18 januari 2007 10:44

Wacht niet op de storm

Fraude is een gegeven waar IT- en beveiligingsverantwoordelijken in bedrijven altijd rekening mee moeten houden. Preventie, ontmoediging en detectie ervan zijn kerntaken.

Proactieve maatregelen tegen fraude moeten geintegreerd zijn met het beveiligingsprogramma. Want IT-beveiliging wordt steeds meer een onderdeel van de beveiliging van het bedrijf in het algemeen. Vormen van fraude die rechtstreeks of onrechtstreeks met IT te maken hebben, zijn onder meer identiteitsdiefstal, manipulatie van aankoopprocessen, diefstal van vertrouwelijke informatie of van intellectueel eigendom, en verduistering.

Maar de beheerprocessen van ondernemingen worden steeds complexer. Het gaat vandaag niet meer op om fraude te beschouwen als een ongeluk dat je kan overkomen. Bedrijven moeten weten op welke domeinen zij het meest vatbaar zijn voor fraude. Dat betekent dat er een anti-fraudeprogramma moet zijn. Er moet ook een cultuur worden gevormd van eerlijkheid en ethiek, en de processen en methodes die tegen fraude in het leven worden geroepen, moeten regelmatig worden geëvalueerd.

Experts in IT-beveiliging moeten over voldoende kennis beschikken om fraude te detecteren en de fraudeurs te vinden. Er bestaan specifieke technieken om informatie te verzamelen, identificeren, analyseren en presenteren zodat die, waneer nodig, kan worden gebruikt bij een juridische vervolging. De analyse van grote hoeveelheden gegevens die afkomstig zijn van verschillende bronnen en systemen, dat vereist kennis en routines die niet geïmproviseerd mogen worden. Soms is het essentieel om het terrein voor te bereiden, zodat men kan optreden als er een verdacht evenement wordt geconstateerd. De gegevens zodanig voorbereiden dat detectie en analyse vergemakkelijkt worden, de juiste tools aanschaffen en de nodige kennis verwerven, dat zijn taken die op voorhand gepland moeten worden.

Er is kennis nodig van de gespecialiseerde software die voor een onderzoek gebruikt wordt. De speurders en de werknemers van het bedrijf, of het nu informatici zijn of beveiligingsmensen, zij moeten allemaal nauwkeurig de regel van de verwerkingsketen volgen. Dat is een methode die elke stap identificeert en documenteert, vanaf de ontdekking van het bewijsmateriaal tot de classificatie ervan als bewijsstuk. Daarbij moeten alle personen die bij het onderzoek betrokken waren en eender wie anders die toegang had tot het bewijsmateriaal, worden geïdentificeerd.

De meeste bedrijven zullen fraudespecialisten inroepen wanneer hun expertise vereist is. Toch is het essentieel om een minimale interne kennis te ontwikkelen, om ervoor te zorgen dat de basis aanwezig is voor identificatie en analyse bij de ontdekking van een mogelijk fraudegeval. Als zo’n basiskennis niet aanwezig is, zal het personeel niet beschikken over de middelen en reflexen die nodig zijn vóór de komst van de externe experts en de speurders.

Terwijl uw recentste risicoanalyse gevoelige informatie identificeert, en wijst op risico’s van manipulatie voor geldelijk voordeel of andere doeleinden, is het nuttig om ervoor te zorgen dat u beschikt over deze basis van kennis, instrumenten en praktijken. Wacht niet op de storm.

Georges Ataya is professor aan de Solvay Business School, afgevaardigd bestuurder van ICT Control SA-NV en vice president international van het IT Governance Institute.