Organisaties die dat goed voor elkaar hebben creëren waarde. De eerste successen hiervan zijn zowel in het bedrijfsleven als bij de overheid zichtbaar.

Nike werd in de jaren zeventig ernstig in verlegenheid gebracht toen bleek dat het bedrijf in de toeleveringsketen in Taiwan en Zuid-Korea gebruikmaakte van sweatshops. Na jarenlang de verantwoordelijkheid voor wat in deze ‘fabrieken’ gebeurde te ontkennen is het uiteindelijke gevolg: een strak inkoopbeleid waarin men zich erop richt dergelijke zaken te voorkomen en daarmee risico’s te managen. Zo werd er onder meer een uitgebreid monitoringprogramma opgezet en sinds 2002 zijn er meer dan zeshonderd fabrieken onderworpen aan een audit, en het bedrijf professionaliseert dit programma steeds verder. Naast dit uitsluitingsbeleid verbreedt Nike haar scope op duurzaam inkopen en ontwikkelt ambities waarbij een nieuw soort samenwerking met ketenpartners vereist is. Voorbeeld hiervan is de closed loop sportschoen die gemaakt wordt van gerecyclede oude sportschoenen. Deze noviteit bracht Nike de mogelijkheid haar product te verduurzamen en tegelijk te werken aan klantbehoud. Dit tekent de ontwikkeling die het (inkoop)beleid van Nike de afgelopen jaren heeft doorgemaakt: van reactief risicomanagement naar proactieve waardecreatie, in dit geval in de vorm van klantenbinding. Een aantal voorlopers in de markt staat nu voor een soortgelijke transformatie of is ermee begonnen.

Waarom duurzaam inkopen?

Het belang en nut van duurzaam ondernemen is inmiddels bij een grote groep bedrijven een gegeven. Hierdoor ontstaat een steeds meer volwassen houding ten opzichte van duurzaamheid en daarmee gepaard groeit het besef dat duurzaamheid niet moet worden beperkt tot de grenzen van de eigen organisatie. Er is een ketenbenadering nodig en duurzaam inkopen mag zich als thema dan ook verheugen in groeiende belangstelling.

Dat komt voor een belangrijk deel doordat organisaties de risico’s van incidenten in hun toeleveringsketen willen voorkomen om daarmee reputatieschade en uiteindelijk verlies van business te voorkomen. Zo’n op het voorkomen van risico’s gebaseerd inkoopbeleid is heel begrijpelijk en het (recente) verleden wijst uit dat het geen overbodige luxe is. Zo werd in 2009 Apple geconfronteerd met zelfdodingen die in verband werden gebracht met de arbeidsomstandigheden bij toeleverancier Foxconn en C&A kwam zowel in 2007 als in 2010 in het nieuws omdat aan de productie van haar kleding kinderarbeid te pas komt. De laatste keer leidde dit in Nederland zelfs tot Kamervragen. Dergelijke risico’s bestaan dus al een tijdje, maar worden steeds groter. Voor een deel is dat het gevolg van een toenemend kritische houding van de maatschappij tegenover de werkwijze van bedrijven. Stakeholders verwachten meer dan vroeger actief beleid op dit punt en brengen hun verwachtingen concreet over aan bedrijven. Een voorbeeld daarvan is ‘de kitkat-palmolie-actie’ van Greenpeace: begeleid door onder andere een keihard spotje dat via social media de hele wereld over ging, trok Greenpeace van leer tegen voedingsmiddelenconcern Nestlé. Dat werd ervan beschuldigd populaire chocoladeproducten als KitKat te produceren met palmolie uit regenwouden, wat uiteindelijk tot de ondergang van dieren zoals orang oetangs zou leiden. Onder druk van dit mediageweld besloot het Zwitserse concern vliegensvlug een dubieuze Indonesische palmolieleverancier te vervangen en werd beloofd alles in het werk te stellen om dit soort niet-duurzame palmolie overal in de ban te doen. In een persbericht zegt Nestlé: ‘We have also joined other major purchasers of palm oil in making sure that companies, such as Cargill, understand our demands for palm oil which is not sourced from suppliers which destroy rainforests‘.

Duurzaam inkopen in reactie op stakeholders

Barbie hangt haar kettingzaag aan de wilgen en stopt met het meewerken aan ontbossing. Ze verpakt zich niet langer in papier waarvoor kostbaar regenwoud is gesneuveld. Dat maakt Mattel, de speelgoedfabrikant van Barbie, vandaag bekend. Het bedrijf heeft zijn contract opgezegd met het beruchte papierbedrijf Asia Pulp & Paper (APP), verantwoordelijk voor grootschalige ontbossing in Indonesië.

Naast deze kritische houding van stakeholders – die past bij de huidige tijdgeest – speelt ook een andere ontwikkeling een rol. De toeleverketens worden steeds kwetsbaarder doordat ze langer en slanker worden en het risico dat er ergens in de keten wat misgaat wordt daarmee groter. Daarbij komt bovendien nog het effect dat de toeleverketens zich als gevolg van globalisering over de hele wereld uitstrekken. Daardoor is het voor westerse bedrijven haast onvermijdelijk dat wordt samengewerkt met partijen die in andere culturen opereren en er heel andere standaarden, normen en waarden op na houden.

De externe druk om verantwoordelijkheid te nemen voor de toeleveringsketen is dus groot en het gevolg is dat duurzaam inkopen als onderdeel van risicomanagement wordt ingericht. Daarmee wordt het door bedrijven deels gezien als een kostenpost die niet direct bijdraagt aan de winstgevendheid van een bedrijf, maar hooguit mogelijke schade kan voorkomen. Bovendien blijft het een opzichzelfstaand onderdeel van de organisatie dat niet in verbinding staat met bijvoorbeeld business development, productontwikkeling en marketing en sales. Door deze koppeling wel te maken kan duurzaam inkopen zowel op korte als lange termijn waarde gaan opleveren voor een bedrijf.

Het gaat hier feitelijk in de tijd om een logische vervolgstap op de initiële inspanningen. Een bedrijf dat de eerste stappen zet op het gebied van duurzaam inkopen zal zich in deze fase met name richten op risicomanagement. Als men dat eenmaal goed op orde heeft, ligt er een ‘infrastructuur’ om nauwer te gaan samenwerken met leveranciers. De gesprekken in de volgende fase gaan dan niet meer alleen over het voorkomen van incidenten, maar ook over mogelijke efficiencyverbeteringen, kostenreducties, nieuwe producten, nieuwe logistieke oplossingen, etc. Dat opent de weg naar waardecreatie.

Duurzame inkoop als instrument voor risicomanagement

De eerlijkheid gebiedt te zeggen dat veel organisaties nog maar de eerste schreden zetten op het pad van duurzaam inkopen. Daarom vinden wij het in dit artikel nodig om eerst in te gaan op deze basis. Daarna zullen we ingaan op de wijze waarop duurzaam inkopen tot waardecreatie kan leiden.

Als definitie van duurzaam inkopen gebruiken we de volgende omschrijving:

Duurzaam inkopen vindt plaats als organisaties bij het inkopen rekening houden met sociale en milieuaspecten.

Daarbij gaat het niet alleen om de uiteindelijke beslissing om in te kopen, maar om het hele inkoopproces. Deze sociale en milieuaspecten spelen dan een rol naast conventionele criteria als prijs, beschikbaarheid en kwaliteit. Milieuaspecten betreffen de impact op de leefomgeving die een product of dienst tijdens de hele lifecycle heeft. Bij de sociale impact gaat het om de leef- en werkomstandigheden in de productieketen.

Bij het starten met duurzaam inkopen is risicomanagement vaak één van de eerste overwegingen. Deze risico’s kunnen zich voordoen op de volgende gebieden:

Reputatieschade

Reputatieschade kan ontstaan als een bedrijf slecht in het nieuws komt door gebeurtenissen die zich voordoen in de supply chain, of door een slechte productkwaliteit die hier het gevolg van kan zijn. In sommige gevallen heeft commotie over een maatschappelijk opspelend onderwerp zelfs geleid tot het boycotten van een geheel bedrijf in een bepaald land en zelfs op een geheel continent.

Omzetverlies

Omzetverlies kan zich voordoen door het verliezen van tenders waarbij duurzaamheid een rol speelt. Overheden in met name West-Europa hebben grote stappen gezet om duurzaam in te kopen. Bedrijven die niet aan duurzaamheidseisen voldoen, komen niet door de selectie. Er zijn ook steeds meer bedrijven die duurzame inkoopeisen stellen aan leveranciers en verlangen dat zij dit doorvertalen in hun supply chains. Omzetverlies kan zich uiteraard ook voordoen bij een boycot van producten, of door de kosten van een terugroepactie bij schadelijke stoffen die in producten blijken te zitten.

Wetgeving

Risico’s op dit vlak ontstaan doordat een bedrijf niet voldoet aan de wetgeving en hierdoor niet aan de levereisen kan voldoen of boetes krijgt opgelegd. De Dodd-Frank Act bijvoorbeeld, die vorig jaar in de Verenigde Staten is aangenomen, heeft als gevolg dat bedrijven moeten kunnen aantonen dat ze geen producten leveren die ‘conflict mineralen’ bevatten. Wetgeving op milieu- en sociaal gebied kan per land verschillen, waardoor het vaak loont om voorop te lopen op dit gebied en wetgeving voor te zijn.

Stakeholderconflicten

Onverantwoordelijk gedrag kan stakeholders doen besluiten zich tegen een onderneming te keren en omgekeerd kan verantwoordelijk gedrag ervoor zorgen dat de onderneming gelegitimeerd wordt door stakeholders. Een organisatie met duurzaamheid hoog in het vaandel zal personeel minder snel van zich vervreemden. Door bijvoorbeeld in contact te blijven met de lokale gemeenschap (of duurzaam in te kopen in de omgeving van het bedrijf) wordt het risico verminderd om de ‘license to operate’ te verliezen.

De implementatie van een dergelijke defensieve duurzame inkoopstrategie vergt een goede voorbereiding en vasthoudende executie. Zonder op deze plaats diep in te gaan op de te onderscheiden stappen willen we graag twee algemene opmerkingen erover plaatsen.

Ten eerste een opmerking over het effect van dit beleid. Het moge duidelijk zijn dat organisaties met zo’n beleid onder leveranciers het kaf van het koren kunnen scheiden, en de risico’s in de keten verkleinen. Zo’n uitsluitingsbeleid wil echter niet per definitie zeggen dat het leidt tot echt duurzamer inkopen. Veel leveranciers leveren immers dezelfde producten als de niet-duurzame leveranciers. Ofwel: er wordt wel verschil gemaakt in de selectie van leveranciers, maar niet zozeer in de selectie van duurzame producten. Dat is ook juist waar het moeilijker wordt en het aanzienlijke inspanningen vergt. Om op productniveau te kunnen onderscheiden op duurzaamheid, is veel meer nodig dan alleen selectie van leveranciers. Er moet een diepgaande kennis aanwezig zijn van wat producten duurzaam maakt en er moeten instrumenten worden ontwikkeld om duurzame producten te kunnen onderscheiden en inkopers deze te laten selecteren. Daarnaast zijn er mechanismen nodig om te kunnen controleren dat een product inderdaad duurzaam is. Zodra het hierbij gaat om aspecten die niet aan het product zelf zijn te onderscheiden, moet er vaak een vorm van controle in de keten worden opgezet. Het gebruik van labels en standaarden (bijvoorbeeld voor duurzaam geproduceerd hout, papier, etc.) kan uitkomst bieden, maar deze zijn lang niet altijd beschikbaar, met name in de business-to-businessmarkten.

Ten tweede een opmerking over het onderscheidend vermogen van duurzaam inkopen. Duurzaam inkopen met als doel het managen van risico’s wordt steeds meer een hygiënefactor. Wij verwachten dat duurzaam inkopen vanuit risicoperspectief op termijn dezelfde status krijgt als het begrip kwaliteit en ISO-certificeringen nu hebben: een vanzelfsprekendheid waar je in veel markten niet zonder kunt. Tekenend is bijvoorbeeld dat overheden en grote multinationals niet alleen eisen stellen aan de duurzaamheid van hun leveranciers maar ook aan de duurzaamheid van de toeleverketens van die leveranciers. Wie daaraan niet kan voldoen kan simpelweg geen zaken meer doen, terwijl je als partij ook afspraken zou kunnen maken en managen hoe je bepaalde eisen zou kunnen realiseren.

Duurzame inkoop ten behoeve van waardecreatie

Voorlopers in de markt gaan verder dan een uitsluitingsbeleid van leveranciers op basis van vooraf gedefinieerde criteria. Zij zien in dat de businesscase voor duurzaam inkopen verder strekt dan het managen van risico’s en willen waarde creëren met het beleid voor duurzaam inkopen. Eén van de essentiële voorwaarden is dat het beleid niet geïsoleerd moet worden geïmplementeerd van de rest van de organisatie. Alleen een integrale aanpak maakt het mogelijk om daadwerkelijk de vruchten te plukken. Wij onderscheiden vier terreinen waarop waarde gecreëerd kan worden met duurzaam inkopen.

Terreinen voor waardecreatie vanuit duurzaam inkopen

1 Kostenreductie

Wie niet kiest voor een uitsluitingsbeleid maar in plaats daarvan op zoek gaat naar producten met een meer duurzaam karakter, zal in veel gevallen ontdekken dat daarmee aanzienlijke kostenbesparingen zijn te realiseren. Het artikel over Green IT in deze Compact gaat onder andere in op dit aspect en laat zien dat hardware met een lager verbruik vanuit bedrijfseconomisch perspectief zeer aantrekkelijk kan zijn. De kostenreductie kan ook voortvloeien uit andere factoren. Zo kunnen bedrijven afspraken maken over de aanleverspecificaties van materialen met hun leveranciers waardoor verspilling wordt verminderd en/of minder materiaal nodig is voor de verpakking. Ook leidt samenwerking op logistiek gebied tot kostenvoordelen, bijvoorbeeld door de combinatie van transport of door ernaar te streven dat een vrachtwagen ook op zijn terugrit weer lading kan meenemen. Dit inzicht is niet nieuw of ingewikkeld, maar blijft in veel sectoren onderbenut.

Een voorbeeld hiervan is de bouwsector. Naar bouwplaatsen rijden diverse leveranciers en vrachtwagens continu op en neer. Bouwbedrijf Dura Vermeer Divisie Infra en technisch dienstverlener Imtech Infra hebben samen een procedure ontwikkeld om de bestelling en afroep van materialen te bundelen. Daarmee wordt voorkomen dat verschillende partijen materialen van dezelfde leverancier laten komen, meerdere malen per dag of week. Dit leidt tot vermindering van logistieke bewegingen en daarmee ook tot een energiereductie die oploopt tot 25 procent.

Meer in het algemeen geldt dat een andere blik nodig is van inkopers om een kostenreductie te bewerkstelligen. Dat betekent in elk geval dat men in staat moet zijn om door hoge(re) aanvangsinvesteringen heen te kijken naar de Total Cost of Ownership. Om dat voor elkaar te krijgen moeten inkopers de door de opdrachtgever gevraagde specificatie durven uit te dagen en alternatieven aan te dragen. De focus moet niet op snelle kostenreducties liggen maar op langetermijnkosten en kwaliteit. Een mooi voorbeeld hiervan is te vinden bij Walmart, een erkend prijsvechter met veel marktmacht. Het bedrijf kiest voor een alternatieve besparingsmethode door leveranciers te vragen om energie te besparen, en de energie-efficiëntie van producten met 25 procent te verbeteren. De gedachte daarachter is dat energiereductie leidt tot besparingen die leveranciers (deels) weer doorgeven aan Walmart, die daardoor in staat blijft om de goedkoopste aanbieder te zijn.

2 Innovatie

Door een voorkeursbehandeling te geven aan leveranciers met duurzamere producten wordt de toeleveringsketen structureel gestimuleerd tot innovatie. Voorlopers in hun branche worden dan beloond en het effect daarvan is sterker dan een uitsluitingsbeleid dat feitelijk is gebaseerd op straffen. Een mooi voorbeeld daarvan is de CO2-Prestatieladder die ProRail enkele jaren geleden samen met KPMG Sustainability ontwikkelde.

In plaats van een uitgebreide set criteria waar leveranciers zich aan moeten houden, kiest ProRail voor criteria in de vorm van een overzichtelijke CO2-Prestatieladder. Leveranciers – zoals bouwbedrijven die jaarlijks voor enkele miljarden aan opdrachten uitvoeren voor ProRail – krijgen op basis van hun duurzaamheidsprestaties een score van 0 tot 5 op deze ladder. Op niveau 0 doet een bedrijf nagenoeg niets om klimaatverandering tegen te gaan. Niveau 5 betekent dat een bedrijf alles doet wat in zijn redelijke vermogen ligt om bij te dragen aan de strijd tegen klimaatverandering. Hoe hoger de score, hoe hoger de korting in de aanbesteding en hoe groter de kans dat de opdracht wordt binnengehaald. Op deze wijze levert het investeren in duurzaamheid dus direct financieel voordeel op voor de leverancier. Bovendien dwingt deze werkwijze tot innovaties en het delen van kennis om hoger op de ladder te komen. Dit leidt ook weer tot kostenbesparingen: de reductie van emissies komt voort uit een lager energieverbruik en daarmee lagere kosten. Deze voordelen komen voor een deel terug bij ProRail. In het inkoopbeleid van ProRail wordt een leverancier dus niet gedwongen tot duurzaamheid, maar wordt deze bevoordeeld naarmate men beter scoort op duurzaamheid. Een betere stimulans voor duurzaamheid is nauwelijks denkbaar. Bovendien beperkt deze aanpak de bureaucratie. Leveranciers hoeven niet bij iedere aanbesteding een uitgebreide set documentatie te overleggen om hun duurzaamheidsbeleid te bewijzen, omdat is gekozen voor externe certificering van de score op de CO2-Prestatieladder. In deze opzet kan het certificaat – verstrekt door een externe partij – jaarlijks worden opgesteld en daarna gebruikt voor meerdere aanbestedingen, ook bij andere partijen die gebruikmaken van de inmiddels vrijgegeven en door meerdere inkooporganisaties in gebruik genomen CO2-Prestatieladder.

3 Onderscheidend vermogen

Duurzaamheid kan in bepaalde markten een onderscheidend vermogen zijn. Zo geldt voor veel producten in de fast moving consumer industrie dat de consument nauwelijks verschil ervaart – commoditization – en dat de prijsdruk zeer hoog is. Wanneer een fabrikant in staat is om op het gebied van duurzaamheid het verschil te maken – bijvoorbeeld door certificering van zijn producten – bij een gelijkblijvende prijs, dan heeft hij daarmee een sterk concurrentiewapen in handen. Unilever heeft dat gedaan voor alle theeproducten, door alleen nog te werken met gecertificeerde theeplantages. Die certificering – in samenwerking met The Rainforest Alliance – leidde tot een beduidende omzettoename. Belangrijk daarbij is dat consumenten weer ‘waarde’ zijn gaan toekennen aan een product als thee dat vooral als een commodity werd gezien. De negatieve prijsspiraal werd hiermee doorbroken.

4 Ketenintegratie

Duurzaam inkopen kan in veel gevallen ook niet los worden gezien van een andere manier van samenwerken met partijen in de keten. Om de voorgaande voordelen – kosten, innovatie, imago – te realiseren is het nodig om nauw samen te werken met toeleveranciers. Het effect daarvan kan verrassend zijn. In de bouwsector wordt op dit gebied veel ondernomen. Van oudsher is het onderlinge vertrouwen daar niet erg groot en is er sprake van grote prijsdruk. Uit praktijkcases blijkt echter dat het ook anders kan.

Zo bewees bouwbedrijf VolkerWessels dat sloop van een voorraad oude slecht geïsoleerde woningen kan worden voorkomen door een slimme en innovatieve aanpak samen met de toeleveranciers. Werkvoorbereiding, engineering en uitvoering werd in bouwteamverband aangepakt. De opdrachtgever, een woningcorporatie, zat samen met VolkerWessels, de architect, de adviseur, de constructeur, de installateur en gespecialiseerde toeleveranciers aan tafel om na te denken over verbetering van de energieprestaties. Eén van de unieke aspecten was dat elke deelnemer aan de samenwerking open calculaties hanteerde en inzicht had in de totale kostprijs waarbinnen de oplossing moest worden gerealiseerd. Toeleveranciers die van meet af aan zijn betrokken blijken dan ook bereid om tijd te stoppen in het meedenken over de beste oplossing binnen het beschikbare budget. In een traditionele aanpak gebeurt dat niet en wordt er puur op prijs geconcurreerd, waardoor kwaliteit niet altijd de hoogste prioriteit heeft.

Dergelijke voorbeelden zijn mooi, en het wordt nog mooier als de kennis over deze voorbeelden ook actief haar weg vindt in de hele organisatie. Ook dat is immers een onderdeel van een goed beleid van duurzaam inkopen. Tot slot kan samenwerken met leveranciers op deze wijze er ook aan bijdragen dat een organisatie als eerste de innovaties van leveranciers beschikbaar krijgt.

C-2012-1-Hoeksema-t01

Tabel 1. Terreinen van waardecreatie en de weg ernaartoe.

De weg naar waardecreatie

Organisaties die de eerste stappen op het gebied van duurzaam inkopen (gericht op risicomanagement) reeds hebben gezet, kunnen zich opmaken voor de volgende stap die zich richt op waardecreatie. Een standaard succesrecept voor de implementatie daarvan is niet mogelijk, al was het maar omdat de uitdagingen en mogelijkheden sterk afhankelijk zijn van de sector. Wel hebben wij een aantal leidende principes geformuleerd die wij randvoorwaardelijk achten bij het succesvol waarde creëren door duurzame inkoop.

Leiderschap

Het topmanagement dient in woord en daad te laten zien dat men de juiste randvoorwaarden schept en hecht aan een duurzame strategie voor de lange termijn. Dan ontstaat er een goede basis voor de organisatie om samen met ketenpartners te werken aan innovatie en waardecreatie, en dat zal de hele organisatie oppikken. Leiderschap is met name belangrijk in het ontwikkelen van een visie die ervoor zorgt dat de duurzaamheidsstrategie is aangesloten op de wereldwijde trends die de onderneming beïnvloeden. Van daaruit wordt een vertaling gemaakt naar een strategie voor duurzaam inkopen.

Ondernemerschap

Bedrijven moeten medewerkers toestaan om met andere ogen te kijken naar inkoop en productontwikkeling. Ze moeten gangbare conventies durven uitdagen om samen met ketenpartners nieuwe mogelijkheden te ontdekken. De beloning is dat ze beter zijn voorbereid op de toekomst en dat ze op een proactieve manier inspelen op de dreiging van onder meer schaarste. Als neveneffect worden ze ook aantrekkelijker gevonden als werkgever.

Openheid

Een bedrijf dat zich open opstelt naar ketenpartners en bereid is informatie te delen, zal zien dat ook de partners bereid zijn om samen duurzaamheid aan te pakken. Zie ook het eerdergenoemde voorbeeld van VolkerWessels met de open calculaties. Een open houding past beter bij de huidige tijd, waarbij stakeholders zich kritisch opstellen richting bedrijven en hun ketens. Dit heeft ook Apple ondervonden, dat veel kritiek kreeg te verduren na een aantal zelfdodingen bij toeleverancier Foxconn als gevolg van hoge werkdruk bij medewerkers. Dit jaar heeft Apple een Supplier Responsibility-verslag gepubliceerd, dat specifiek ingaat op deze voorvallen en daarnaast als voorbeeld kan dienen van hoe een bedrijf transparant communiceert over de issues in zijn keten.

Samenwerking

Wie de ketenpartners weet te prikkelen om samen waarde te creëren kan daarmee grote successen realiseren. Dat vergt een vernieuwende rol van de inkoopfunctie. Aan de inkoopfunctie de uitdaging om deze rol te pakken, ook in tijden van economische tegenwind waarin het verleidelijk is om alleen maar op kosten te sturen. Een professionele inkoopafdeling maakt als eerste stap inzichtelijk waarmee de organisatie zich in de markt onderscheidt. Vervolgens gaat zij na hoe die key differentiators zich verhouden tot de leveranciers en hoe deze leveranciers kunnen bijdragen aan het versterken ervan. Door hierover het gesprek aan te gaan – en het gemeenschappelijke (langetermijn)belang te benadrukken – wordt de leverancier geprikkeld om echt mee te denken. Mogelijk ontstaan dan zelfs compleet nieuwe ideeën over producten en markten. Dan wordt er niet langer gevochten over procenten marktaandeel (red ocean strategy) maar worden nieuwe markten verkend (blue ocean).

Tot slot

In het voorgaande hebben we met enkele praktijkcases laten zien welke mogelijkheden er zijn om waarde te creëren door duurzaam inkopen. Naast het introduceren van bepaalde prikkels (voorbeeld: de ProRail CO2-ladder), het werken aan meer vertrouwen (voorbeeld: de bouwcase van VolkerWessels), het onderscheiden op imago (de gecertificeerde theeproducten van Unilever) en de radicale productvernieuwing (de closed loop schoen van Nike) zijn er nog tal van andere instrumenten en werkwijzen te bedenken. Organisaties staan voor de uitdaging om uit die veelheid aan mogelijkheden de juiste keuzes te maken en een maatwerkbeleid te ontwikkelen. Er staat wat op het spel, want duurzaam inkopen heeft veel transformatiekracht.

Literatuur

Apple Supplier Responsibility-verslag: http://images.apple.com/supplierresponsibility/pdf/Apple_SR_2011_Progress_Report.pdf

Business in the community, How to manage your supply chain responsibly, 2009.

Network for Business sustainability, Managing sustainable global supply chains, http://www.nbs.net/wp-content/uploads/Supply-Chain-Report.pdf

C.K. Prahalad, Ram Dinumolu and M.R. Rangaswami, Sustainability is now the key driver of Innovation, Harvard Business Review, September 2009.

SACOM-website: http://sacom.hk/

Unilever en duurzame thee: http://www.idhsustainabletrade.com/site/getfile.php?id=153

Een sleutelrol voor Internal Audit in sustainability

Voor steeds meer bedrijven hangt het ondernemingssucces af van de mate waarin ze duurzaam opereren weten te verankeren in bedrijfsprocessen en de organisatiecultuur en de wijze waarop ze hierover extern communiceren. Dat vraagt om uitstekende externe voelhoorns die signalen oppikken en een vertaling maken naar de interne organisatie en de externe verslaggeving. Op dit snijvlak van maatschappelijke thema’s en governance, risk en compliance is een rol weggelegd voor Internal Audit.

Inleiding

In januari 2010 berichtte The New York Times over een filiaal van kledingconcern H&M dat onverkochte kledingcollecties verknipte in plaats van de restanten te leveren aan daklozenorganisaties. Binnen de kortste tijd zwol de publieke verontwaardiging hierover aan op Twitter en Facebook. Burgers keurden de actie en masse af – zeker ten tijde van de barre kou en de economische crisis. H&M liep flinke reputatieschade op, onder andere doordat het bedrijf dagenlang niet adequaat communiceerde op de social media platforms. In de nasleep van het incident werd door experts vooral gewezen op het belang van een adequate communicatiestrategie in dergelijke gevallen. Dat is natuurlijk volkomen terecht, maar de vraag dringt zich ook op of (en hoe) het incident te voorkomen was.

Het eenvoudige antwoord op die vraag is ja. Wat daarvoor nodig is, is dat alle medewerkers van bedrijven als H&M de waarden op het gebied van duurzaamheid – vaak opgenomen in gedragscodes – toepassen in hun dagelijkse werkzaamheden. Als duurzaam opereren de normaalste zaak van de wereld wordt, dan is het onwaarschijnlijk dat een dergelijk incident nog plaatsvindt. Duurzaamheid moet dus systematisch in processen worden verankerd en geïnternaliseerd in de cultuur.

Dat is echter wat kort door de bocht, want zo’n volledige integratie gaat nog vele jaren duren en is in elk geval voor de meerderheid van de ondernemingen nu nog niet aan de orde.

Zolang duurzaamheid nog niet voor iedereen een vanzelfsprekendheid is, is er aanvullende actie nodig om dergelijke problemen te voorkomen. Veel bedrijven realiseren zich dat ook terdege en investeren in het opzetten van een duurzaamheidsbeleid en het houden van stakeholderdialogen. Hiermee krijgen ze scherper zicht op (de onderstroom van) maatschappelijke ontwikkelingen en daarmee ook op de vraag welke issues er de komende tijd veel aandacht zullen krijgen. Door met stakeholders te communiceren over hun zorgen en aanbevelingen krijgen ze goed zicht op wat deze stakeholders specifiek verwachten van hun operaties en kunnen daarop beter inspelen. In veel gevallen is het duurzaamheidsjaarverslag een belangrijk middel in de communicatie met de diverse stakeholdergroepen.

Het nut van deze activiteiten hangt echter sterk af van de vraag of organisaties er ook daadwerkelijk in slagen de wensen van stakeholders te vertalen naar hun organisatie. Als het alleen bij een operatie voor de bühne blijft en niet leidt tot zelfreflectie is het resultaat nihil en kan het zich zelfs als een boemerang tegen de organisatie keren.

Verankering van sustainability

Voor veel bedrijven is het volstrekt duidelijk dat met duurzaamheidsaspecten in de bedrijfsvoering rekening gehouden dient te worden. Uit wereldwijd KPMG-onderzoek onder bijna vierhonderd senior executives blijkt dat nog maar vijf procent van de bedrijven van mening is dat een sustainabilitystrategie voor hun bedrijf niet noodzakelijk is ([KPMG11a]).

De wijze waarop bedrijven proberen duurzaamheidsaspecten te integreren in de bedrijfsvoering lijkt veelal langs de volgende lijnen te lopen. Een stafafdeling (vaak met een oorsprong in corporate communications, public affairs, of indien al aanwezig de milieuafdeling) onderzoekt wat duurzaamheid voor het bedrijf precies betekent, agendeert de relevante thema’s en probeert het belang voor en de rol van de verschillende businessfuncties (bijvoorbeeld operations, supply chain, HR) duidelijk te maken.

Dat belang wordt veelal op een hoger niveau ook herkend. Onder andere versterking van de ‘brand’, risk management, verankering in de IT-systemen en kostenreductie worden gezien als belangrijke ‘drivers’ om duurzaamheid in de bedrijfsvoering te integreren. Daarnaast wordt duurzaamheid in toenemende mate gezien als een bron van innovatie ([KPMG11]). Toch slagen bedrijven er nog niet altijd in de bedrijfsvoering dusdanig aan te passen dat alle kansen worden gegrepen en risico’s gemitigeerd, zoals ook het voorbeeld van H&M aantoont.

De sustainabilityfunctie blijkt nog niet altijd voldoende in staat de benodigde verankering in de organisatie tot stand te brengen. Weliswaar vervult zij intern veelal een sterke ambassadeursfunctie en zet ze ontwikkelingen in gang, maar het zit niet altijd in haar macht en aard om processen te veranderen, aspecten te integreren in de interne en externe verslaggeving of risicomanagement te implementeren. Men mist hiermee implementatiekracht en wordt door het management ook niet altijd in die hoek geplaatst.

Behoefte aan centrale afdeling: Internal Audit?

Organisaties hebben, naast de duurzaamheidsafdeling, dan ook behoefte aan een centrale afdeling of functie die zich nog meer richt op de kwaliteit van de ’embedding’ van duurzaamheid en die rapporteert over de mate waarin het in de genen van de organisatie en haar mensen zit. In het geval van H&M had zo’n functie kunnen vaststellen dat er in tijden van economische crisis waarschijnlijk veel maatschappelijke verontwaardiging is over verkwisting. Men had de werkwijze rondom restanten nog eens kritisch tegen het licht kunnen houden of kunnen communiceren over het belang van het voorkomen van verkwisting.

Wie zou die rol op zich kunnen nemen? Het ligt dan ook voor de hand dat Internal Audit hier een actieve rol vervult, als specialist op het gebied van interne beheersing en risicomanagement. Internal Audit heeft immers de vaktechnische en bedrijfskennis voor een objectieve beoordeling van risico’s en kan dat ook ontwikkelen op het vlak van duurzaamheid. Volgens de ‘officiële’ definitie van het Institute of Internal Auditors (IIA) heeft Internal Audit het thema risk management – dat direct op de geschetste uitdaging aansluit – ook in de portefeuille: ‘Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.’ ([IIA])

Duurzaamheid is een kernthema voor veel bestuurders en in de vluchtige ‘120 tekens cultuur’ kan snel grote (reputatie)schade ontstaan als gevolg van incidenten. Ondernemingen zetten dan ook steeds meer in op de preventie van incidenten door assurance en advies van Internal Audit. De focus ligt hierbij op onderliggende processen, systemen en interne controle. De internal auditor kijkt met andere woorden naar het borgen van duurzaamheid in de processen van de organisatie. Ook het IIA meent overigens dat de internal auditor dit thema met verve moet oppakken. In het paper Governance in duurzaamheid is een aantal conclusies getrokken over de rol die Internal Audit op het gebied van Corporate Social Responsibility (CSR) kan spelen ([IIAN11]). Op deze plaats lichten we er drie uit:

Betrokkenheid van Internal Audit bij CSR neemt toe

De betrokkenheid van de Internal Audit bij CSR is de afgelopen jaren steeds verder toegenomen. In de toekomst neemt dit alleen maar verder toe doordat de maatschappelijke relevantie van CSR groter wordt en organisaties hun strategie hierop laten aansluiten. De internal auditor zal daardoor steeds meer prioriteit geven aan de werkzaamheden op het gebied van CSR. Het implementeren en beheersen van CSR binnen organisaties is in ontwikkeling. Audit van CSR ontwikkelt zich in lijn met de evolutie van CSR als auditobject.

