Het waarderen van assets is het beginpunt van alle beleid - dat is de theorie van informatiebeveiliging. Zeg maar, de traditionele kwetsbaarhedenanalyse van VIR en GRIB. Daar worden maatregelen aan gekoppeld, die worden ingevoerd en vervolgens wordt de effectiviteit bewaakt en waar nodig worden de maatregelen bijgesteld. "Regelmatige controle van beveiligingsmaatregelen en terugkoppeling van de resultaten waarborgen het niveau van beveiliging" meldt sogeti dan ook. De waardering van assets is in de regel een éénmalige exercitie. Ten onrechte. De waardering van assets kent méér dan nuances en kleine fluctuaties. Kijk maar naar de huidige arbeidsmarkt voor ICT-ers.

Enkele jaren geleden was een "profiel" van een medewerker niets waard. Het hoogste doel was het zo snel mogelijk wegwerken van deze last- en kostenposten, middels banenmarkten en zelfs via al dan niet louche outplacementbureaus. Maar nu geldt dat niet meer. Datzelfde profiel is voor veel organisaties juist hun meest waardevolle asset. De outplacementspecialisten van weleer zijn de headhunters van vandaag geworden. Deze volledige omkering van waarden is iets waar weinigen in infosec rekening mee houden.

Binnen de klassieke trias van Confidentialiteit, Integriteit en Authenticiteit valt dit vraagstuk onder confidentialiteit van bedrijfsinformatie. Het lastige is dat de informatie waar we het over hebben niet per definitie woont op het eigen netwerk. Het bevindt zich ook en vooral in de hoofden van medewerkers en in de SIM-card. Bovendien verspreidt de informatie zichzelf, bijvoorbeeld over Hyves en andere modieuze sociale netwerken.

Het treffen van maatregelen tegen de mogelijke negatieve gevolgen van headhunting is iets wat weinig voorkomt in infosec-beleid. Nu is headhunting op zich een reguliere bedrijfstak met een nuttige rol, vooral voor de medewerkers, maar het verlies van een goede medewerker kan aardig in de papieren lopen. Of een project vertragen. Laten we de exercitie maar eens uitvoeren.

Je begint met het vaststellen wie de key-medewerkers zijn en wat hun waarde voor je organisatie is. Vervolgens hang je daar beleid aan en bepaal je je maatregelen. Dit wordt over het algemeen gezien als een HRM aangelegenheid. Als beveiligingsmensen hierover iets opschrijven, zullen managers denken dat ze om opslag komen vragen. En dat is natuurlijk ook zo. Maar dit neemt niet weg dat het waar is: in tal van bedrijven zijn de medewerkers de voornaamste asset. Kijk naar de gemiddelde detacheerder. Ook voor andere organisaties zijn IT-medewerkers waardevolle assets. Heel banaal: als je dezelfde persoon moet inhuren op basis van een hunt, verdrievoudigt het uurtarief.

Met de huidige ontwikkelingen op de arbeidsmarkt voor specialisten wint dit punt snel aan belang. We zijn al zo ver dat er om één specialist bij een klant te krijgen twintig managers, salesmensen, aanbestedingsspecialisten, procesbegeleiders en bemiddelaars nodig zijn. Wordt de specialist in kwestie weggekocht, dan is de economische schade duidelijk. Er is binnen de ICT-branche vrijwel geen ander stukje informatie dat tot zo veel schade leidt als het verloren gaat. Bescherming tegen hunting hoort dan ook bij infosec.

Hoe komen headhunters aan de 'profielen' die ze zoeken? Er zijn drie paden: adverteren, viavia en profile scavinging. Adverteren hoort strikt genomen niet thuis bij de headhunters, omdat het kopiëren van een personeelsadvertentie en deze geanonimiseerd overal neerzetten, net zo veel op jagen lijkt als achter een struik gaan zitten en het geluid van een worteltje nadoen. Dit leidt overigens soms tot dolkomische taferelen: sommige hooggespecialiseerde bureaus hebben 'zoek en vervang' ontdekt, waarbij de klantnaam vervangen wordt door het woord 'klant'. Zo zag ik een vacature voor een manager 'tactklanth beheer'. Deze moest samen met de 'technklanth specialisten' oplossingen bouwen. Enig zoek-en-vervangdenken maakt duidelijk dat de klant het ISC is, en de functie tactISCh beheer. Dat er mensen zijn die 18% van een jaarsalaris van een overheidsmanager (toch misschien 9k) neertellen voor dit soort prutswerk geeft wel te denken. Of medewerkers nu reageren op een advertentie van een headhunter of op een gewone, maakt voor de casus hier niets uit: ze hebben zélf het initiatief genomen. Anders wordt het als er gerichte actie naar je personeel ondernomen wordt.