Internal audit heeft ruime toegevoegde waarde bij CSR

Aangezien CSR zich sterk ontwikkelt, is de scope van de werkzaamheden van de internal auditor op het gebied van CSR ruim; naast de audits wordt vooral ook een adviesrol ingevuld. De internal auditor zal met zijn expertise belangrijke toegevoegde waarde leveren aan het proces van definiëren van beleid en criteria, normen stellen, beheersingsmaatregelen bepalen, uitkomsten meten, vastleggen en rapporteren. Alle ontwikkelingsfasen zoals de totstandkoming van de opzet, de implementatie in de organisatie en het versterken van de operationele effectiviteit lenen zich bij uitstek voor een goede bijdrage van de internal auditor.

Verdere integratie van CSR in de bedrijfsprocessen is noodzakelijk

De integratie van de CSR in de bedrijfsprocessen, de IT-systemen, de business controls frameworks en het risicomanagement moet verder groeien. De belangrijkste CSR-risico’s zijn reputatie- en compliancerisico’s. Internal Audit is, gezien de expertise van de bedrijfsprocessen en -risico’s, bij uitstek geschikt om de daaraan gerelateerde auditwerkzaamheden uit te voeren.

Deze drie conclusies laten aan duidelijkheid niets te wensen over. Duurzaamheid wint aan belang, en daarmee nemen gerelateerde risico’s op gebieden als reputatie en compliance toe. Een internal auditor kan zijn toegevoegde waarde ondubbelzinnig laten zien als hij in staat is om de externe signalen op dit gebied te vertalen naar de interne beheersing. Het management heeft in deze tijd tenslotte steeds meer behoefte aan een goed oordeel van Internal Audit over de effectiviteit van de beheersing en de afstemming van het raamwerk van beheersingsmaatregelen op de bedrijfsactiviteiten en externe ontwikkelingen.

Daarbij gaat het niet alleen om het beoordelen van structuren, (IT-)systemen, procedures en controles maar (vooral) ook om het beoordelen van de soft controls in een organisatie. Internal Audit heeft tot taak – afhankelijk van de invulling van het audit charter – om (aanvullende) zekerheid te geven over de kwaliteit van de corporate governance en internal control. Dat vereist ten aanzien van het thema duurzaamheid ook dat men erop toeziet dat de organisatiecultuur in overeenstemming is met de doelstellingen en de context van de duurzaamheidsstrategie. Auditors kunnen daartoe bijvoorbeeld periodiek de cultuur van de organisatie toetsen – een assessment van de soft controls – of bij veranderingstrajecten nagaan of adequaat wordt ingespeeld op de omgeving.

Belangrijke ontwikkelingen die de rol van de internal auditor verder vormgeven

De internal auditor heeft dus een kans om de missing link tussen het opvangen van externe signalen en interne beheersing in te vullen. Wat daarvoor nodig is, naast de gebruikelijke objectiviteit, is dat de internal auditor beschikt over de vereiste kennis en competenties. Er is kennis nodig van de relevante thema’s en – waarschijnlijk nog belangrijker – een proactieve houding. Duurzaamheid – en de verslaggeving erover – is voortdurend in ontwikkeling en dat geldt ook voor de verwachtingen van stakeholders en het belang van bepaalde issues. Alleen wie deze ontwikkelingen tot op het bot begrijpt kan ze vertalen naar de interne beheersing ervan. En daarmee op zijn minst bijdragen aan het voorkomen van incidenten zoals deze bij H&M optraden.

Ontwikkeling 1: Belang kwaliteit informatie in duurzaamheidsverslaggeving neemt toe

Zoals geschetst vergt een goede borging van sustainability in de organisatie dat signalen van stakeholders rond duurzaamheidsthema’s worden herkend en dat hierover de dialoog met de stakeholders wordt gevoerd. Daarmee halen bedrijven belangrijke informatie op om hun bedrijfsvoering te verbeteren, maar zijn zij ook in staat hun reputatie en imago te beïnvloeden.

Voor veel bedrijven speelt duurzaamheidsverslaggeving een centrale rol in de dialoog met de stakeholders. Hierbij wordt het begrip duurzaamheidsverslaggeving breder uitgelegd dan alleen het uitbrengen van een duurzaamheidsjaarverslag. Meer en meer kiezen bedrijven ervoor om met behulp van de mogelijkheden die het internet hen biedt de informatie uit het duurzaamheidsverslag toe te snijden op de wensen van de individuele stakeholdergroepen. De trend van het integreren van duurzaamheidsjaarverslagen en financiële jaarverslagen toont daarbij aan dat hierbij ook nadrukkelijk de stakeholders in de financiële wereld in beeld zijn.

Uit recent onderzoek van KPMG ([KPMG11]) blijkt dat 95 procent van de grootste bedrijven in de wereld (Global Fortune 250) rapporteert over duurzaamheid. Voor de honderd grootste bedrijven in 34 landen is dat aandeel inmiddels 69 procent. Voor deze bedrijven is de belangrijkste drijfveer voor sustainability reporting hun reputatie of ‘brand’.

Het moge duidelijk zijn dat het voor bedrijven dus van groot belang is dat de informatie in hun verslag een juiste weergave geeft van de werkelijkheid. Als dat niet het geval is zijn er twee risico’s te onderscheiden: onder- en overwaardering van de duurzaamheidsprestaties. Dit wordt geïllustreerd in figuur 1.

C-2012-1-Draaijer-01

Figuur 1. Balans tussen duurzaamheidsprestaties en -communicatie (bron: KPMG00]).

Indien een bedrijf de prestaties op duurzaamheidsgebied onvoldoende voor het voetlicht weet te brengen bij de belangrijkste stakeholders, loopt het het risico gezien te worden als een partij die haar maatschappelijke rol onvoldoende invult. Daarmee zou het bedrijf over zich kunnen afroepen dat het door een gebrek aan informatie door NGO’s in een negatief daglicht wordt gesteld. Een andere mogelijkheid is dat het bedrijf kansen in de markt laat liggen, doordat het in vergelijking met concurrenten er onvoldoende in slaagt om de maatschappelijke voordelen van zijn producten naar voren te brengen.

Het schetsen van een te rooskleurig beeld heeft andere nadelen. Hoewel in eerste instantie wellicht een ‘groen imago’ verworven kan worden, zullen door diverse stakeholders al snel de daadwerkelijke duurzaamheidsprestaties grondig worden geanalyseerd. Als blijkt dat het bedrijf zich hierbij te mooi heeft voorgedaan, zullen de daaropvolgende beschuldigingen van ‘green washing’ de reputatie geen goed doen. En zoals bekend ‘komt vertrouwen te voet, maar gaat het te paard’.

Al met al zal het bedrijven er dus veel aan gelegen zijn om hun prestaties in het duurzaamheidsverslag op een gebalanceerde wijze weer te geven. Uit het KPMG-onderzoek blijkt dat bedrijven dan ook serieus aandacht geven aan de kwaliteit van de informatie in het verslag. Zo neemt het aandeel van verslagen die extern geverifieerd zijn, over de jaren toe. Bijna de helft van de Global Fortune 250-bedrijven heeft informatie in het duurzaamheidsverslag extern laten verifiëren. Daarnaast laat het onderzoek zien dat een derde van de Global Fortune 250-bedrijven en een vijfde van de top 100 grootste bedrijven in 34 landen restatements van hun eerder gepubliceerde duurzaamheidsdata bevatten, wat wijst op een beweging van continue verbetering.

Ontwikkeling 2: Behoefte aan verdere diepgang externe assurance

Tevens geeft een toenemend aantal bedrijven hun externe-assuranceprovider opdracht om de assurance bij de duurzaamheidsinformatie met een grotere diepgang te verrichten. De meeste duurzaamheidsinformatie wordt tegenwoordig nog gecontroleerd met als doel het verkrijgen van een ‘beperkte mate van zekerheid’ (‘Review’). Een aantal koplopers vindt dat echter niet meer voldoende. Doordat de informatie die gecontroleerd wordt een steeds belangrijkere rol heeft in de bedrijfsvoering (de prestaties maken bijvoorbeeld deel uit van de C-level remuneratiecriteria) of direct een economische waarde vertegenwoordigt (denk aan CO2-emissies in emissiehandel) willen deze bedrijven een controle met een ‘redelijke mate van zekerheid’. Dit is het niveau van zekerheid dat ook voor de financiële jaarrekening wordt toegepast.

Het percentage restatements in de verslagen is wel vele malen hoger dan wat gebruikelijk is in financiële verslaggeving. En hoewel voor veel van de bedrijven de ‘restatements’ een resultante van kwaliteitsverbetering ten gevolge van externe-assuranceprocessen zijn, blijkt tevens dat voor bijna de helft van de bedrijven in het KPMG-onderzoek er geen zichtbare ‘board level’ verantwoordelijkheid voor of betrokkenheid bij de totstandkoming van het duurzaamheidsverslag was. Ook was er bij minder dan twintig procent van de onderzochte bedrijven sprake van het gebruik van een IT-systeem ter ondersteuning van de rapportage van de duurzaamheidsinformatie.

Het moge duidelijk zijn dat de internal auditor in het toetsen van de beheeromgeving en het tot stand komen van de duurzaamheidsverslaggeving een belangrijke rol moet spelen. Door middel van audits zal de internal auditor de beheersingsmaatregelen van de processen en systemen in kaart dienen te brengen en te toetsen aan de geldende normen. Net als voor de financiële rapportageprocessen zal voor de duurzaamheidsprocessen hierbij ook de nadruk komen te liggen op beheersing in de IT-systemen (application controls, autorisaties, functiescheiding, etc.). De internal auditor begrijpt als geen ander de beheersingsmaatregelen in de systemen of processen en moet hier dus op aangehaakt zijn.

Ontwikkeling 3: Integratie van financiële en duurzaamheidsverslaglegging

In het verlengde van de vorige ontwikkeling zullen de duurzaamheids- en financiële verslaglegging verder worden geïntegreerd. Naast het integreren van het rapportageproces (en alle beheersingsmaatregelen daarbinnen), zal dit ook gelden voor de structuren die gelden voor de financiële verslaglegging. Hierbij kun je denken aan het zogeheten ‘line of defense’-model voor het leveren van assurance.

In dit model heeft het management (first line) naast het opstellen van de sustainabilityrapportage ook een belangrijke taak bij het aantonen van de kwaliteit hiervan. Hierbij zal de werking van controls binnen de bedrijfs- en rapportageprocessen en systemen worden getest. De sustainabilityafdeling is hier niet altijd bekend mee, wat normaal gesproken wel geldt voor de financiële afdeling.

De externe auditor (third line) wil steunen op de bedrijfs- en rapportageprocessen en -systemen, zeker indien de organisatie overgaat naar een ‘redelijke mate van zekerheid’.

Het moge duidelijk zijn dat de internal auditor een rol moet nemen (second line) tussen het management en de externe auditor. Niet alleen om het financiële rapportagemodel te spiegelen (en hierdoor ook te integreren), maar ook omdat de internal auditor het management kan ondersteunen in het aantonen van de kwaliteit van deze processen.

Ontwikkeling 4: Sustainability reporting systems

Een aantal ontwikkelingen op het gebied van sustainability reporting maakt dat de rol van de internal auditor ook op dit gebied steeds belangrijker wordt. Zoals net aangegeven, zijn steeds meer bedrijven actief in het integreren van de informatie uit hun duurzaamheidsverslag in het reguliere jaarverslag. Daarbij is het vanzelfsprekend belangrijk dat de niet-financiële data net als de financiële data op efficiënte wijze worden verzameld en betrouwbaar zijn. Hiervoor gaan bedrijven op zoek naar IT-oplossingen die dit mogelijk maken. Veelal wordt er op dit moment nog gekozen voor separate, specifiek op duurzaamheidsinformatie gerichte systemen, maar de verwachting is dat met het verder integreren van duurzaamheidsaspecten in de bedrijfsvoering, ook de rapportageprocessen en -systemen verder worden geïntegreerd. In beide gevallen is er voor de internal auditor een rol weggelegd om de kwaliteit van het verzamelen, aggregeren en rapporteren van de sustainabilitygegevens te beoordelen.

In deze Compact zijn bovenstaande ontwikkelingen ook in andere artikelen verder uitgewerkt.

De rol(len) van de internal auditor op het gebied van sustainability

Dit alles bevestigt het eerder geschetste beeld van de noodzaak om sustainability verder in organisaties te borgen. Daarmee zal ook de kwaliteit van rapportage als vanzelfsprekend naar een volgend niveau worden gebracht. Zoals ook wordt geïllustreerd door figuur 2, kan de internal auditor in dit speelveld van borging en verantwoording een uitstekende rol vervullen. Enerzijds als verschaffer van assurance, al dan niet in samenspel met de externe-assuranceprovider. Anderzijds in een meer adviserende rol, waarbij vanzelfsprekend de onafhankelijkheid in acht dient te worden genomen. Internal Audit heeft tenslotte de vaktechnische en bedrijfskennis voor een objectieve beoordeling van risico’s en kan dat ook ontwikkelen op het vlak van duurzaamheid.

C-2012-1-Draaijer-02-klein

Figuur 2. Mogelijke rollen van de internal auditor (bron: IIAN11]).[Klik hier voor grotere afbeelding]

Naast de primaire assurance- of adviesrol van Internal Audit, kunnen internal auditors ook op specifieke thema’s hun toegevoegde waarde inbrengen. Een thematisch onderzoek is daarvan een goed voorbeeld. De invulling ervan is sterk afhankelijk van het karakter van de organisatie en de sector waarin men opereert. In het geval van een bank is het denkbaar dat internal auditors regelmatig bepaalde thema’s onderzoeken. Daarmee kunnen zij zichtbaar maken hoe maatschappelijke thema’s de bedrijfsvoering raken. Voorbeelden van thema’s zijn bijvoorbeeld klimaatverandering, palmolie, waterschaarste en de ‘blootstelling’ van de bank in bijvoorbeeld haar beleggingen of kredieten. In het geval van een retailer kunnen heel andere thema’s relevant zijn. Internal auditors zullen zich dan bijvoorbeeld richten op de effecten van schaarste van grondstoffen, mensenrechten of veiligheid op (de continuïteit van) de toeleveringsketen.

Concreet zien we voor de komende jaren een aantal taken op de internal auditor afkomen. Bij de zogenaamde frontrunners op het gebied van sustainability assurance zien we dat er een takenpakket voor de internal auditor gevormd wordt. Voor de komende jaren heeft de internal auditor een mooie uitdaging. Behoeften die veel genoemd worden zijn:

  • ‘challenging partner’ voor management met betrekking tot beheersing van sustainabilityonderwerpen;
  • review van integriteit van sustainability KPI’s voor interne sturing en externe rapportage;
  • monitoren van de juiste verankering van sustainability binnen de organisatie;
  • begeleiden van organisaties van limited naar reasonable assurance op sustainabilitygebied;
  • het testen van het ontwerp en de werking van beheersingsmaatregelen op het gebied van sustainabilityprocessen;
  • assurance / advies op de implementatie van een sustainability reporting system.

Conclusie

Voor bedrijven is er nog veel te winnen op het gebied van duurzaamheid. Daarvoor is het essentieel dat de organisatie is afgestemd op de kansen en risico’s die het thema biedt en dat de stakeholders in verslaggeving van informatie worden voorzien. Nu bij veel bedrijven de duurzaamheidskansen en -risico’s steeds beter bekend zijn, wordt het tijd de integratie in de bedrijfsvoering verder te organiseren. Daarbij moet de Internal Audit-functie een rol gaan vervullen. De combinatie van bedrijfskennis en ervaring met advies over en assurance bij controls en processen maakt dat de internal auditor uitstekend geëquipeerd is om bij te dragen aan het naar het volgende niveau brengen van de organisatie op het punt van duurzaamheid. Momenteel is sustainability nog niet een standaardaandachtspunt op de Internal Audit-agenda. Ontwikkelingen die genoemd zijn in dit artikel zullen daar op korte en langere termijn verandering in moeten gaan brengen.

Literatuur

[IIA] The Institute of Internal Auditors, http://www.theiia.org/guidance/standards-and-guidance/ippf/definition-of-internal-auditing/

[IIAN11] Instituut van Internal Auditors Nederland en Nederlandse Beroepsorganisatie van Accountants, Governance in duurzaamheid; Internal Audit en Corporate Social Responsibility, 2011.

[KPMG11a] KPMG International en Economist Intelligence Unit, Corporate Sustainability, a progress report, 2011.

[KPMG11b] KPMG International, KPMG International Survey of Corporate Responsibility Reporting 2011, November 2011.

Green IT

In dit artikel wordt ingegaan op de uitdagingen voor Chief Information Officiers (CIO’s) in 2012 en in het bijzonder de uitdagingen op het gebied van Green IT. Een goede samenwerking tussen de CIO en Chief Sustainability Officer is essentieel, wil een zinvolle bijdrage geleverd worden aan de algehele organisatiedoelstellingen. Ook is een goede en intensieve samenwerking van de CIO met de uiteindelijke IT-gebruikers en IT-leveranciers belangrijk. Het onlangs ondertekende CIO-convenant is een stap in de goede richting en laat zien dat verschillende CIO’s de handschoen oppakken.

Inleiding

Informatie Technologie (IT) heeft een negatieve invloed op de duurzaamheidsresultaten van bedrijven en overheden. Als het over duurzaamheid en IT gaat, ligt het voor de hand om te kijken naar het energieverbruik. Het verbruik van IT betreft meer dan twee procent van de totale wereldwijd verbruikte energie. Daarmee is IT een grootverbruiker en draagt zij wereldwijd substantieel bij aan de uitstoot van CO2-emissies. Toch is dit niet de enige bijdrage van IT aan de belasting van de omgeving. Ook het produceren en verwijderen (e-waste) van IT-apparatuur heeft impact op het milieu.

IT kan daarnaast ook positief bijdragen aan de duurzaamheidsresultaten van bedrijven en overheden, zowel bij de primaire bedrijfsprocessen als bij de interne bedrijfsvoering. Hiermee beïnvloedt IT de andere 98 procent van het energieverbruik van organisaties. Voorbeelden hiervan zijn er te over en bevinden zich op verschillende plaatsen in een organisatie, van IT-faciliteiten die het ‘nieuwe werken’ mogelijk maken, tot het optimaliseren van planningsprocessen waardoor minder transportbewegingen nodig zijn. IT heeft hierdoor een essentiële rol in het verminderen van het wereldwijde energieverbruik.

Voor een goede uitrol van Green IT in een organisatie is samenwerking tussen de Chief Information Officer (CIO) en de Chief Sustainability Officer (CSO) van vitaal belang. Tot voor kort leken beiden elkaar niet te vinden, echter op 16 november 2011 is het ‘CIO Convenant Energy Efficiency’ ondertekend. Hiermee geven Nederlandse CIO’s aan serieus invulling aan de taak die voor hen ligt, te willen geven.

In dit artikel wordt ingegaan op de uitdagingen voor CIO’s in 2012 en meer specifiek op de uitdagingen op het gebied van Green IT. Vervolgens wordt ingegaan op de betrokkenheid van de interne duurzaamheidsafdeling en hoe deze van belang is bij het maken van de juiste keuzes aangaande strategie en implementatie. Het belang en de wijze van betrokkenheid van eindgebruikers respectievelijk leveranciers bij het realiseren van de Green IT-doelstellingen wordt in de daaropvolgende paragrafen behandeld. Tot slot worden conclusies getrokken aangaande de toekomstige agenda van CIO’s.

Inleiding: Green IT op de corporate agenda

Veel organisaties hebben duurzaamheid inmiddels op de agenda staan. De Dow Jones Duurzaamheid Index (DJSI) is voor multinationals een belangrijke graadmeter voor de kwaliteit van hun duurzaamheidsbeleid en maatschappelijke verslaggeving is de norm: 95 procent van de 250 grootste organisaties ter wereld rapporteert over hun duurzaamheidsresultaten ([KPMG11]). De sturing op IT-energie-efficiëntie neemt bij een toenemend aantal bedrijven een relevante plaats in. Zo hebben organisaties als Rabobank en Disney Company doelstellingen geformuleerd betreffende IT-energie-efficiëntie.

Ook worden organisaties geconfronteerd met wetgeving vanuit milieu- of duurzaamheidsperspectief die invloed heeft op de IT-omgeving van een organisatie. Deze wetgeving geldt zowel voor IT-producenten als voor gebruikers van IT-producten. Voor IT-producenten en IT-importeurs geldt Europese wetgeving aangaande de beperking van gevaarlijke stoffen (‘Restriction of Hazardous Substances’) en de omgang met e-waste (WEEE-directive). Deze laatste wetgeving beïnvloedt de gehele verwerkingsketen en is in Nederland bij de consument vooral bekend vanwege de te betalen verwijderingsbijdrage bij aanschaf van een elektronicaproduct.

Daarnaast zijn er vrijwillige initiatieven zoals bijvoorbeeld de ‘Code of conduct on Green Datacenters’ (zie: http://re.jrc.ec.europa.eu/energyefficiency/html/standby_initiative_data_centers.htm) en meer recent het onlangs ondertekende vierde CIO-convenant aangaande IT-energie-efficiëntie ([CIO11]). Chief Information Officers van grote Nederlandse bedrijven zoals ABN Amro, AkzoNobel, DSM, KPMG, KPN, Nutreco, Rabobank Nederland, Schneider Electric en Vodafone hebben dit convenant ondertekend. Dit convenant heeft betrekking op IT-energie-efficiëntie en kent een meerjarenaanpak. In het eerste jaar gaat het met name om het meten van het energieverbruik en het meenemen van energieverbruik in investeringsbeslissingen. In de jaren daarna ligt de nadruk op het realiseren van de door de ondertekende organisaties gestelde energiedoelstellingen. Deze doelstellingen stellen organisaties individueel vast. Een logische volgende stap is dat de betrokken CIO’s zich ook op andere gebieden dan IT-energie-efficiëntie, zoals bijvoorbeeld recycling van apparatuur, gaan richten en daarmee hun bijdrage aan duurzaamheid vergroten.

De uitdaging voor CIO’s

De agenda van de CIO is al aardig gevuld in 2012. De CIO zoekt naar antwoorden op globalisering en (out)sourcing, beveiliging en cyberaanvallen, sterk toenemend datagebruik en een beperkte beschikbaarheid van resources. Veel CIO’s onderkennen inmiddels echter dat aandacht voor duurzaamheid, en daarmee Green IT, prioriteit moet krijgen.

Betreffende Green IT zijn drie doelstellingen aan te geven, namelijk:

  • compliance met wet- en regelgeving;
  • kostenbesparing;
  • bijdrage aan een meer duurzame wereld.

Bij het implementeren van duurzaamheid heeft een CIO daarbij in elk geval twee uitdagingen. De eerste uitdaging betreft het meten van de gerealiseerde IT-energie-efficiëntie. Voor het energieverbruik bij datacenters is Power Usage Effectiveness (PUE) de meeteenheid. Om de duurzaamheidsresultaten van de gehele IT-dienstverlening (datacenters en IT buiten datacenters) te meten en te monitoren is de hieraan gerelateerde CO2-emissie de meest voor de hand liggende meeteenheid. Temeer omdat deze door veel organisaties al gehanteerd wordt als één van de maatstaven voor het monitoren van de duurzaamheidsresultaten. Door het gebruik van deze universele meeteenheid kan de impact eenduidig worden berekend en vergeleken.

In het verlengde van het verminderen van het energieverbruik draagt renewable energie ook bij aan duurzaamheid. Bij het meten van de gerealiseerde IT-energie-efficiëntie is dus ook nog het percentage renewable energie een belangrijke meeteenheid. Al heeft het uiteraard de voorkeur om in het algemeen zo min mogelijk energie te verbruiken.

Als het gaat om informatie betreffende Green IT, dan kan een organisatie zelf haar groene labels definiëren, denk bijvoorbeeld aan labels zoals weergegeven in figuur 1.

C-2012-1-Beulen-01

Figuur 1. Green IT labelling betreffende Green IT-rapportage.

Voor relevante aspecten van Green IT kan men eigen stappen bepalen, waarmee de wijze en het tempo van ontwikkeling van Green IT worden geformuleerd (figuur 2).

C-2012-1-Beulen-02-klein

Figuur 2. Aspecten van Green IT en geambieerde groei.[Klik hier voor grotere afbeelding]

De tweede uitdaging van CIO’s is het beperken van de duurzaamheidsimpact van IT-producten: van mainframe tot server tot desktop of laptop, printers en mobiele devices. In het kader van de duurzaamheidsimpact past het dat CIO’s zowel relevante milieu- als sociale aspecten meenemen in hun beleid ten aanzien van de aanschaf, het gebruik en de verwijdering van IT-producten. Dit wordt mede gelet op de afnemende levensduur en het toenemend aantal eindgebruiker-devices een steeds relevanter aandachtspunt voor duurzaamheid voor een CIO.

CIO’s kunnen de IT-producten van de verschillende leveranciers tegen elkaar afwegen. Wat is het energieverbruik om de IT-producten te produceren? Wat is de verwachte levensduur? In welke mate worden producten gerecycled? Centraal staan hierbij ook vragen over de wijze waarop de leveranciers hun recyclingprogramma hebben ingericht (‘closed loop’) en wat de oorsprong is van de grondstoffen die door de leverancier worden gebruikt bij het vervaardigen van de IT-producten. Dit wordt nog verder gestimuleerd door de toenemende grondstoffenschaarste en bijvoorbeeld de verwachte invloed van de Amerikaanse wetgeving ten aanzien van de herkomst van grondstoffen (Dodd-Frank Act).

Het omgaan met deze twee duurzaamheidsuitdagingen vraagt om een significante inspanning van de CIO en betrokken medewerkers. Daarom doen CIO’s er verstandig aan een plateauplanning op te stellen met een meerjarige tijdlijn, waarbij het ambitieniveau gedurende de tijd steeds hoger wordt. Om een zinvolle bijdrage aan de duurzaamheidsresultaten te kunnen realiseren zal de CIO intensief samen moeten werken met de interne duurzaamheidsafdeling van de organisatie. Dit zowel voor de aansluiting bij de duurzaamheidsstrategie van de organisatie als voor de borging van het meenemen van de juiste aspecten op de correcte manier.

Betrokkenheid van de interne duurzaamheidsafdeling

Een goede samenwerking tussen de CIO en Chief Sustainability Officer (CSO) is essentieel, wil een zinvolle bijdrage geleverd worden aan de algehele organisatiedoelstellingen. Dit begint met bekendheid van de duurzaamheidsstrategie en -doelstellingen van de organisatie en het beoordelen op welke wijze IT effect heeft op het realiseren van de doelstellingen. Dit effect kan zowel positief als negatief zijn. Wanneer dit is vastgesteld zal geoperationaliseerd dienen te worden op welke wijze IT kan bijdragen aan de realisatie van de doelstellingen, hierbij rekening houdend met zowel de technische aspecten (bijvoorbeeld datacenter dat recent is geopend) als de organisatiecultuur. Afhankelijk van de gekozen oplossingen zullen de eindgebruikers, de IT-leveranciers en de beheerders aan de slag moeten.

Daarbij is het zinvol na te gaan op welke terreinen relevante winst is te behalen. In figuur 3 is hiertoe een aantal enablers voor Green IT weergegeven.

C-2012-1-Beulen-03

Figuur 3. Green IT potentieel.

Betrokkenheid van eindgebruikers

Een belangrijk onderdeel bij het implementeren van duurzaamheid betreft het voorlichten van eindgebruikers over zowel het stroomgebruik als de e-waste van hun eindgebruiker-devices, zoals laptops, beeldschermen, printers en mobiele devices (mobiele telefoons en tablets). Door de introductie van Bring Your Own Device (BYOD) wordt deze voorlichting aan eindgebruikers nog veel belangrijker. Aan de ene kant zal een organisatie minder mobiele devices hoeven aan te schaffen, aan de andere kant heeft de organisatie minder greep op de selectie, levensduur en e-waste betreffende dergelijke devices.

De trend van de afgelopen jaren, waarbij het aantal devices afnam door de vermindering van het aantal werkplekken (geen desktop en een laptop, maar slechts een laptop voor een medewerker) en de centralisatie van printen wordt gerealiseerd, ligt (bijna) achter ons. Medewerkers hebben steeds meer een laptop, een tablet en soms zelfs meerdere mobiele telefoons. Het is daarom belangrijk om de bewustwording bij de eindgebruikers te vergroten.

De CIO kan bijdragen aan het vergroten van dit bewustzijn van de medewerkers door trainingen te verzorgen aan eindgebruikers. Deze trainingen zijn actiegericht: op welke wijze kan de medewerker terug op de werkplek minder energie verbruiken? Op welke zaken moet de eindgebruiker letten bij het selecteren van een eindgebruiker-device?

Verder kan een CIO ook video conferencing faciliteren. Dit beperkt het reizen van medewerkers en bespaart daardoor niet alleen reistijd van de medewerkers maar ook energie. In organisaties die niet gewend zijn aan video conferencing is het introduceren van dergelijke mogelijkheden belangrijk. Dat geldt uiteraard ook voor het faciliteren van de mogelijkheden van thuiswerken. Maar dat is voor de meeste organisaties al gemeengoed.

Het is belangrijk om de betrokkenheid van de eindgebruikers te onderhouden. Periodiek zal de CIO het Green IT-bewustzijn bij gebruikers dienen te meten. Denk hierbij aan aspecten zoals het aantal devices, de levensduur van deze devices, en ook het actuele gebruik: uitschakelen van apparatuur, beperken van printen op papier.

Betrokkenheid en beoordelen van leveranciers

Vervolgens zal intensief samengewerkt dienen te worden met leveranciers. In feite wordt duurzaamheid een aanvullende eis in een selectieproces. Dit zou kunnen betekenen dat één of meer leveranciers niet meekunnen met het ambitieniveau van een organisatie, waardoor het vervangen van een dergelijke leverancier door een meer duurzame leverancier of leverancier met duurzame producten de enige optie is. In de huidige markt lopen de IT-leveranciers voorop. De meeste IT-leveranciers hebben de afgelopen jaren zwaar geïnvesteerd in duurzaamheid. Er ligt voor de CIO’s de schone taak om hierop te kapitaliseren en een bijdrage te leveren aan duurzaamheid.

Al tientallen jaren besteden bedrijven een steeds groter wordend deel van hun IT-dienstverlening uit aan leveranciers. Hierbij gaat het niet alleen om de aanschaf van hardware en software, maar ook om het verzorgen van de IT-dienstverlening zelf: het beheer en onderhoud van informatiesystemen en applicatieontwikkeling. Daarmee vormen leveranciers een belangrijke schakel in de keten. Indien een organisatie echt inhoud wil geven aan duurzaamheid moeten de leveranciers nadrukkelijk worden betrokken bij het verhogen van de duurzaamheid van de IT-dienstverlening.

Het nemen van investeringsbeslissingen is bij uitstek een moment om de duurzaamheidseisen neer te leggen bij potentiële IT-leveranciers. Welke eisen wil een organisatie stellen aan hun toekomstige leveranciers? Bij het opstellen van de sourcingstrategie is aandacht voor deze sustainability requirements noodzakelijk. Dit wordt verder uitgewerkt in de Request for Proposal (RfP). Met name bij het opstellen van de maximale scores voor onderdelen van de RfP wordt het duidelijk welk belang een organisatie hecht aan duurzaamheid. Uiteraard blijven de kwaliteit van de dienstverlening en de prijs belangrijk. Organisaties die duurzaamheid serieus nemen, kennen tussen de 7,5 procent en 12,5 procent van het totaal aantal punten toe aan duurzaamheid. Daarmee kan duurzaamheid een onderscheidende factor worden, zonder dat een potentiële leverancier die heel duurzaam is maar een kwalitatief slechte dienstverlening levert tegen een niet-marktconforme prijs als beste leverancier uit de bus hoeft te komen.

In de markt wordt duurzaamheid ook al zichtbaar gebruikt als selectiecriterium. Organisaties maken hierbij bijvoorbeeld gebruik van de CO2-prestatieladder om de potentiële leveranciers te beoordelen op hun IT-energie-efficiëntie van de Stichting Klimaat-vriendelijk Aanbesteden & Ondernemen (www.skao.nl). ProRail is initiatiefnemer van deze CO2-ladder en heeft het eigendom overgedragen aan deze stichting.

Ook kunnen organisaties in de RfP minimale eisen stellen aan de potentiële leveranciers. Denk hierbij aan certificeringen zoals ISO 14001 en EMAS, en aan aandacht voor inhoudelijke aspecten als Energy Star 4.0 standard of ‘ecodesign requirements’. Hierbij zouden uitbestedende organisaties in het contract kunnen laten opnemen dat als deze certificaten verlopen gedurende de looptijd van het uitbestedingscontract dat een grond is waarop de organisatie het contract kan ontbinden. Dat geeft enige zekerheid dat een geselecteerde leverancier zijn certificering onderhoudt.

Tot slot is het bij de beoordeling van potentiële leveranciers belangrijk om mee te nemen welke commitments er gegeven worden om de duurzaamheid van een organisatie gedurende de looptijd van het contract te verbeteren. Het opnemen van een dergelijke verplichting om jaarlijkse verbeterplannen op te stellen kan worden toegevoegd aan de RfP. Hierbij is het belangrijk dat een organisatie in de beoordeling meeneemt in hoeverre een potentiële leverancier hier in het verleden succesvol in is geweest; vraag naar duurzaamheidsreferenties!

Conclusie

Green IT komt steeds meer prominent op de CIO-agenda, op basis van wet- en regelgeving, behoefte aan kostenbesparing, evenals de groeiende intrinsieke behoefte van organisaties duurzaamheid te borgen.

Door aandacht te geven aan IT-energie-efficiëntie kan de CIO zijn bijdrage leveren. IT-energie-efficiëntie is echter slechts een eerste stap. In de toekomst wordt e-waste zeker een onderwerp op de duurzaamheidsagenda van de CIO.

De CIO kan binnen de directe eigen invloedssfeer meer duurzame keuzes maken, en kan tevens bewustwording voor Green IT vergroten bij gebruikers, en daarmee een significante bijdrage leveren aan IT-energie-efficiëntie.

Ook leveranciers kunnen hun steentje bijdragen aan de doelstellingen op het gebied van IT-energie-efficiëntie. Door het neerleggen van duurzaamheidseisen dwingen CIO’s hun potentiële leveranciers om na te denken over en bij te dragen aan IT-energie-efficiëntie. Bij toekomstige selecties zal IT-energie-efficiëntie dan ook een steeds belangrijker rol gaan krijgen.

‘Duurzame keuzes’ voor niet-financiële rapportagesystemen

Duurzaamheid komt bij veel organisaties meer en meer in het hart van de strategie te zitten en draagt bij aan het onderscheidend vermogen. Als gevolg hiervan wint ook niet-financiële informatie aan belang in de besturing en verantwoording. De informatiesystemen van veel organisaties zijn hier nog niet op berekend. Wie investeert in nieuwe systemen moet de eigen duurzaamheidsstrategie als uitgangspunt nemen en vanuit die strategie duidelijke eisen aan de systemen formuleren. Een gedegen pakketselectietraject en een goede samenwerking en betrokkenheid tussen verschillende disciplines in de organisatie zijn essentieel om tot de juiste keuzes te komen.

Inleiding

Duurzaamheid is niet meer weg te denken uit de strategie van steeds meer organisaties. Ging het in de beginjaren van de opkomst van duurzaamheid in de bedrijfsvoering vooral om het managen van de reputatie, nu zien steeds meer bestuurders dat een duurzame strategie de basis is voor waardecreatie op lange termijn en daarmee voor het bestaansrecht van ondernemingen. In hoofdlijnen spelen daarbij onder andere de volgende ontwikkelingen een rol:

  • Organisaties zijn minder eenzijdig gericht op korte termijn financieel rendement en meer op lange termijn waardecreatie voor de maatschappij als holistisch systeem, in de wetenschap dat ze daarmee ook hun eigen performance optimaliseren.
  • Organisaties krijgen meer aandacht voor de belangen van verschillende groepen stakeholders en zijn meer gericht op samenwerking; dit vereist een (veel) grotere mate van transparantie dan ze tot nu toe gewend zijn. Het inzichtelijk maken van hun prestaties staat hierbij voorop.
  • Organisaties kennen nadrukkelijker waarde toe aan het verbruik van eindige voorraden grondstoffen en de leefomgeving.

In dit nummer van Compact komen bovenstaande factoren in meerdere artikelen terug. In dit artikel gaat het slechts om één van de consequenties, namelijk dat er andere eisen worden gesteld aan de interne en externe informatievoorziening en het gevolg dat deze keuze kan hebben voor het rapportagesysteem. Financiële informatie is daarin uiteraard nog steeds van groot belang, maar dankzij de opmars van het duurzaamheidsdenken zijn er de afgelopen decennia belangrijke informatiecategorieën bij gekomen. Ondernemingen informeren de omgeving steeds meer over de impact van hun activiteiten op de maatschappij – zowel de impact op het milieu als ten aanzien van sociale aspecten – en over hoe zij in samenwerking met stakeholders werken aan een duurzame toekomst. Duurzaamheidsverslaggeving is in het afgelopen decennium dan ook flink tot bloei gekomen en parallel daaraan is de interne vastlegging van informatie in ontwikkeling.

Duurzaamheid zit bij een groep voorlopers daadwerkelijk in het hart van de strategie en informatie over duurzaamheid neemt dan ook een steeds belangrijker plaats in bij het nemen van belangrijke besluiten en de dagelijkse aansturing van de organisatie. Tekenend voor deze ontwikkeling is dat een beginnend aantal ondernemingen bij de beoordeling en de beloning van managers de prestaties op het gebied van duurzaamheid laat meewegen. Verder kan geïntegreerde verslaglegging een teken zijn dat een duurzaamheidsstrategie al dieper in de organisatie is geworteld ([Draa11]).

Een bestuurder die daadwerkelijk wil sturen op duurzaamheid heeft daartoe de juiste informatie nodig. Het verschilt sterk van geval tot geval om welke informatie het gaat. Bij een chemische fabriek zijn zaken als Health & Safety en de Carbon Footprint (CO2-emissies) van groot belang; bij een producent van consumentengoederen spelen de verkoopcijfers van groene producten een rol evenals informatie over hoe groen deze zijn ten opzichte van concurrenten; en bij dienstverlenende organisaties spelen zaken als diversiteit en klant- en medewerkertevredenheid een relatief grote rol. Voor een deel gaat het hierbij om nieuwe informatiesoorten, waar informatiesystemen (nog) niet klaar voor zijn. Veel bedrijven hebben in de praktijk dan ook de grootste moeite om de juiste informatie snel en betrouwbaar op tafel te krijgen. Zij bezinnen zich op de vraag hoe ze hun informatiesystemen kunnen verbeteren.

Bepalen huidig volwassenheidsniveau duurzaamheidsrapportage

Voorafgaand aan de vraag welke systemen daartoe het beste antwoord bieden, is het zaak dat organisaties zichzelf de maat nemen over de volwassenheidsfase waarin zij zitten ten aanzien van de informatieverschaffing. Ze moeten zich daartoe de vraag stellen waarom ze de informatie willen genereren.

Organisaties die nog in de pioniersfase zitten willen graag inzicht in hun eigen prestaties op het gebied van duurzaamheid en dat al dan niet delen met externe partijen. In een volgende fase gaat het niet alleen om het inzicht in de prestaties ten aanzien van duurzaamheid, maar ook om het actief sturen op deze gegevens. Ook externe rapportages en rankings (CDP, DJSI, etc.[CDP staat voor Carbon Disclosure Project, een organisatie gevestigd in het Verenigd Koninkrijk die samen met stakeholders en bedrijven probeert de CO2-emissies van multinationals openbaar te maken. DJSI staat voor Dow Jones Sustainability Index, meerdere indexen die de prestatie van koplopers op het gebied van duurzaamheidsrapportages beoordelen. Daarmee is de DJSI een wereldwijde duurzaamheidsbenchmark die in de loop der tijd één van de belangrijkste ijkpunten voor investerende partijen en bedrijven op het gebied van duurzaam beleggen werd. De DJSI wordt gezamenlijk door de Dow Jones Indexen en SAM (Sustainable Asset Management) beheerd.]) spelen langzamerhand een grotere rol. Aan het eind van deze ontwikkeling staan vaak Key Performance Indicators die zowel voor interne als externe prestatiemeting en sturing voor het bedrijf gebruikt worden. Organisaties die over een langere tijd transparant zijn over hun prestaties zonder te sturen op deze prestaties lopen het risico dat ze daarmee juist hun onvermogen of onverschilligheid laten zien aan de buitenwereld. Dat kan zich dan als een boemerang tegen de organisatie keren.

C-2012-1-Bonnet-01

Figuur 1. Volwassenheidsfasen in relatie tot het rapporteren van duurzaamheidsinformatie.

Bepalen van de rapportagestructuur – vijf aandachtspunten

Bij keuzes op het gebied van informatievoorziening op dit gebied is het onder meer van belang om de volgende punten met betrekking tot de interne rapportagestructuur helder te krijgen. Het bepalen van deze punten kan helpen om op hoofdlijnen de uitgangspositie van de organisatie met betrekking tot de rapportagestructuur te bepalen.

1. Scope van de rapportage

Het is essentieel te beoordelen welke entiteiten in de organisatie (fabrieken/locaties/sectoren/businessgroups/businessunits/hoofdkantoor, etc.) onderdeel zijn van de rapportage. Hoe meer entiteiten, hoe hoger de complexiteit. Dit brengt organisatorische vragen met zich mee en heeft impact op de tijdigheid, kwaliteit en beschikbaarheid van de gerapporteerde data.

2. Betrokken medewerkers

Hier is van belang wie een rol speelt in de totstandkoming van de rapportage. Gaat het alleen om duurzaamheidsspecialisten of is ook betrokkenheid nodig van andere disciplines, zoals IT, compliance en management.

3. Interne/externe verificatie

Wordt de informatie geverifieerd door internal audit of door een externe accountant? Keuzes op dit punt stellen eisen aan de controllability/auditability van het systeem.

4. Reporting cycle

Gaat het om het maandelijkse ophalen van data of alleen om jaarlijkse rapportages? Hoe korter de cyclus, hoe meer eisen worden gesteld aan de nauwkeurigheid van de gegevens die het systeem kan leveren. Daarnaast dienen indien aanwezig ook de bronsystemen die de rapportagesystemen voeden, meegenomen te worden in de afweging. Het opleveren van goede data is vaak een arbeidsintensief proces en in de praktijk kan een zeer frequente uitvraag leiden tot een lagere kwaliteit.

5. Type data

Constante parameters zoals energieverbruik zijn administratieve rapportages, die vooral om continuïteit en nauwkeurigheid vragen. Variabele parameters zoals veiligheidsgetallen moeten door procedures en betrouwbare rapportages ondersteund worden om tot goede rapportages te komen. Externe data (bijvoorbeeld over leaseauto’s) kunnen soms eenvoudig (mits goede afspraken zijn gemaakt) worden opgevraagd bij externe partijen.

Keuzes voor duurzaamheidsrapportagesystemen: de opties, de criteria en de afweging

Vier opties

Het vastleggen, aggregeren en/of verrijken van de data kan worden gefaciliteerd door IT-systemen. Grofweg zijn er vier opties te onderscheiden:

  • Handmatige oplossingen met standaard officesoftware zoals spreadsheettoepassingen kunnen worden toegepast. Spreadsheettoepassingen hebben als voordeel snel tot een resultaat te komen, echter de onderhoudbaarheid en het verzamelen van de gegevens in een (decentrale) organisatie vormen een aandachtspunt.
  • Specialistische sustainability-applicaties zoals onder andere Credit 360 en Enablon zijn speciaal ontworpen voor duurzaamheidsdoeleinden. Elk van deze pakketten heeft zijn eigen sterke en zwakke eigenschappen. Een degelijke selectie bepaalt in grote mate het succes. Daarnaast is een integratie met een ERP-systeem wenselijk om efficiënt te kunnen registreren en rapporteren. Specialistische software wordt belangrijker naarmate het volwassenheidsniveau van de duurzaamheidsprocessen toeneemt.
  • Aanpassingen en/of extra modules aan bestaande (ERP/)systemen (SAP, Oracle, etc.) lijken de meest voor de hand liggende aanpak bij een uniform ERP-landschap. Echter, de kosten van implementatie, licenties en onderhoudbaarheid zijn relatief hoog.
  • Integratie van de reportinginformatie in huidige of nog aan te schaffen consolidatiepakketten (zoals onder andere Hyperion).

Elke van de hierboven genoemde opties kent voor- en nadelen. Er is dus geen algemeen advies mogelijk over wat de beste keuze is, want dat hangt af van de karakteristieken van de organisatie en de volwassenheid van het duurzaamheidsbeleid. Niettemin is het wel mogelijk om de aspecten te inventariseren die van belang zijn bij het maken van een doordachte keuze. Eén van de manieren om dat te doen is door uit te gaan van de eisen die aan externe duurzaamheidsrapportages worden gesteld. We doen dat op basis van onze ervaring met rapportagesystemen en rekening houdend met relevante standaarden voor reporting zoals het framework van het Global Reporting Initiative (GRI), een gezaghebbende standaard op het gebied van niet-financiële verslaglegging. Samenvattend zijn dan de hierna volgende relevante zeven criteria voor rapportagesystemen te onderscheiden.

De zeven criteria voor rapportagesystemen

1 Accurate, volledige en betrouwbare informatie

Zowel de externe omgeving als de interne gebruikers van informatie moeten er blindelings van uit kunnen gaan dat de informatie die zij gebruiken voor hun besluitvorming juist en volledig is. Dit is dan ook een belangrijk aspect bij de afweging over nieuwe systemen, met name aangezien externe duurzaamheidsinformatie vaak kritisch wordt geanalyseerd door belanghebbenden. Organisaties kunnen het zich dan ook niet veroorloven om onbetrouwbare data te rapporteren. Hierbij geldt nadrukkelijk het ‘garbage in, garbage out’-principe. De kwaliteit en de betrouwbaarheid zijn zo hoog als de kwaliteit van de zwakste schakel in het gehele proces.

2 Risicomanagement

In hoeverre ondersteunt de applicatie het managen van risico’s? Risicomanagement vormt steeds vaker een integraal onderdeel van de organisatiestrategie en vormt de basis om aan te tonen aan de omgeving in welke mate de organisatie risico’s onder controle heeft. Met de introductie van de Sarbanes Oxley Act in 2002 verschoof de focus met name naar het beheersen van risico’s ten aanzien van financiële rapportage. De laatste jaren zetten organisaties ook steeds hoger in op het managen van duurzaamheidrisico’s, die zowel reputatieschade als ook financiële schade kunnen veroorzaken. Het BP Deepwater Horizon ongeluk in 2010 is een goed voorbeeld van falend risicomanagement ten aanzien van Health, Safety & Environment.

3 Continuïteit en vergelijkbaarheid

Data hebben pas waarde als deze in context kunnen worden gezien met historische data of targets en ten opzichte van de gehanteerde scope, definities, en gehanteerde berekeningsmodellen. Daarnaast kunnen ook vereisten ten aanzien van de bewaartermijn van toepassing zijn. Tot slot moet de applicatie beschikbaar zijn op het moment dat er (intern of extern) gerapporteerd moet worden. Daarom is het van groot belang dat de continuïteit en vergelijkbaarheid goed is geborgd.

4 Rapportages op maat aan externe instanties (TB, DJSI, GRI, CDP, etc.)

Organisaties hebben afhankelijk van hun aard en sector te maken met instanties die bepaalde informatie opvragen, zoals de Nederlandse overheid voor de transparantiebenchmark of SAM voor de Dow Jones Sustainability Index (DJSI). Deze eisen spelen uiteraard een belangrijke rol bij het inrichten van de informatievoorziening, die goed op deze eisen moet kunnen inspelen. In welke mate beschikt een applicatie over een gecertificeerde[Een gecertificeerde rapportage betekent dat het IT-systeem door het IT-bedrijf aan de betreffende instantie voorgelegd is en dat deze bevestigt dat het IT-systeem de mogelijkheid voor systeemconfiguratie en betrouwbare gegevens biedt.] rapportage voor deze externe instanties en is het mogelijk om data voor deze rapportages door een systeemconfiguratie eenvoudig uit het systeem te halen?

5 Assurance en verificatie / Integratie van controls in het systeem

Een groep koplopers op het gebied van duurzaamheid hecht eraan dat een onafhankelijke assuranceprovider de data en/of de kwalitatieve beweringen verifieert. Om dat mogelijk te maken is een hoge kwaliteit en betrouwbaarheid van vastlegging een essentiële voorwaarde. Dit vraagt om specifieke beheersingsmaatregelen die deels in de configuratie van systemen kunnen worden vastgelegd, bijvoorbeeld door waarschijnlijkheidsanalyses of verplichte velden.

6 Tijdige rapportages

Tijdig kunnen rapporteren wordt steeds belangrijker en dat stelt hoge eisen aan de informatiesystemen. Eén van de ontwikkelingen die hierbij een rol speelt is dat steeds meer organisaties de financiële rapportage integreren met de duurzaamheidsrapportage om te laten zien hoe ze hun duurzaamheidsstrategie daadwerkelijk in de kern van hun organisatie verankeren. De consequentie daarvan is dat de duurzaamheidsinformatie even snel beschikbaar moet zijn als financiële informatie.

7 Duidelijke KPI’s

Key performance indicators maken inzichtelijk hoe prestaties zich ontwikkelen in de loop van de tijd. Door een doelstelling eraan toe te voegen laat een organisatie zien dat men deze parameter serieus neemt en er actief op stuurt. Deze KPI’s moeten door de rapportagesystemen zodanig ondersteund worden, dat de organisatie daadwerkelijk de benodigde en juiste gegevens kan definiëren, verzamelen en rapporteren.

Naast de bovenstaande afwegingen zullen ook andere generieke zaken een belangrijke rol spelen zoals de prijs van de applicatie, ontwikkelingskosten, Total Cost of Ownership, onderhoud (intern of extern) en gebruiksvriendelijkheid.

Tot slot is het ook belangrijk om een duidelijk beeld te krijgen van de mate waarin de systemen de meest voorkomende (of voor de organisatie specifieke) duurzaamheidsindicatoren ondersteunen. Grofweg zijn de meest voorkomende indicatoren onder te verdelen in de volgende categorieën: governance, milieu- en sociale indicatoren. In tabel 1 staat elk van deze indicatoren weergegeven met een aantal praktische voorbeelden.

C-2012-1-Bonnet-t01

Tabel 1. Voorbeelden van duurzaamheidsindicatoren.

De afweging

Zoals gezegd is er geen standaard-succesrecept voorhanden bij de keuze van systemen voor niet-financiële informatie. De afweging vergt altijd maatwerk voor de specifieke karakteristieken van de organisatie en de fase waarin de duurzaamheidsstrategie zich bevindt. Tabel 2 geeft aan hoe de genoemde zeven criteria zich in grote lijnen verhouden tot de verschillende opties qua systemen.

C-2012-1-Bonnet-t02-klein

Tabel 2. De zeven criteria uitgezet tegen de opties qua IT-systemen.[Klik hier voor grotere afbeelding]

Opvolging van de keuze: de pakketselectie

Zoals hierboven aangegeven zijn met name de losse sustainability-applicaties, ERP-systemen en consolidatiepakketten geschikt om aan de verschillende aandachtspunten voor sustainability-rapportagesystemen te voldoen. Een duidelijk aandachtspunt hierbij zijn de kosten en de doorlooptijd en complexiteit van de implementatie. Onze ervaring is dat de kosten van een pakket relatief laag zijn in vergelijking met de implementatie, change management, licenties en onderhoud. Daarnaast is onze ervaring dat de conversie en/of het koppelen van bronsystemen een substantieel deel van de kosten van de implementatie met zich meebrengt.

Losse systemen maken het mogelijk onafhankelijk van bestaande ERP-systemen professioneel en flexibel invulling te geven aan de essentiële sustainabilitydata van het bedrijf. Bovendien is de gebruikersgroep vaak anders dan die van bestaande ERP-systemen, en spelen deze systemen ook goed in op de wens tot maatwerkrapportages voor externe – maar ook interne – partijen. Dit laatste punt wordt naar onze ervaring steeds belangrijker.

Spreadsheettoepassingen zijn een laagdrempelige en relatief goedkope methode voor minder ervaren organisaties, maar deze methode is op langere termijn door alle tekortkomingen niet aan te bevelen.

Hoe zinnig de hiervoor weergegeven handvatten ook zijn, ze mogen niet lineair als een checklist worden toegepast bij het komen tot de juiste keuze. Want het is zaak om bij de afwegingen te redeneren vanuit de ambities en randvoorwaarden van de eigen organisatie. In dat kader spelen de volgende overwegingen een rol:

  • Past de oplossing binnen de kaders van de IT-strategie? Uniformering en/of standaardisering van het IT-landschap heeft vaak een hoge prioriteit, evenals een reductie van het aantal systemen. Dit pleit mogelijk tegen de aanschaf van stand-alone tools, al bieden deze veelal wel mogelijkheden tot automatische interfaces met bestaande systemen.
  • Hoe ziet de Total Cost of Ownership van de oplossing eruit?
  • Hoe geavanceerd moeten de functionaliteiten van de oplossing zijn om te voorzien in de behoeften van de organisatie? Met een referentie aan het volwassenheidsmodel (zie figuur 1) is het aan te nemen dat een onderneming waarbij het duurzaamheidsdenken nog relatief in de kinderschoenen staat, eerder geneigd is om te beginnen met spreadsheetregistraties, terwijl meer volwassen ondernemingen meer de neiging hebben om de ERP-, consolidatie- of sustainabilitysystemen aan te schaffen.
  • Wat is het beleid ten aanzien van de ERP-systemen in de organisatie? Is er een ‘ERP tenzij’-policy? Is men tevreden over de huidige ERP-systemen? Worden de huidige ERP-systemen reeds gebruikt voor de primaire vastlegging van (een deel van) de gegevens (zoals HR, Health & Safety, etc.)? Is de verwachting dat deze ERP-systemen op relatief korte termijn worden vervangen? De antwoorden op deze vragen kunnen belangrijke argumenten opleveren om wel/niet te kiezen voor een oplossing in het ERP-pakket zelf.

Om tot een onafhankelijke weloverwogen beslissing te komen welk reportingsysteem het beste bijdraagt aan de doelstellingen van de organisatie is het aan te bevelen een onafhankelijk pakketselectietraject te doorlopen ([Heije02]). Belangrijk hierbij is dat degene die deze selectie uitvoert geen belang heeft bij de keuze die wordt gemaakt. Om enige partijdigheid te voorkomen wordt vaak een onafhankelijke afdeling (bijvoorbeeld internal audit of een externe partij) ingehuurd. Bij een pakketselectie zijn grofweg de volgende stappen te onderscheiden:

Vooronderzoek

De uitgangspunten binnen het pakketselectietraject zijn de organisatiestrategie en de ambities van de organisatie ten aanzien van duurzaamheid. De volwassenheid van de duurzaamheidsstrategie (zie figuur 1) zal hierbij als basis worden genomen. Op basis van dit vooronderzoek wordt een gedetailleerde set van eisen en (mogelijke bovenstaande) criteria opgesteld.

Longlist

De mogelijkheden van de rapportagesystemen worden naast elkaar gezet en eventueel aangevuld met de ervaringen die een begeleidende partij met de betrokken systemen en/of leveranciers in eerdere trajecten heeft opgedaan. Op basis van deze gegevens wordt de beslissing genomen welke potentiële systemen en leveranciers worden meegenomen in het vervolg van het onderzoek.

Shortlist

Een shortlist bestaat idealiter uit drie pakketten en heeft als doel een principekeuze te kunnen maken. Het gaat veelal om de volgende stappen: opstellen businesscase; een te houden workshop / presenteren van proof of concept door de leverancier om een aantal vooraf gedefinieerde vragen/aspecten/scenario’s te laten demonstreren; offerteaanvraag; en een referentiebezoek (om ervaringen van andere klanten te delen).

Contractfase

Doelstelling is om een juridische overeenkomst te bewerkstelligen waarin de rechten en plichten van alle betrokken partijen eenduidig zijn vastgelegd. Let hierbij niet alleen op de functionele aspecten maar ook op contracten met betrekking tot onderhoud en continuïteit.

Implementatie

Na het selecteren van het juiste pakket dient het pakket geïmplementeerd te worden. Belangrijk hierbij is om de implementatie van deze systemen niet te onderschatten en een duidelijke projectaanpak en -structuur op te zetten. Het is zelfs aan te bevelen door een onafhankelijk bureau periodiek een scan te laten uitvoeren of de leverancier het pakket wel conform de eisen en binnen tijd en budget implementeert ([Duke01]).

Conclusie

Wij zien dat organisaties nu belangrijke stappen zetten in het positioneren van duurzaamheid binnen hun bedrijfsstrategie. Ambities ten aanzien van duurzaamheid worden geformuleerd op basis van een integrale visie inzake de IT-, business- en de direct daarmee verbonden duurzaamheidsstrategie.

Daarnaast spelen de volwassenheid van de duurzaamheidsprocessen, (integratie met) het huidige IT-landschap en de eisen gesteld vanuit externe instanties (zoals DJSI) een belangrijke rol bij het opstellen van de eisen ten aanzien de selectiecriteria van een rapportagesysteem. Een pakketselectietraject kan helpen bij het selecteren van de juiste rapportagesystemen die de duurzaamheidsambitie kunnen ondersteunen. Een goede samenwerking tussen de verschillende disciplines (IT, duurzaamheid en finance) is vereist om de ambities duidelijk te formuleren en het rapportagesysteem hier goed op aan te laten aansluiten.

Case: Philips

Philips implementeert op dit moment Credit 360 als additionele applicatie naast SAP om het proces van registratie, monitoring en rapportage van en over sustainability te faciliteren. Een interview met Mark Didden geeft inzicht in enkele belangrijke overwegingen.

De sustainabilityrapportage van Philips – een volwassen organisatie op het gebied van duurzaamheidsstrategie – omvat drie belangrijke componenten: de website, het annual report en de shareholder-roadshows. De informatievoorziening kwam in het verleden vooral voort uit een in de jaren negentig zelf ontwikkelde webtoepassing voor milieugegevens van fabrieken, en uit Excel voor andere duurzaamheidsgegevens, zoals CO2-emissies van zakenreizen. Van Excel-rapportages onderkent men de nadelen (tijdsintensief, foutgevoelig en moeilijk te auditen). Daarom implementeert men momenteel Credit 360 en heeft men ook specifieke functionaliteit ontwikkeld in SAP voor groene producten.

Philips heeft na een uitgebreide pakketselectie gekozen voor het softwareprogramma Credit 360. In tabel 3 geeft Philips voor elk van de zeven aspecten een beoordeling (– is een lage dekkingsgraad, ++ is een hoge dekkingsgraad) met onderbouwing voor de dekkingsgraad van het pakket Credit 360.

C-2012-1-Bonnet-t03-klein

Tabel 3. Beoordeling van Credit 360 op de zeven criteria door Philips.[Klik hier voor grotere afbeelding]

Welke veranderingen en trends voor reporting zijn binnen Philips op dit moment op komst?

Succesvolle implementatie van Credit 360 is op dit moment cruciaal om daarmee de betrouwbaarheid en – op den duur ook – beschikbaarheid van de data te verhogen. Stakeholders vinden het belangrijk dat de data een hoog kwaliteitsniveau hebben, en zij moeten kunnen vertrouwen op de gerapporteerde data. Om dit te onderstrepen verhoogt Philips haar rapportageambitie door naar een hoger niveau van externe verificatie te gaan voor haar KPI’s op het gebied van duurzaamheid (van limited naar reasonable assurance).

Welke overwegingen binnen Philips spelen een rol voor (toekomstige) veranderingen en aanpassingen in de rapportagesystemen?

Het wordt steeds belangrijker om rapportages aan externe partijen te verzorgen, zoals de CDP-rapportage. Bovendien is het essentieel om medewerkers meer bij de gerapporteerde content te betrekken door kwalitatief hoogwaardige en specifieke duurzaamheidsdata tijdig te presenteren, zoals het energieverbruik van een bedrijfseenheid ten opzichte van een andere bedrijfseenheid in hetzelfde land, zodat medewerkers kunnen zien waar zij een bijdrage kunnen leveren.

Welke rol ziet Philips voor externe verificatie?

Externe verificatie van sustainabilitydata op reasonable niveau laat zien dat de reporting systems voor duurzaamheidsinformatie dezelfde kwaliteit hebben als de financiële systemen. Dit laat zien dat de integratie van duurzaamheids- en financiële indicatoren binnen het bedrijf op een zeer hoog niveau is, en daarmee duurzaamheid ook in het hart van de strategie staat.

Kader A. Voorbeelden voor specialistische sustainability-applicaties.

  • CA ecoSoftware
  • Credit 360
  • CSR System
  • Energy & Sustainability Management (ESM)
  • Metrics
  • Software-as-a-Service Sustainability Solutions
  • e3 Solutions
  • Sustainability Reporting Software
  • Enablon
  • Sustainability and CSR
  • Hara Environmental and Energy Management
  • Corporate Social Responsibility (CSR) Reporting
  • IHS Corporate Responsibility
  • Sustainability, GHG, and CSR
  • Environmental Sustainability Dashboard for Microsoft Dynamics AX
  • Oracle’s Sustainability Sensor Data Management
  • Sofi Software Corporate Sustainability
  • regAction® Sustainability
  • SAP BusinessObjects Sustainability Performance Management
  • SAS Sustainability Reporting
  • iSystian
  • WeSustain Enterprise Sustainability Management (ESM)

Literatuur

[Draa11] Drs. A. de Draaijer en mw. M. Janssen Groesbeek, Betere prestaties door beter verslag, Financieel Dagblad, 22 januari 2011.

[Duke01], Nick Duke (UK), Hans Donkers (Netherlands) and Ron Oudega (Netherlands), Compact 2001/1 (International edition).

[Heije02] Drs. J. den Heijer en drs. J.H.K. Dronkert, Pakketselectie: de begin- en de eindfase uitgelicht, Compact 2002/3.

Integrated Reporting

Niet-financiële informatie wint de afgelopen decennia aan belang. Steeds meer bestuurders zetten in op een duurzame strategie – vanuit het besef dat dit de beste manier is om op termijn de performance te optimaliseren – en willen dan ook dat de informatie op dit gebied minstens even goed is als de financiële informatie. Daar is echter nog een wereld te winnen, want de beheersing rondom niet-financiële informatiestromen staat nog in de kinderschoenen.

Introductie

In 1975 was 83 procent van de marktwaarde van ondernemingen nog te ‘verklaren’ vanuit de waarde van hun materiële vaste activa. In 2009 ligt dat percentage nog maar op negentien ([Ocea10]). Een beter bewijs dat er de afgelopen decennia echt wat is veranderd in de waardering van niet-financiële informatie is nauwelijks denkbaar. Het succes van ondernemingen – en daarmee ook hun waarde – wordt steeds afhankelijker van wat ook wel ‘zachte’ factoren worden genoemd: de manier waarop ze talent weten te organiseren, hun innovatiekracht, hun ethische standaarden, de manier waarop ze met mens en milieu omgaan, de wijze waarop ze zorgen voor ‘aarding’ in hun omgeving en andere factoren.

Deze belangrijke ontwikkeling maakt ook dat er andere eisen worden gesteld aan de manier waarop ondernemingen verantwoording afleggen over hun activiteiten. De realiteit is echter dat de externe verantwoording nog maar beperkt informatie geeft over de ‘nieuwe’ succesfactoren. Veel ondernemingen realiseren zich dat ook. Een klein deel van de ondernemingen is goed in staat om de eigen niet-financiële performance te monitoren.

Opkomst van Corporate Social Responsibility

Dat neemt niet weg dat er al veel gebeurt op het gebied van niet-financiële informatie in de externe verantwoording. Ondernemingen informeren de omgeving vooral steeds meer over de impact die hun activiteiten hebben op de maatschappij en over hoe zij werken aan een duurzame toekomst. De verslaggeving hierover – Corporate Social Responsibility (CSR) reporting – is de afgelopen decennia flink tot bloei gekomen en we staan nu voor de volgende stap: het combineren van CSR met de financiële rapportage. Deze integratie is een belangrijke stap in het volwassen worden van CSR en sluit aan op de ontwikkelingen in het denken over duurzaamheid: duurzaam opereren wordt terecht niet langer gezien als een ‘extraatje’, maar iets wat thuishoort in het hart van elke succesvolle langetermijnstrategie. De tijd dat duurzaamheid alleen gerelateerd werd aan mogelijke reputatieschade ligt inmiddels achter ons. Voor veel bedrijven is het een middel om meerwaarde te creëren voor aandeelhouders, werknemers en andere stakeholders. Helaas hebben we de afgelopen jaren ook gevallen gezien waarin het omgekeerde aan de orde is. Energieconcern BP zag de waarde van het bedrijf bijvoorbeeld imploderen na de explosie op de Deepwater Horizon en de daarmee gepaard gaande olievervuiling.

Integrated Reporting

De stap van de combinatie van CSR- en financiële informatie in verslaggeving is de eerste stap op weg naar het uiteindelijke doel van ‘Integrated Reporting’. Dat Integrated Reporting meer is dan het in elkaar schuiven van het CSR-rapport en het financiële jaarverslag, daar is iedereen het wel over eens. De uitdaging is veel meer het vinden van een nieuw concept waarin duidelijk wordt dat financiële prestaties en duurzaamheid onmogelijk los van elkaar kunnen worden gezien. Integrated Reporting gaat dan ook vooral om het verbinden van beleid op verschillende terreinen. Ook het International Integrated Reporting Committee (IIRC) heeft die visie ([IIRC11]): ‘Integrated Reporting combines the most material elements of information currently reported in separate reporting strands (financial, management commentary, governance and remuneration, and sustainability) in a coherent whole, and importantly:

  • shows the connectivity between them; and
  • explains how they affect the ability of an organization to create and sustain value in the short, medium and long term.’

Aan ambities ontbreekt het niet op dit gebied. Uit onderzoek van KPMG onder driehonderd Nederlandse ondernemingen blijkt dat bijna zestig procent van de onderzochte ondernemingen de komende jaren geïntegreerd over duurzaamheid gaat rapporteren. Eén op de vijf ondernemingen rapporteert op dit moment al geïntegreerd over duurzaamheid. De aandacht voor duurzaamheid binnen de bedrijven ontwikkelt zich in lijn hiermee, maar is in veel gevallen nog wel pril. Bijna dertig procent van de ondernemingen is op dit moment op geen enkele wijze met duurzaamheid bezig en ruim twintig procent ontwikkelt op dit moment beleid op het gebied van duurzaamheid. Van de andere helft van de bedrijven is bijna twintig procent bezig met de invoering van het ontwikkelde beleid. Slechts bijna dertig procent van de ondernemingen stuurt op dit moment op een aantal indicatoren of thema’s.

C-2012-1-Bartels-01

Figuur 1. Status duurzaamheid in Nederland (bron: KPMG).

Denkmodel

Hoe dan ook, de ontwikkeling om het financiële jaarverslag en het duurzaamheidsverslag samen te voegen is duidelijk ingezet. Omdat dit niet meer dan een eerste stap is op weg naar daadwerkelijke integratie, kent het concept van geïntegreerde verslaggeving nu nog geen eenduidige aanpak, modellen en definities. De voorstellen van het IIRC geven wel een goede denkrichting, door een waardenmodel te introduceren dat verder gaat dan alleen financiële waarden. Dit model dient centraal te staan bij het verschaffen van informatie door ondernemingen.

C-2012-1-Bartels-02

Figuur 2. Waardenmodel Integrated Reporting.

Principes van Integrated Reporting

De IIRC heeft de volgende principles opgenomen in haar eerste Discussion Paper, getiteld Towards Integrated Reporting ([IIRC11]):

Strategic focus

An Integrated Report provides insight into the organization’s strategic objectives, and how those objectives relate to its ability to create and sustain value over time, and the resources and relationships on which the organization depends.

Future orientation

An Integrated Report includes management’s expectations about the future, and other information to help report users understand and assess the organization’s prospects and the uncertainties it faces.

Connectivity of information

An Integrated Report shows the connections between the different components of the organization’s business model, external factors that affect the organization, and the various resources and relationships on which the organization depends.

Responsive and stakeholder inclusive

An Integrated Report provides insight into the organization’s relationships with its key stakeholders, how the organization anticipates their needs, and how and to what extent the organization understands, takes into account, and responds to different stakeholders.

Concise, reliable and material

An Integrated Report provides concise, reliable information that is material to assessing the organization’s ability to create and sustain value in the short, medium and longer term.

Interne beheersing van de informatievoorziening

Integrated Reporting levert niet alleen een uitdaging op voor de communicatie met de omgeving, maar nadrukkelijk ook ten aanzien van de interne informatieprocessen rondom de niet-financiële informatie. Het startpunt daartoe is een goede analyse van de mate waarin deze informatie (waaronder informatie over duurzaamheid) daadwerkelijk is geïntegreerd in de organisatie. Dat legt de basis voor geloofwaardige, betrouwbare en solide verslaggeving.

Betrouwbare niet-financiële informatie is van even groot belang als betrouwbare financiële informatie voor een goede beheersing en besturing. Op dit moment wordt deze relatief nieuwe informatiecategorie veelal (al dan niet handmatig en versnipperd) vastgelegd in separate toepassingen of spreadsheets. Het gevolg hiervan is dat deze informatie vaak minder snel beschikbaar is dan financiële informatie en een hoge foutgevoeligheid kent. Uit onderzoek van KPMG blijkt dat een derde van de 250 grootste ondernemingen ter wereld en meer dan een vijfde van de 100 grootste bedrijven in 34 landen jaarlijks correcties (moeten) maken op hun gerapporteerde duurzaamheidsinformatie ([KPMG11]).

Organisaties staan dan ook voor de uitdaging de beheersing rondom niet-financiële informatie naar het niveau te brengen zoals dat ook voor financiële informatie wordt gehanteerd. Het in figuur 3 weergegeven model biedt daartoe de samenhangende bouwblokken en koppelt de waardebepalende factoren aan de missie en strategie van de onderneming.

C-2012-1-Bartels-03-klein

Figuur 3. KPMG holistic Governance Risk and Controls model.[Klik hier voor grotere afbeelding]

Waardebepalende factoren koppelen aan missie en strategie

De koppeling tussen niet-financiële, ‘zachte’ factoren en de waarde van de onderneming is een essentiële eerste stap. Hoewel veel leidinggevenden ‘by heart’ de tien belangrijkste factoren zullen weten, blijkt het in praktijk lastig het verband te leggen tussen de waarde van de onderneming en de factoren die die waarde bepalen (de ‘value drivers’). Het formuleren van daadwerkelijk meetbare indicatoren en/of doelstellingen is nog lastiger. Dit heeft naar onze ervaring vooral met onwennigheid te maken. Ondernemingen zijn de afgelopen decennia alleen maar meer getraind in het rapporteren en sturen op financiële parameters.

Verantwoordelijkheden borgen in gehele governance

Duurzaamheidsinformatie wordt in veel gevallen langs aparte lijnen en ad hoc (één keer per jaar) verzameld voor het externe verslag. Er wordt niet of nauwelijks op gestuurd en de informatie is niet ‘onderworpen’ aan de governance die wel van toepassing is op financiële informatie. Dit verdient verbetering door aanpassing van:

  • de structuur van management en toezicht, inclusief de daarmee samenhangende verantwoordelijkheden ten aanzien van de kwaliteit van niet-financiële informatie;
  • de interne-governancestructuur met rollen, verantwoordelijkheden en procedures. Dit betreft de volledige lijn, van operationeel management tot en met Raad van Commissarissen.

Risicomanagement en monitoring

De waarde van een onderneming heeft een duidelijke relatie met niet-financiële informatie en het is dan ook niet meer dan logisch dat juist de niet-financiële informatie – op basis van de value drivers zoals die in een eerder stadium zijn bepaald – onderdeel gaat uitmaken van Enterprise Risk Management. Het gaat immers om factoren die de strategie, doelstellingen en continuïteit van de onderneming kunnen bedreigen of verstevigen. Risicomanagement moet zich richten op de risicobepalende ontwikkelingen, ’emerging risks’, de relatie tussen risico’s en organisatieonderdelen of -processen, verantwoordelijkheden en scenarioanalyse. Energiebedrijf Shell brengt bijvoorbeeld al jaren langetermijnscenario’s voor energiezekerheid in kaart en past daarop de strategie aan.

Monitoring richt zich voornamelijk op het zeker stellen dat de controls die zijn opgezet rondom niet-financiële informatie (zie hieronder) daadwerkelijk functioneren. Ook richt deze activiteit zich op het tijdig signaleren, opvolgen en bijsturen. Interne en eventueel externe assurance maken onderdeel uit van dit monitoringsysteem.

Integratie in de IT-omgeving

De IT-omgeving voor niet-financiële informatie staat bij veel organisaties nog in de kinderschoenen, zeker in vergelijking met het niveau dat er bestaat voor financiële informatievoorziening. Organisaties moeten dan ook nog forse stappen zetten. De verwachting is dat duurzaamheid en niet-financiële informatieprocessen uiteindelijk volledig geïntegreerd worden in de IT- en ERP-systemen binnen de organisaties. Momenteel ligt dat nog niet voor de hand als gevolg van de volgende factoren:

  • Gegevens over HR, Health & Safety en supply chain management zijn belangrijke bouwstenen van duurzaamheidsinformatie maar deze processen zijn vaak niet volledig geïntegreerd in het ERP-systeem.
  • De afdeling Duurzaamheid is vaak nog een ‘koninkrijk’ binnen de organisatie, waardoor de integratie op het gebied van processen, organisatie en IT-systemen beperkt is. Vaak wordt dan ook nog gekozen voor een specifieke applicatie voor duurzaamheidsverslaglegging en staat men minder open voor een geïntegreerde IT-oplossing.

Het artikel ‘Sustainability Reporting Systems’ gaat nader in op dit thema en geeft handvatten voor de verbetering van de rapportageprocessen voor niet-financiële informatie.

Borging in businessprocessen

Organisaties die willen sturen op niet-financiële informatie moeten kunnen rekenen op de continuïteit en betrouwbaarheid van deze informatie. Dit vraagt om een frequente verzameling – in lijn met het ritme van de besluitvormingsprocessen – en een effectieve beheersing. Het gaat onder andere om heldere regels en procedures die beschrijven welke informatie wordt verzameld en langs welke definitie, maar ook om de wijze waarop informatieverzameling en -verwerking verloopt. Last but not least is het ook zaak om de interne verantwoordelijkheden en controles goed op orde te hebben. Een volledige integratie van de noodzakelijke maatregelen (invoercontroles, bevoegdheden, aansluitingen en dergelijke) in de bedrijfsprocessen is daarbij het meest effectief en efficiënt.

Cultuur en gedragsbeïnvloeding

Een gewijzigde (of aanvullende) focus op niet-financiële informatie vraagt ook dat management en medewerkers doordrongen zijn van het belang van ogenschijnlijk niet-resultaatgerichte niet-financiële informatie. Dit betekent bijvoorbeeld dat het voltallige personeel zich bewust is van het belang van ‘details’ als het naleven van specifieke veiligheidsinstructies als het bijvoorbeeld gaat om een organisatie in de zware industrie. Men moet zich realiseren wat de invloed van niet-naleven kan zijn op de reputatie, de operatie en de waarde van de onderneming. Bewustwordingsprogramma’s op de relevante niet-financiële thema’s kunnen ervoor zorgen dat dit beklijft – uit onze ervaring is bekend dat dit vooral herhaling en vasthoudendheid vraagt.

Conclusie

Niet-financiële informatie wordt belangrijker en dat vraagt om kwalitatief hoogstaande borging. Die borging dient net zo sterk te zijn als rondom financiële informatie. Het model van governance & control dat wordt gebruikt voor financiële informatie kan ook worden toegepast op duurzaamheids- en andere niet-financiële informatie. Organisaties staan aan het begin van de ontwikkeling in die richting, vooral als het gaat om samenhangende inrichting in lijn met de risico’s en de visie van de onderneming. Er is nog een wereld te winnen.

Literatuur

[IIRC11] International Integrated Reporting Committee, Towards integrated reporting, IIRC Discussion Paper, 2011.

[KPMG10] KPMG, onderzoek naar integrated reporting, juni 2010.

[KPMG11] KPMG International, KPMG International CR Reporting Survey, 2011.

[Ocea10] Ocean Tomo, Ocean Tomo’s Annual Study of Intangible Asset Market Value, 2010.

Access to the cloud

Cloud computing is maturing past the ‘hype’ stage and is considered by many organizations to be the successor to much of the traditional on-premise IT infrastructure. However, recent research among numerous organizations indicates that the security of cloud computing and the lack of trust therein, are the biggest obstacles to adoption. Managing access rights to applications and data is increasingly important, especially as the number and complexity of laws and regulations grow. Control of access rights plays a unique role in cloud computing, because the data is no longer stored on devices managed by the organizations owning the data. This article investigates and outlines the challenges and opportunities arising from Identity and Access Management (IAM) in a cloud computing environment.

Introduction

In recent years, cloud computing has evolved from relatively simple web applications, like Hotmail and Gmail, into commercial propositions such as SalesForce.com and Microsoft Office 365. Research shows that most organizations currently see cloud computing as the IT model of the future. The security of cloud computing and the lack of trust in existing cloud security levels, appear to be the greatest obstacles to adoption ([Chun10]). The growing amount of data, users and roles within modern organizations, and the stricter rules and legislation in recent years concerning data storage for organizations, have made the management of access rights to applications and data increasingly important and difficult. The control of access rights plays a unique role in cloud computing, because data stored in the cloud demands new, often different security measures from the organizations owning the data. Organizations must change how identities and access rights are managed with cloud computing. For example, many organizations have limited experience with the management and storage of identity data outside the organization. Robust Identity & Access Management (IAM) is required to minimize the security risks of cloud computing ([Gopa09]). This article describes the challenges and opportunities arising from Identity & Access Management in cloud computing environments.

What is cloud computing?

Although much has been published on the topic of cloud computing, it remains difficult to form a precise definition for this term.

One of the commonly used definitions is the following ([NIST11]): “Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources that can be rapidly provisioned and released with minimal management effort or service provider interaction.”

KPMG has taken this definition as a starting point and has narrowed it somewhat to the perspective of a recipient of cloud services ([Herm10]):

“Cloud computing, from the perspective of the user, is the usage of centralized computing resources on the Internet. Cloud computing differs from traditional IT via the following characteristics:

  • Multi-tenancy. Unlike traditional IT, the IT resources in the cloud are shared across multiple users.
  • Paid services. The user only pays for the use of cloud services and does not invest in additional hardware and software.
  • Elasticity. The capacity can either increase or decrease at all times.
  • Internet dependent. The primary network for cloud services is the Internet.
  • On-demand services. Unlike the greater part of traditional IT, cloud services can be utilized practically immediately.”

Different types of cloud services are available. First and foremost is Software-as-a-Service (SaaS) where software is provided as a cloud service. There is also Platform-as-a-Service (PaaS) where a platform (operating system, application framework, etc.) is offered as a cloud service. Finally, there is Infrastructure-as-a-Service (IaaS) where an IT infrastructure or part thereof (storage, memory, processing power, network capacity, etc.) is offered as a cloud service.

C-2012-0-Sturrus-01

Figure 1. Forms of cloud computing.

What is Identity & Access Management?

Broadly speaking, IAM is the consolidated management of users and corresponding authorizations via a centralized identity register. IAM allows an organization to control who gets access to what and by what means. KPMG uses the following definition of IAM ([Herm05]): “The policies, processes and support systems to manage which users have access to information, IT applications and physical resources and what each user is authorized to do with it.”

IAM is categorized as follows ([KPMG09]):

  • User management: The activities related to managing end-users within the user administration.
  • Authentication management: The activities related to the management of data and the allocation (and de-allocation) of resources needed to validate the identity of a person.
  • Authorization management: The activities related to defining and managing the access rights that can be assigned to users.
  • Access management: The actual identification, authentication and authorization of end users for utilizing the target system.
  • Provisioning: The propagation of identities and authorization properties to IT systems.
  • Monitoring and auditing: The activities required to achieve monitoring, auditing and reporting goals.
  • Federation: The system of protocols, standards and technologies that make it possible for identities to be transferable and interchangeable between different autonomous domains.

C-2012-0-Sturrus-02-klein

Figure 2. IAM reference architecture.[Click for a larger image]

IAM plays a major role in securing IT resources. IAM faces many challenges when cloud computing is used. IAM processes, such as adding a user, are managed by the cloud provider instead of the organization owning the data. It is difficult for the organization using the cloud service to verify whether a modification has been completed successfully within the administration of the cloud provider. Furthermore, it is harder to check whether the data stored by the cloud provider is only accessible to authorized users. The next section elaborates on the various challenges related to the components of the IAM architecture in a cloud computing environment.

IAM challenges in a cloud computing environment

The existing challenges in managing users and access to information are complemented with new challenges brought along with cloud computing. Originally, the organization itself was responsible for all aspects of IAM. This ranged from maintenance of user administration to the propagation of user rights in the target systems and checking usage based on logging and monitoring.

The introduction of cloud computing has made these activities more complex. The boundaries are blurring between what user and IT resources belong to the “customer” and what belongs to the “cloud provider”. Who owns what resource and carries the accountability that goes with it? What is the difference between accountability and liability? This section summarizes some of the challenges of IAM.

User management

User management deals with the policies and activities within the scope of administering the entire lifecycle of users in the appropriate registers (initial registration, modification and deletion). For example, this could be the HR system for the employees of an organization. The HR system records the recruitment, promotions and dismissal of employees. In addition, user management controls the policies and activities related to granting authorizations to the users registered in the HR database.

An organization that utilizes cloud services may be faced with challenges in user management that are new compared to the traditional on-premise situation. Managing the user life cycle in the traditional IT environment is a challenge, it is even more so in a cloud environment. The organization cannot always maintain control over user administration via their own HR system (or other centralized resource). The cloud provider usually also maintains a user administration system. What happens when users update their information via the cloud provider? How are the managers of the cloud services and their attributes kept up to date? Which laws and regulations (possibly outside own jurisdiction) apply to the storing of personal information? All these issues have to be dealt with again in a cloud computing environment. The allocation of authorizations is also a part of user management. The customer and cloud provider must agree on who is responsible for granting and revoking user rights.

Authentication management

Authentication management includes the processes and procedures for administering the authentication of users. If particular data is very sensitive, stringent authentication may be required to access this data (for example, by using a smart card). Defining and recording these requirements within objects in the form of policies and guidelines is part of authentication management. Authentication management also deals with the issuing and revocation of authentication means (for example, username and password and smart cards).

The following challenges in authentication management are new compared to the traditional on-premise situation: the authentication means for different cloud providers may vary. Sometimes, the cloud provider itself may only use mechanisms that do not match the (security) technical requirements of the customer. It can also be complicated to implement the level of authentication in a uniform way. In addition, synchronization of passwords can be a challenge, especially in environments where the user administration changes quickly or where users must change their own passwords. Finally, it requires that a working Single Sign-On (SSO) environment is maintained for technical integration with the cloud provider. SSO is a collection of technologies that allow the user to authenticate for different services once as a particular user, which allows access to the other services.

Authorization management

Authorization management deals with the policies and activities in relation to defining and administering authorizations. This allows authorizations to be grouped into a single role (based on so-called authorization groups). After granting this role to a user, that user can carry out a particular task or sub-task on certain objects. When a manager welcomes a new team member, he has to grant the appropriate role to the new user. Once the association is made, the authorizations that belong to this role are now available to the new user. As previously described, the granting of these predefined roles to users is carried out via user management.

Likewise for authorization management, there are new challenges when the organization utilizes cloud services. The cloud provider and the customer must agree upon where the authorizations and/or roles are managed. The IAM system must be capable of exchanging (automated) messages with the means of authentication that the cloud provider uses. In many cases, the cloud provider and customer use conflicting role models and the maturity of the role models differ. For example, the cloud provider may have switched over to centrally organized Role-Based Access Control (RBAC), while the customer still uses direct end-user authorizations that is administered in a decentralized manner. In accordance with user management principles, it is necessary to maintain a trusted-relationship on authorization management that is supported by contractual agreements.

Access management

Access management deals with the (operational) processes that ensure that access to IT resources is only granted in conformance with the requirements of the information security policies and based on the access rights associated with the users.

The domain of access management has the following new challenges compared to the traditional on-premise situation: access management requires agreements to be made between the cloud provider, third parties and the customer, on how to appropriately organize access to the target systems. For example, the exchange of authorization data (user names, passwords, rights, and roles) must be fast enough to grant or deny access instantly. The customer and the cloud provider can decide to establish a trusted-relationship supported by certificates and/or a Public Key Infrastructure (PKI).

Provisioning

IAM must ensure that after a role is granted to a user, the user is created in the relevant objects, and that this user is then granted the appropriate authorizations for corresponding objects. Within IAM, this process is called provisioning. Provisioning deals with the manual and/or automatic propagation of user and authorization data to objects. In other words, provisioning consists of creating a user and assigning authorizations to the user objects. Manual provisioning means that a system manager creates a user with authorizations on request. Automatic provisioning means that the system automatically processes these requests without any intervention by a system manager. When a role is revoked from a user then deprovisioning has to take place, which means that the authorizations are revoked from the user.

Provisioning in a cloud environment has the following challenges: the propagation of accounts within the organization and also within the cloud provider is challenging, since technologies and standards are often different for each cloud provider. As more cloud providers deliver services to an organization, it becomes exponentially more complex for the customer to implement provisioning. The creation and modification of accounts and rights on target systems is generally driven by business need. However, it is often the case that less attention is given to deletion because it serves limited business need and it is believed that the security risk does not outweigh the additional effort required to follow through this deprovisioning process effectively. With respect to the contract with the cloud provider, customers often forget to give sufficient attention to the ending of the relationship. It is then unclear what happens to the data and user rights when the cloud provider no longer provides paid services to the customer.

Monitoring and auditing

The final piece in the IAM architecture is the monitoring and auditing process. This process focuses on checking compliance with policies utilized within IAM. This consists of continuously monitoring and auditing the systems and processes.

In the area of monitoring and auditing, the following are new issues compared to the traditional situation: it is a challenge for many customers to set up monitoring and auditing compliance with the requirements of the applicable information security policies. One reason for this is that the customer often does not have insight in what resources the cloud provider utilizes to manage and monitor the IT resources. A consequence of this lack of transparency is that it may be difficult for a customer to achieve full compliance. In particular, the use of accounts with high-level privileges is difficult to monitor.

Options for IAM in a cloud environment

Several options are available for managing identity and access to cloud services ([Blak09], [Cser10]). The ownership of the various IAM processes and attendant monitoring is different for each model. This has a significant impact on the relevant risks and challenges. The option preferred thus depends on the requirements of the organization and the level of cloud service adoption in the organization.

Traditional model

If an organization utilizes part of its IT needs as a cloud service, the components of the IAM framework must work together with the cloud provider. This may be achieved by linking the existing IAM with the cloud provider (see Figure 3). In this case, the organization manages identities and access rights locally and then propagates these to the various cloud providers. For each cloud provider, the authorized users must be added to the directory of the cloud provider. There are several packages on the market that automate the processes of creation, modification and deletion by synchronizing the local directory with the cloud. However, the “connector” that enables the synchronization to occur must be separately developed and maintained for each cloud provider. A drawback is the added complexity in management when there are multiple cloud providers.

C-2012-0-Sturrus-03-klein

Figure 3. Connecting with the cloud provider.[Click for a larger image]

Identification and authentication for cloud services occurs with the cloud provider. Handing these processes over to the provider requires strong confidence in the provider. There are tools on the market that make it possible to link with local SSO applications. With this method the user needs fewer identities to access services. Checking identification and authentication for cloud services is performed by the cloud provider. Strong confidence in the cloud providers and their policies is required.

This option is already actively used by a large Dutch retailer that has linked the local IAM infrastructure to their cloud provider of email and calendar services.

Trusted-relationship model

Another option to allow IAM to have the cloud provider support the IAM of the customer (see Figure 4). The customer manages the local identities and access rights. The users are stored locally in a directory and an access request for a cloud service is authenticated locally. The cloud provider checks the authorizations and validates these using the directory of the customer. The cloud provider thus trusts the IAM of the customer and it is on that basis that the users can utilize the services. Thus, in most cases, duplication of accounts is unnecessary (unless for auditing purposes).

C-2012-0-Sturrus-04-klein

Figure 4. Federated cooperation between customer and provider.[Click for a larger image]

If this option is used, the customer may continue to use the existing access methods to manage the user activities. A disadvantage for this option is that, when there are a large numbers of cloud providers, it is necessary to make agreements with each cloud provider about the confidentiality of the customer’s local IAM. In addition, for many cloud providers, it is impossible to maintain trustworthy and appropriate monitoring of the IAM of all customers.

Identity service provider model

A third option for cooperation between the local IAM of the customer and the cloud provider is using an Identity Service Provider (IdSP) (see Figure 5). The IdSP is a provider of identity services. As in previous models, the customer manages the local identities and access rights. The IdSP is responsible for validating the identity of the user. Both the cloud provider and the customer rely on this third party to validate the identity of users. DigiD and Facebook are examples of organizations that may act as an IdSP and be able to verify digital identities in the future. There are tools on the market that use a third party to manage and validate identities.

C-2012-0-Sturrus-05-klein

Figure 5. Utilization of an identity service provider.[Click for a larger image]

All-in-the-cloud model

The last option is to outsource the entire IAM and utilize it as a cloud service (see Figure 6). In this case, the organization delegates all IAM systems and processes to a third party operating in the cloud itself. The link with all cloud providers is managed and controlled by this third party. Access to local IT resources will also be conducted via the IAM Service. Effectively, all management and control of IAM are outsourced to the cloud.

C-2012-0-Sturrus-06-klein

Figure 6. IAM as a cloud service.[Click for a larger image]

High trust in the IAM service is required. It is difficult for the customer to monitor the status of the processes for either local or cloud services. Currently, there are no fully functioning IAM cloud services available, but it is possible that large IAM providers (for example, IBM, Microsoft and Oracle) will enter this market in the coming years.

Conclusion

By using (public) cloud services, the organization will need to revise its control measures to maintain the required level of security. Whilst security risks may well decrease by transferring selected services to the cloud, risks are likely to increase in certain areas such as IAM. To minimize the risk it is necessary to properly set up the IAM framework. The implementation of necessary changes to IAM in a cloud environment is critical in providing an adequate level of confidence and guarantee security.

The fact that some of the IT resources are no longer contained in the organization itself raises several questions in the IAM domain. Even though liability remains with the organization utilizing services, keeping control of the IAM processes is more difficult because these are often part of the cloud provider’s domain. For user management, it is important that organizations verify whether changes to user data are taken over by the cloud provider. Organizations must comply with company, national and international laws and regulations with regard to personal information. When considering authentication, it is important that the authentication methods and requirements used match those of the cloud provider. Furthermore, the authorization models should align, so that the correct rights are granted to the authenticated users. The processing of both authorizations and authentications must be timely and accurate in order for the partnering organizations to have confidence in the actual use of cloud services. Finally, it is essential that the monitoring and auditing processes meet the requirements of the applicable security policies.

Several options are available for managing identity and access to cloud services. Firstly, the IAM framework can be connected with the cloud provider. The customer itself manages and propagates users and the rights to the cloud provider. It may be possible to automate this process. Identification and authentication occur in the cloud provider domain. A second option is to allow the cloud provider to support the customer’s IAM framework. The use of this trusted-relationship makes it unnecessary to propagate user to all cloud providers. In addition, identification and authentication occurs locally. A third option is to use an IdSP. This is a third party which is trusted by both customers and cloud services providers and validates the identity of users. The last option is to outsource the entire IAM stack and consume IAM as a cloud service altogether.

Which option is the most suitable depends on IAM requirements of the organization and on the type and number of cloud services consumed. The IAM framework should be properly established before cloud services are utilized to minimize risk exposure. Furthermore, it is very important to align the IAM framework with the cloud landscape to allow effective cooperation with the cloud provider and adequate security safeguards.

Literatuur

[Blak09] B. Blakley, The Business of Identity Services, Midvale, Burton Group, 2009.

[Chun10] M. Chung and J. Hermans, From Hype to Future: KPMG’s 2010 Cloud Computing Survey, KPMG Advisory, Amstelveen, 2010.

[Cser10] A. Cser, S. Balaouras and N.M. Hayes, Are You Ready For Cloud-Based IAM?, Cambridge, Forrester Research, 2010.

[Gopa09] A. Gopalakrishnan, Cloud Computing Identity Management, SETLabs Briefings 7 (7), p. 45-54, 2009.

[Herm05] J. Hermans and J. ter Hart, Identity & Access Management: operational excellence or ‘in control’?, Compact 2005/3, p. 47-53.

[Herm10] J. Hermans, M. Chung and W. Guensberg, De overheid in de wolken? (The government in the clouds), Compact 2010/4, p. 11-20.

[KPMG09] KPMG, IAM Methodology, KPMG International, 2009.

[NIST11] NIST, The NIST Definition of Cloud Computing, Information Technology Laboratory, Gaithersburg, National Institute of Standards and Technology, 2011.

Social engineering: the art of deception

In a typical penetration test (hacker test) attempts are made to gain unauthorized access to systems or data by exploiting technical vulnerabilities. The “weakest link” in the information security chain is often overlooked in these tests: users. It appears that this “link” has increasingly become the target of attackers. The media have reported a large number of incidents involving this type of attack ([security.nl]). This is reason enough to also put this “link” to the test within the scope of an audit or security test. This act of “hacking people” is called “social engineering”. This article describes how social engineering tests are performed, provides some real-life examples, and discusses what measures can be taken against such attacks.

What is a social engineering test?

KPMG IT Advisory has performed social engineering assignments for a large number of clients. The purpose of such tests is twofold:

  • identify the risks to the organization being evaluated
  • make employees aware of these risks (training)

During the tests, attempts are made to manipulate employees so that unauthorized access to confidential information is obtained. These attempts vary from a simple “phone call test” in which employees are tricked into disclosing passwords or a so-called phishing attack (in which the attacker uses forged emails and/or websites), to a physical attack where a client’s premises are entered by a tester undercover using counterfeited access badges (or sometimes disguised like a pizza delivery person or fireman) to gather confidential information from the inside. The findings are usually quite remarkable. To name just a few, unauthorized access has been gained to safes in banks, heavily secured government areas and large data centers. In several of these cases, the assignment also included a penetration test. In these combined tests, also known as red teaming (Figure 1), the team first has to gain unauthorized physical access to the building and then has to hack internal systems and eventually leave with confidential information without being caught.

C-2012-0-Paques-01

Figure 1. Red teaming is a test approach where different attack techniques are combined to simulate an actual attack.

The main difference between a penetration test where you can attempt to access systems multiple times and a social engineering test is that in the latter the tester usually has only one chance of success. There are no “try-outs”, it must be successful the very first time. The tester has to be prepared for unforeseen situations and must have a made-up story (the pretext) ready in case his presence is being questioned. If his story is not credible, there is a risk of being taken away in handcuffs. The employees of the organization for which the test is performed are generally not informed in advance about the test. Often, only a few executives are aware of the test and even they do not know exactly when the test will be carried out. Security staff is not meant to be put on the alert and take extra precautions. This approach makes it possible to obtain a realistic impression of the risks. As a result of this approach security personnel may take drastic measures if the tester is unmasked as an “intruder” (especially when he has a stack of confidential documents in his possession).

The ingredients of a successful attack

There are two decisive factors that determine the success of a social engineering attack: information and timing. Thorough preparation is crucial. In such a test as much information as possible is assembled about the target prior to the actual attack. About 90% of the time is spent to research and make preparations for the actual hit. Information is gathered not only about the organization in scope (e.g., via the corporate homepage, Google Maps, search engines, newsgroups or job vacancy websites,) but also about the organization’s employees, their hobbies, address and contact info (Facebook, Hyves, LinkedIn etc are very useful). After this step the tester usually makes several telephone calls to the company’s general telephone number and the phone numbers of employees found through publicly available sources. Large organizations often use series of telephone numbers. The known numbers in a series allow for other numbers in the series to be determined and called. When an employee answers, they are told that it must be a wrong number as it is Mister X who is needed (Mister X being a name that was found in the earlier research, for example on LinkedIn). The correct number of Mister X and their name, job title, and department are then verified. Information obtained in this manner can then be used to extract further information. All information that is gained is potentially interesting. For a test on a highly secure data center we went there months before the test and photographed the building from all sides with a camera with a 500mm lens to determine the location of all the cameras and entrances, to observe how employees were dressed, what time they went home, etc. Information like this is used for elaborating a detailed attack scenario. We determine who we will impersonate, what time we must arrive (to walk in with the rush of the daily crowd), the best clothing to wear, and what route to take once we are “in” to avoid as many risks as possible (e.g., cameras and security guards).

The timing of an attack is also very important. Often, the help of an employee is required to get past a gate, fence, reception or other secured entrance. The exact moment that a suitable employee is present may be a matter of seconds. With a good story, improvisation skills for unanticipated situations, the ability to make contact easily and sometimes nerves of steel an attacker might even be able to penetrate the most secure environments.

During an attack it is useful to know what people to approach and who to avoid. For example, secretaries often know a lot about what is happening in a company. Their knowledge can be of tremendous value. However, because they know a lot about what is happening in the company, a good story that is well supported is a prerequisite when you approach them. Complete improvisation may be like a game of Russian roulette and result in a premature and undesired end of the test. Case study 1 describes a test case in which the individuals approached were specifically selected to make the chance of success as high as possible.

Case study 1

A colleague and I carried out an advanced phishing attack on one of our clients. My colleague placed himself at the entrance of the client office building and selectively asked employees who entered whether they wanted to take part in a survey about the upcoming Christmas activity. We focused our “selection” of employees on the younger female employees to minimize the risk of accidentally speaking with managers or IT staff. (They would know whether such a survey existed and thus figure out quite quickly that there was an attack underway.) Beforehand, we had examined the LinkedIn and Facebook profiles of key people in the organization so we could recognize and avoid these “risky people”.

Participants would be included in a raffle for an iPod Touch. The employees who wanted to participate were given a sealed envelope containing a letter explaining the activity and a link to our forged web page with the survey that we set up beforehand. After logging in with their credentials, the employees were presented with ten questions about their ideas for the perfect Christmas activity. They could also supplement these with their own suggestions. After submitting their responses, they were thanked for their participation. Of course, we were not at all interested in the employees’ “party ideas”, but just in their login details. I had taken position around the corner to keep an eye through the window to see whether anything suspect happened inside. If it became necessary, I could warn my colleague via our two-way radio transceiver and inform him that it was time to take to his heels. At the same time I watched my smartphone that provided “real-time” updates on the number of users that logged in on the web page. In a matter of minutes several users had entered their passwords on our web page already. After about 35 minutes, we both left the location in different directions. We estimated that this was the minimum amount of time it would take to be detected. In the discussion with the client afterwards we discovered that only a few minutes passed after we left until two alarmed people came outside to demand an explanation.

Employee training

An important aspect of a social engineering test is to make the employees aware of the risks. Nevertheless, the attack scenarios should be selected in such a way that the impact experienced by employees is kept to the absolute minimum required. Therefore, we do not give the client any details (insofar as possible) about which employees played a role in the tests (for example, which employees did provide their password). Details are anonimized as much as possible. The least sensible thing a client can do (and, of course, highly undesirable, but not inconceivable) is taking disciplinary action against these employees. The outcome of such an action is that employees who do become “victims” of a real social engineering attack may not report it in fear of reprisals and the organization does not become aware of the attack until it is too late and it has to deal with the consequences.

A good follow-up to a social engineering test is to present the results back to all employees so that the test can be a learning experience and they are better prepared against a real attack. We experience that in practice, most untrained employees are susceptible to a social engineering attack and employees can be misled at every level in the organization.

Psychological tricks

For each test the attack scenario is completely different because it is tailored to the client’s specific circumstances. Nonetheless, some fundamental psychological principles or “tricks” are regularly used:

  • Making a personal connection: mentioning a common problem or interest is typical. Social media can be a valuable source of information. Indicating that you have worked for the same company or play the same sport builds trust. You can also say you have a friend or acquaintance in common. After the connection is made, it is harder for the “victim” to refuse a request.
  • Time pressure: create a situation where the “victim” does not have enough time to make a proper decision because circumstances are described in such a way that a quick decision must be made. The Windows operating system often shows the name of the last user that logged in (but not the password). Sitting at a user’s (locked) PC, you can usually block that user’s account by entering the wrong password five times. After blocking the account, you can call the help desk and say that you must give an important presentation within five minutes and need to get into your blocked account. Due to the time pressure the help desk employee (after checking that the account is actually blocked) may issue a temporary password and give it over the telephone. Now, you have access to the system.
  • Referring to a senior person in the organization (authority). This trick often works very effectively combined with the “time pressure” element. Indicate that the “victim” is hindering the actions of a high ranking person in the organization and that the victim must immediately assist with the request. A variation of this is using clothing and accessories that “exude” authority (see also Figure 2). Wearing a suit and tie makes it sometimes much easier to get into a building without being questioned than wearing jeans and a T-shirt. I once entered a bank in a soaking construction worker’s jacket announcing that there was a leak on the floor above. I said something like: “I just want to take a quick look to see if any water is coming through the ceiling.” The staff were happy that they had been warned in time and without asking questions allowed me access to the restricted areas in the building that should only be accessible by bank staff.

C-2012-0-Paques-02

Figure 2. Security badge costing a few dollars that a social engineer can use to “exude” authority.

  • Asking for help: for example, ask someone to print a file from a USB memory stick that is infected with malware that infects the pc of the victim as soon as the file on the stick is accessed, or borrow an access badge because “you left yours on your desk”. A request made by a man (the tester) to a woman (the victim) and vice versa is usually fulfilled easier than when the gender is the same.
  • Using recognizable items related to the organization that is being evaluated. Employees may believe they are dealing with a co-worker because you have an access badge (possibly forged), similar style of clothing, business cards, jargon, knowledge of work methods or names of information systems or colleagues (name dropping). All are less likely to prompt critical questions. If the name on the (fake) badge also has a LinkedIn or Facebook profile that refers to the company being evaluated, even the most suspicious people may be convinced that they are dealing with a co-worker.
  • Another method is to request one employee to give information to another employee (for example, communicate with an internal department to have them forward a “wrongly addressed email”). Using these internal reference points increases credibility. Another example is recording the hold music that companies use when callers are put on hold. You can call an employee, then say after a few minutes: “Wait a minute please, I have to get the other line”. You then put the “victim” on hold and play the hold music that you previously recorded making the victim unconsciously think: “Hey, that’s our music, he must work for our company”.
  • Indicating that all colleagues of the “victim” have acted the same way so that it makes the request seem completely normal. People are inclined to believe something is correct when others have made the same choice. A variation of this is the gradual escalation of requests (for information). If someone has already fulfilled a number of requests (for example, they looked up trivial information) it is then more difficult to refuse a request for confidential information.
  • Creating the need to return a favor. Giving people something creates an emotional obligation where they feel they owe you something back. This makes it easier than usual to get someone to fulfill a request. When you have done something for someone (even when they did not ask for it), it becomes more difficult for that person to refuse a request.
  • Creating the impression that the actual request already is a concession. When all that is needed is five minutes inside, it can be useful to request a tour on the premises. If this is refused, insist that it will only take five minutes to have a quick look around.
  • Offering something that leads to a personal benefit. For example, send a phishing email with a code to receive a personal Christmas packet.
  • Creating unexpected situations so that employees (especially security guards) are no longer able to follow their usual routine. We once dressed up as “Sinterklaas” (a traditional Winter holiday figure celebrated in the Netherlands) and his helper and have even penetrated a high security data center in this manner (Figure 3). The data center was at a secluded location and surrounded by high fences with barbed wire, dozens of cameras and an earthen wall that hid the building from view. We called security on the phone a week in advance and pretended to be from the HR department. We told them that we were calling about the Sinterklaas activities at the different locations. To get onto the premises, we first had to get through a checkpoint where a security guard behind bullet-proof glass consulted his colleagues inside the building when we showed up. Somewhat to our surprise, we were allowed to enter the premises and the door was locked again behind us. When we arrived in the data center itself, we walked straight up to a glassed-in security area with five security guards. A quick peak in our heavy bag of “pepernoten” (traditional Sinterklaas cookies) would have sufficed to reveal the recording equipment of the spy camera (Figure 4) and unmask us. “Hello! Well, here we are then!!”, we called out, and instead of putting identification into the tray filled it with pepernoten. After bribing one of the guards with a chocolate letter, they allowed us access. We made a tour through the building and we left again with no problems.
  • Using distraction such as bringing along that attractive female colleague with a short skirt and high heels.

C-2012-0-Paques-03

Figure 3. The “Sinterklaas and helper” who managed to penetrate the data center.

C-2012-0-Paques-04

Figure 4. A button camera that surreptitiously films security sensitive actions such as password keystrokes.

As mentioned before, for each social engineering test specific attack scenarios are elaborated depending on the specific situation of the client. These scenario’s often use one or more of the aforementioned techniques . In Case study 2, a personal connection was made with the victim, recognition was induced by referring to internal departments, a personal benefit was offered (not losing data) and a compromise was agreed upon (last paragraph). That “help” had been previously given also created the obligation for “compensation“.

Case study 2

In a test case where the goal was to gain unauthorized access to a system, I called an employee to report that there was probably a problem with her system as it was causing an enormous amount of traffic on the network. I said that it would eventually crash her system and in the worst case prevent access to existing data. When I asked whether her laptop was very slow lately, I did indeed receive an affirmative answer (of course). After some random tapping on my keyboard, I said that I had found the problem, emphasized how very difficult it was to solve, but that I was working on it. I hung up and called again after half an hour to indicate that the problem was solved. After she had thanked me emphatically, I hung up.

Two days later, I called again and said that, unfortunately, it turned out that the problem was still present and it appeared that changes needed to be made to her laptop. I asked her whether she could bring her laptop along to the local IT department (that I had already called earlier to determine how the process worked and to verify that there actually was a local service point) to give the impression that I actually worked within her company. The employee said she was very busy and it was very bad timing. I said that we could make an exception and that I could try to solve the problem remotely. I said that we, because of security reasons, never asked users for their passwords over the phone, and therefore I asked her to temporarily change her password to “welcome123” so that I could fix the problem remotely. Two minutes later I was able to login to the laptop and I had access to the confidential data that I wanted.

Methods

Some common methods that are used in a social engineering attack are presented below. These methods partly rely on the previously described psychological “tricks”. The combination of methods constitutes the attack scenario.

C-2012-0-Paques-05

Figure 5. The relationship between methods, tricks, and attack scenario.

  • Phishing: this is an attack method using forged email messages or web pages that appear to be legitimate such as those of the employer, but which in reality are controlled by the attacker. These email messages and pages are often aimed at collecting employee data (for example, passwords).
  • Dumpster diving: searching for valuable information by looking through garbage bins, bins by copiers, or containers outside an organization’s premises.
  • Pretexting: obtaining information under false pretenses (the pretext). For example, calling an employee and pretending you are a colleague.
  • Tailgating: “hitching” along with an employee through a secured entry gate to get physical access to a secured location.
  • Reverse Social Engineering: a method in which the “victim” is manipulated so that they ask the social engineer for help. The social engineer creates a problem for the “victim” and then makes himself known as an “expert” who can solve the problem. The social engineer then waits for the “victim” to make a request. Trust is more likely because the “victim” takes the initiative.
  • Shoulder Surfing: watch when someone enters a password or PIN code. You do not actually have to watch. In several tests we used miniature spy cameras such as a button camera (Figure 4) with which you replace one of the buttons on your jacket. After the entry of a password has been recorded, it can be played back later.
  • Placement of listening devices (bugs), wireless access point or key logger. Once access is gained to a building, it is often easy to place listening devices. Modern listening equipment is available at low cost. For instance, such a device can dial a previously programmed cell phone number when sound is detected so that the attacker can listen along via the phone (Figure 6). Alternatively, a key logger can be installed (Figure 7). This device can be plugged in between the keyboard and the computer in a few seconds and will then record all keystrokes that are typed in. Current versions of key loggers can then automatically send an email with captured keystrokes to the attacker through a wireless network. Hiding an access point inside a building may also be useful (for example, by hiding it behind a radiator). After it is connected to the network, the attacker can then leave the building. On the outside, say in a car, the attacker then connects to the newly installed access point and then accesses the internal network with little chance of being detected and arrested.

C-2012-0-Paques-06

Figure 6. “Audio bug” with which one can listen in via cell phone calls.

C-2012-0-Paques-07

Figure 7. Key logger that collects all keystrokes.

  • Malware: malicious software that, for example, collects and forwards passwords to the email address of the attacker. Malware can be installed on the systems by, for example, using an infected PDF file ([Paqu01]). The PDF file can be circulated in different ways, for example, by leaving a USB memory stick containing files titled “2011 payroll” or “fraud investigations in 2011” or similar. Ideal places to leave these sticks are in the restrooms or by the coffee machine. When the “victim” opens the PDF the malware is being run in the background automatically.

In Case study 3, some of the above methods are used. This example shows, amongst other things, how information obtained from one attack can be used in another attack to get even more information.

Case study 3

It was just after eight o’clock in the morning when I parked my car a few hundred feet from the building of one of our clients. I had earlier determined that most employees came to work with their car and parked behind the head office in the private parking lot. It seemed best to mimic this habit because walking through the car park would probably draw attention to my presence. In my car mirror, I kept an eye out for employees driving up to the lot. After about ten minutes, a gray car appeared. Once the car passed me, I merged and followed closely behind. Unfortunately, the car drove past the building of today’s target and I was forced to circle back to my starting position. The second time, I had more luck and after the employee used his access badge to open the gate I could follow closely behind to get into the private car park behind the building. I waited until the employee left his car and entered through the staff entrance at the rear of the building. I walked to the smoking area near the entrance. I grabbed a new pack of cigarettes out of my pocket and lit one. Fortunately, there were no cameras on this side of the building, so I could just quietly wait until an unsuspecting employee joined this non-smoker who was flaunting a cigarette for the occasion. A woman wanting a smoke appeared after a little while. We talked a little and walked back together – through the door opened with her employee badge – into the building. I was inside! I immediately decided to follow her up the stairwell because it appeared that this client had placed card readers on the doors of each floor.

I followed her to the fourth floor and entered the office, once again she politely opened the door for both of us. Luckily, there was a coffee machine so I could stay there for a while and observe the floor without walking myself into a dead-end part of the building. A little further away, I could see some rooms set up for meetings. I took my coffee with me to a meeting room, removed the cable from the VoIP phone and inserted it into my laptop. While my laptop booted up, I cast a glance at the stack of paper that I had grabbed from the bin near the printer while walking by. It included emails with a lot of addresses of employees in the “To” and “CC” fields. Perfect! These would be the “victims” in my next attack.

After my laptop booted, I performed a port scan on port 80 on nearby IP addresses to look for internal web pages. I also used my web browser to try open a few obvious URL’s like “intranet.clientname.com”, “intraweb.clientname.com”, “search.clientname.com”, “directory.clientname.com”, and so on. It did not take me long to find an internal web page. I copied the page and adjusted some text and after fifteen minutes I had put together an “employee of the month” voting page that looked exactly like the company web pages including logos and colors. Then, I started a web server on my laptop so that the newly created page could be accessed via the internal network.

A second limited port scan allowed me to identify an internal mail server that had mail relaying enabled (allowing anonymous email to be sent out). At that moment, I had been in the building for at least twenty minutes and had not been questioned by anyone about what I was doing there. Then, I focused again on the “victims”. First, I sent an email via the mail server identified that contained the content of an email that I had copied from my spam folder, to some of the addresses in the printed emails. I hoped that this email would trigger an out-of-office message from one of the employees. When I then received just such an email, I copied the signature from it and changed the name and function to fictional ones. I now had a web page and an email message that looked exactly like those used in the organization. Then, I created an email with a reminder for the invitation to vote for the “employee of the month”. The message indicated that a random selection of employees could nominate their colleagues for this award. This could be done via an internal web page included in the link at the bottom of the email. Naturally, logging in was required to prevent people from making duplicate votes. The reminder indicated that those who missed the first mail still had the chance to enter their vote up until 12:00 o’clock the same day. I switched to a second window and calmly waited until the password of the first enthusiastic employees appeared in the second window. This took exactly two minutes after sending out the reminder email.

By logging in at the site, the employees, in addition to their password and username, also automatically left behind their IP address. This was all the information that I needed. I started Metasploit (a hacker toolkit) that allowed me to remotely login to the PC of the first survey participant. Meanwhile, I had also found the user in the internal online telephone directory. Unfortunately, it turned out that the first employee worked in the finance department. At this stage, I was really looking for an IT administrator because they often have privileges to access a large number of systems. I decided to dump the local password hashes on the users system. Using the hash of the local administrator account, I tried to authenticate against the system of an arbitrary user on the network. This “trick” has worked at several client sites and was now also successful. Since all (or at least a lot of) desktops where installed from the very same image, the passwords for the local accounts were also identical. At this point, I had been inside for about three quarters of an hour without anyone noticing and I had already taken full control of two systems. Unfortunately, the password hash did not work on the domain controller, so I decided to keep logging into desktop systems until I found a system with a user (or process) that was running with the highest privileges (for example, the IT administrator). After twenty minutes, I found a system where an IT administrator was logged on. The freeware Metasploit tool has a built-in feature allowing you to take over the identity of a user and with it all his privileges. After I took over the identity of IT administrator, I had domain administrator rights and full access to all Windows systems and the data present on the network, including all servers with financial administration and the mailboxes of the board of directors. I made some screenshots and decided that it was time for a second cup of coffee.

Case study 3 shows that it is not always important how many employees are tricked by social engineers. In this particular situation, it was enough for an outsider to deceive only two employees to compromise the entire IT environment.

Countermeasures

Awareness

The keyword in countering social engineering attacks is awareness. More specifically, it is what the targets know about possible attack techniques and their own weaknesses. In one of my assignments, in addition to the usual paper bins alongside printers, the client also placed large enclosed bins for any paper containing confidential information. Nonetheless, the bin for ordinary waste paper provided a huge stack of confidential documents (reports of security incidents, HR information, passwords, and so on). Why? It was probably too much trouble to push the piles of paper through the small slot in the bin for confidential paper and it was just easier to throw it all away in one go.

When clients hear how a trick works at a presentation or training, people often say things like: “you have to be really naive to fall for that, it would never work on me”. Our test results shows differently. Therefore, it is useful to perform a test and confront employees with the results within their organization to really raise awareness. It usually shows that people are not so ready for such an attack as they think they are. It is this that leads to real awareness. In addition to promoting awareness, a test is also quite useful in identifying risks.

Guidelines

Alongside awareness, it is essential to draw up guidelines and continue to check compliance with these. Consider drawing up “ten rules for information security”. An example is as follows:

  1. Never reveal your passwords to others (including IT employees).
  2. Do not share internal information with outsiders.
  3. Adhere to the clean desk and whiteboard policy.
  4. Lock your computer when you leave your workstation.
  5. Do not leave any information behind at the printer.
  6. Use secure waste bins for confidential information.
  7. Verify the identity of the caller when asked for confidential information. (For example, in case of a telephone request, ask the caller to call back on a specific number.)
  8. Never save confidential information locally or on a private PC or device (drive, USB stick).
  9. Immediately alert the security officer about any suspicious activities.
  10. Keep your access badge visible and request colleagues to wear their badge. Any unknown person without a badge should be escorted out of the building and handed over to the reception and/or security.

To ensure that such rules are followed, it is necessary to monitor that employees are actually complying. The outcome of the monitoring (both positive and negative) should be given as feedback to the relevant employees.

Conclusion

After reading this article, you may doubt that the cases described ever happened and that such incidents can succeed in real-life. Unfortunately, the reality is that these and similar attacks occur every day, despite the various security measures. Security personnel, barbed wire fences, access cards, CCTV, alarm systems, and so on, are not enough. Social engineers know how to penetrate into the heart of an organization. Performing a social engineering test can be a good way to identify risks in an organization and raise employee awareness.

Literatuur

[Hadg01] Christopher Hadgany, Social engineering – the art of human hacking, 2010.

[Mitn01] Kevin D. Mitnick and William L. Simon, The Art of Deception, 2002.

[Paqu01] Matthieu Paques, Hacking with PDF files, https://www.compact.nl/articles/hacken-met-pdf-files/.

[security.nl] : articles concerning social engineering attacks, http://www.security.nl/tag/social%20engineering.

Toegang tot de wolken

Cloud computing is het hypestadium aan het ontgroeien en wordt door veel organisaties als een potentiële opvolger van de traditionele IT gezien. Echter, uit onderzoek onder organisaties blijkt dat de beveiliging van cloud computing en het vertrouwen daarin de grootste obstakels zijn voor adoptie. Voornamelijk door de groeiende hoeveelheid wet- en regelgeving is controle op toegangsrechten tot applicaties en data steeds belangrijker geworden. Deze controle speelt een bijzondere rol bij cloud computing, omdat een groot deel van de IT niet meer in eigen handen is. Dit artikel geeft antwoord op de vraag: Wat zijn de uitdagingen en mogelijkheden van Identity and Access Management (IAM) in een cloudomgeving?

Introductie

De afgelopen jaren is cloud computing uitgegroeid van relatief simpele webapplicaties, zoals Hotmail en Gmail, tot commerciële proposities zoals SalesForce.com en Microsoft BPOS. Uit onderzoek blijkt dat het grootste deel van de organisaties cloud computing als het IT-model van de toekomst ziet. Beveiliging van cloud computing en het vertrouwen daarin blijken de grootste obstakels te zijn voor adoptie ([Chun10]). Door de groeiende hoeveelheid data, gebruikers en rollen binnen moderne organisaties en de strenger wordende regels en wetgeving op het gebied van de opslag van data van organisaties in de afgelopen jaren, is de controle op toegangsrechten tot applicaties en data nog belangrijker geworden. Dit speelt een bijzondere rol bij cloud computing omdat een groot deel van de IT niet meer in eigen handen is. Dit brengt (soms grote) veranderingen met zich mee voor het beheer van identiteiten en toegangsrechten. Bijvoorbeeld het beheer en de opslag van identiteitsgegevens buiten het eigen domein is iets waar veel organisaties beperkte ervaring mee hebben. Robuust Identity & Access Management (IAM) is vereist om de veiligheidsrisico’s van cloud computing te minimaliseren ([Gopa09]). Dit artikel gaat in op de uitdagingen en mogelijkheden van Identity & Access Management voor een cloudomgeving.

Wat is cloud computing?

Hoewel er veel gepubliceerd wordt over het thema cloud computing, blijft het lastig om een eenduidige definitie te vormen voor deze term.

Eén van de veelgebruikte definities is die van het US National Institute of Standards and Technology (NIST, 2011): ‘Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources that can be rapidly provisioned and released with minimal management effort or service provider interaction.’

KPMG heeft deze definitie als uitgangspunt genomen, maar iets aangescherpt naar het perspectief van de afnemer van clouddiensten ([Herm10]):

‘Cloud computing staat, vanuit het perspectief van de afnemer, voor het afnemen van gecentraliseerde IT-middelen over het internet. Cloud computing onderscheidt zich van traditionele IT door de volgende karakteristieken:

  • Multi-tenancy. In tegenstelling tot de traditionele IT worden de IT-middelen bij cloud computing zoveel mogelijk gedeeld over meerdere afnemers.
  • Huur van diensten. De afnemer betaalt alleen voor het gebruik van de clouddiensten en investeert niet in additionele hard- en software.
  • Elasticiteit. Met elasticiteit wordt bedoeld dat de capaciteit te allen tijde zowel vergroot als verkleind kan worden.
  • Afhankelijk van het internet. Het primaire netwerk voor clouddiensten is het internet.
  • Diensten op aanvraag. In tegenstelling tot het grootste deel van de traditionele IT, kunnen clouddiensten vrijwel direct in gebruik worden genomen.’

Er zijn verschillende vormen van clouddiensten beschikbaar. Allereerst is er de Software-as-a-Service (SaaS)-variant, waarbij software wordt aangeboden als een clouddienst. Daarnaast is er de Platform-as-a-Service (PaaS)-variant, waarbij een platform (operating system, applicatieframework, etc.) als clouddienst wordt aangeboden. Tot slot is er ook de Infrastructure-as-a-Service (IaaS)-variant, waarbij een IT-infrastructuur of onderdeel daarvan (opslag, geheugen, rekenkracht, netwerkcapaciteit, etc.) als clouddienst wordt aangeboden.

C-2011-2-Sturrus-01

Figuur 1. Vormen van cloud computing.

Wat is Identity & Access Management?

Kortweg houdt IAM in dat het beheer van gebruikers en bijbehorende autorisaties in brede zin centraal staat, en daarbij uitgaat van een centraal beschikbare registratie van identiteiten. Met IAM kan een organisatie beheersen wie toegang krijgt tot wat en met welke middelen. KPMG hanteert de volgende definitie van wat IAM is ([Herm05]): ‘Het beleid, de processen en ondersteunende systemen die managen welke gebruikers toegang verkrijgen tot informatie, IT-toepassingen en fysieke resources en wat iedere gebruiker gerechtigd is hiermee te doen.’

IAM is als volgt onder te verdelen ([KPMG09]):

  • Gebruikersbeheer: de activiteiten gerelateerd aan het beheren van eindgebruikers binnen de gebruikersadministratie.
  • Authenticatiebeheer: de activiteiten gerelateerd aan het beheer van de gegevens en de uitgifte (en inname) van middelen die nodig zijn voor het valideren van de identiteit van een persoon.
  • Autorisatiebeheer: de activiteiten gerelateerd aan het definiëren en beheren van de toegangsrechten die aan gebruikers kunnen worden toegewezen.
  • Toegangsbeheer: het daadwerkelijk identificeren, authenticeren en autoriseren van eindgebruikers tijdens gebruik van het doelsysteem.
  • Provisioning: het op de IT-doelsystemen configureren (aanmaken, wijzigen, verwijderen) van gebruikers- en autorisatiegegevens zodat gebruikers het systeem kunnen benaderen. Dit wordt in het Nederlands vaak ‘propageren’ genoemd.
  • Monitoren en auditing: het controleren van naleving van het beleid binnen de hiervoor genoemde IAM-processen. Het beleid kan bestaan uit interne richtlijnen, maar ook uit wet- en regelgeving vanuit externen zoals de overheid of een toezichthoudende instantie.
  • Federatie: het stelsel van afspraken, standaarden en technologieën die het mogelijk maken om identiteiten overdraagbaar en uitwisselbaar te maken tussen diverse autonome domeinen.

C-2011-2-Sturrus-02

Figuur 2. IAM-referentiearchitectuur.

IAM speelt een grote rol in het beveiligen van IT-middelen. IAM komt in een ander daglicht te staan indien er cloud computing wordt gebruikt. IAM-processen, zoals ‘het toevoegen van een gebruiker’, zijn bij het gebruik van een clouddienst in mindere mate onder eigen controle. Het is voor een afnemer lastig te controleren of het doorvoeren van een wijziging volledig (dus in alle doelobjecten) wordt doorgevoerd bij de cloudaanbieder. Daarnaast is niet in alle gevallen goed te controleren of de opgeslagen data bij de cloudaanbieder enkel toegankelijk zijn voor geautoriseerde gebruikers of dat deze ook toegankelijk zijn voor anderen. In de volgende paragraaf wordt dieper ingegaan op de verschillende uitdagingen voor de onderdelen van de IAM-architectuur in een cloudomgeving.

IAM-uitdagingen in een cloudomgeving

Cloud computing brengt naast bestaande ook nieuwe uitdagingen voor het beheer van gebruikers en de toegang tot informatie. Van oorsprong was de organisatie zelf verantwoordelijk voor alle aspecten van IAM; van het bijhouden van de gebruikersadministratie tot het propageren van gebruikersrechten in de doelsystemen en het controleren van gebruik op basis van logging en monitoring.

Met de komst van cloud computing is dit complexer geworden. De grenzen vervagen tussen welke gebruikers en IT-middelen ‘van de afnemer’ zijn en welke ‘van de cloudaanbieder’. Waar ligt eigenaarschap en daarmee verantwoordelijkheid? Wat is het verschil tussen verantwoordelijkheid en aansprakelijkheid? Deze paragraaf geeft een opsomming van enkele uitdagingen op het gebied van IAM.

Gebruikersbeheer

Gebruikersbeheer richt zich op het beleid en de activiteiten in het kader van het beheren van de gehele levenscyclus van gebruikers in de daarvoor bestemde registraties (initiële vastlegging, wijziging en verwijdering). Voor de medewerkers van een organisatie kan dit bijvoorbeeld een HR-systeem zijn. In het HR-systeem wordt de in-, door- en uitstroom van medewerkers onderhouden. Daarnaast beheerst het gebruikersbeheer het beleid en de activiteiten gericht op het toekennen van autorisaties aan deze in de registraties vastgelegde gebruikers.

Een organisatie die clouddiensten afneemt kan te maken krijgen met uitdagingen op het gebied van gebruikersbeheer die nieuw zijn ten opzichte van de traditionele, on-premise, situatie. Het beheren van de levenscyclus van gebruikers is in de traditionele IT vaak al een uitdaging. Dit geldt in het bijzonder voor een cloudomgeving, waar de organisatie niet altijd via het eigen HR-systeem (of een andere centrale bron) de controle kan houden over de gebruikersadministratie. Vaak zal de cloudaanbieder ook een administratie bijhouden van gebruikers. Wat gebeurt er als eindgebruikers hun gegevens actualiseren via de cloudaanbieder? Hoe worden de beheerders van de clouddiensten en hun attributen (de gegevens die bekend zijn over een account, zoals bijbehorende eindgebruiker of verloopdatum) bijgehouden? Welke wet- en regelgeving is van toepassing bij het (buiten het eigen rechtsgebied) opslaan van persoonsgegevens? Dit zijn allemaal vragen die met cloud computing (op)nieuw aan de orde komen. Ook het toewijzen van autorisaties (gebruikersrechten) is onderdeel van gebruikersbeheer. De afnemer en de cloudaanbieder moeten afspreken wie verantwoordelijk is voor het toewijzen en ontnemen van rechten aan gebruikers.

Authenticatiebeheer

Authenticatiebeheer omvat de processen en procedures voor het beheren van de authenticatie van gebruikers. Wanneer bepaalde gegevens zeer gevoelig zijn, kan het zo zijn dat voor toegang tot deze gegevens een sterke authenticatie vereist wordt (bijvoorbeeld op basis van een smartcard). Het bepalen en vastleggen van deze eisen in objecten, in de vorm van beleid en richtlijnen, vindt plaats binnen het authenticatiebeheer. Daarnaast richt het authenticatiebeheer zich op het beheren (uitgeven en intrekken) van de authenticatiemiddelen (bijvoorbeeld gebruikersnaam/wachtwoord en smartcards) zelf.

Enkele volgende uitdagingen op het gebied van authenticatiebeheer zijn nieuw ten opzichte van de traditionele, on-premise, situatie. De authenticatiemiddelen voor de verschillende cloudaanbieders kunnen per afnemer verschillen. Soms zelfs kan de cloudaanbieder alleen gebruikmaken van mechanismen die niet overeenkomen met de (beveiligings)technische vereisten van de afnemer. Het kan ook ingewikkeld zijn om het authenticatieniveau op uniforme wijze te implementeren. Daarnaast kan synchronisatie van wachtwoorden een uitdaging zijn, in het bijzonder in omgevingen waar de gebruikersadministratie snel wisselt of waar de gebruikers het wachtwoord zelf moeten aanpassen. Tot slot vraagt het werkend houden van een Single Sign-On (SSO) omgeving om technische integratie met de cloudaanbieder. SSO is een verzameling technologieën die het mogelijk maken de gebruiker eenmalig te authenticeren voor verschillende diensten: door eenmalig in te loggen kan een gebruiker dan overal bij.

Autorisatiebeheer

Autorisatiebeheer richt zich op het beleid en de activiteiten ten aanzien van het definiëren en beheren van autorisaties. Zo worden autorisaties gegroepeerd in een rol (op basis van zogenoemde autorisatiegroepen). Na toekenning van deze rol aan een gebruiker kan deze gebruiker een bepaalde (deel)taak in objecten uitvoeren. Als een manager een nieuw teamlid verwelkomt, geeft hij of zij idealiter aan welke rol bij deze gebruiker hoort. Als deze koppeling gemaakt is, krijgt de nieuwe eindgebruiker de beschikking over de autorisaties die bij deze rol horen. Zoals eerder beschreven, geschiedt het toekennen van deze voorgedefinieerde rollen aan gebruikers door middel van het gebruikersbeheer.

Voor autorisatiebeheer geldt ook dat er nieuwe uitdagingen zijn als de organisatie clouddiensten gaat afnemen. De cloudaanbieder en de afnemer zullen overeen moeten komen waar de autorisaties en/of rollen worden beheerd. Het IAM-systeem moet in staat zijn (geautomatiseerde) berichten uit te wisselen met de authenticatiemiddelen die de cloudaanbieder gebruikt. In veel gevallen hanteren de cloudaanbieder en afnemer verschillende rolmodellen en verschilt de volwassenheid van het rolmodel. De cloudaanbieder kan bijvoorbeeld geheel overgestapt zijn op centraal georganiseerde Role-Based Access Control (RBAC), terwijl de afnemer nog gebruikmaakt van directe autorisaties voor eindgebruikers, welke decentraal beheerd worden. In overeenstemming met gebruikersbeheer is het noodzakelijk voor autorisatiebeheer een vertrouwensrelatie te onderhouden, die door contractuele afspraken wordt ondersteund.

Toegangsbeheer

Toegangsbeheer richt zich op de (operationele) processen die ervoor zorgen dat toegang tot IT-middelen alleen verleend wordt conform de vereisten van het informatiebeveiligingsbeleid en op basis van de toegangsrechten die aan gebruikers zijn gekoppeld.

Op het gebied van toegangsbeheer zijn de volgende uitdagingen nieuw ten opzichte van de traditionele, on-premise, situatie. Voor toegangsbeheer dienen afspraken te worden gemaakt tussen de cloudaanbieder, eventuele derde partijen en de afnemer om toegang tot de doelsystemen adequaat te organiseren. De uitwisseling van autorisatiegegevens bijvoorbeeld (gebruikersnamen, wachtwoorden, rechten, rollen) dient snel genoeg te zijn om vrijwel direct toegang te verlenen of te weigeren. De afnemer en de cloudaanbieder kunnen beslissen hiervoor gebruik te maken van een vertrouwensrelatie die ondersteund wordt door certificaten en/of een Public Key Infrastructure (PKI).

Provisioning

IAM dient ervoor te zorgen dat na toekenning van een rol aan een gebruiker, de gebruiker in de betreffende objecten wordt aangemaakt en deze gebruiker de benodigde autorisaties in het betreffende object krijgt toegewezen. Dit proces wordt binnen IAM provisioning genoemd. Provisioning richt zich op het handmatig en/of geautomatiseerd propageren van gebruikers- en autorisatiegegevens naar objecten. Met andere woorden: provisioning betreft het aanmaken van een gebruiker en toekennen van autorisaties aan deze gebruiker in objecten. Handmatige provisioning betekent dat een systeembeheerder op basis van een verzoek autorisaties in een object implementeert. Automatisch betekent dat een centraal systeem de autorisaties geautomatiseerd, zonder tussenkomst van een systeembeheer, in objecten verwerkt. Wanneer een rol aan een gebruiker wordt ontnomen start deprovisioning, wat inhoudt dat de autorisaties in de objecten aan de gebruiker worden ontnomen.

Provisioning in een cloudomgeving brengt vaak de volgende uitdagingen met zich mee. Het propageren van accounts binnen de afnemende organisatie en binnen de organisatie van de cloudaanbieder kan nieuwe uitdagingen opleveren omdat de technologieën vaak verschillend zijn per cloudaanbieder. Naarmate meer aanbieders clouddiensten aan de organisatie leveren, wordt het voor de afnemer exponentieel complexer om provisioning in te richten. Het aanmaken en wijzigen van accounts en rechten op doelsystemen wordt over het algemeen gedreven door een ‘business-need’. Echter, er is voor het verwijderen vaak minder aandacht, omdat het beveiligingsrisico niet geacht wordt op te wegen tegen de additionele inspanning die nodig is om de deprovisioning uit te voeren. In cloudovereenkomsten wordt vaak door de afnemer vergeten aandacht te besteden aan het opheffen van de relatie. Het kan dan onduidelijk zijn wat er met de gebruikersgegevens en rechten gebeurt als de cloudaanbieder niet langer door de afnemer wordt ingehuurd.

Monitoring en audit

Als laatste kent de IAM-architectuur het proces monitoring & audit. Dit proces richt zich op het controleren van de naleving van het beleid dat van toepassing is binnen IAM. Dit bestaat uit constante monitoring en auditing op basis van rapportages.

Op het gebied van monitoring en audit zijn de volgende zaken nieuw ten opzichte van de traditionele situatie. Het is voor veel afnemers een uitdaging monitoring en audit in te richten conform de vereisten van het geldende informatiebeveiligingsbeleid. Een van de redenen hiervoor is dat het voor de afnemer vaak onduidelijk is welke middelen de cloudaanbieder inzet om het gebruik van IT-middelen te monitoren. Als gevolg van dit gebrek aan transparantie kan het lastig of zelfs onmogelijk zijn voor een afnemer om compliancerapportage af te dwingen op basis van vooraf afgesproken criteria. In het bijzonder het gebruik van accounts met hoge rechten is een uitdaging voor veel organisaties. Dit is vooral van toepassing bij het inrichten of gebruiken van de IT-middelen van de cloudaanbieder zelf.

Opties voor IAM in een cloudomgeving

Om identiteiten en de toegang tot clouddiensten te kunnen beheren, zijn verscheidene opties mogelijk ([Blak09], [Cser10]). Het eigendom van de verschillende IAM-processen en de controle erop is bij ieder model anders, dit heeft een aanzienlijk effect op de risico’s en uitdagingen die van toepassing zijn. Het is daarom afhankelijk van de eisen van de organisatie en de hoeveelheid clouddiensten die worden afgenomen welke optie de voorkeur heeft.

Traditionele koppeling

Indien een organisatie een deel van de IT-middelen als clouddienst gaat afnemen, zullen de onderdelen uit het IAM-raamwerk moeten samenwerken met de cloudaanbieder. Dit kan door de bestaande IAM te koppelen met die van de cloudaanbieder (zie figuur 3). In dit geval beheert de organisatie lokaal de identiteiten en toegangsrechten, en propageert deze naar de verschillende cloudaanbieders. Voor iedere cloudaanbieder zullen de geautoriseerde gebruikers moeten worden toegevoegd aan de directory van de cloudaanbieder. Er zijn verschillende pakketten op de markt die de processen van het aanmaken, wijzigen en verwijderen automatiseren door de lokale directory te synchroniseren met de cloud. Echter, de zogenaamde ‘connector’ die het mogelijk maakt om deze synchronisatie tot stand te brengen, moet voor iedere cloudaanbieder apart worden ontwikkeld en onderhouden. Een nadeel hiervan is dat bij meerdere cloudaanbieders het overzicht en beheer complexer wordt.

C-2011-2-Sturrus-03

Figuur 3. Koppeling met de cloudaanbieder.

Identificatie en authenticatie voor clouddiensten vindt plaats bij de cloudaanbieder. Het uit handen geven van deze processen maakt een sterk vertrouwen in de aanbieder noodzakelijk. Er zijn pakketten op de markt die dit kunnen koppelen met lokale SSO-toepassingen. Op deze manier heeft de gebruiker minder identiteiten nodig om toegang te krijgen tot de diensten. De controle op de identificatie en authenticatie voor clouddiensten is in handen van de cloudaanbieder. Dit maakt het noodzakelijk om sterk vertrouwen te hebben in de cloudaanbieders en het door hen gevoerde beleid.

Deze optie wordt bijvoorbeeld al actief toegepast bij een grote Nederlandse retailer die de lokale IAM-infrastructuur gekoppeld heeft aan de aanbieder van e-mail en kalenderdiensten via de cloud.

Federatieve samenwerking

Een andere mogelijkheid om IAM te laten samenwerken met clouddiensten is om de cloudaanbieder te laten steunen op het IAM van de afnemer (zie figuur 4). De afnemer beheert lokaal de identiteiten en toegangsrechten. De gebruikers staan lokaal opgeslagen in een directory en bij het toegang vragen tot een clouddienst wordt lokaal geauthenticeerd. De cloudaanbieder controleert de autorisaties en valideert met behulp van de directory van de afnemer. De cloudaanbieder vertrouwt daarmee op de IAM van de afnemer en staat op grond daarvan de gebruikers toe gebruik te maken van de afgenomen diensten. Het dupliceren van accounts is zodoende in de meeste gevallen niet noodzakelijk (tenzij bijvoorbeeld voor auditdoelstellingen).

C-2011-2-Sturrus-04

Figuur 4. Federatieve samenwerking tussen afnemer en aanbieder.

Indien deze optie wordt benut, kan de afnemer gebruik blijven maken van de bestaande methoden om toegangscontrole uit te oefenen over de gebruikersactiviteiten. Een nadeel van deze optie is dat het bij grote aantallen cloudaanbieders noodzakelijk is met iedere cloudaanbieder afspraken te maken over het vertrouwen in het lokale IAM van de afnemer. Daarnaast is het voor veel cloudaanbieders onmogelijk om voor alle afnemers vertrouwen en voldoende controle te kunnen houden in het IAM van de afnemer.

Identity-serviceprovider

Een derde mogelijkheid om de samenwerking tussen het lokale IAM van de afnemer en de cloudaanbieder mogelijk te maken is door een Identity Service Provider (IdSP) in te schakelen (zie figuur 5). Een IdSP is een aanbieder van identiteitsdiensten. Net als in de voorgaande modellen beheert de afnemer lokaal de identiteiten en toegangsrechten. De IdSP heeft de taak om de identiteit van de gebruikers te valideren. Zowel de cloudaanbieder als de afnemer vertrouwt op deze derde partij voor de validatie van de identiteit van de gebruikers. DigiD en Facebook zijn voorbeelden van organisaties die in de toekomst mogelijk als IdSP zullen fungeren en digitaal identiteiten kunnen verifiëren. Er zijn pakketten op de markt die gebruikmaken van een derde partij voor het beheer en de validatie van identiteiten.

C-2011-2-Sturrus-05

Figuur 5. Inschakeling van een identity-serviceprovider.

IAM als clouddienst

De laatste optie is om de gehele IAM uit te besteden en af te nemen als een clouddienst (zie figuur 6). In dit geval delegeert de organisatie alle IAM-systemen en -processen volledig aan een derde partij. De koppeling met alle cloudaanbieders wordt door deze derde partij beheerd en gecontroleerd. Toegang tot lokale IT-middelen zal ook via de IAM-dienst verlopen. Effectief wordt het gehele beheer van en de controle op IAM uit handen gegeven.

C-2011-2-Sturrus-06

Figuur 6. IAM als clouddienst.

Het vertrouwen in deze IAM-aanbieder is essentieel, het is voor de afnemer lastig te controleren hoe de processen zowel naar lokale als clouddiensten verlopen. Op dit moment zijn er nog geen volledig functionerende IAM-clouddiensten beschikbaar, maar het is mogelijk dat de grotere IAM-aanbieders (bijvoorbeeld IBM, Microsoft en Oracle) deze markt gaan betreden in de komende jaren.

Conclusie

Indien de publieke vorm van cloud computing wordt gebruikt binnen de organisatie, is een deel van de IT-middelen niet meer in eigen handen. Om de risico’s hiervan te minimaliseren is een goede inrichting van IAM noodzakelijk. Het doorvoeren van de juiste aanpassingen aan IAM in een cloudomgeving is van groot belang om vertrouwen en een adequaat niveau van beveiliging te kunnen garanderen.

Het gegeven dat bij cloud computing niet alle IT-middelen eigendom zijn van de organisatie die de clouddiensten afneemt, levert veel vragen op het gebied van IAM op. Terwijl de aansprakelijkheid bij de afnemende organisatie blijft liggen, is het houden van controle op de IAM-processen een stuk lastiger, doordat deze vaak deels bij de cloudaanbieder liggen. Voor het gebruikersbeheer is het belangrijk dat organisaties nagaan of wijzigingen in de gebruikersgegevens volledig worden doorgevoerd bij de cloudaanbieder. Daarnaast is het belangrijk om kennis te nemen van de wet- en regelgeving die van toepassing is op persoonsgegevens. Als men kijkt naar authenticatie, is het belangrijk dat de gebruikte authenticatiemiddelen en de vereisten daarvan overeenkomen met deze van de cloudaanbieder. Daarnaast is overeenstemming van de autorisatiemodellen belangrijk, om de juiste rechten aan de geauthenticeerde gebruikers te kunnen toekennen. De verwerking van zowel autorisaties als authenticaties moet snel en accuraat genoeg zijn, om vertrouwen te hebben in het toegangsbeheer tot clouddiensten. Verder is afstemming over het propageren van gebruikers en rechten belangrijk om zekerheid te hebben over wat er met deze gegevens gebeurt als een clouddienst niet langer wordt afgenomen. Tot slot is het essentieel dat de monitoring- en auditprocessen worden ingericht naar de vereisten van het geldende veiligheidsbeleid. Veelal moeten er harde afspraken over compliancerapportages worden gemaakt om aan het geldende veiligheidsbeleid te kunnen voldoen.

Om identiteiten en de toegang tot clouddiensten te beheren, is een aantal opties mogelijk. Allereerst kan een koppeling van het IAM worden gemaakt met de cloudaanbieder. De afnemer beheert en propageert zelf de gebruikers en rechten naar de cloudaanbieder. Eventueel kan dit proces worden geautomatiseerd. De identificatie en authenticatie vinden plaats bij de cloudaanbieder. Een tweede optie is om de cloudaanbieder te laten steunen op het IAM van de afnemer. Met behulp van deze vertrouwensrelatie is het niet langer noodzakelijk de gebruikers naar alle cloudaanbieders te propageren. Daarnaast kan identificatie en authenticatie lokaal plaatsvinden. Als derde optie kan er gebruik worden gemaakt van een IdSP. Deze derde partij heeft het vertrouwen van zowel de afnemer als aanbieder van clouddiensten en valideert de identiteit van de gebruikers. Tot slot kan de gehele IAM als clouddienst worden afgenomen, waarbij het grootste deel van de IAM-processen niet meer in eigen handen is.

Het is afhankelijk van de organisatie, het type en de hoeveelheid clouddiensten welke opties het meest geschikt zijn. Het is belangrijk dat het IAM op orde is voordat er clouddiensten worden afgenomen, om zo de risico’s van het gebruik van cloud computing te kunnen minimaliseren. Daarnaast is een goede inrichting van IAM erg belangrijk om een effectieve samenwerking met de cloudaanbieder en voldoende veiligheid te kunnen garanderen.

Literatuur

[Blak09] B. Blakley, The Business of Identity Services, Midvale, Burton Group, 2009.

[Chun10] M. Chung en J. Hermans, From Hype to Future: KPMG’s 2010 Cloud Computing Survey, KPMG Advisory, Amstelveen, 2010.

[Cser10] A. Cser, S. Balaouras en N.M. Hayes, Are You Ready For Cloud-Based IAM?, Cambridge, Forrester Research, 2010.

[Gopa09] A. Gopalakrishnan, Cloud Computing Identity Management, SETLabs Briefings 7 (7), p. 45-54, 2009.

[Herm05] J. Hermans en J. ter Hart, Identity & Access Management: operational excellence of ‘in control’?, Compact 2005/3, p. 47-53.

[Herm10] J. Hermans, M. Chung en W. Guensberg, De overheid in de wolken?, Compact 2010/4, p. 11-20.

[KPMG09] KPMG, IAM Methodology, KPMG International, 2009.

[NIST11] NIST, The NIST Definition of Cloud Computing, Information Technology Laboratory, Gaithersburg, National Institute of Standards and Technology, 2011.

Iedereen een supercomputer

Computers worden ieder jaar krachtiger en krachtiger, zo ook pc’s om spelletjes mee te spelen. Recente ontwikkelingen op het gebied van de grafische kracht van de hedendaagse computers zorgen niet alleen voor oogverblindend mooie spelletjes, maar hebben ook nog een effect waar wellicht niet iedereen aan denkt: de grafische kaart in onze moderne pc blijkt uitermate geschikt om wachtwoorden te achterhalen. En de grafische kaart beschikt hiervoor ook nog eens over een flinke dosis meer kracht dan de reguliere processor in onze pc’s. Hierdoor is het mogelijk dat wachtwoorden die we voorheen sterk genoeg achtten nu opeens makkelijk te achterhalen zijn door hackers. Maar ook door uw buurjongen met zijn spelcomputer.

Inleiding

Wachtwoorden worden versleuteld opgeslagen op computersystemen. Deze versleuteling wordt toegepast zodat het voor een inbreker niet al te gemakkelijk is om de oorspronkelijke wachtwoorden te achterhalen. Nadat een hacker heeft ingebroken op een computersysteem kan hij op zoek gaan naar toegang tot applicaties en andere systemen. Een befaamd middel voor het verkrijgen van meer toegang is het ‘kraken’ van versleutelde wachtwoorden die op het systeem aanwezig zijn. Het kraken van deze wachtwoorden kan met diverse technieken, die we later zullen bespreken, maar de gemene deler bij deze technieken is dat het achterhalen van wachtwoorden computerkracht kost. Zelfs zoveel computerkracht dat als het wachtwoord maar enigszins moeilijk is, we het als ‘onkraakbaar binnen afzienbare tijd’ kunnen beschouwen.

Echter, de ontwikkelingen op het gebied van computerspelletjes hebben ervoor gezorgd dat iedere moderne pc uitgerust is met een aparte insteekkaart dat de zware grafische taken van deze spelletjes op zich neemt. Deze grafische kaart wordt ook wel GPU (Graphics Processing Unit) genoemd. De kracht van deze GPU’s is onlangs sterk toegenomen. Deze ontwikkeling maakt nog mooiere en realistischere spelletjes mogelijk maar heeft ook nadelige gevolgen voor de effectiviteit van uw wachtwoordbeleid. De kracht van de GPU’s kan namelijk beter gebruikt worden voor het achterhalen van wachtwoorden dan traditionele processors.

In dit artikel bespreken wij de wachtwoordschema’s die uw computerprogramma’s gebruiken voor het opslaan van wachtwoorden, de aanvalstechnieken die hackers gebruiken om wachtwoorden te achterhalen en waarom grafische kaarten voor deze taak zo geschikt zijn. Vervolgens komt aan de orde wat dit voor invloed heeft op uw wachtwoordbeleid en hoe u uw wachtwoordbeleid sterker en uw wachtwoorden veiliger kunt maken.

Wachtwoordschema’s

Wachtwoorden worden niet zomaar als platte tekst in een database opgeslagen, dan zou het wat al te makkelijk zijn om deze te achterhalen. Wanneer de gebruiker van een bepaalde service voor het eerst zijn of haar wachtwoord kiest, wordt dit door een wachtwoordschema versleuteld opgeslagen. Wachtwoordschema’s zijn gebaseerd op cryptografische hashfuncties. Dit zijn wiskundige functies die een gegeven input (wachtwoord) zo door elkaar husselen dat de uitkomst (wachtwoordhash) niet makkelijk is terug te rekenen naar de invoer (zie figuur 1). Dit maakt het voor een hacker erg moeilijk om met alleen de versleutelde versie van het wachtwoord terug te rekenen naar het oorspronkelijke wachtwoord. Wanneer een aanvaller toch de database in handen krijgt, zijn alle wachtwoorden vooralsnog beschermd. Voorbeelden van veelgebruikte wachtwoordschema’s zijn ‘NTLM’ of ‘Domain Cached Credentials’ voor Windows-omgevingen en ‘MD5-crypt’ of ‘SHA-crypt’ voor Unix-omgevingen.

C-2011-2-Smeets2-01

Figuur 1. Authenticatie via een wachtwoordschema. De gebruiker voert zijn wachtwoord in en het systeem genereert daar een wachtwoordhash van.

Andere eigenschappen van hashfuncties zijn dat dezelfde invoer altijd op dezelfde manier wordt versleuteld en dat de kans erg klein is dat twee verschillende wachtwoorden dezelfde versleuteling hebben. Wanneer de gebruiker zich op een later tijdstip opnieuw wil authenticeren, zal de service zijn of haar wachtwoord opnieuw versleutelen, en dit vergelijken met de al eerder opgeslagen waarde. Wanneer deze waarden hetzelfde zijn, is de authenticatie succesvol. Hoewel het voor een aanvaller moeilijk is om terug te rekenen naar de oorspronkelijke waarden, kan hij wel aan de output zien wanneer twee hashes, en dus twee wachtwoorden, van verschillende gebruikers aan elkaar gelijk zijn. Dit is een zwakheid omdat het aanvallers in staat stelt om eenmalig de versleutelde waarden van alle mogelijke wachtwoorden te berekenen en elke gevonden wachtwoordhash direct te vergelijken met één van deze waarden, wat veel sneller is dan steeds opnieuw alle mogelijkheden doorrekenen. Om deze zwakheid tegen te gaan gebruiken wachtwoordschema’s meestal een salt. Dit is een waarde die uniek is voor elke gebruiker (bijvoorbeeld de gebruikersnaam) en samen met het versleutelde wachtwoord wordt opgeslagen en als tweede invoer wordt meegenomen in de berekening van het wachtwoord. Op deze manier wordt ervoor gezorgd dat twee gebruikers met hetzelfde wachtwoord verschillende versleutelde waarden hebben.

Wachtwoordsterkte wordt altijd bepaald door de hoeveelheid informatie die beschikbaar is. Dus hoe meer informatie beschikbaar is, des te makkelijker het wordt om de ontbrekende informatie (bijvoorbeeld het wachtwoord) te gokken. Een willekeurig gekozen wachtwoord bevat weinig informatie en is dus vrij sterk. Bijvoorbeeld een wachtwoord met kleine letters, hoofdletters, cijfers en speciale tekens (bijvoorbeeld ‘XP68!bK5’) bevat meer te gokken informatie dan het wachtwoord ‘auecdpam’ dat alleen uit kleine letters bestaat. Mensen zijn echter vrij slecht in het bedenken van willekeurige wachtwoorden ([Burr04]) en in combinatie met het feit dat we ook maar een beperkte geheugencapaciteit hebben, wordt het makkelijker om de door mensen bedachte wachtwoorden te gokken. Dit maakt het voor de aanvaller interessant om alle mogelijkheden op te sommen en een voor een te testen. Hoe de aanvaller dit doet zullen we hieronder uitleggen.

Aanvalstechnieken

Een hacker heeft meerdere mogelijkheden om op een systeem in te breken zonder dat de wachtwoorden van gebruikers bekend zijn, bijvoorbeeld kwetsbaarheden in software uitbaten die nog niet zijn voorzien van beveiligingspatches. Toch zal een hacker vaak trachten de wachtwoorden te achterhalen. Dit maakt het namelijk makkelijker om verder door te dringen tot applicaties en overige systemen doordat met kennis van wachtwoorden de reguliere functionaliteit van applicaties kan worden gebruikt.

Afhankelijk van de situatie heeft een aanvaller meerdere mogelijkheden om een wachtwoord te achterhalen. Op hoofdlijnen onderscheiden we twee aanvalscategorieën, waarvan we alleen de tweede categorie verder zullen bespreken in dit artikel:

  • Online. Deze categorie gaat ervan uit dat een aanvaller alleen via interactie met de server of applicatie een wachtwoord kan raden. Een dergelijke aanval gaat via het netwerk of internet. Computerkracht is in dit scenario irrelevant omdat het netwerkpad tussen aanvaller en doel de vertragende factor is, en niet een gebrek aan computerkracht.

    Bescherming tegen deze categorie van aanvallen kan geboden worden door simpele technieken zoals ‘account locking’, waarbij een gebruiker bijvoorbeeld maar drie foutieve pogingen kan doen voordat zijn account wordt geblokkeerd. Ook een tegenmaatregel is ‘delayed response’, wat betekent dat de reactie van de server voor een paar seconden wordt uitgesteld na een foutieve poging. Beide zijn effectieve maatregelen voor online aanvallen.
  • Offline. Deze categorie gaat ervan uit dat een aanvaller toegang heeft tot de versleutelde wachtwoorden van het systeem. Dit kan bijvoorbeeld door een lek in de database (zie in dit nummer het artikel ‘De meldplicht datalekken’). Wachtwoordschema’s proberen wachtwoorden zo versleuteld op te slaan dat zelfs wanneer een systeem is gecompromitteerd de wachtwoorden niet leesbaar en bruikbaar zijn. Deze versleuteling is te kraken, maar daarvoor is wel computerkracht nodig.

Een aanvalsscenario dat gebruikmaakt van de ‘offline’ categorie is het volgende. In het Windows-domein wordt de wachtwoordhash van de ‘Lokale Administrator’ vaak op de computer van de eindgebruikers opgeslagen (bijvoorbeeld om onderhoud te plegen wanneer er geen verbinding is met het domein). Een kwaadwillende gebruiker kan deze hash van een willekeurige eindgebruikerlocatie afhalen en proberen te achterhalen. Dit achterhalen, ook wel kraken genoemd, gebeurt door wachtwoordhashes te genereren: de aanvaller zal een aantal kandidaat-wachtwoorden kiezen, hier de wachtwoordhash van berekenen door het wachtwoordschema toe te passen en het resultaat van deze berekening vergelijken met de wachtwoordhashes gevonden op het ingebroken systeem. Als het resultaat overeenkomt met de te achterhalen wachtwoordhash, dan weet de aanvaller nu ook het wachtwoord. Hij heeft het immers zelf berekend. Voor dit achterhalen is flink wat rekenkracht nodig. En omdat de aanvaller tracht de versleuteling te kraken, wordt dit proces ook wel het kraken van wachtwoorden genoemd.

Voor dit artikel is alleen de tweede categorie ‘offline’ interessant. Immers, alleen in die categorie wordt gebruikgemaakt van computerkracht. In dit artikel nemen we daarom aan dat een aanvaller de wachtwoordhashes al verkregen heeft en dus in de ‘offline’ aanvalscategorie valt. In deze categorie onderscheiden we de volgende drie aanvalstechnieken die differentiëren hoe de aanvaller de keuze maakt welke potentiële wachtwoorden te kiezen voor het kraken:

  • Woordenboek. Bij deze techniek kiest de aanvaller ervoor kandidaat-wachtwoorden te gebruiken uit woordenboeken. Een aanvaller zal deze techniek vaak als eerste proberen omdat mensen van nature slecht zijn in het bedenken en onthouden van moeilijke wachtwoorden en daardoor vaak normale woorden als wachtwoord kiezen. Daarom is het voor een aanvaller zeer effectief om deze strategie als eerste toe te passen. Het Engelse woordenboek bevat ongeveer 500.000 woorden (wat door de hedendaagse hardware in nog geen seconde doorlopen kan worden). Naast ‘normale’ woordenboeken kunnen aanvallers ook zelf woordenboeken maken door bijvoorbeeld eerder gekraakte wachtwoorden toe te voegen of informatie van de website van het slachtoffer te gebruiken.

Top 10 gebruikte wachtwoorden uit de gelekte Rockyou.com database

C-2011-2-Smeets2-t01

  • Combinatiestrategie. Mocht de woordenboekstrategie niets of weinig hebben opgeleverd, dan past de aanvaller de combinatiestrategie toe. Dit kan hij doen door woorden uit het woordenboek te combineren met elkaar of met jaartallen, veelvoorkomende lettercombinaties, substitutie, etc. Met deze strategie wordt bijvoorbeeld niet alleen het wachtwoord ‘password’ getest, maar ook ‘password123’, ‘P@ssw0rd’, ‘myPassword’, etc. Een variant van deze strategie is de ‘fingerprint aanval’ waarbij aanvallers gebruikmaken van statistieken uit eerder gekraakte wachtwoorddatabases, zoals lengte, tekenfrequentie en patroongebruik.
  • Uitputtend zoeken. Wanneer de eerste twee strategieën niets opleveren, is uitputtend zoeken de laatste mogelijkheid. Deze strategie, ook wel ‘brute force’ genoemd, is de meest krachtige maar ook het meest tijdrovend doordat een aanvaller alle mogelijkheden gaat doorzoeken, bijvoorbeeld door te beginnen bij ‘a’ en door te gaan tot en met ‘zzzzzzzzz’. Als de aanvaller lang genoeg zoekt, zal hij met behulp van deze techniek alle wachtwoorden kunnen kraken.

Het grote nadeel van de derde methode is dat wanneer de aanvaller geen informatie voorhanden heeft over het specifieke wachtwoordbeleid van de te kraken database, hij geen aannames kan doen over de wachtwoorddistributie en als gevolg dus alle tekens en lengtes van wachtwoorden moet proberen. Omdat het aantal mogelijkheden exponentieel stijgt, is deze aanval al snel niet meer uitvoerbaar. Stel dat je wachtwoord bestaat uit acht tekens die willekeurig gekozen zijn uit een reeks van alle 94 printbare karakters (26 kleine letters, 26 hoofdletters, tien cijfers en 32 speciale tekens) en dat deze versleuteld is met het NTLM (Windows) wachtwoordschema. Als een wachtwoord uit acht karakters bestaat dan zijn er ongeveer zes biljard mogelijke wachtwoordcombinaties die dienen te worden berekend (94^8≈ zes biljard). Een traditionele processor kan ongeveer twee miljoen wachtwoorden in NTLM-formaat per seconde proberen. Het zal deze computer meer dan tachtig jaar kosten om alle mogelijkheden van acht tekens te proberen. Grafische kaarten kunnen dit proces echter dusdanig versnellen dat eenzelfde wachtwoord binnen afzienbare tijd wordt gekraakt.

Waarom grafische kaarten?

Grafische kaarten bestaan al meer dan tien jaar en toch worden ze pas sinds kort gebruikt om wachtwoorden te kraken. Dit heeft drie redenen. Ten eerste neemt de vraag naar steeds mooier en realistischer ogende computerspellen toe, waardoor de rekenkracht van grafische kaarten ook moet toenemen. Ten tweede vindt er een verschuiving van focus plaats: waar vroeger grafische kaarten alleen werden gebruikt voor grafische doeleinden, het berekenen van individuele pixels op je beeldscherm, kunnen ze tegenwoordig ook gebruikt worden voor meer algemene taken. De producenten van grafische kaarten bieden nu ondersteuning voor andere operaties dan pixelberekeningen, zoals het rekenen met gehele getallen, wat het mogelijk maakt om cryptografische berekeningen te doen. Een andere trend die het mogelijk maakt om algemene taken op GPU’s uit te voeren, is de komst van gebruiksvriendelijke programmeerinterfaces. Deze bieden ook voor niet-grafische programmeurs kansen om de rekenkracht van grafische kaarten te benutten. Het grote verschil met de traditionele CPU is dat grafische kaarten geschikt zijn voor het doen van veel dezelfde parallelle berekeningen. Dit komt doordat dergelijke kaarten beschikken over honderden tot duizenden kleine ‘cores’ (miniprocessors), dit in tegenstelling tot een traditionele processor, die maar één tot vier cores heeft (zie figuur 2). Wel bestaat er een groot verschil in de architectuur: daar waar de cores van een CPU onafhankelijk van elkaar verschillende soorten berekeningen kunnen doen, moeten de cores van een grafische kaart op ieder moment dezelfde soort berekening doen (hoewel ze deze berekeningen wel op verschillende data kunnen uitvoeren). Hierdoor zijn niet alle (wiskundige) toepassingen geschikt om op een grafische kaart geïmplementeerd en uitgevoerd te worden.

C-2011-2-Smeets2-02

Figuur 2. Verschil in architectuur tussen grafische kaart (GPU) en normale processor (CPU). De groene ALU’s zijn de rekeneenheden, ook wel cores genoemd (bron: [Nvid10]).

Wachtwoorden kraken is een toepassing die juist wel erg geschikt is om geïmplementeerd te worden op een grafische kaart. Dit komt doordat tijdens het kraken iedere core dezelfde soort taak moet uitvoeren (namelijk het versleutelen van een wachtwoord en deze versleuteling vergelijken met de te kraken versleuteling), maar wel op verschillende data. Bijvoorbeeld core 1 versleutelt wachtwoord ‘aaaa’, core 2 versleutelt wachtwoord ‘aaab’, etc. De cores hoeven onderling niet samen te werken waardoor al snel een grote snelheidswinst tegenover traditionele processors kan worden bereikt. Deze snelheidswinst verschilt per wachtwoordschema. In figuur 3 is te zien dat de snelheid bij het gebruik van wachtwoordschema MD5-crypt tussen de dertig- en honderdmaal groter is dan die van een traditionele processor met dezelfde prijs.

C-2011-2-Smeets2-03

Figuur 3. Snelheid van MD5-crypt op verschillende hardwareplatformen (bron: [Spre11]).

Ontwikkelingen op het gebied van grafische kaarten

Het onderzoeksgebied van grafische kaarten is relatief jong en ontwikkelingen in dit gebied volgen elkaar dan ook erg snel op. In tegenstelling tot ontwikkelingen op het gebied van traditionele processors, waar men tegen fysieke limieten aanloopt zoals maximale processorsnelheid en schaalbaarheid, bestaat er nog een significante rek in de kracht van grafische kaarten. Gedreven door hevige concurrentie tussen de twee voornaamste producenten van grafische kaarten, Nvidia en ATI, worden gemiddeld ieder kwartaal nieuwe en beduidend snellere producten gelanceerd. Mede hierdoor worden ‘high-end’ kaarten snel goedkoper en toegankelijk voor het grote publiek.

De komst van gebruiksvriendelijke programmeerinterfaces zorgt ervoor dat programmeurs snel en makkelijk de calculaties kunnen verdelen over meerdere grafische kaarten. Dit zorgt ervoor dat de schaalbaarheid van implementaties enorm toeneemt. Hierdoor kan de gehele rekenkracht van een traditioneel rekencentrum worden geëvenaard met slechts een paar grafische kaarten.

Invloed op het wachtwoordbeleid

Wat betekent al deze rekenkracht van grafische kaarten nou voor de veiligheid van wachtwoorden? In figuur 4 wordt de kraaksnelheid van één grafische kaart vergeleken met de kraaksnelheid van één traditionele processor in dezelfde prijsklasse. De figuur laat zien hoeveel procent van de wachtwoorden in de gelekte Rockyou.com database[De Rockyou.com database is eind 2009 gehackt via een zogenoemde ‘SQL-injection’. De wachtwoorden van de 32 miljoen gebruikers waren niet versleuteld opgeslagen en zijn een uiterst waardevolle bron van informatie voor de hedendaagse wachtwoordstatistiek omdat het hier echte wachtwoorden van eindgebruikers betrof.] gekraakt kan worden in een bepaalde tijd als ze met het Windows NTLM-wachtwoordschema versleuteld zijn. Het blijkt dat grafische kaarten ongeveer twintig tot dertig procentpunt meer wachtwoorden kunnen kraken in dezelfde tijd.

C-2011-2-Smeets2-04

Figuur 4. De invloed van grafische kaarten op het kraken van de gelekte Rockyou.com database met 14 miljoen van de in totaal 32 miljoen gelekte wachtwoorden (bron: [Spre11]).

Het is al langer bekend dat gebruikers niet altijd in staat zijn om sterke wachtwoorden te genereren. Daarom implementeren veel organisaties een wachtwoordbeleid dat minimumeisen stelt aan de wachtwoordsterkte. Een voorbeeld van dergelijk beleid is het volgende:

  • Wachtwoorden hebben een minimumlengte van acht karakters.
  • Wachtwoorden bevatten ten minste één kleine letter, één hoofdletter, één cijfer en één speciaal teken.
  • Wachtwoorden dienen iedere vier maanden te worden gewijzigd.

Dit beleid zorgt ervoor dat er ten minste 948 ≈ zes biljard mogelijkheden zijn waaruit gebruikers (en dus ook aanvallers) kunnen kiezen. Zoals eerder beschreven doet een traditionele processor er tachtig jaar over om al deze mogelijkheden af te lopen. Maar het programma OclHashcat[Voor meer informatie zie http://hashcat.net/oclhashcat/. ] kan in combinatie met een moderne grafische kaart van ATI meer dan 14 miljard mogelijkheden per seconde proberen. Dit zorgt ervoor dat alle wachtwoorden van acht karakters, versleuteld met het binnen Windows-domeinen veelgebruikte NTLM, binnen vijf dagen gekraakt kunnen worden. De buurjongen die een spelcomputer heeft met meerdere grafische kaarten, beschikt dan eigenlijk over een supercomputer. Gelet op de investeringen en ontwikkelingen op het gebied van grafische kaarten zal een aanvaller die wat meer te besteden heeft dan de buurjongen, in de nabije toekomst ook wachtwoorden van negen of tien karakters kunnen kraken.

Oplossingen

De beste oplossing voor dit probleem zou bereikt kunnen worden als gebruikers meer willekeurige, maar vooral ook langere wachtwoorden zouden kiezen. Een wachtwoord van twaalf karakters zal niet in de nabije toekomst zomaar gekraakt kunnen worden. Hoewel een goed wachtwoordbeleid hierbij kan helpen, is het aangetoond dat gebruikers moeite hebben met het onthouden van lange wachtwoorden. Laat staan wanneer ze voor elke service een apart wachtwoord moeten onthouden, wat zal leiden tot een vermenigvuldiging van het aantal post-it’s op beeldschermen en werkplekken.

Een mogelijkheid die uitkomst biedt voor gebruikers zijn tools voor het beheren van wachtwoorden, die random wachtwoorden kunnen genereren en aan de gebruikerskant versleuteld kunnen opslaan. Een gebruiker hoeft dan alleen nog maar één sterk wachtwoord te onthouden dat toegang biedt tot al zijn andere wachtwoorden. Een nadeel van deze methode is dat de gebruiker altijd het versleutelde bestand paraat moet hebben om gebruik te maken van services en internetdiensten. Even snel je e-mail bekijken bij een vriend kan nu niet meer zonder je persoonlijke wachtwoorddatabase.

Het kiezen van een sterk wachtwoord

Het is vooral de lengte van een wachtwoord die zorgt voor de sterkte. Het is daarom aan te raden een wachtwoord te kiezen dat zeker meer dan tien karakters bevat. Het wachtwoord wordt nog sterker wanneer het speciale tekens en cijfers bevat. Dergelijke wachtwoorden zijn erg moeilijk te onthouden. Een techniek die je helpt bij het genereren van je wachtwoord is de ‘mnemonic phrase’: kies een makkelijk te onthouden zin en neem van de woorden steeds de eerste of tweede letter. Het veiligste is een persoonlijke zin te kiezen en niet een die op het internet of in films te vinden is. Een voorbeeld van een mnemonic phrase is de volgende zin: “Mijn zus Debby heeft 3 honden: Max, Boris en Klaus”. Het afgeleide wachtwoord is dan: ‘MzDh3h:M,B&K’. Dit wachtwoord bevat twaalf karakters, met hoofdletters, kleine letters, cijfers en speciale tekens. Dit is zelfs voor een verzameling van grafische kaarten niet zomaar te achterhalen.

Let er tevens op dat u niet overal hetzelfde wachtwoord gebruikt. Het zou vervelend zijn als het gekraakte wachtwoord van uw account bij een webshop ertoe leidt dat een aanvaller ook toegang heeft tot uw internetbankierenomgeving.

Ook wordt het afgeraden opeenvolgende wachtwoorden te kiezen. Mocht een aanvaller onverhoopt uw wachtwoord ‘Wachtwoord!01’ kraken maar dit niet kunnen misbruiken omdat het is verlopen, dan begrijpt u vast dat de aanvaller zal proberen of u niet misschien ‘Wachtwoord!02’ als huidig wachtwoord heeft.

Oplossingen moeten niet alleen aan de gebruikerskant gezocht worden. De volgende oplossingen kunnen geïmplementeerd worden aan de serverkant.

  • Betere wachtwoordschema’s. Zoals eerder beschreven, kunnen wachtwoorden versleuteld met het NTLM-schema erg snel worden gekraakt. Dit geldt niet voor wachtwoorden die versleuteld worden met sterkere wachtwoordschema’s zoals ‘SHA-crypt’ of de meer generieke techniek ‘Password-Based Key Derivation Function’ (PBKDF). Deze wachtwoordschema’s maken gebruik van een speciale techniek die de complexiteit van de berekeningen verhoogt. Het is dan voor één gebruiker nog steeds mogelijk om het versleutelde wachtwoord te berekenen, maar voor een aanvaller, die veel mogelijkheden moet proberen, wordt het haast onmogelijk gemaakt. Een nadeel van deze techniek is dat men vooraf niet weet hoe complex de berekeningen moeten zijn. Dit is altijd afhankelijk van de op dat moment geldende hardwarenormen en daarom blijft deze oplossing een kat-en-muisspelletje tussen de ontwerpers van wachtwoordschema’s en aanvallers. Periodiek kiezen voor betere wachtwoordschema’s is dan ook het advies.
  • Multi-factor authenticatie. Een oplossing die structureel verbetering brengt, is het authenticatieproces uitvoeren met meerdere factoren. Dit betekent dat een gebruiker tijdens authenticatie niet alleen iets verstrekt wat hij weet, zoals een wachtwoord of pincode, maar ook iets wat hij heeft, zoals een fysieke token of smartcard, of wat hij is, zoals een vingerafdruk. Deze oplossing maakt wachtwoordsterkte minder relevant, omdat een aanvaller twee of meer factoren in handen moet zien te krijgen om zich toegang te verschaffen. Nadelen van deze oplossing zijn de implementatiekosten en het beheer. Daar komt nog bij dat niet iedere gebruiker akkoord gaat met het gebruik en de opslag van zijn of haar biometrische gegevens.
  • Vaker wisselen van wachtwoord. Als een aanvaller zes maanden nodig heeft voor het kraken van een wachtwoord, maar de gebruiker het wachtwoord al na drie maanden dient te wijzigen, dan kan de aanvaller het wel kraken maar is het nutteloos voor de aanval. Vaak wisselen is dan ook het advies. Maar let bij het wisselen er wel op dat de wachtwoorden geen logisch vervolg van elkaar zijn (zie ook kader ‘Het kiezen van een sterk wachtwoord’).

Conclusie

Eens in de zoveel jaar zijn er doorbraken in de wereld van computerkracht. De huidige doorbraak in de kracht van grafische kaarten in (spel)computers zorgt niet alleen voor oogverblindend mooie spelletjes, maar ook voor een doorbraak in de snelheid waarmee wachtwoorden kunnen worden gekraakt. Hackers maken hier dankbaar gebruik van en in de nabije toekomst heeft dit impact op de veiligheid van uw wachtwoorden en daarmee van uw IT-omgeving. Dit zorgt ervoor dat traditionele opvattingen over een sterk wachtwoord (bijvoorbeeld minimaal acht karakters met hoofd- en kleine letters, cijfers en speciale tekens) niet meer geheel toereikend zijn. Hoewel een aantal maatregelen is te nemen aan de kant van de technische configuratie van uw IT-omgeving zullen we hoe dan ook nog een flinke tijd met wachtwoorden werken. De voornaamste aanbeveling is dan toch ook wel om het gebruik van moeilijkere en vooral langere wachtwoorden (minimaal tien karakters) af te dwingen. Daarmee bent u in ieder geval de komende tijd een stuk beter voorbereid op aanvallen van hackers en zelfs van uw buurjongen.

Literatuur

[Burr04] W.E. Burr, D.F. Dodson and W. T. Polk, Electronic authentication guideline, NIST Special Publication, 800:63, 2004.

[Nvid10] Compute Unified Device Architecture Programming Guide, Technical report, Nvidia Corporation, August 2010.

[Spre11] Martijn Sprengers, Gpu-based password cracking: On the security of password hashing schemes regarding advances in graphics processing units, Master’s thesis, Radboud University Nijmegen, January 2011.

[Yan04] J. Yan, A. Blackwell, R. Anderson and A. Grant, Password memorability and security: Empirical results, Security & Privacy, IEEE, 2(5):25–31, 2004.

Trends in de beveiliging van mobiele apparaten

De introductie van een nieuwe generatie mobiele apparaten, onder aanvoering van Apple (met de iPhone) en Google (met het Android-systeem), heeft het gebruik van mobiele telefoons binnen en buiten het bedrijfsleven ingrijpend veranderd: nieuw, modern, mooi vormgegeven, altijd verbonden met het internet en legio Apps voor allerlei functies. Bovendien lijkt de iPad van Apple het succes van de iPhone te herhalen en is deze vinding bezig een breed segment van de zakelijke markt te veroveren, waardoor ook binnen het bedrijfsleven een lucratieve markt ontstaat voor tablet-pc’s.

Het gebruik van deze nieuwe mobiele apparaten past geheel bij de huidige tijd en het is dan ook niet meer dan logisch dat deze apparaten een weg vinden naar de bedrijfsomgevingen. Productieverhogend en communicatie vergemakkelijkend zijn de positieve effecten van deze ontwikkeling. Maar er kleven ook risico’s aan. En doordat de fabrikanten maar wat graag aangeven dat hun producten op-en-top veilig kunnen zijn, zijn deze risico’s zijn niet altijd even duidelijk. In dit artikel zal ik de voornaamste verschillen met traditionele apparaten bespreken, aanstippen waar de beveiligingsrisico’s liggen en oplossingen aandragen voor de aanpak van deze risico’s.

Inleiding

Het ontwerp van deze nieuwe generatie mobiele apparaten verschilt op twee belangrijke punten fundamenteel van dat van de vorige generatie ‘smart phones’. Ten eerste beschikken zij over een veel grotere functionaliteit en ten tweede is er sprake van zogenaamde consumerization van dergelijke apparaten.

In het onderstaande wordt uitgebreid ingegaan op deze twee punten van verschil. Vervolgens komt aan de orde met welke nieuwe beveiligingsrisico’s rekening gehouden dient te worden en meer in detail de achtergrond van deze risico’s die ontstaan in de basissystemen van deze apparaten maar ook in de Apps. Als laatste wordt besproken welke set aan beveiligingsmaatregelen bestaat om de risico’s te beperken.

Veel grotere functionaliteit

Dankzij de voortdurende verbetering van de hardware hebben deze apparaten nu enorme rekenkracht, vergelijkbaar met die van desktopcomputers van enkele jaren geleden. Hierdoor hoeven geen unieke besturingssystemen[Een besturingssysteem, in het Engels operating system, is het geheel van programmatuur dat in het geheugen van de computer wordt geladen na het opstarten. Deze programma’s bieden samen de functionaliteit om andere programma’s uit te voeren.] ontwikkeld te worden; producenten kunnen hun apparaten baseren op bestaande besturingsystemen voor pc’s. Het iOS-systeem van Apple is afgeleid van haar Mac OS X-besturingssysteem voor het Macintosh-platform. Het Android-besturingssysteem van Google is afgeleid van het open source besturingssysteem Linux. Er zijn wel enkele aanpassingen gemaakt aan het onderliggende besturingssysteem voor verbeterd mobiel gebruik. Deze aanpassingen zijn vooral gericht op het efficiënter omgaan met stroom om een vermindering van het batterijverbruik te realiseren, het verwijderen van functionaliteiten die op een mobiele telefoon geen nut hebben (zoals het ondersteunen van randapparatuur) en de toepassing van gebruikersinterfaces die met de vingers bediend kunnen worden in plaats van met een muis. Desondanks zijn de kern van het besturingssysteem en alle bijbehorende functionaliteit behouden, waardoor er op mobiele telefoons een enorm scala aan applicaties gebruikt kan worden. Hierdoor kun je dezelfde browser, Google Maps, chat-applicatie en applicaties voor het delen van bestanden[Dropbox, een programma om bestanden tussen apparaten te delen, http://www.dropbox.com/iphoneapp .] gebruiken als op je desktop.

Deze integratie van besturingssystemen werpt nu ook z’n vruchten af voor de desktop-pc’s. Functionaliteiten die groot zijn geworden op het mobiele platform vinden hun weg naar de desktop-pc’s. Denk hierbij aan de App store die Apple ook aanbiedt voor Mac OS X.[Mac Store, een App Store voor Mac OS X http://www.apple.com/nl/mac/app-store/.] Maar bijvoorbeeld ook aan de voortgaande optimalisatie van webbrowsers op mobiele apparaten die zorgt voor snellere versies van dezelfde webbrowsers op de desktop-pc’s. Er vindt dus een wederzijdse beïnvloeding plaats.

Tevens is, dankzij de vooruitgang in de mobiele connectiviteit (denk aan 3G-technieken zoals UMTS), de internetverbinding van deze apparaten effectiever en efficiënter geworden en zijn ook andere interactieve verbindingen zoals GPS en draadloos netwerken mogelijk. Vaak staan de applicaties op deze mobiele apparaten dan ook continu in verbinding met het internet. Zo kun je er bijvoorbeeld voor kiezen om je muziek niet langer op je mobieltje op te slaan maar uit de cloud te streamen.[Spotify, een programma om streaming muziek te luisteren http://www.spotify.com/int/blog/archives/2009/07/27/spotify-for-iphone/.]

De ontwikkelingen staan dus zeker niet stil. En de mobiele apparaten ontpoppen zich dan ook tot volwaardige mobiele computers waarmee de meest voor de hand liggende taken kunnen worden uitgevoerd.

‘Consumerization’ van de mobiele apparaten

De scheiding tussen zakelijk en privé wordt minder strikt en de technische middelen die deze apparaten bieden, scheppen een omgeving waarbij dit nog meer wordt gefaciliteerd. De nieuwe generatie mobiele apparaten is namelijk ontworpen met het oog op de individuele consument in plaats van de zakelijke markt. Bovendien zijn de producenten en leveranciers er bijzonder goed in geslaagd om deze apparaten aan te prijzen als ‘must haves’.

Het hoeft daarom geen verbazing te wekken dat veel werknemers liever gebruikmaken van hun eigen mobieltje, dat meer mogelijkheden heeft en er leuker uitziet, dan van de telefoon van de zaak. In plaats van één apparaat voor hun zakelijke en een ander voor hun privécommunicatie, gebruiken ze liever voor allebei het nieuwste en meest gebruiksvriendelijke apparaat. Dat dit vaak het apparaat is dat is bedoeld voor de reguliere consument en dat deze apparatuur zo ook in de bedrijfsomgeving belandt, noemen we ‘consumerization’. Als gevolg hiervan raakt de privécommunicatie van de gebruiker, zoals interactie op sociale media, privégesprekken, sms’jes en web browsing, verweven met bedrijfsinformatie zoals zakelijke e-mails, documenten (ontvangen, aanpassen en versturen) en telefoonverkeer.

Nieuwe mogelijkheden gaan gepaard met nieuwe risico’s

Deze nieuwe mobiele apparaten kunnen dus meer en we gebruiken ze daarom steeds vaker, ook zakelijk. Is dat erg? De nieuwe mogelijkheden van deze apparaten brengen aanzienlijke nieuwe veiligheidsrisico’s met zich mee, vooral op het vlak van de technische beveiliging en vertrouwelijkheid van gevoelige persoonlijke en bedrijfsinformatie. Doordat deze apparaten zijn gebaseerd op standaardbesturingssystemen en een enorm scala aan functionaliteiten bevatten, staan ze onvermijdelijk bloot aan een groter aantal risico’s. De producenten van deze apparaten, en wellicht ook anderen die de risico’s willen beperken, moeten zich nog aanpassen aan deze gewijzigde situatie. Zo is het moeilijk om informatie over een foutief SSL-certificaat[SSL-certificaat: een versleutelmechanisme gebruikt voor communicatie over internet om de identiteit van de andere partij vast te stellen en om de versleuteling van datatransport te initiëren. Websites zoals die van uw bank gebruiken vaak SSL over HTTP, ook wel te herkennen aan HTTPS:// in de adresbalk en een klein slotje gepresenteerd door uw browser.] van een website te krijgen op zo’n klein scherm (zie ook de figuren 1 en 2). Op een traditionele computer is deze informatie wel goed toegankelijk.

C-2011-2-Smeets1-01

Figuur 1. Het certificaat van een e-mailserver klopt niet volgens de iPhone en springt in beeld voor de eindgebruiker. We kunnen dit certificaat weigeren en als gevolg geen e-mail ontvangen, direct accepteren en mogelijk onderwerp zijn van een aanval, of we kunnen meer details bekijken over de uitgever van het certificaat.

C-2011-2-Smeets1-02

Figuur 2. Details over de uitgever van het certificaat. Kunnen we met deze beperkte informatie goed beoordelen of dit een geldig certificaat is?

Maar naast wijzigingen met betrekking tot bestaande beveiligingsmaatregelen hebben de fabrikanten ook te maken met technieken zoals SMS, 3G-communicatietechnieken en GPS die voor hen nieuw zijn. Daardoor zijn de beveiligingsmaatregelen ten aanzien van de gegevens die op deze apparaten worden opgeslagen of verstuurd, nog niet volledig uitontwikkeld en getoetst {REF naar 13, Collin Mulliner et al}.[Collin Mulliner en Charlie Miller, augustus 2009, Fuzzing the Phone in your Phone (Black Hat USA, 2009).] Bovendien bestaat bij deze apparaten een grotere kans op cyberaanvallen omdat ze continu in verbinding staan met het internet.

Problemen met de basisveiligheid van de mobiele apparaten

Een goed voorbeeld van een niet volledig uitontwikkelde beveiligingsmaatregel is de toepassing van encryptie op de iPhone, wat de suggestie wekt dat de opgeslagen gegevens zijn versleuteld. De telefoon hoeft echter alleen maar te worden aangezet om de gegevens te ontsleutelen. Een oneigenlijke gebruiker hoeft dan slechts het wachtwoord (ook wel pincode of passcode genoemd) te kennen om toegang te krijgen tot het toestel. Echter, als men dit invoerscherm van het wachtwoord kan omzeilen (zoals tweemaal eerder mogelijk was op de iPhone[iPhone passcode fout augustus 2008, http://www.zdnet.com/blog/security/iphone-passcode-lock-rendered-useless/1809; iPhone passcode fout oktober 2010, http://www.zdnet.com/blog/security/iphone-passcode-lock-bypass-vulnerability-again/7544 .]) of op een andere manier toegang kan krijgen tot het toestel, bijvoorbeeld door zwakheid uitgebuit via het netwerk, dan is de informatie op de telefoon direct toegankelijk. Vergelijk het met een laptop uitgerust met ‘full-disk’ encryptie waarbij de laptop geheel zelfstandig kan opstarten. De eerste keer dat een eindgebruiker dan een wachtwoord hoeft in te voeren is pas bij het Windows-inlogscherm. Op dat moment is het besturingssysteem al volledig actief en er zijn dan ook al legio aanvallen mogelijk.

Om iets te doen aan dit probleem heeft de leverancier extra encryptie ingebouwd voor de versleuteling van e-mail, contactpersonen en agendagegevens.[Data Protection functionaliteit op iOS, http://support.apple.com/kb/HT4175.] Maar dit omvat lang niet alle gegevens op de telefoon en ook deze tweede encryptie is niet volledig effectief. Als resultaat kunnen sommige ‘dubbel versleutelde’ gegevens toch gelezen worden door een oneigenlijke gebruiker.

Bovendien kan deze oneigenlijke gebruiker (die het wachtwoord niet kent) door middel van ‘jailbreaking’ de door de leverancier ingebouwde sloten verwijderen. Hiermee is volledige toegang tot het apparaat verkregen en kan de oneigenlijke gebruiker data lezen en aanpassen. Jailbreaking is heel eenvoudig; men kan op de iPhone surfen naar JailBreakMe,[http://jailbreakme.com, een website die bepaalde versies van iPhone kan ‘jailbreaken’ via de webbrowser van de iPhone.] of de iPhone aansluiten op een computer en daarop applicaties draaien die vrijelijk beschikbaar zijn en het jailbreaken tot een koud kunstje maken.[Uitgebreid artikel over jailbreaken, http://www.iphoneclub.nl/58620/jailbreaken-en-unlocken-hoe-moet-dat-eigenlijk/.] De ‘jail’ kan op een laag niveau verwijderd worden vanwege kritische zwakheden in onderdelen van de iOS-software. Bovendien is jailbreaking in de Verenigde Staten nu legaal dankzij een recente wijziging in de copyrightwetgeving (deze wetswijziging is opgenomen in de Digital Millennium Copyright Act). Fabrikanten verwijderen dan ook de detectie van jailbreaks uit hun besturingssysteem.[Webwereld-artikel over detectie van jailbreak, http://webwereld.nl/nieuws/68092/apple-zet-iphone-jailbreak-detectie-uit.html.]

Het zakelijk gebruik van privételefoons maakt het lastiger om naleving af te dwingen van bedrijfsbeleid omtrent bedrijfscommunicatie en de vertrouwelijkheid en beveiliging van informatie. Het betreft immers een privételefoon. Maar een samensmelting van privé- en zakelijke data op het mobiele apparaat is dan wel een feit. Op de telefoons kunnen bijvoorbeeld wachtwoorden zijn opgeslagen waarmee men op websites inlogt voor privégebruik, maar ook voor zakelijk gebruik. Onderzoekers hebben al aangetoond dat door een jailbreak toe te passen volledige toegang tot wachtwoorden kan worden verkregen zonder voorkennis te hebben van het toestel.[Volledige toegang tot wachtwoorden door jailbreak, http://www.sit.fraunhofer.de/en/presse/Lost_iPhone.jsp.] Bent u als eigenaar van de IT-omgeving blij als inloggegevens tot deze IT-omgeving op straat belanden doordat een medewerker zijn privételefoon is verloren?

Oplossingen hiertoe komen later in dit artikel aan bod, maar het moge duidelijk zijn dat de oplossingen niet louter in technische maatregelen dienen te worden gezocht. Denk bijvoorbeeld aan een beleidsmatige maatregel dat diefstal van een mobiel apparaat direct dient te worden gemeld, zodat het bedrijf een actie tot ‘remote-wipe’ kan uitvoeren op de iPhone. Dat hierbij ook privédata worden verwijderd mag geen discussie meer zijn doordat de eindgebruiker eerder akkoord is gegaan met het beleid.

Problemen met Apps op de mobiele apparaten

Naast de basisveiligheid van de mobiele apparaten zelf dient ook nog rekening gehouden te worden met de factor Apps. Het is voor de gebruiker van de telefoon mogelijk duizenden Apps te installeren, ieder met z’n eigen functionaliteit, zoals het handig opslaan van documenten en notities in de cloud zodat de gebruiker er ook via andere computers nog bij kan. Daarnaast kunnen bedrijven zelf ook Apps maken om diensten aan te bieden aan hun klanten. Maar in die Apps kunnen ook beveiligingsfouten sluipen, zoals een gerenommeerde Amerikaanse bank onlangs ondervond.[Bank applicatie slaat transactie gegevens en inlogcodes op van klanten http://online.wsj.com/article/SB10001424052748703700904575391273536355324.html.] In een door haar ontwikkelde App leidden fouten ertoe dat gegevens opgeslagen bleven op de telefoon. Hierdoor kwamen gegevens vrij die toegang gaven tot rekeningoverzichten en waarmee geld kon worden overgemaakt.

Het komt erop neer dat op deze mobiele apparaten in veel meer bestanden en folders (niet alleen in e-mails en de agenda) erg veel gegevens worden opgeslagen. Hoewel de eindgebruiker wellicht niet direct toegang kan krijgen tot al deze bestanden doordat de standaard-gebruikersinterface dit niet laat zien, worden de gegevens wel opgeslagen. En daar waar data worden opgeslagen, kunnen zij potentieel weglekken. Dit kan leiden tot het weglekken van bedrijfsgegevens maar ook het in gevaar brengen van de privacy van de gebruiker. Twee recente voorbeelden: elke iPhone heeft bijvoorbeeld een uniek nummer, de UUID. Onderzoekers hebben aangetoond dat diverse Apps dit UUID, de geografische locatie van de telefoon en informatie uit het adresboek gebruiken en opslaan om statistieken over de gebruikers van deze Apps te verzamelen,[Eric Smith, oktober 2010, iPhone Applications & Privacy Issues: An Analysis of Application Transmission of iPhone Unique Device Identifiers (UDIDs).] zonder dat de gebruikers hiervan volledig op de hoogte zijn. Het tweede voorbeeld betreft technieken zoals triangulatie van GSM-masten die de iPhone hanteert om te weten waar in de wereld de telefoon zich bevindt. Onderzoekers hebben duidelijk gemaakt dat door middel van een simpel programmaatje het mogelijk is – met een nauwkeurigheid van enkele honderden meters – de fysieke locatie van de telefoon te illustreren.[iPhone location tracker applicatie, April 2011, http://www.vulnerabilitydatabase.com/2011/04/iphone-tracker-map-your-iphone-stored-information/.] De iPhone slaat dit lokaal op in een database en verstuurt dit periodiek naar de leverancier. Apple heeft de fout erkend en hier ook al op gereageerd.[Apple’s antwoord over opslag van locatiebepalingen, April 2011, http://www.apple.com/pr/library/2011/04/27location_qa.html.]

Samenvattend bestaan er ernstige zorgen of de huidige beveiligingsmaatregelen voor mobiele apparaten afdoende zijn om de hierboven genoemde risico’s te minimaliseren.

Hoe kan men dit aanpakken, en wat is al in gang gezet?

Momenteel bieden producenten van mobiele telefoons nog geen volledige beveiligingsoplossingen. Hierdoor is er ruimte in de markt voor andere leveranciers die dergelijke oplossingen aan bedrijven leveren. De oplossingen variëren van het creëren van meer maatregelen om de apparaten onder controle te houden tot het inbouwen van ‘encrypted containers’ voor de opslag van bedrijfsgegevens op het apparaat. Deze oplossingen maken het aanzienlijk moeilijker voor een oneigenlijke gebruiker om toegang tot gegevens te krijgen. Maar het oorspronkelijke probleem blijft: als de telefoon zelf niet is beveiligd, kunnen ook deze oplossingen geen volledige veiligheid bieden. Ze kunnen het echter wel heel moeilijk maken voor een aanvaller, dus er is hoop.

De markt voor deze oplossingen is pas recent opgekomen en dus volop in ontwikkeling en daardoor nog niet volwassen. Het is daarom niet reëel om nu al volledig uitontwikkelde oplossingen te verwachten. Het gaat er nu om te erkennen dat de grotere mogelijkheden van de nieuwe generatie mobiele apparaten gepaard gaan met andere en grotere risico’s en meer dan ooit te waken over kritische bedrijfsinformatie. Totdat producenten en leveranciers volledig effectieve technische beveiligingsmaatregelen op de markt brengen, moeten eindgebruikers bewust gemaakt worden van de risico’s van deze apparaten. Daarnaast dient erop toegezien te worden dat op de apparaten die verbinding maken met zakelijke IT-omgevingen de beschikbare beveiligingsmaatregelen worden gebruikt. Deze maatregelen vormen slechts een eerste verdedigingslinie. Onthoud daarbij dat het om een samenwerking gaat van technische en organisatorische maatregelen.

Gebruik deze eerste verdedigingslinie wel ten volle. Implementeer dus een strikt wachtwoordbeleid, sta alleen apparaten met een vorm van encryptie toe, implementeer een effectief proces dat verloren apparaten ontkoppelt van de IT-omgeving, zorg dat de gebruikers altijd de laatste updates installeren en informeer gebruikers voortdurend over de gevaren.

Verder dienen verstandige keuzes gemaakt te worden voor technische oplossingen waarmee de IT-afdeling middelen heeft om de uitdagingen aan te gaan en het gebruik van deze apparaten in lijn kan brengen met richtlijnen die volledig aansluiten op beleid omtrent de verwerking van bedrijfsinformatie.

Conclusie

Risico’s in gebruik van deze mobiele apparaten bestaan, maar de wil van de eindgebruikers om deze mobiele apparaten te gebruiken bestaat net zo goed. Helaas zijn de maatregelen nog niet volwassen genoeg voor een simpele en kant-en-klare oplossing. En daar zit de crux. Alleen e-mailen via webmail toestaan, of kan lokale e-mail ook? Alleen het gebruik toestaan mits een aantal technische maatregelen is ingevoerd op het apparaat zelf, of is de standaard iPhone veilig genoeg? Mogen alle websites worden bezocht met het mobiele apparaat, of dient er iets gefilterd te worden? Welke Apps slaan geen vertrouwelijke data op in de cloud en kunnen we veilig gebruiken? Dient iTunes nu ook te worden ondersteund op de bedrijfs-pc’s? En hoe gaan we om met de back-ups die iTunes maakt op de privé-pc’s, en wat zit er precies aan zakelijke data in die back-ups? Hoe krijgen we als IT-afdeling inzage in het gebruik van het mobiele apparaat? En wat is het risico van het ophalen van e-mail via een onbeveiligd draadloos netwerk? Hoe reageren we snel en juist op het verlies of diefstal van een mobiel apparaat? Allemaal vragen waar passende antwoorden voor zijn, maar waarbij de antwoorden afhangen van de reeds bestaande beveiligingsmaatregelen in het bedrijf. Het is dan ook zaak een gedegen analyse te maken van de maatregelen die men dient te treffen per bedrijfsomgeving.

Interessante ontwikkeling, deze nieuwe mobiele apparaten. Maar werk aan de winkel voor de informatiebeveiliger!

Social engineering: de kunst van het misleiden

In een typische penetratietest (hacker test) wordt geprobeerd ongeautoriseerd toegang te krijgen tot systemen of data door misbruik te maken van technische kwetsbaarheden. De ‘zwakste schakel’ in de informatiebeveiliging blijft in een dergelijke test buiten schot, namelijk de mens. In toenemende mate blijkt deze ‘schakel’ het doelwit van aanvallers te worden. In de media wordt een groot aantal incidenten gerapporteerd waarbij deze aanvallen een rol spelen (security.nl). Reden genoeg om in het kader van een audit of een informatiebeveiligingsonderzoek ook deze ‘schakel’ aan een test te onderwerpen. Dit artikel beschrijft hoe dit ‘hacken van mensen’, ook wel ‘social engineering’ genoemd, in zijn werk gaat, gaat in op enkele praktijkvoorbeelden en behandelt maatregelen die tegen dergelijke aanvallen kunnen worden genomen.

Wat is een social-engineering test?

Door KPMG IT Advisory worden voor een groot aantal klanten social-engineering opdrachten uitgevoerd. Bij een dergelijke test is het doel tweeledig:

  • de risico’s voor de onderzochte organisatie in kaart te brengen;
  • de medewerkers bewust maken van deze risico’s (training).

Tijdens de testen wordt geprobeerd medewerkers zo te manipuleren dat toegang wordt verkregen tot vertrouwelijke gegevens. Deze pogingen variëren van een ‘eenvoudige beltest’ waarbij wachtwoorden moeten worden ontfutseld en zogenaamde phishing-aanvallen (waarin gebruik wordt gemaakt van nep-e-mails of nep-websites), tot fysieke aanvallen waarbij undercover al dan niet met nagemaakte toegangspasjes het pand van een klant wordt betreden om vervolgens van binnenuit vertrouwelijke informatie te verzamelen. De bevindingen zijn over het algemeen opmerkelijk; ongeautoriseerde toegang tot kluizen in banken, beveiligde locaties van de overheid en tot in grote datacenters aan toe, om er maar een paar te noemen. In verschillende van deze gevallen wordt de opdracht gecombineerd met een penetratietest. Bij deze gecombineerde testen, ook wel aangeduid met red teaming (figuur 1), is over het algemeen de opdracht eerst ongeautoriseerd fysiek in het pand te komen, vervolgens van binnenuit de interne systemen te hacken, en weer ongezien mét vertrouwelijke gegevens het pand te verlaten.

C-2011-2-Paques-01

Figuur 1. Red teaming, testmethode waarbij verschillende aanvalstechnieken gecombineerd worden om een daadwerkelijke aanval te simuleren.

Het grote verschil tussen een penetratietest, waar je aanvallen echt kan ‘testen’ op systemen, en social-engineering testen is dat je bij de laatste over het algemeen maar één kans hebt. Er is geen ‘uitprobeerronde’; het moet in één keer goed. Als je verhaal niet geloofwaardig is, bestaat de kans met handboeien om afgevoerd te worden. De medewerkers van de organisatie waar de test wordt uitgevoerd zijn over het algemeen niet op de hoogte gebracht van de test. Veelal weten alleen enkele directieleden van de test en zelfs zij weten niet in alle gevallen wannéér de test precies zal worden uitgevoerd. Het is niet de bedoeling dat de beveiliging opeens extra gaat opletten bijvoorbeeld. Op deze manier kan een reëel beeld van de risico’s worden verkregen. Als gevolg hiervan zal beveiligingspersoneel ook geen halve maatregelen nemen wanneer je als ‘indringer’ wordt ontmaskerd (zeker niet wanneer je op dat moment een stapel vertrouwelijke interne documenten in bezit hebt).

Ingrediënten van een geslaagde aanval

Om een aanval te laten slagen zijn twee zaken van doorslaggevend belang: informatie en timing. Een gedegen voorbereiding is essentieel. Voorafgaand aan een onderzoek wordt dan ook zoveel mogelijk informatie over het doelwit verzameld. Niet alleen over de organisatie waar het om gaat (corporate homepage, Google maps, search engines, nieuwsgroepen, vacaturesites), maar ook over de medewerkers, hun hobby’s, woonplaats en contactgegevens (Facebook, Hyves, LinkedIn en dergelijke zijn erg nuttig). Daarna volgt veelal een aantal telefoontjes naar het algemene nummer en nummers van medewerkers voor zover deze via publiek beschikbare bronnen beschikbaar zijn. Bij grote organisaties zijn vaak reeksen telefoonnummers in gebruik. Op basis van bekende nummers wordt dan een aantal nummers in dezelfde reeks gebeld. Wanneer een medewerker opneemt, wordt aangegeven verkeerd verbonden te zijn en op zoek te zijn naar meneer X. Het goede nummer van meneer X evenals de naam en functie/afdeling van de gebelde persoon worden tevens zijdelings geverifieerd. Informatie die zo wordt verkregen kan weer gebruikt worden om nog meer informatie los te krijgen. Alle te vinden informatie is potentieel interessant. Voor een test op een streng beveiligd datacenter is wel eens twee maanden voor de test met een camera met 500mm lens van alle kanten het gebouw gefotografeerd om vast te stellen waar alle camera’s en ingangen waren, hoe de medewerkers gekleed waren, hoe laat ze naar huis gingen, etc. Op basis van deze informatie worden vervolgens de details van een aanvalsscenario bepaald. Als wie gaan we ons voordoen, hoe laat moeten we aankomen (bijvoorbeeld om mee te kunnen lopen met de ‘massa’), welke kleding kunnen we het beste aantrekken en welke route nemen we als we eenmaal ‘binnen’ zijn om zoveel mogelijk risico’s (camera’s en beveiligingsmensen) te omzeilen.

De timing van een aanval is tevens erg belangrijk. Het moment dat een geschikte medewerker zich aandient kan een kwestie van seconden zijn. Veelal is een medewerker nodig om langs een poort/hek/receptie of ander controlepunt te komen. Met kennis van het bovenstaande, een goed verhaal, het kunnen improviseren op onvoorziene situaties, gemakkelijk contacten kunnen leggen en af en toe stalen zenuwen kom je dan al een heel eind.

Op een gegeven moment leer je wat voor mensen je moet benaderen en welke je beter uit de weg kunt gaan. Secretaresses weten bijvoorbeeld vaak bijzonder goed wat er in een bedrijf speelt. Het kan heel waardevol zijn deze te benaderen, maar een goed en degelijk onderbouwd verhaal is wel een voorwaarde. Volledig improviseren is dan een soort Russische roulette. Praktijkvoorbeeld 1 beschrijft een test waarbij de te benaderen personen specifiek werden geselecteerd om de kans van slagen zo groot mogelijk te maken.

Praktijkvoorbeeld 1

Bij één van onze klanten voerden een collega en ik een geavanceerde phishing-aanval uit. Mijn collega had bij de ingang van het pand van de klant plaatsgenomen en vroeg selectief medewerkers die naar binnen gingen of deze deel wilden nemen aan een enquête over de invulling van een aankomende bedrijfsactiviteit. Bij de ‘selectie’ van medewerkers richtten we ons tot de jongere, vrouwelijke medewerkers om zoveel mogelijk de kans te beperken per ongeluk een IT-medewerker of managementlid aan te spreken. (Deze zouden het immers weten als er een ‘enquêtepagina’ bestond en daardoor de aanval mogelijk sneller doorgronden.) Ook hadden we vooraf de LinkedIn- en Facebook-profielen van sleutelpersonen in de organisatie bekeken om zo ‘risicopersonen’ te herkennen en te kunnen vermijden.

Onder de deelnemers zou dezelfde week nog een iPod Touch worden verloot. De medewerkers die wilden deelnemen kregen een gesloten enveloppe met daarin een brief die de actie uitlegde en een link naar een door ons opgezette (nep)internetpagina met daarop de enquête. Na inloggen kreeg de medewerker een tiental vragen te zien en konden aanvullend nog eigen suggesties worden opgegeven. Na versturen werd de medewerker hartelijk bedankt voor de deelname. Uiteraard waren wij in het geheel niet geïnteresseerd in alle ‘feestideeën’ van medewerkers, maar was het ons alleen om de inloggegevens van de medewerkers te doen. Ikzelf had om de hoek van de ingang positie ingenomen, zodat ik door de ramen aan de zijkant van de ingang in de gaten kon houden of er binnen iets verdachts gebeurde en via de portofoon direct mijn collega kon aangeven zich uit de voeten te maken indien dit nodig was. Tevens kon ik via mijn smartphone ‘live’ vaststellen dat inmiddels enkele gebruikers hun wachtwoord hadden ingetoetst op onze website en de test dus al succesvol was geweest. Na ongeveer 35 minuten verlieten we beiden in verschillende richtingen de locatie. We hadden bepaald dat dit zo ongeveer de tijdspanne was waarin in geval van detectie een opvolging zou kunnen plaatsvinden. In de nabespreking met de klant bleek later dat hooguit enkele minuten na ons vertrek twee gealarmeerde medewerkers naar buiten waren gekomen om opheldering te vragen.

Training van medewerkers

Belangrijk bij de test is ook het doel training van medewerkers niet uit het oog te verliezen. De aanvalsscenario’s dienen zo gekozen te worden dat de impact die medewerkers hiervan kunnen ondervinden tot het minimaal noodzakelijke beperkt wordt. Wij geven de opdrachtgever (voor zover dat mogelijk is) ook géén inzicht in welke medewerkers een rol hebben gespeeld in de testen en bevindingen. Gegevens worden geanonimiseerd en er wordt gerapporteerd over aantallen en de impact van de testresultaten. Het minst verstandige wat een opdrachtgever zou kunnen doen (en natuurlijk ook zeer onwenselijk, maar niet geheel ondenkelijk) is het nemen van disciplinaire maatregelen tegen de betreffende medewerkers. Het effect hiervan is dat medewerkers wanneer ze daadwerkelijk ‘slachtoffer’ worden van een echte social-engineering aanval dit mogelijk niet zullen melden uit angst voor represailles en de organisatie de aanval niet of te laat zal opmerken met alle gevolgen van dien.

Een goede opvolging van een social-engineering test is om de resultaten terug te koppelen naar (alle) medewerkers zodat deze de test daadwerkelijk als een leermoment kunnen ervaren en daarmee (beter) voorbereid zijn tegen een ‘echte’ aanval. In de praktijk blijkt overigens het merendeel van niet-getrainde medewerkers gevoelig voor een social-engineering aanval en laten medewerkers van hoog tot laag in de organisatie zich misleiden.

Psychologische trucs

Hoewel het aanvalsscenario voor een test volledig wordt afgestemd op de situatie bij de klant en daarmee iedere keer verschillend is, is er een aantal psychologische principes of ‘trucs’ die hier de basis van zijn en iedere keer terugkomen:

  • Een band opbouwen, bijvoorbeeld door het benoemen van een gemeenschappelijk probleem of interesse. Sociale media kunnen hierbij een waardevolle bron van informatie over iemand zijn. Aangeven bij hetzelfde bedrijf te hebben gewerkt, of dezelfde sport te beoefenen kan vertrouwen wekken. Ook kan gerefereerd worden aan een (zogenaamde) gemeenschappelijke vriend of kennis. Verzoeken die vervolgens gedaan worden, zijn daardoor voor het ‘slachtoffer’ lastiger te weigeren.
  • Tijdsdruk, het ‘slachtoffer’ geen tijd geven goed over de beslissing na te denken door het schetsen van omstandigheden die een snelle beslissing vereisen. Windows onthoudt vaak de naam van de laatst ingelogde gebruiker (maar niet het wachtwoord). Door achter een (vergrendelde) pc van een gebruiker plaats te nemen kan over het algemeen de account van deze gebruiker worden geblokkeerd door meer dan vijf maal het onjuiste wachtwoord in te voeren. Wanneer een aanvaller bijvoorbeeld op deze wijze een account blokkeert en vervolgens de helpdesk belt en zeg dat hij binnen vijf minuten een belangrijke presentatie moet geven, maar zijn account heeft geblokkeerd, zal deze tijdsdruk er mogelijk toe leiden dat de helpdeskmedewerker (na te hebben vastgesteld dat de account inderdaad zojuist is geblokkeerd) een nieuw tijdelijk wachtwoord instelt en dit via de telefoon doorgeeft, waarna op het systeem kan worden ingelogd.
  • Het verwijzen naar een hooggeplaatste persoon in de organisatie (autoriteit/gezag). Deze truc werkt vaak bijzonder effectief met het element ‘tijdsdruk’. Door aan te geven dat het ‘slachtoffer’ de werkzaamheden van een hooggeplaatst persoon in de organisatie belemmert en daarom direct op het verzoek dient in te gaan. Een variatie hierop is het zelf door middel van kleding en accessoires ‘afdwingen’ van gezag (zie ook figuur 2). Met een pak en stropdas is het in sommige gevallen veel eenvoudiger om zonder vragen een pand in te komen als met een spijkerbroek en shirtje. Ik ben ooit met een kletsnatte bouwvakkersjas een bank ingelopen met de mededeling dat er in het bovengelegen pand lekkage was. Of ik ‘even achter mocht kijken of het niet door het plafond heen kwam zetten’. De medewerkers waren blij dat ze tijdig gewaarschuwd werden en zonder verdere vragen werd toegang verleend tot de achtergelegen ruimten die alleen voor bankpersoneel toegankelijk waren.

C-2011-2-Paques-02

Figuur 2. Beveiligingsbadges waarmee een social engineer autoriteit kan afdwingen zijn voor enkele euro’s te verkrijgen.

  • Verzoek om hulp: bijvoorbeeld een verzoek om een bestandje van een USB-stick te printen, die zonder dat het ‘slachtoffer’ het weet, is geïnfecteerd met malware, of bijvoorbeeld het lenen van een elektronische toegangsbadge omdat de eigen badge ‘nog op het bureau ligt’. Een verzoek van een man (de tester) aan een vrouw (het ‘slachtoffer’) of andersom zal in het algemeen eerder worden ingewilligd als bij gelijke sekse.
  • Gebruik van ‘herkenbare’ zaken voor de organisatie waar het onderzoek wordt uitgevoerd. Personen die een collega denken te herkennen door het dragen van een (al dan niet gekopieerde) toegangsbadge, vergelijkbare stijl van kleding, visitekaartjes, jargon, kennis van werkwijze of namen van informatiesystemen of collega’s (namedropping) zullen minder snel kritische vragen stellen. Wanneer van de naam op de (valse) toegangsbadge ook nog een LinkedIn- of Hyvesprofiel bestaat dat refereert aan het onderzochte bedrijf, zijn de meeste kritische medewerkers ook overtuigd dat ze met een collega te maken hebben.
  • Een andere methode kan zijn het via de ene medewerker opvragen van gegevens bij een andere medewerker (bijvoorbeeld het laten doorzetten van gegevens naar een bestaande interne afdeling die vervolgens benaderd wordt om de ‘verkeerd gestuurde e-mail’ door te zetten). Door gebruik te maken van deze interne referenties wordt de geloofwaardigheid vergroot. Een ander voorbeeld is het opnemen van de wachtmuziek, die bedrijven gebruiken als bellers in de wacht worden gezet. Wanneer je vervolgens belt met een medewerker zeg je na een paar minuten: ‘Wacht even, ik krijg een andere lijn binnen’, en zet het ‘slachtoffer’ in de wacht. Vervolgens speel je het wachtmuziekje af dat je eerder hebt opgenomen, waardoor het ‘slachtoffer’ onbewust denkt: ‘Hé, dat is ons melodietje, hij werkt dus bij ons’.
  • Aangeven dat ‘alle collega’s’ van het ‘slachtoffer’ op dezelfde wijze hebben gehandeld, dus dat het verzoek ‘héél normaal’ is. Mensen zijn geneigd iets als juist te beschouwen wanneer anderen dezelfde keuze hebben gemaakt. Een variatie hierop is het opbouwen van (informatie)verzoeken. Wanneer iemand al op een aantal verzoeken is ingegaan (bijvoorbeeld het opzoeken van compleet niet relevante informatie) zal het moeilijker zijn vervolgens een verzoek om vertrouwelijke informatie af te slaan.
  • Noodzaak om iets ‘terug te moeten doen/compenseren‘ creëren. Door mensen iets te geven kan de gevoelsmatige verplichting gecreëerd worden jou iets verschuldigd te zijn. Hierdoor wordt het makkelijker iemand aan een verzoek te laten voldoen als zijnde normaal. Wanneer je iets voor iemand hebt gedaan (ook al heeft degene hier helemaal niet om gevraagd) wordt het voor deze persoon veel lastiger om een verzoek tot een wederdaad te weigeren.
  • De indruk geven dat het eigenlijke verzoek al een concessie is. Wanneer het genoeg is om ergens vijf minuten binnen te zijn, kan het zinvol zijn in te zetten op een rondleiding door het pand, maar als dit niet kan dan erop aan te dringen dat er in ieder geval even vijf minuten rondgekeken mag worden.
  • Het aanbieden van iets wat leidt tot een persoonlijk voordeel. Bijvoorbeeld een phishing-e-mail met de code voor het bestellen van het persoonlijk kerstpakket.
  • Het veroorzaken van ‘onvoorziene situaties’, waardoor medewerkers (en in het bijzonder beveiligingsmedewerkers) niet meer in staat zijn hun gebruikelijke routine te volgen. Zo zijn we wel eens verkleed als Sinterklaas en Zwarte Piet een zwaarbeveiligd datacentrum binnengedrongen (figuur 3). Het datacentrum lag op een afgezonderde locatie en was omgeven door metershoge hekken met prikkeldraad, tientallen camera’s en een aarden wal die het zicht op het gebouw ontnam. Een week van tevoren hadden we de beveiliging al aan de telefoon gehad en ons voorgedaan als HR-medewerkers die belden in verband met de aankomende Sinterklaasactiviteiten op de verschillende locaties. De beveiliging had dus al ‘iets’ van de activiteiten gehoord, maar werd toch overrompeld door de situatie. Om op het terrein te komen moest eerst een soort ‘checkpoint Charlie’ worden gepasseerd waar een beveiligingsmedewerker achter kogelvastglas met de beveiliging binnen overlegde over de te nemen stappen. Min of meer tot onze eigen verbazing werden we doorgelaten het terrein op, terwijl de deur achter ons weer vergrendeld werd. Bij het datacentrum zelf aangekomen liepen we ook weer direct tegen een glazen beveiligingsruimte aan waar zich een vijftal beveiligingsmedewerkers bevond. Eén blik in onze zware zak met kilo’s pepernoten was voldoende geweest om de opnameapparatuur van de spionagecamera (figuur 4) te ontdekken en ons te ontmaskeren. ‘Hallo! Hier zijn we dan!!’, riepen we, en vulden het bakje waar normaliter de paspoorten onder het glas worden doorgeschoven met pepernoten. Nadat we één van de beveiligers nog hadden omgekocht met een chocoladeletter hebben we een rondje door het pand gemaakt en zijn we zonder problemen weer vertrokken.
  • Gebruik van een afleidingsmanoeuvre, bijvoorbeeld het meenemen van die leuke vrouwelijke collega met hoge hakken en een kort rokje.

C-2011-2-Paques-03

Figuur 3. De ‘Sinterklaas en Zwarte Piet’ die het datacenter wisten binnen te dringen.

C-2011-2-Paques-04

Figuur 4. Een ‘knoopcamera’ waarmee ongemerkt bijvoorbeeld toetsaanslagen gefilmd kunnen worden.

Afhankelijk van de specifieke situatie bij de klant worden aanvalsscenario’s uitgewerkt waarin veelal één of meer van bovenstaande technieken worden toegepast. In praktijkvoorbeeld 2 wordt bijvoorbeeld een band opgebouwd met het ‘slachtoffer’, herkenning gecreëerd door te refereren aan interne afdelingen, gerefereerd aan een persoonlijk voordeel (het niet verliezen van data) en een compromis gesloten (laatste alinea). Doordat er sprake is geweest van eerdere ‘hulp’ wordt tevens de noodzaak tot ‘compensatie’ gecreëerd.

Praktijkvoorbeeld 2

Bij een test waarbij het doel was systeemtoegang te verkrijgen heb ik een medewerkster gebeld met de melding dat er waarschijnlijk een probleem was met haar systeem en dat dit een enorme hoeveelheid netwerkverkeer op het netwerk veroorzaakte. Ik gaf aan dat het systeem hier uiteindelijk door kon vastlopen en in het ergste geval de aanwezige data niet meer benaderbaar zouden zijn. Op mijn vraag of de laptop niet erg traag was de laatste tijd kreeg ik uiteraard een bevestigend antwoord. Na wat willekeurig getik op mijn toetsenbord zei ik dat ik het probleem had gevonden, benadrukte dat het erg lastig was dit op te lossen, maar dat ik ermee bezig ging. Ik hing op en belde na een half uurtje opnieuw om te vertellen dat het probleem was opgelost. Nadat ze mij nadrukkelijk had bedankt hing ik op.

Twee dagen later belde ik opnieuw en zei dat het probleem helaas toch niet opgelost bleek te zijn en ook op de laptop zelf aanpassingen moesten worden doorgevoerd. Ik vroeg of ze de laptop even bij local IT kon langsbrengen (die ik al in een eerder gesprek had gebeld om vast te stellen hoe de procedure werkte en om te controleren dat deze daadwerkelijk een lokaal servicepunt had) om daarmee de indruk te wekken dat ik daadwerkelijk een interne medewerker was. De medewerkster was echter erg druk en dit kwam erg slecht uit. Bij wijze van uitzondering wilde ik dan ook wel op afstand kijken of ik het probleem kon oplossen, zei ik. Omdat we, zo liet ik weten, vanuit veiligheidsoogpunt nooit aan gebruikers vragen hun wachtwoord over de telefoon af te geven, vroeg ik haar om het wachtwoord tijdelijk te veranderen in ‘welkom123’, zodat ik dan op afstand het probleem kon oplossen. Twee minuten later kon ik op de laptop inloggen en had ik toegang tot de (vertrouwelijke) data die ik nodig had.

Methoden

Hieronder enkele veelgebruikte methoden die ingezet worden tijdens een social-engineering aanval. Bij deze methoden wordt deels gesteund op de eerder beschreven psychologische ‘trucs’. De combinatie van methoden vormt samen het aanvalsscenario.

C-2011-2-Paques-05

Figuur 5. De samenhang tussen methoden, trucs en een aanvalsscenario.

  • Phishing: vorm van aanval waarbij gebruik wordt gemaakt van e-mails of internetpagina’s die van een legitieme partij lijken te zijn, bijvoorbeeld van de eigen werkgever, maar in werkelijkheid worden beheerd door de aanvaller. Deze mails of pagina’s hebben veelal tot doel gegevens van medewerkers (bijvoorbeeld wachtwoorden) te verzamelen.
  • Dumpster diving: het doorzoeken van prullenbakken, bakken bij kopieermachines of buiten geplaatste containers van een organisatie op zoek naar waardevolle informatie. ‘Waardevolle informatie’ kan in dit geval bijvoorbeeld ook briefpapier of visitekaartjes zijn omdat deze weer kunnen worden gebruikt in een volgende aanval.
  • Pretexting: het onder valse voorwendselen (de pretext) verkrijgen van informatie. Bijvoorbeeld het bellen van een medewerker en je voordoen als een interne collega.
  • Tailgating: het ‘meeliften’ met een medewerker om door een beveiligd toegangspoortje te komen om zo fysieke toegang tot een beveiligde locatie te krijgen.
  • Reverse Social Engineering: een methode waarbij het ‘slachtoffer’ zodanig gemanipuleerd wordt dat deze de social engineer om hulp zal vragen. De social engineer creëert voor het ‘slachtoffer’ een probleem en zal zich vervolgens kenbaar maken als ‘expert’ die het probleem kan oplossen. Vervolgens zal de social engineer het verzoek van het ‘slachtoffer’ afwachten. Omdat het initiatief bij het ‘slachtoffer’ ligt is er sneller een vertrouwensband.
  • Shoulder Surfing: meekijken bij het intoetsen van een wachtwoord of pincode. Hier hoeft niet daadwerkelijk te worden meegekeken. Bij verschillende tests wordt gebruikgemaakt van miniatuur-spionagecamera’s, bijvoorbeeld een knoopcamera (figuur 4), waarbij je één van de knopen in je jasje vervangt door een knoop met camera. Wanneer hiermee het intoetsen van een wachtwoord wordt opgenomen, kan dit later vanuit de opnamen worden teruggekeken.
  • Het plaatsen van afluisterapparatuur (bugs), draadloos access point of keylogger. Wanneer toegang is verkregen tot een pand kan vaak eenvoudig afluisterapparatuur worden geplaatst. Moderne afluisterapparatuur is voor een beperkt budget te verkrijgen en kan bijvoorbeeld een van tevoren ingesteld GSM-nummer bellen zodat via de telefoon live kan worden meegeluisterd (figuur 6). Alternatief wordt een keylogger geïnstalleerd (figuur 7). Deze kan in enkele seconden tussen het toetsenbord en de systeemkast van een gebruiker worden ingeklikt en slaat vervolgens alle toetsaanslagen op. Huidige versies van keyloggers kunnen deze vervolgens automatisch via een draadloos netwerk via mail doorsturen naar de aanvaller. Het verborgen intern plaatsen van een access point (bijvoorbeeld door deze achter een radiator te verstoppen) kan ook zinvol zijn. Wanneer deze op het netwerk is aangesloten kan de aanvaller vervolgens weer het pand verlaten en van buitenaf (bijvoorbeeld vanuit de auto) het interne netwerk aanvallen door een verbinding te maken met het zojuist geïnstalleerde access point met een kleine kans te worden opgespoord en opgepakt.

C-2011-2-Paques-06

Figuur 6. ‘Audiobug’ waarmee via GSM gesprekken kunnen worden afgeluisterd.

C-2011-2-Paques-07

Figuur 7. Keylogger die alle toetsaanslagen verzamelt.

  • Malware: kwaadaardige software die bijvoorbeeld wachtwoorden verzamelt en doorstuurt naar een e-mailadres van de aanvaller. Malware kan op het systeem geplaatst worden door middel van bijvoorbeeld een geïnfecteerde pdf-file ([Paqu01]). De pdf-file kan worden verspreid door bijvoorbeeld het achterlaten van een USB-stick met daarop bestanden als ‘loonlijst 2011’ of ‘fraudeonderzoeken 2011’. Ideale plaatsen om dergelijke sticks achter te laten is bij de toiletten of het koffieapparaat. Wanneer het ‘slachtoffer’ de pdf-file opent wordt daarmee ongemerkt tevens de malware opgestart.

In praktijkvoorbeeld 3 wordt een aantal van de hierboven genoemde methoden toegepast. Dit voorbeeld laat onder andere zien hoe informatie die wordt verkregen vanuit de ene aanval, kan worden gebruikt in een volgende aanval om daarmee meer informatie te verkrijgen.

Praktijkvoorbeeld 3

Het is even over achten als ik mijn auto op een kleine honderd meter afstand van het pand van één van onze klanten neerzet. Ik heb eerder vastgesteld dat de meeste medewerkers met de auto komen en deze achter het hoofdkantoor neerzetten op de besloten parkeerplaats, dus het lijkt me het beste om dit patroon te volgen omdat het lopend de parkeerplaats opgaan al mogelijk de aandacht trekt. In mijn spiegel houd ik in de gaten of er medewerkers aan komen rijden. Na een minuut of tien verschijnt er een grijze personenauto. Zodra de wagen mij passeert, voeg ik in en volg op korte afstand. Helaas rijdt de auto het pand van het doelwit van vandaag voorbij en word ik gedwongen via een rondje weer terug te gaan naar mijn beginpositie. De tweede keer heb ik meer geluk en kan ik, nadat de medewerker met zijn personeelspas de slagboom heeft geopend, op korte afstand volgen tot op het besloten parkeerterrein achter het pand. Ik wacht even tot de medewerker uit de auto voor mij via de personeelsingang aan de achterzijde het pand is ingegaan en loop naar de rookplek vlak voor de ingang. Ik pak het nieuwe pakje sigaretten uit mijn zak, steek er één aan. Gelukkig zijn er geen camera’s aan deze zijde van het pand, dus kan ik hier rustig even blijven hangen tot er een nietsvermoedende medewerker aanhaakt om te komen roken met deze niet-roker, die voor de gelegenheid maar even met een sigaret staat te zwaaien. Op gegeven moment verschijnt er een dame die zich bij mij voegt om ook te roken, we maken een praatje en lopen gezamenlijk – door met haar personeelspas de deur te openen – het pand in. Binnen! Ik besluit gelijk maar in volgmodus het trappenhuis in te lopen, want deze klant heeft zo te zien ook paslezers bij de deuren naar de verschillende verdiepingen aangebracht.

Ik volg haar naar de vierde etage en betreed, opnieuw doordat zij netjes de deur voor ons opent, de verdieping. Gelukkig staat er een koffieapparaat dus kan ik daar de verdieping observeren zonder mezelf klem te lopen in één of ander doodlopend deel van het pand. Even verderop blijken wat vergaderruimteachtige werkplekken te zitten. Ik neem mijn koffie mee, trek in de vergaderzaal de kabel uit de VoIP-telefoon en prik deze in mijn laptop. Terwijl mijn laptop opstart, werp ik een blik op de stapel papier die ik zojuist in het langslopen uit de verzamelbak naast de printer heb meegegrist. Onder andere e-mails, met een hoop mailadressen van medewerkers in de ‘To’- en ‘CC’-velden. Mooi zo! Dit worden mijn ‘slachtoffers’ in de volgende aanval.

Mijn laptop is inmiddels opgestart en ik start een poortscan op poort 80 op de nabijgelegen IP-adressen op zoek naar wat interne webpagina’s. Tevens probeer ik via mijn webbrowser een aantal voor de hand liggende url’s. ‘intranet.klantnaam.nl’,’ intraweb.klantnaam.nl’, ‘search.klantnaam.nl’, ‘telefoongids.klantnaam.nl’. Na niet al te lang zoeken heb ik een interne webpagina gevonden. Ik kopieer de pagina en pas wat teksten aan en na een kwartiertje heb ik een ‘medewerker van de maand’-verkiezingspagina in elkaar gezet die er precies zo uitziet als de pagina’s van het bedrijf zelf inclusief bijbehorende logo’s en kleuren. Vervolgens start ik de webserver op mijn eigen laptop zodat de zojuist gemaakte pagina vanaf het interne netwerk kan worden benaderd.

Door een tweede beperkte poortscan weet ik een interne mailserver te identificeren waarop mail relaying aanstaat (waardoor anoniem e-mail verstuurd kan worden). Ik ben inmiddels zeker twintig minuten in het pand en nog niemand heeft me tot nu toe vragen gesteld over wat ik hier doe. Nu richt ik me weer op de ‘slachtoffers’. Via de mailserver stuur ik allereerst een mail met een vals extern e-mailadres dat ik vanuit mijn spamfolder heb gekopieerd naar een deel van de adressen in de uitgeprinte e-mails. Ik hoop op deze test-e-mails een out-of-office bericht terug te krijgen van één van de medewerkers. Wanneer ik deze inderdaad retour krijg, kopieer ik de ondertekening en pas naam en functie aan naar een fictieve naam. Ik heb nu een webpagina én een e-mailbericht die er precies zo uitzien alsof ze van de eigen organisatie zijn. Vervolgens zet ik in de e-mail een Reminder van de uitnodiging voor de ‘medewerker van de maand’-verkiezing. De mail geeft aan dat een willekeurig gekozen selectie van medewerkers één van hun collega’s kan nomineren voor deze prijs. Dit kan via een interne webpagina waarvan de link onderaan de e-mail is opgenomen. Uiteraard moet wel worden ingelogd om te voorkomen dat mensen dubbele stemmen uitbrengen. De reminder geeft aan dat degene die de eerste mail hebben gemist nog tot 12:00 uur dezelfde dag de kans hebben om hun stem uit te brengen. Ik switch naar een tweede venster waar ingetoetste wachtwoorden zullen verschijnen en wacht rustig af tot de eerste enthousiastelingen hun wachtwoord inkloppen. Dit duurt op de kop af twee minuten na het versturen van de e-mail.

Met het inloggen op de site hebben de medewerkers automatisch naast hun wachtwoord ook hun gebruikersnaam en IP-adres achtergelaten. Dit is voor mij alle informatie die ik nodig heb en ik start Metasploit (een hackers toolkit) en log hiermee op afstand in op de pc van de eerste enquêtedeelnemer. Inmiddels heb ik de gebruiker ook teruggevonden in de interne online telefoongids. Helaas blijkt de eerste medewerker op de financiële afdeling te werken. In deze fase ben ik meer op zoek naar een IT-beheerder omdat deze vaak hoge gebruikersrechten hebben en daarmee toegang tot een groot aantal of alle systemen. Ik besluit een dump te maken van de lokale wachtwoord-hashes. Met de hash van de lokale administrator account probeer ik vervolgens te authenticeren tegen het systeem van een willekeurige andere gebruiker op het netwerk. Deze ‘truc’ heeft al bij verschillende klanten gewerkt en blijkt ook nu succesvol. Inmiddels ben ik zo’n drie kwartier binnen zonder dat dit iemand is opgevallen en heb ik reeds twee systemen volledig overgenomen. Helaas werkt de hash niet op de domain controller, dus besluit ik net zo lang op systemen in te loggen tot ik een systeem tref waar een gebruiker (of proces) aanwezig is met hoge rechten (bijvoorbeeld de IT-beheerder). Na twintig minuten vind ik een systeem waarop een IT-beheerder is ingelogd. De tool Metasploit, die overigens gratis te downloaden is, heeft een ingebouwde functie om de identiteit, en daarmee alle rechten van een gebruiker over te nemen. Nadat ik de identiteit van IT-beheerder heb overgenomen, heb ik domain administrator rechten en volledige toegang tot alle Windows-systemen en daarop aanwezige data op het netwerk, inclusief alle servers met financiële administratie en de mailboxen van de directie. Ik maak wat screenshots en vind dat het tijd is voor een tweede kop koffie.

Uit praktijkvoorbeeld 3 blijkt dat het niet altijd van belang is hoeveel medewerkers daadwerkelijk in de trucs van een social engineer trappen. In deze specifieke situatie was het voor een buitenstaander al voldoende om slechts twee medewerkers te misleiden om vervolgens de volledige IT-omgeving te kunnen overnemen.

Maatregelen

Bewustzijn

Het sleutelwoord tegen social-engineering aanvallen is bewustzijn, of specifieker gezegd, kennis van de mogelijke doelwitten en van de technieken van een aanvaller, maar ook kennis van de eigen zwakheden. Bij één van mijn opdrachten had de klant op alle verdiepingen naast de gebruikelijke papierbakken bij de printers grote afgesloten bakken voor vertrouwelijk papier geplaatst. Een greep in de bak voor gewoon afvalpapier leverde echter een grote stapel met vertrouwelijke documenten op (rapporten van security-incidenten, HR-informatie, wachtwoorden, enz.) Waarom? Vermoedelijk was het te veel moeite geweest om de stapels papier door de kleine sleuf van de bak voor vertrouwelijk papier te proppen en was in één keer weggooien makkelijker.

Wanneer klanten in een presentatie of training horen hoe een truc werkt, zegt men over het algemeen iets als ‘dan moet je wel echt naïef zijn om daar in te trappen, dat zou bij mij niet lukken’. De praktijk is echter vaak anders. Om echt bewustzijn te creëren is het daarom naast het verschaffen van informatie zinvol om een test/oefening uit te voeren. Hierdoor zien mensen vaak in dat ze helemaal niet zo bestand zijn tegen een dergelijke aanval als ze vaak zelf denken en wordt daadwerkelijk bewustzijn gecreëerd. Naast het creëren van bewustzijn is een test een prima middel om de risico’s in kaart te brengen.

Richtlijnen

Naast bewustzijn is het opstellen van richtlijnen en het controleren van de naleving daarvan essentieel. Hierbij kan bijvoorbeeld gedacht worden aan ‘tien regels voor informatiebeveiliging’. Deze zouden er bijvoorbeeld als volgt uit kunnen zien:

  1. Maak je wachtwoorden in geen enkel geval bekend aan anderen (ook niet aan IT-medewerkers).
  2. Deel geen interne informatie met buitenstaanders.
  3. Houd je aan de clean desk en whiteboard policy.
  4. Vergrendel je computer als je je werkplek verlaat.
  5. Laat geen informatie bij de printer achter.
  6. Maak gebruik van beveiligde afvalbakken voor vertrouwelijke gegevens.
  7. Verifieer de identiteit van de gesprekspartner wanneer gevraagd wordt om vertrouwelijke gegevens. (In geval van een telefonisch verzoek kan dit bijvoorbeeld door de beller terug te bellen op een vast nummer.)
  8. Sla vertrouwelijke informatie nooit lokaal of op een privé-pc op.
  9. Alarmeer bij verdachte zaken direct de security officer.
  10. Draag de toegangsbadge zichtbaar en wijs collega’s op het dragen van deze badge. Onbekenden zonder badge dienen naar de uitgang van het pand te worden geëscorteerd en daar worden overgedragen aan de receptie/beveiliging.

Om een effectieve naleving van dergelijke regels te bewerkstelligen dient te worden gecontroleerd of medewerkers deze daadwerkelijk naleven. Bevindingen hieruit (zowel positief als negatief) dienen naar de betreffende medewerkers te worden teruggekoppeld.

Conclusie

Wellicht denkt u na het lezen van dit artikel dat de genoemde voorbeelden onmogelijk gebeurd kunnen zijn en dat dergelijke voorvallen in de praktijk niet zullen slagen. De werkelijkheid is echter dat deze en vergelijkbare aanvallen elke dag plaatsvinden en dat ondanks allerlei beveiligingsmaatregelen als beveiligingspersoneel, hekken met prikkeldraad, toegangspasjes, camerabewaking, alarminstallaties en dergelijke social engineers weten door te dringen tot het hart van de organisatie. Het uitvoeren van een social-engineering test kan een goede methode zijn om de risico’s in een organisatie in kaart te brengen en het bewustzijn van medewerkers te verhogen.

Literatuur

[Hadg01] Christopher Hadgany, Social engineering – the art of human hacking, 2010.

[Mitn01] Kevin D. Mitnick en William L. Simon, The Art of Deception, 2002.

[Paqu01] Matthieu Paques, Hacken met PDF-files, https://www.compact.nl/articles/hacken-met-pdf-files/.

[security.nl] : artikelen inzake social-engineering aanvallen http://www.security.nl/tag/social%20engineering.

Older posts
Newer posts