Via-via werken houdt in: mensen stimuleren om namen en telefoonnummers door te geven van specialisten die ze kennen. Misschien dat die mensen het vervelend gaan vinden door de zoveelste hunter gebeld te worden, maar verder is er weinig wat dit tegengaat. Werkgevers die hierover iets in het beleid opnemen zijn schaars. Wat wel voorkomt is dat medewerkers die uit dienst gaan geconfronteerd worden met een beding dat ze niet wat collega's mogen meenemen naar de nieuwe baas. Maar je kunt ze natuurlijk wel aan een ándere baas doorgeven. Er zijn hunters die hier geld voor betalen en betaald worden om je irritante ex-collega's een beter betaalde baan te geven. Dat is helemaal zo erg nog niet. Zo lang ze maar niet bij dezelfde baas als jij terechtkomen. Zo heb je tenminste nog iets aan die telefoonlijst met alle nummers en verjaardagen van mensen die je niet kent en niet wilt kennen.

Profile-scavinging is sterk in opkomst, zeker nu mensen meer en meer privé informatie online neerzetten. Populair is het afgrazen van sites als LinkedIn, Tweakers en Hyves. Als je een firmanaam hebt gevonden plus de naam van een medewerker, kun je de firma bellen en je met een wazig verhaal langs de receptioniste kletsen. Als je niet al direct doorgeschakeld wordt. Zoals laatst nog gemeld door Computable denkt 31% van de ICT-ers na over een andere functie. De kans dat je de medewerker kunt interesseren is dat ene telefoontje dus wel waard.

Wat kan een organisatie doen tegen headhunters? We kunnen vaststellen dat headhunters een hogere impact hebben dan een virus of een hacker. De waarschijnlijkheid van een dergelijk incident is tamelijk voorspelbaar, en op dit moment gewoon hoog.

Uit de voorbeelden komen een aantal mogelijke preventieve en correctieve maatregelen naar voren, met wisselende succeskansen.

Preventief:

• "Boeien en Binden". HR-middelen kunnen de band met de eigen organisatie wellicht versterken. Corporate identity en zo. Charismatisch management schijnt ook te helpen. Als je onderscheidend vermogen echter niet meer is dan de naam die op het loonstrookje staat en het type handsfreeset in de Megane, maak je weinig kans. Maar misschien zijn er nog mensen die vallen voor barbecues en abseilen. Karten en laserquesten zijn overigens helemaal uit.

• Afspraken met de externe leveranciers maken: als je in een groot en langlopend project van in huur gebruik maakt, kun je van de verhuurder waarborgen eisen tegen de risico's van verloop. De meerkosten zie je alleen wél terug in het tarief.

• Blokkeren van de telefoonnummers van headhunters. Lastig als je ze zelf ook inzet. Bovendien is deze blokkade gemakkelijk te passeren, anonieme SIM-kaarten genoeg.

• De receptioniste en andere medewerkers instrueren nooit direct door te schakelen en altijd te laten terugbellen ná een screening. Zullen je klanten overigens niet op prijs stellen.

• Medewerkers verbieden namen en telefoonnummers van collega's door te geven aan headhunters. Is een juridisch novum waarvan we maar moeten afwachten hoe dat uitpakt. Bovendien: hoe lang wil je dat dit beding geldig is?

• Je medewerkers uitleggen dat het gras elders net zo bruin is. Nadeel: soms is het niet waar. Bovendien is dit een boodschap die je niet eenvoudig op het intranet slingert. Waarom zouden ze je geloven?

• Als je medewerker bij een opdrachtgever zit, zullen medewerkers van andere detacheerders of van de klant zélf net zo vrolijk het profiel doorgeven. Hierover zou je met je opdrachtgever afspraken kunnen maken, wat alleen wel lastig wordt het op het gebied van sancties. Bovendien wil je ook dat je eigen medewerkers 'profielen' spotten bij de opdrachtgever....

• Geen adreslijsten van medewerkers verspreiden. De veronderstelde kennisdeling moet dan maar op een andere manier.

• Medewerkers uitleggen wat de nadelen zijn van Hyves, LinkedIn, Second Life en andere sociale sites. Een hele uitdaging: leg maar uit wat het nadeel is van meer salaris krijgen voor hetzelfde werk bij dezelfde eindklant. Bangmaken over het verlies van privacy misschien?

• Medewerkers uitleggen dat de kostenopdrijving die voorkomt uit headhunting slecht is voor de bedrijfstak en dat dit ze op termijn als 47-jarige in de bijstand zal doen belanden, ná het consumeren van de overwaarde op de woning. Het lastige is dat mensen veronderstellen dat dit alleen anderen zal overkomen. Bovendien zullen ze je er dan fijntjes op wijzen dat je zelf ook zaken doet met headhunters.

• Heb je het vermoeden dat een van je medewerkers gehunt wordt, leg hem dan in de watten. Als al je personeel gehunt wordt? Tja, dan is de kans groot dat je aan het einde van het jaar rode cijfers schrijft. Bovendien is het emuleren van een 'hunt' een wel heel succesvolle methode om opslag of een grotere leasebak te krijgen. Of een andere klus.

Bovenstaande maakt hopelijk duidelijk dat een statisch beveiligingsbeleid met een heel gebouw aan correctieve en preventieve maatregelen niet altijd een zinnige investering is. Misschien moeten we de methodes maar eens aanpassen. Daar kunnen we de klanten vast wel tegen een heel schappelijk tarief bij ondersteunen.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter