Magazine voor Informatiemanagement
Interview met Ernst Oud Social engineering Digitaal rechercheren bij de NMa Your organizational knowledge base
Jaargang 11 - Editie 1 Mei 2012
Vo l .
31
INHOUDSOPGAVE
PAGINA 4
Ernst Oud
.ego Magazine sprak met Ernst Oud over informatiebeveiliging, terwijl de rest van Nederland al bijna aan het kerstdiner zat. Ernst Oud heeft een goede kijk op dit vakgebied door meerdere jaren ervaring in tal van functies binnen het Information Management vakgebied. Eén van deze functies is de functie welke Ernst op dit moment vervuld als ISO (Information Security Officer) bij Kerncentrale Borssele. Met nadruk dient gezegd te worden dat de uitspraken binnen dit interview zijn gedaan op persoonlijke titel en niet vanuit zijn functie bij deze kerncentrale of één van de andere functies welke Ernst heeft vervuld of momenteel vervult.
Social engineering
Vandaag de dag maak t haast iede r bed r i jf geb r ui k van i nfo r matie techno l og ie (I T). D eze I T i s k wet sbaa r voo r ve r sch i l l ende bed reig i ngen. Een o rgan i satie kan de bes te bevei l ig i ng s tech no l og ieën aanschaf fen en hun mensen zo goed mog el i j k t ra i nen, maa r ze b l i jven zo s te r k a l s de z wak s te schakel: de mens.
Pagina 16 In deze uitgave Artikelen 9
Does your organizational knowledge base really matter?
16
Social engineer ing
22
eDiscover y in het mededingingsrecht: doeltreffend genoeg of kan het (nog) beter?
28 33
Interviews 4
Ernst Oud, Information Secur ity Officer bij kerncentrale Borssele
Afgestudeerden 41
Afgestudeerden (juni 2011 - apr il 2012)
.ego Weblog 44
Is het post-pc tijdperk aangebroken?
Digitaal rechercheren bij de NMa
46
Acqhir ing: de nieuwe vorm van recruitment
In mergers & acquisitions: don’t ignore it!
Oud IM’ers aan het woord
Columns 15
Internet op z war t? De (on)macht van de content industr ie
21
Sociale isolatie
38
Drs. Ouke Ar ts M MC
39
Drs. Gerard Cillessen
40
Drs. Pim Jörg
Wil je een onderwerp terugzien in de .ego? Twitter mee!
#ego @dotegomagazine
COLOFON
Follow us on
#verder
Voor u ligt dan eindelijk de eerste uitgave van het .ego magazine van jaargang 11. Met een grotendeels nieuwe redactie, ondergetekende als nieuwe hoofdredacteur en een nieuw design w illen w ij u een mooie reek s magazines aan gaan leveren van het niveau dat u gewend bent van onze voorgangers. Vol goede moed trappen w ij dan ook af met deze interessante en mooi vormgegeven eerste editie. In deze editie v indt u onder andere een ar tikel over beveiligingstechniek. Zoals bekend, is die zo z wak als de z wak ste schakel: de mens. Joost van Beijster veld beschr ijft hoe bedr ijven zich moeten wapenen tegen social engineer ing. Ook hebben we een erg leuk inter v iew over beveiliging met Ernst Oud, Information Secur ity Officer bij Kerncentrale Borssele. Oud .ego bekenden Bas en Emile vroegen hem naar zijn persoonlijke er var ingen met informatiebeveiliging door de jaren heen. In een ander ar tikel ver telt Mar tin Goossen ons over zijn v isie op knowledge management. Hij gaat in op de vraag wat een kennisbank er binnen een organisatie toe doet. Verder twee ar tikelen met daar in een interessante discussie omtrent eDiscover y bij de Nederlandse Mededingingsautor iteit, een ar tikel over het belang van IT bij fusies en overnames en twee fr isse columns tussendoor om het lekker luchtig te houden. Veel plezier bij het lezen van deze 31e editie van het .ego magazine. Een editie waar we trots op zijn, op naar de volgende! @Mark Musters
Het semi-wetenschappelijke magazine .ego is een uitgave van studievereniging A sset | SBIT in samenwerking met alumnivereniging EK SBIT. A sset | SBIT is de Tilburgse vereniging voor studenten Information Management en andere geïnteresseerden in dit vakgebied. Het magazine wordt verspreid onder alle leden van A sset | SBIT en de alumnivereniging EK SBIT, de medewerkers van het depar tement Information Systems and Management aan Tilburg University en geïnteresseerden uit het bedr ijfsleven.
Redactieadres A sset | SBIT Kamer E116 t.a.v. redactie .ego Postbus 90153 50 0 0 LE Tilburg [t] 013 – 4 66 2998 [f ] 0 8 4 - 839 1373 [e]
[email protected] [i] w w w.asset-sbit.nl/ego
Redactie
Grafisch Ontwerp
Oplage
Jeroen Bekkers Xander Bordeaux Gieljan Everaer t Carlijn Fr ins Toine van den Hurk Stijn IJzermans Mark Musters Ger tjan Scholten
SBIT DsK.
60 0 exemplaren
Vormgeving
Copyright
Wouter van Ooijen Bar t Ottenheim Rodney Dekkers
Voor overname van (delen van) ar tikelen dient schr iftelijk toestemming te worden gevraagd aan de redactie. In de ar tikelen gedane uitspraken vallen onder de verantwoordelijkheid van de desbetreffende auteurs.
Druk Orangebook, Tilburg
Ernst Oud .ego Magazine sprak met Ernst Oud over informatiebeveiliging, terwijl de rest van Nederland al bijna aan het kerstdiner zat. Ernst Oud heeft een goede kijk op dit vakgebied door meerdere jaren ervaring in tal van functies binnen het Information Management vakgebied. Eén van deze functies is de functie welke Ernst op dit moment vervuld als ISO (Information Security Officer) bij Kerncentrale Borssele. Met nadruk dient gezegd te worden dat de uitspraken binnen dit interview zijn gedaan op persoonlijke titel en niet vanuit zijn functie bij deze kerncentrale of één van de andere functies welke Ernst heeft vervuld of momenteel vervult.
‘‘
Smartphones zijn in meerdere opzichten gevaarlijke apparaatjes
INTERVIEW MET ERNST OUD
Door: Emile Bons en Bas van Steen
Wij vroegen Ernst naar de huidige stand van de informatiebeveiliging binnen Nederland en organisaties binnen Nederland. Ernst geeft aan dat het over het algemeen prima geregeld is met de informatiebeveiliging maar dat Nederland zeker geen koploper is op het gebied van informatiebeveiliging. Desalniettemin loopt Nederland in de pas in vergelijking met andere West-Europese landen zoals Frankrijk en Duitsland. Volgens Oud lopen landen die te maken hebben gehad met terrorisme, zoals Engeland (IRA) en Duitsland (RAF), vooral voorop met informatiebeveiliging. Deze positie van Nederland neemt niet weg dat dit artikel al bijna gevuld had kunnen worden met boeiende anekdotes over de informatiebeveiliging binnen organisaties waarin Ernst Oud actief is geweest. Ernst Oud startte zijn carrière na de HTS bij Philips. Ernst vertelt
Eigenlijk, zo stelt Ernst, is het vakgebied van informatiebeveiliging
ons dat Philips een tijd lang één van de koplopers was in de
al “zo oud als de weg naar Rome”; het principe van
computertechniek maar deze koppositie na een aantal jaren heeft
informatiebeveiliging bestond al ver voor het ontstaan van
verloren. Ernst maakte bij Philips gebruik van een draagbare
informatiesystemen. Wat dat betreft, zo stelt hij, is de beveiliging
computer van Toshiba. Hij zag dat dit de toekomst van computers was
van een informatiesysteem nog steeds te vergelijken met de
en wilde hier bij zijn, zo besloot hij bij Toshiba te gaan werken. “In
beveiliging van een burcht “waarbij er aan de ene kant wachttorens
die tijd had Defensie een flink aantal van die draagbare computers
en bewakers zijn en aan de andere kant indringers die moeilijk de
en daar raakten er ook steeds meer van verloren. Een van de vragen
gracht over komen”. Wat wel verschilt, zo licht Ernst toe, is het feit
waarmee ze naar mij kwamen was: hoe kunnen we voorkomen dat
dat informatie steeds compacter is geworden, niet meer fysiek hoeft
men de data kan misbruiken op het moment dat ze de beschikking
worden weggenomen en er ook digitaal kan worden ingebroken.
krijgen over zo’n computer?” Zo kwam Ernst in contact met Crypsys;
“Veel waardevolle informatie ligt tegenwoordig bij elkaar, het
een kleine organisatie die zich specialiseerde in de encryptie van
is vergelijkbaar met een schatkamer van vroeger. Als indringers
gegevens, alwaar hij zijn carrière voortzette. In het verdere verloop
eenmaal binnen zijn, is het eenvoudig om grotere hoeveelheden data
van zijn carrière raakte Ernst ook betrokken bij de uitbreiding van de
te vergaren.”
consultancy afdeling van het computer-uitwijkcentrum van Getronics in Lelystad. Ernst vertelt ons dat een dergelijk uitwijkcentrum in
Het enige probleem met de indringers van nu is dat deze heel
de huidige tijd voor steeds minder organisaties een goede oplossing
eenvoudig over dezelfde middelen kunnen beschikken als de middelen
is. “In de loop der jaren is de informatievoorziening voor veel
waarover de organisatie beschikt die zichzelf poogt te wapenen tegen
organisaties steeds belangrijker geworden. Daardoor moeten hun
deze indringers. “Het is voor een indringer kinderlijk eenvoudig om
informatiesystemen zo goed als continu beschikbaar zijn. Dit is met
antivirus software te kopen voor ongeveer 100 euro om daarmee
een uitwijkcentrum toch vaak lastig te bewerkstelligen, omdat het
te zien hoe hij zijn ‘malware’ moet schrijven om onopgemerkt te
vaak niet mogelijk is om een informatiesysteem eenvoudig binnen
blijven.” Bovendien, zo geeft hij aan, is het met de veelzijdigheid
enkele uren op een andere fysieke locatie operationeel te hebben.”
aan platforms en apparaten waarop informatiesystemen actief zijn veel lastiger geworden om informatiebeveiliging efficiënt toe
Verder werkte Ernst enkele jaren voor Urenco, een organisatie
te passen. Hierbij haalt Ernst een quote aan van Bill Gates: “de
gespecialiseerd in het verrijken van uranium. Dit proces van het
functionaliteit van een informatiesysteem zal het altijd blijven
verrijken van uranium is altijd een staatsgeheim geweest en heeft
winnen van de beveiliging van deze systemen”.
destijds voor politieke onrust gezorgd bij het lekken daarvan. Vanuit deze functie is Ernst overgestapt naar Deloitte en daarna naar
Waar wij eigenlijk over wilden spreken met Ernst is de ultieme vraag:
Microsoft om, sinds 2008, vanuit zijn eigen onderneming actief te
wanneer kun je stellen dat een informatiesysteem veilig is? Ernst
zijn.
geeft aan dat het relatief eenvoudig is om te bepalen wanneer een
5
informatiesysteem veilig is: dit is het geval wanneer het restrisico
Bedrijven realiseren zich volgens Ernst te weinig wat de informatie
aanvaardbaar is. Daarbij nemen wij in ogenschouw dat het restrisico
waarover zij beschikken waard is voor kwaadwillenden. Ook
niets anders is dan het niet door de beveiligingsmaatregelen
werknemers, die vaak de zwakste schakel zijn in het proces,
afgedekte risico vermenigvuldigd met de kans van optreden.
beseffen niet wat de waarde van de data op een USB stick kan zijn.
“Natuurlijk”, zo geeft Ernst aan, “is het niet altijd eenvoudig om
Oud trekt hierbij graag het vergelijk met een diamant. Als de USB
vast te stellen wat dat restrisico is en hoe groot de kans is dat dit
stick een diamant was dan zou iedereen hem uit het zicht houden
restrisico optreedt”. Tevens is het van belang dat het toetsen van dit
en veilig in zijn binnenzak bewaren. Helaas is dit bij een USB stick
risico en het bepalen van de beveiligingsmaatregelen niet door één
niet zo, terwijl de inhoud ervan van grotere waarde kan zijn. Een
en dezelfde persoon binnen de organisatie uitgevoerd moet worden.
andere misrekening waar Ernst voor waarschuwt is de zogenaamde
“Zo komt het vaak voor dat de ICT-manager zelf bepaalt of het
‘stepping stone’ functie die bedrijven kunnen spelen. Het bedrijf
restrisico aanvaardbaar is, waar hij eigenlijk de gebruikersorganisatie
realiseert zich dan te weinig dat de informatie die zij heeft door
zou moeten vragen om aan te geven of dit het geval is.” Het
kwaadwillenden gebruikt kan worden om bij een ander te gebruiken.
voorbeeld van de manager die zelf bepaalt dat bij het mislukken
Om het principe te verduidelijken geeft hij het voorbeeld van
van de dagelijkse back-up de maatregel van het onderzoeken en
een bedrijf dat tokens maakt. Deze tokens worden gebruikt voor
de volgende dag opnieuw proberen voldoende zou zijn is hierin
toegangscontrole bij diverse organisaties. Op een moment werd
sprekend. Eigenlijk zou deze manager te rade moeten gaan bij de
er bij het bedrijf dat de tokens maakt ingebroken. Hier werd niet
proceseigenaar of het aanvaardbaar is om van deze back-up een dag
veel aandacht aan besteed, er was niets van waarde weg. Twee
te kunnen missen. Het lastige met dit risico is dat het vaak wel te
maanden later bleek dat er informatie over de werking van de
becijferen is, maar dat de ervaring van het risico door de burger of
token was gestolen en deze werd gebruikt bij een inbraak bij een
eindgebruiker vaak verschilt met datgene wat becijferd is. “Denk
vliegtuigbouwer.
hierbij aan het risico dat een kerncentrale lekt versus het risico dat je met je auto een ongeluk hebt; het eerste is wel als een kleiner
We vragen Ernst Oud naar opkomende risico’s. Hij houdt lachend zijn
risico becijferd, maar wordt vaak als groter ervaren. Uiteindelijk is
smartphone in de lucht. “Dit zijn in meerdere opzichten gevaarlijke
het de ervaring van de gebruiker of burger die daarin het meeste
apparaatjes” aldus Ernst. De ontwikkeling gaat zo hard, dat is niet bij
telt.”
te houden. Hiervoor geldt zeker dat functies boven veiligheid gaan. “Op een gemiddelde desktop,
Tegelijkertijd is risico niet per definitie
draait nog wel iets dat ‘malware’ tegengaat.
negatief. “Sprekend is hierin de oude
Maar op zo’n apparaatje draait helemaal
reclame van de Staatsloterij waarbij
niets om de gebruiker te beschermen” zegt
men sprak van het grootste risico om
Ernst. Je kan als gebruiker enkel software
miljonair te worden”, zo stelt Ernst. Een
uit een ‘market’ of ‘store’ downloaden.
wereld zonder risico is volgens Ernst
“Maar Google kan natuurlijk nooit 400.000
ook niet de meest spannende
apps goed controleren. Je weet niet wat voor
wereld. Immers, het
kwaadwillende code erin zit en, als het
bepalen en (al dan niet
al bekend wordt, is het vaak
bewust) nemen van dit
al te laat.” Volgens Ernst is
risico maakt het maken van
het verwonderlijk dat banken
keuzes interessant.
massaal apps uitbrengen om elektronisch te bankieren.
Het vervelende aan het vakgebied van informatiebeveiliging vindt Ernst dat maatregelen vaak “als een soort van pleister” worden toegepast.
Hackers zijn volgens hem massaal de aandacht op Windows aan het verminderen en richten zich inmiddels meer op Android.
“Het gebeurt nog veel te weinig, in mijn ogen, dat het gehele
6
denkproces achter informatiebeveiliging wordt meegenomen wanneer
We vragen hem over zijn visie op het moderne cloud computing.
het gaat om het vaststellen of inrichten van een bedrijfsproces.” Het
Ook dit is volgens Ernst niet echt nieuw. Uitbesteden doen we
vakgebied van informatiebeveiliging is volgens hem nog onderbelicht
volgens hem al heel lang. Als je het ziet in de Deming cirkel, zegt
binnen het vakgebied van Informatie Management.
hij, besteed je enkel het eerste kwart, ‘plan’, uit. De overige 75%
Kerncentrale Borssele
interview met ernst oud
moet je nog wel zelf doen. Hij zegt dat dit makkelijker gezegd
de onderliggende processen blijken dusdanig goed in elkaar te zitten
is dan gedaan. Je kan als auditor moeilijk naar Amazon.com (een
dat ook dit niet tot ongewenste situaties kan leiden.
van de grootste aanbieders van cloud oplossingen, red.) toegaan en vragen waar je data staat. Waarschijnlijk krijg je wel antwoord
In het algemeen kan volgens Ernst gesteld worden dat er momenteel
waar het regulier is, maar niet wanneer er onderhoud is. Volgens
nog niet altijd even goed met informatiebeveiliging wordt omgegaan.
Ernst zijn er dan ook veel Nederlandse bedrijven die hier onbewust
Om dit kracht bij te zetten vertelt hij een verhaal over een grote
de wet mee overtreden. Bepaalde persoonsgegevens mogen niet
retail organisatie. Hij had de opdracht om de informatiebeveiliging in
zonder toestemming van justitie worden opgeslagen buiten Europees
kaart te brengen. Al snel bleek dat de hele bevoorrading van filialen
grondgebied. Wanneer een data center in onderhoud is worden de
werd geregeld door een oude Compaq computer met daarop een
gegevens tijdelijk opgeslagen in een ander gedeelte van de cloud, dit
programma dat specifiek voor een 286 processor was geschreven.
hoeft niet perse binnen Europa te zijn.
De computer verzamelde alle data van de kassa’s van de filialen en zorgde voor bevoorrading. Volgens hem werd de computer op
Ernst kwam in het vizier van de .ego redactie doordat hij betrokken
dat moment ongeveer al 20 jaar niet meer gemaakt. Uit navraag
is bij de informatiebeveiliging van de kerncentrale in Borssele.
van Ernst bleek, dat als de computer het zou begeven, er na
Het mooie van een kerncentrale is dat het goed tot de verbeelding
ongeveer vier dagen niets meer verkocht kon worden. Het bedrijf
spreekt, een dergelijke centrale is wel het laatste waar je een lek
verweerde zich met een planning dat er over drie maanden een
in de beveiliging wilt hebben. Volgens Ernst is een kerncentrale
nieuw systeem zou draaien. Hier had Oud de nodige vraagtekens bij.
niet heel spannend, in feite is het volgens hem vergelijkbaar
Voor de verduidelijking heeft hij eenzelfde 286 voor enkele euro’s
met andere organisaties in de procesindustrie. Er zijn volgens
via Marktplaats gekocht en deze bij de oplevering van het rapport
hem op de Maasvlakte bedrijven die een hoger risico hebben. De
cadeau gedaan.
kerncentrale is gebouwd eind jaren ‘60. In die tijd was alles nog overzichtelijk met kasten met printplaten en relais. Er is sinds die
Zoals de traditie betaamd hebben we Ernst gevraagd naar wat hij
tijd veel gedigitaliseerd, maar er is vanaf het begin goed rekening
de toekomstige informatiemanager wil meegeven. Hier is Ernst zeer
gehouden met de veiligheid. Zo zijn er binnen de centrale maar
duidelijk over: “er moet meer aandacht aan informatiebeveiliging
weinig systemen die in verbinding staan met de buitenwereld.
worden besteed; vanaf het ontwerpen van processen moet
Hij is dan ook niet bang dat mensen met slechte bedoelingen erin
informatiebeveiliging worden meegenomen”. Het is niet verstandig
slagen om bijvoorbeeld de sturing van de reactorstaven direct te
om achteraf experts er na te laten kijken, je moet deze vooraf al
bedienen. “Maar”, zegt hij, “ook hier geldt dat de mens een zwakke
mee laten denken. Dit is volgens hem beter en vaak uiteindelijk ook
schakel is in het geheel”. Hij is meer bezorgd over het feit dat de
goedkoper. Als afsluiter geeft hij mee dat de eindgebruiker op de
systemen die wel met de buitenwereld in verbinding staan zouden
hoogte van de risico’s moet zijn, zodat hij kan bepalen of hij zich
worden overgenomen; en deze vervolgens foutieve informatie gaven.
prettig voelt bij het restrisico.
Informatie die medewerkers verkeerd laat handelen. Dit is getest1 en 1 Het rapport is te vinden op www.kerncentrale.nl
7
www.werkenbijpwc.nl
Soms hou je alle opties open
Soms weet je direct waar je aan de slag wilt Kom verder op werkenbijpwc.nl
Tijdens je studie heb je een schat aan kennis opgedaan, je bent ambitieus en nu wil je aan de slag. Bij ons kun je al je kwaliteiten volop ontwikkelen.
Je ideeën zijn meer dan welkom Ook wij zijn ambitieus. We willen op de gebieden Audit & Assurance, Tax & Human Resource Services, Advisory en Compliance Services de beste oplossingen bedenken voor onze klanten. Dat kan alleen als onze mensen verschillende invalshoeken hebben. Dus maakt het minder uit wat je gestudeerd hebt. Het gaat om je ideeën.
Blijf je ontwikkelen Je krijgt op dag één een coach, werkt samen in teams met inspirerende collega’s en volgt opleidingen. Zo ontdek je waar je kracht ligt. Je kunt switchen tussen sectoren, bijvoorbeeld tussen beursgenoteerde ondernemingen en de overheid. Je kunt ook van PwC-vestiging veranderen, binnen Nederland of over de grens.
Pak de ruimte die je krijgt Je gaat bij ons aan de slag in een open kennisorganisatie. We werken met passie en een gezonde dosis lef; zijn open, integer en eerlijk. Het gaat er bij ons informeel aan toe. Je initiatieven zijn welkom. Je start je carrière vliegend, ontwikkelt je volop en haalt het beste in jezelf naar boven. Want daar worden onze klanten, wij én jij beter van.
© 2012 PricewaterhouseCoopers B.V. (KvK 3412089) Alle rechten voorbehouden.
Does your organizational knowledge base really matter?
Martin C. Goossen
A s s w if tly as it appea red i n the end of the p revious centu r y, as quick ly as it disappea red on ly seve ral yea r s late r : k now ledge management. Its rapid r ise and subsequent wani ng is p robably related to a lack of st rong fundamental p r i nci ples, the reby mak ing it the nex t management fad in the f ields of innovation, human resou rces, and i nfo r mation management. Neve r theless, it has rei nvigo rated p ractitione r s’ and academics’ i nte rest in the role of k now ledge fo r i nnovation. And it ra ised once mo re the question: i n the end, does the o rgani zational k now ledge base real ly mat te r ?
Yes!
About the author Mar tin Goossen is currently a Ph.D. candidate at the Strateg y Depar tment of HEC Par is, a French business school near Versailles. In 2010 he graduated from Tilburg University w ith a master’s degree in Information Management after hav ing studied finance and management in the Netherlands and the UK.
9
The issues with knowledge management
management-by-numbers, which immediately reduces
Knowledge management compr ises all organizational
manager ial interest and resource allocation. Besides,
practices related to the creation, absorption, distr ibution,
the social and tacit nature of knowledge suggests that
dispersion, application, retr ieval and maintenance of
organizations have hardly any means to influence and guide
knowledge. It ranges from employee training by senior
knowledge shar ing and application. For example, Nonaka’s
colleagues to wr iting detailed manuals for standard
well-known SECI model descr ibing four modes of knowledge
operating procedures. To express the impor tance of
conversion (socialization, externalization, combination,
knowledge for competition and per formance, Nonaka et
internalization) gives managers ver y few handles to steer
al. (1992) reconceptualized the firm as a combination
and manage organizational knowledge.
of three different layers (see Figure 1). Or iginally the organizational structure w ith its div isions, functions,
Making knowledge assets and flows v isible
and operations is captured by the business-system layer
This ar ticle’s main objective is to assess the claims made
whereas the project-team layer outlines how employees
by knowledge management, but knowledge assets and flows
interact and are allocated to par ticular projects. Both of
need to be made tangible in order to do so. Therefore we
these structures draw upon the fuz z y knowledge base layer
turn to the semiconductor industr y where knowledge is
that includes and makes available all knowledge present in
v isible v ia patenting activ ities. Since its initiation in the
the organization.
1950s, the semiconductor industr y has been character ized by high R&D intensity, strong patent protection, and rapid
A major issue contr ibuting to the reduced interest in
product development based upon technological innovation.
knowledge management is its intangible nature. The
Patents are in fact externalized knowledge w ith a
relevance of knowledge management processes for product
detailed descr iption of a technological invention, though
and process innovation have been identified v ia inter v iews
inventors generally agree that the patent is merely a par t
w ith people in the field, but are often hard to obser ve.
of the skills and know-how used to create the invention.
The intangible nature of knowledge management makes it
Never theless, patents have two character istics used to
impossible to set clear measurable objectives and apply
obser ve knowledge: classification and citations.
Project-system layer Collaboration among project teams to promote knowledge creation
Teams are loosely-coupled around organizational vision Team members form a hyper network across business-systems
High accessibility to knowledge-base by individual members
Business-system layer Dynamic knowledge cycle continuously creates, exploits and accumulates organizational knowledge
Knowledge-base layer
Figure 1: The knowled ge - creating company (Nonaka et al., 1992)
10
Organizational vision, culture, databases, etc.
Does your organizational knowledge base really matter?
438 Figure 2: K nowled ge ba se layer of Texa s Instruments (1998-20 0 0, simplified)
257 326 365
712
361
323
711 327
714 710 360
708
375
330
341
370 348
318
704
Take for instance Texas Instruments’ patent 5335276
env isioned by compar ing two knowledge base snapshots of
descr ibing tablet computers. It is among others classified
the same firm at different moments in time to see which
in categor y “380 – telephonic communications”. Because
nodes (types of knowledge) have been added.
of that, we can assume that the firm has at least some patents also have citations: references to other
The value of knowledge management: diversity and dynamics
technologies that the inventors have drawn upon to develop
After v isualizing the knowledge base layer, we can assess
the novel technolog y. For instance, this patent cites the
the value of knowledge diversity for innovation. On the
older patents 4712242 and 505 4 0 82 which fall both in
one hand, proponents have argued that heterogeneity
categor y “70 4 – data processing”. This means that the
stimulates creativ ity. When R&D staff can draw upon
inventors have used data processing knowledge to create
a var iety of technologies and mater ials, it increases
this new technolog y as well.
the probability of solv ing technological challenges and
knowledge of telephonic communications. Similarly,
developing new products. On the other hand, too much The knowledge base layer of a semiconductor firm becomes
diversity may harm the productiv ity of inventors because
v isible if all recent patents of a firm are pooled together.
of confusion and cooperation difficulties. More diversity
Figure 2 shows a simplified version of the knowledge base
in exper tise and know-how make more options available,
of Texas Instruments dur ing 1998 till 20 0 0. The nodes
but might make it harder to select and pursue the most
represent the different types of technological knowledge
successful ones. Resolv ing these two opposing arguments
(based on the patent classes) and are sized by the number
is obv iously necessar y to create effective knowledge
of times Texas Instruments has drawn upon this par ticular
management policies.
of knowledge for its R&D activ ities. The link s between the nodes represent the knowledge flows (if different types
The semiconductor industr y reveals that firms w ith a
of knowledge are combined in new innovations) and the
larger diversity in their organizational knowledge base
weight indicates to what extent these types of knowledge
have on average fewer but higher quality technological
are combined. For instance, it is obv ious that technolog y
innovations. Knowledge base homogeneity leads to more
classes 438 (“semiconductor manufactur ing”) and 375
focused R&D, which aids inventors in quickly identify ing
(“pulse communications”) are impor tant, but not combined
new applications for the same knowledge. But then again,
for new inventions. Knowledge diversity is displayed in
novel technologies developed by a firm w ith more diverse
this picture by the number and size of the different nodes.
exper tise are of a higher quality: they are more often
Knowledge integration is v isualized v ia the presence and
copied by or incorporated in the products of competitors
strength of linkages between the nodes. Learning can be
in the industr y. Heterogeneity of knowledge prov ides more
11
alternatives to inventors, who eventually develop more
The results regarding knowledge learning, diversity
w idely applicable innovations after a careful evaluation.
and integration for technological innovation should be interpreted carefully. In fact, firms pass through a
The opposing outcomes for quality and quantity hint at
continuous c ycle: learning new knowledge br ings diversity
a trade-off given time and resource constraints. Draw ing
w ithin the organization and knowledge diversity allows for
upon a single type of technological knowledge requires less
more integration. By fine-tuning the degrees of learning,
time and resources, but reduces the number of options to apply it in novel ways. Conversely, including multiple
- Selective recruitment
exper ts on different types of techniques prov ides a larger
Technological learning
number of potential solutions, but analy zing and evaluating each option is more time-consuming.
- Employee training - Basic research
-
Besides the composition of the organizational knowledge also matter. Referr ing to Figure 2, organizations can change the composition (the number and size of the nodes) of the knowledge base v ia learning new knowledge
+
Quantity of innovations
base, the dynamics of this knowledge base over time
-
require executives to choose between exploiting present skills and exper tise v ia recombination and explor ing new technologies v ia learning and exper imentation. While integration of present knowledge seems more
Quantity of innovations
as well as the structure (the presence and size of the link s) v ia knowledge integration. Constraints in a firm
- Technological expertise
Knowledge diversity
- Skills and know-how
+ +
efficient than learning new knowledge, it is unlikely that organizations in high-tech industr ies can sur v ive w ithout the latter.
- R&D experience
- Project structure
Knowledge integration
- Team composition - Job rotation
Never theless, the results of this study indicate that integration increases both the quantity and quality of innovations whereas learning actually has a negative impact on the number of innovations. Learning is expected
Figure 3: Relationships w ithin and bet ween the knowled ge ba se layer and firm technolo g ical innovation
to reduce the number of inventions because developing
executives can influence the degree of knowledge diversity
new knowledge is a time and resource intensive process
to optimize the quality/quantity trade-off. At the same
involv ing practice and exper imentation by all employees.
time they should also consider the effects of the project-
Moreover, novel knowledge may not be immediately
team layer upon realizing knowledge recombination
applicable in the firm’s R&D processes. Surpr isingly,
oppor tunities. Finally, past research on absorptive capacity
learning has no direct relationship w ith the quality of
has shown that there is a feedback loop from knowledge
technological inventions in the semiconductor industr y.
diversity to learning. Figure 3 summar izes the outcomes of
In contrast, combining the present knowledge resources
this study as a process scheme.
in novel ways is an effective method for improv ing firm innovative per formance. Since the know-how and skills are already present w ithin the firm, R&D staff can efficiently
Practical applications
collaborate to create new solutions that build upon
This research prov ides two practical applications
this diverse technological knowledge. Simultaneously,
for knowledge managers: per formance measurement
recombining technological exper tise and skills in which
and benchmarking. First, by transforming knowledge
the firm has a proven track record improves the quality of
management from a fuz z y and intangible towards an
technological inventions.
obser vable and measurable process, managers can
I. Nonaka, N. Konno, K. Tokuoka, and T. Kawamura (1992). Hypertext organization for accelerating organizational knowledge creation. Diamond Harvard Business, August-September
12
Does your organizational knowledge base really matter?
ATI techonologies
Xilinx
National Semiconduct
$ 1.4 bln
$ 1.7 bln
$ 2.1 bln
Quantity of innovation
25
186
215
Quality of innovation
2.0
3.8
2.5
Annual revenue R&D expenditure Technological learning Knowledge diversity Knowledge integration
Figure 4: B enchmark of three semiconduc tor firms in 20 0 0 (compared to overall industr y)
track the per formance of their knowledge management
knowledge management practices of these competitors
strategies over time. Par ticularly in innovation intensive
largely differ: all of them have a relatively diverse
industr ies, like semiconductors, managers should develop
knowledge base, but Xilinx is more active in recombining
and implement a knowledge management strateg y w ith
different types of exper tise while ATI fails to learn
a set of practices and a number of clear objectives.
new skills and knowledge. There is a substantial
Regular evaluation of the effectiveness of this strateg y is
difference in the number and quantity of technological
facilitated by knowledge measures that indicate strategic
innovations created by these three firms: ATI is clearly
per formance. M oreover, if organizations can find proxies
underper forming and where National Semiconductor
for knowledge assets and knowledge dynamics, managers
had the largest number of inventions, the inventions by
can develop scorecards that help in steer ing knowledge
Xilinx are of a much higher quality. Benchmarking the
management practices more effectively.
organizational knowledge of one company w ith the main
A second relevant outcome of this study is related to
competitors is useful because it predicts the strength of
competitor analysis. In par ticular industr ies, like the
technolog y and product based competition in the near
semiconductor industr y, the organizational knowledge
future.
base is also v isible for outsiders (v ia patents, government records, publications, etc.) and measures similar to the
Never theless, much work remains to be done. One
ones in this study can be used to compare knowledge
major area for fur ther investigation is related to the
management per formance of competitors. Figure 4,
determinants of knowledge diversity, learning and
for instance, shows an exemplar benchmark of ATI
integration. Whereas we know that par ticular practices
Technologies, Xilinx and National Semiconductor, three
stimulate or inhibit knowledge creation, diffusion and
medium-sized semiconductor firms, in the year 20 0 0.
application, the relative effectiveness of these practices is
Besides their size and relative R&D expenditure, the
still unknown.
Conclusion Knowledge management is in decline. Par tially justified by creating unrealistic expectations regarding its contr ibutions to firm per formance, par tially because it failed to mater ialize into a clear set of manager ial practices related to par ticular outcomes. For that reason this ar ticle per formed a study to test some of the most prominent claims of knowledge management. It shows how knowledge diversity, learning and technological recombination have different effect upon the quantity and quality of a firm’s inventions. M oreover, by making knowledge base composition and dynamics quantifiable, managers are prov ided w ith a set of per formance measures that can guide the internal knowledge management strateg y. Similar metr ics may facilitate competitor benchmarking by corporate executives concerned about the firm innovative per formance.
13
W W W.G A A A N . N U
© 2011 KPMG N.V., alle rechten voorbehouden.
Scriptietip # 3:
EEN INHOUDSOPGAVE IS HET HALVE WERK “Bepaal eerst het raamwerk van je scriptie, dan heb je houvast bij het schrijven.” Kijk voor meer tips op facebook.com/kpmgscriptiecoach. Of beter nog: schrijf je scriptie bij KPMG.
Internet op z wart? De (on)macht van de contentindustrie
Door: Ronald Leenes
COLUMN
Ergens begr ijp ik het wel, neem Homeland. Deze spraakmakende Amer ikaanse T V ser ie is een paar weken
geleden van star t gegaan op BNN. Ik las er pas later over in de krant en heb daardoor aflever ing 1 gemist. De ser ie wordt niet alleen op T V uitgezonden, maar is ook v ia BNN- gemist tot een aantal dagen na uit zending online te bekijken. In het geval van Homeland, was de eerste aflever ing zelfs voor uit zending al online bij BNN te bekijken. Ik had de ser ie ook van T V kunnen opnemen. Hij is niet beschikbaar v ia de iTunes store (ook niet in de VS) en Bol.com verkoopt hem niet. Volgens The Pirate Bay is hij wel, ook Nederlands onder titeld, beschikbaar v ia BitTorrent. Wat te doen? Waarom is er niets mis met opnemen van de uit zending of bekijken v ia Uit zending gemist, maar klinkt het hel en verdoemenis als je dezelfde aflever ing v ia BitTorrent verkr ijgt? Natuurlijk snap ik de content industr ie ook wel. Iemand zal voor het aanbod moeten betalen, maar wat de industr ie momenteel in stelling brengt om haar belangen te beschermen, zowel in de VS als in Nederland, mist elke propor tie. Wat is er aan de hand? De makers van intellectuele werken hebben onder meer het exclusieve recht op openbaarmaking en het exclusieve recht op ver veelvoudiging. Met andere woorden, zij bepalen of en onder welke voor waarden hun werk wordt verspreid. Wanneer content zonder toestemming online wordt aangeboden kunnen ze derhalve eisen dat het werk wordt ver w ijderd. Dit gebeur t v ia een zogenaamd ‘notice-and-takedown’ bevel. De hosting prov ider zal aan een dergelijk ver zoek moeten voldoen. Recent heeft de Haagse rechter in een zaak tussen de Stichting Brein, Ziggo en X S 4ALL bepaald dat deze laatsten de toegang tot The Pirate Bay site moeten blokkeren. Ziggo en X S 4ALL hosten zelf geen onrechtmatige content, maar zijn slechts een doorgeefluik (‘mere conduit’) van informatie. Mere conduits werden tot voor kor t niet verantwoordelijk gehouden voor de informatie die ze doorlaten. Internet Ser v ice Prov iders (ISP’s) mogen zich net als postbodes niet inlaten met de informatie die ze bezorgen. Dat is maar goed ook. De zege van Brein zet dit echter op z’n kop; ISP’s worden gedwongen om als politie op te treden in het verkeer dat v ia hun faciliteiten loopt. Dat is een onwenselijke stap r ichting censuur. Nog zorgelijker zijn twee wetsvoorstellen die in de VS in voorbereiding waren. De Stop Online Pirac y Act (SOPA) en de tegenhanger in de Senaat (Protect IP). Het notice-and-take-down regime wordt hier in verder uitgehold: ser v ice prov iders moeten (nog) actiever maatregelen nemen die voorkomen dat hun gebruikers onrechtmatige content uploaden. ISPs kunnen worden gedwongen om de toegang tot buitenlandse websites die illegale content aanbieden te blokkeren (net zoals door Brein gevorderd in het geval van Ziggo en X S 4ALL). Verder moeten zoekmachines, de link s naar deze buitenlandse websites die illegale content aanbieden, filteren uit de zoekresultaten. Ook kunnen betaalbedr ijven, zoals PayPal, worden gedwongen geen betalingen meer te verr ichten aan buitenlandse sites die illegale content aanbieden. Dit alles op basis van claims door rechthebbenden die weinig tot geen bew ijs hoeven te leveren van de onrechtmatigheid van het aanbod, of van de schade die ze daardoor lijden. De grote internet bedr ijven, zoals Google (inclusief YouTube), Facebook, Tw itter en Yahoo zijn uiteraard niet blij met deze voorstellen. SOPA betekent dat iedere blog post, iedere v ideo en iedere afbeelding door de hosters moet worden gecontroleerd. Dat is bijna onmogelijk en verstikt het internet. Ser v ice prov iders zullen erg voor zichtig worden en censuur ligt op de loer. Een ieder kan claimen dat er onrechtmatige of belastende informatie wordt gehost in de hoop dat de aanbieders het ver w ijderen. Een brede coalitie met jur isten, mensenrechtenactiv isten, tot en met de Amer ikaanse president heeft zich tegen SOPA gevormd. Google en consor ten hebben daarom over wogen om het internet eind januar i een dag op z war t te zetten om het protest kracht bij te zetten. Zijn dit soor t ontw ikkelingen het einde van het internet zoals we dat kennen, of is het meer een achterhoede gevecht van de industr ie dat ze gaat verliezen? Het wordt tijd dat de contentindustr ie de bakens ver zet: niet verbieden, maar online diensten leveren tegen fatsoenlijke pr ijzen. Ik w il helemaal niet knoeien met BitTorrent, ik w il gemakkelijk en snel toegang tot content (v ia mijn iPad). Het lijkt echter wel alsof de contentindustr ie niet door heeft dat we w illen kijken en luisteren, in plaats van stad en land aflopen om een veel te dure DVD te kopen. De Amer ikaanse iTunes store laat zien dat het ook anders kan: een T V aflever ing, zonder reclame, kost daar $1.99 (€ 1,56). Nu Homeland nog in het (Nederlandse) assor timent opnemen.
15
Social engineering Joost van Beijsterveld
Social engineering
Vandaag de dag maak t haast iede r bed r i jf geb r ui k van i nfo r matie technolog ie (IT). Deze IT is k wetsbaa r voo r ve r schi l lende bed reig i ngen. Een o rganisatie kan de beste bevei l ig ingstechnolog ieën aanschaf fen en hun mensen zo goed mogel i j k trainen, maa r ze bl i jven zo ste r k al s de z wak ste schakel: de mens. M isb r ui k maken van deze z wak ke schakel heet ook wel social eng i nee r i ng. De v raag is hoe bed r i jven z ich kunnen besche r men tegen de d reig i ng van dit fenomeen, genaamd social eng i nee r i ng.
Information gathering
Development of relationship
Exploitation of relationship
Execution to achieve objective
Figuur 1: De so cial eng ineer ing aanvalc yclus
In de literatuur zijn er diverse definities van social
Volgens onder zoek van Gar tner bestaat social engineer ing
engineer ing te v inden. Wat echter in iedere definitie
(SE) uit v ier stappen, zoals te zien is in figuur 1. Allereerst
terugkomt, is dat het een slimme manipulatie is van de
ver zamelt een social engineer zoveel mogelijk (globale)
menselijke neiging om anderen te ver trouwen. Kev in
informatie door verschillende technieken toe te passen.
Mitnick (20 05), een van de meest vooraanstaande personen
Voorbeelden van methodes die de social engineer gebruikt
op het gebied van social engineer ing, definieer t het begr ip
zijn zich voordoen als iemand anders, afval door zoeken,
als volgt:
achter iemand een deur met toegangsbeveiliging binnenlopen, afluisteren, phishing etc. De informatie
“Social engineering is het gebruikmaken van manipulatie, beïnvloeding en misleiding, om een betrouwbaar persoon binnen een organisatie te laten voldoen aan een verzoek. Dit verzoek betreft vaak het loslaten van informatie of een bepaalde actie uit te voeren in het voordeel van de aanvaller.”
die zo ver zameld wordt is vaak nog onschuldig. Nadat de informatie ver zameld is, ontw ikkelt de social engineer een relatie met een insider, om hier ver volgens misbruik van te maken. De laatste stap voor de social engineer is om op basis van de ver zamelde informatie zijn einddoel te bereiken, zoals het achterhalen van geheime informatie.
Attack type Short con Attack
Deceptive relationship
Influence techniques
Long con Physical attack
Combination attack
Social attack
Soc. psyc. vulnerabilities
Figuur 2: Conceptueel mod el
17
De aanval van een social engineer is schematisch
Uit de literatuur kan worden opgemaakt dat SE een echte
weergegeven in het conceptueel model van figuur 2.
bedreiging vormt voor bedr ijven. Deze bedreiging heeft
Zoals te zien, bestaat een aanval uit een enkelvoudig of
een tweetal succesfactoren, namelijk de z wakke menselijke
meer voudig contact tussen aanvaller en doelw it. De aanval
schakel en de relatieve eenvoudigheid om het uit te
zelf is een fysieke, sociale of combinatieaanval, waarbij
voeren.
een bepaald type aanval hoor t (bijvoorbeeld je voordoen als iemand anders). Bij deze aanval wordt ver volgens
Wat betreft de z wakke menselijke schakel is het de vraag
misbruik van de mens gemaakt door deze te misleiden.
waarom de mens zo z wak is. Wat uit diverse onder zoeken naar voren komt is dat de mens er niets aan kan doen dat
De motieven van een social engineer
hij vatbaar is voor social engineer ing. Dit komt omdat de
Door de motieven van een social engineer te weten, kun
mens op veel situaties automatisch reageer t. Zo luisteren
je je beter beschermen tegen social engineer ing’. Social
mensen naar gezag en w illen zij over het algemeen graag
engineers hebben zowel goedaardige als k waadaardige
aardig gevonden worden. Van deze menselijke z wakheden
motieven. Alleen de k waadaardige motieven zijn een
maakt een social engineer gretig misbruik, door deze
bedreiging voor een organisatie en dus van belang. Er zijn
mensen te bespelen met de zogenaamde ‘weapons of
in totaal een v ier tal k waadaardige motieven:
influence’ (Cialdini, 20 01) . Volgens Workman (20 07)
•
Economisch motief: De social engineer streeft naar
worden mensen die snel anderen ver trouwen, autor iteit
financieel gew in.
gehoor zamen of denken dat social engineer ing hun niet
Politiek motief: De aanvaller gelooft heilig in zijn doel
overkomt, eerder slachtoffer van social engineer ing dan
en is bereid alles te doen dit doel na te streven.
mensen die de desbetreffende eigenschap niet bezitten.
Sociaal motief: Respect of macht verkr ijgen. Dit hoeft
Onder zoek heeft over igens aangetoond dat bovenstaande
niet perse schadelijk te zijn.
zaken niets met intelligentie te maken hebben.
• • •
Wraak: Het hoofddoel van een aanvaller met dit motief is om schade aan te r ichten.
Niet alleen is de mens een z wakke schakel, daarnaast is social engineer ing relatief simpel om uit te voeren. Veel
De bedreiging
organisaties focussen hun informatiebeveiliging vaak
In de literatuur zijn er veel voorbeelden te v inden van
volledig op technische en fysieke beveiliging. Hierdoor
geslaagde social engineer ing aanvallen. Een voorbeeld
creëren bedr ijven de illusie dat ze veilig zijn, maar het
hier van is de aanval op de ABN A MRO bank te Antwerpen:
tegenovergestelde is waar. Hoe moeilijker een bedr ijf
“Dr ie jaar geleden w ist een oudere man de sympathie
technisch te hacken is, hoe sneller een hacker overstapt op
van vrouwelijke medewerkers van de diamantopslag van
social engineer ing. Hierbij komt nog eens dat het fenomeen
ABN Amro in Antwerpen op te wekken, door als ‘succesvol
social engineer ing erg onderbelicht is en veel mensen
zakenman’ regelmatig langs te komen, zich als grote
niet eens weten dat het bestaat. Daarnaast neemt social
klant voor te doen en regelmatig een doos chocolaatjes
engineer ing weinig kosten en lage r isico’s met zich mee en
mee te nemen. “Het was goedkope chocola”, ver telt
zijn de benodigde skills voor social engineer ing eenvoudig
Nickerson, “maar met dergelijke presentjes roep je al snel
om te leren.
een losse, informele sfeer op.” Na verloop van tijd w ist de man genoeg ver trouwen op te wekken om ook buiten
Belangr ijk om te vermelden is dat de relatieve eenvoud van
kantoor tijden toegang tot het gebouw te kr ijgen. Op een
social engineer ing de laatste jaren alleen maar versterkt
zeker moment verdween de man weer uit beeld, samen met
is door de opkomst van social media. Op deze social media
120.0 0 0 karaten aan diamant.” (Schneider 20 07)
staat veel persoonlijke informatie die nu nog makkelijker te verkr ijgen is door social engineers.
Ove r de auteu r : Joost van Beijster veld volgt momenteel de master Information Management aan de Universiteit van Tilburg. Zijn bachelor thesis over Social engineer ing is beloond met de best paper award. Daarnaast is Joost oud-voor zitter van de .ego Weblog.
18
Het risico van social engineering Het is erg lastig voor een bedr ijf de r isico’s te meten, aangezien één k wetsbare medewerker de gehele organisatie k wetsbaar maakt en veel social engineer ing aanvallen vaak onopgemerkt blijven. Uit de literatuur
Social engineering
Company aspects Strategy Value & Development
Vulnerable aspects - Good market position - Colliding political opinion
Structure Processes & Organization
- Size of the company - Division in physical locations - The way the company works - Employee information (who, what and where)
Culture Leadership & Basic values
- Revenge because of resignation - Informal culture - Not involved because of poor HRM
People Competences & Development
Assets IT, Money & Facilities
Results Products & Output
-
New employees Important knowledge available Good development and storage of development People are sensitive to manipulation
- Advanced security measures - Presence of financial resources - Presence of different communication tools
- Political sensitive product - Interesting services
Figuur 3: Het k wetsbare bedr ijfsprofiel (Janssen 20 05)
wordt duidelijk dat iedere organisatie k wetsbaar is voor
de middelste cirkel die van de verdediger en de buitenste
SE. De vraag is echter hoe k wetsbaar. Janssen (20 05) heeft
cirkel die van de aanvaller. De gedachte is dat minstens
een k wetsbaar bedr ijfsprofiel opgesteld wat te zien is
één van de stappen in de verdedigingscirkel (midden) goed
in figuur 3. Als één van de k wetsbare factoren (rechter
genoeg is, waardoor de aanval zal mislukken.
kolom) aanwezig of groot is binnen een bedr ijf, loopt het een verhoogd r isico om slachtoffer te worden van social engineer ing. Een groot bedr ijf loopt bijvoorbeeld een
Het gaat er dus om je verdediging sterk genoeg te maken.
groter r isico dan een klein bedr ijf waar iedereen elkaar
Er is echter geen sleuteloplossing waarmee je social
kent.
engineer ing tegengaat. Wel zijn er een hoop ‘tips and tr ick s’ zoals het direct ont zeggen van toegang tot het
Je bedrijf wapenen tegen social engineering
systeem als een medewerker is ontslagen. Het nadeel
Zoals gezegd loopt ieder bedr ijf het r isico slachtoffer te
van deze ‘tips and tr ick s’ is dat deze op den duur bekend
worden van social engineer ing. Door tegenmaatregelen
raken en een social engineer hier omheen gaat werken.
te nemen, kan het r isico worden gereduceerd naar een
Daarnaast creëer je op deze manier weer de illusie dat men
aanvaardbaar niveau. Nohlberg (20 0 8) heeft een model
denkt goed beschermd te zijn. Het gaat er dus uiteindelijk
opgesteld, genaamd ‘The Cycle of Deception’ (figuur 4). De
om een oplossing voor de lange termijn te v inden. Uit de
z war te punt staat voor het doel van de social engineer. De
literatuur komen twee algemene maatregelen naar voren
binnenste cirkel stelt de acties van het slachtoffer voor,
om de beveiliging tegen social engineer ing te verbeteren.
19
Social engineering
De eerste is training en beveiligingsbewust zijn. Gebruikers
geschreven, maar vereist continu aanpassingen. Naarmate
moeten zich er van bewust zijn wat een social engineer
de tijd vorder t, doen zich nieuwe k wetsbaarheden voor
is en hoe hij te werk gaat. Om dit te bereiken moeten
waarop het beveiligingsbeleid afgestemd moet worden. Zo
gebruikers getraind worden in het kennen en toepassen
is er een nieuwe k wetsbaarheid ontstaan door de komst
van de r ichtlijnen en procedures met betrekking
van social media, waarop het beveiligingsbeleid moet
tot beveiliging. Deze training moet niet in de klas
worden aangepast. Dit gebeur t door afspraken te maken
plaatsv inden, maar door zogenaamde penetratietesten,
over het gebruik van dit nieuwe medium. Tot slot moet het
waarbij een ‘goedaardige’ social engineer een social
beveiligingsbeleid ook worden aangepast als er zich een
engineer ing aanval uitvoer t. Op deze manier er varen de
incident heeft voorgedaan, zodat dit incident zich niet
medewerkers wat social engineer ing is en hoe ze zich
herhaalt.
hier tegen kunnen wapenen. Dit trainen is een continu proces. Men moet er constant aan her inner t worden dat social engineers bestaan en wat ze kunnen veroor zaken.
r ichtlijnen in overeenstemming met het personeel tot stand komen, zij gaan er immers mee werken. Daarnaast moet het beleid door het hoger management worden gesteund, moet het voor iedereen begr ijpelijk beschreven staan en
/ lveess r
Acce Ignopt r
Res po
Recr uit &
v co
informatie te beschermen. Het is belangr ijk dat deze
ess egr R e/ er
instructies die dienen als r ichtlijn voor medewerkers om
A
maatregel tegen social engineer ing. Dit zijn duidelijke
E v o lv
Beveiligingsbeleid (secur ity polic y) is de tweede algemene
Submi t
Protect
doorbroken zijn.
& e
ialize Socxpose E
een tweede schil, mocht de eerste (menselijke) schil toch
nd
moet duidelijk zijn waarom het belangr ijk is dat men het nastreeft. Het beveiligingsbeleid kan niet in steen worden
Figuur 4: The c ycle of d eception (NohlBerg, 20 08)
Gebruikte referenties in dit artikel: - Cialdini, R. (2001). Influence. Allyn & Bacon, 2001. -262 p. - Janssen, D. (2005). ’Social engineering: de menselijke schakel in informatiebeveiliging’, Radbout Universiteit. - Nohlberg, M. (2008). ’Securing information assets: Understanding, Measuring and Protecting against Social Engineering Attack’, DSV Report Series, No. 09-001. - Mann, I. (2008). Hacking the Human – Social Engineering Techniques and Security Countermeasures. Gower Publishing, 2008. -247 p. - Workman, M. (2007). ’Gaining Access with Social Engineering: An Empirical Study of the Threat’, Information Security Journal: A Global Perspective, Vol. 16, No. 6, 315-331.
20
& Bond Map
moeten worden doorgevoerd. Deze maatregelen dienen als
Dete ct
n Pla
bewust zijn en training ook nog systemische maatregelen
Re
op de loer. Mann (20 0 8) v indt dat er naast het creëren van
ter De
men al snel dat het gevaar geweken is, maar dit ligt altijd
Exec ute
k oa l C
se E erti Re vo dv g
Aangezien het iets is wat niet iedere dag voorkomt, denkt
Sociale isolatie
COLUMN
Vor ige week woensdag stond ik op de loopband in de spor tschool uit te kijken over het plein er voor. Dat plein, en dus ook mijn spor tschool, ligt midden in het centrum en op woensdagmiddag is het daar behoorlijk druk. Ter w ijl ik aan mijn conditie werk kan ik dan lekker mensen kijken. Wat me opvalt, is dat steeds meer mensen, vooral jongeren die in een groepje of duo door de stad lopen, niet alleen aandacht hebben voor elkaar en de omgev ing.
Sterker nog, hun aandacht is helemaal niet bij hun gezelschap of de w inkels op het plein. Ze worden volledig in beslag genomen door hun telefoon. Ik v ind het een raar gezicht: zo’n duo dat gebroederlijk of gezusterlijk z w ijgend op hun telefoons loopt te kijken. Waarom ga je dan met een vr iendin naar de stad? Waarom ga je dan überhaupt naar de stad? Ik verstuur ook wel eens ber ichtjes of ik bel ter w ijl ik in de stad loop, maar dan ben ik vaak alleen. Bovendien doe ik dat maar even, of het gesprek gaat over iets dat ik in de stad nodig heb, zoals een cadeautje voor iemand. En zelfs daar geneer ik me dan een beetje voor. Want, w ie weet, bots ik wel tegen iemand op of snijd ik iemand de pas af. Dat v ind ik onbeleefd. Maar misschien ben ik wel ouder wets, is dit iets van een andere generatie, zoals oudere mensen dat altijd zo mooi zeggen. Toch v ind ik het jammer als dat zo is. Niet alleen omdat ik het een raar gezicht v ind, al die mensen die rondlopen en alleen gefocust zijn op hun telefoon, maar je raakt er ook oog voor je omgev ing mee k w ijt. Letterlijk en figuurlijk. Als ik niet-op-mijn-telefoon-kijkend van mijn werk naar huis fiets, moet ik tegenwoordig regelmatig uitkijken voor twee of soms voor dr ie fietsers, omdat de mensen voor me niet twee handen aan het stuur en hun blik op de weg hebben, maar één hand aan de mobiel en hun blik op het scherm. Zij zijn compleet ergens anders, sociaal geïsoleerd, ter w ijl ik ze probeer te ontw ijken en onder tussen niet onder een auto, bus of vrachtwagen w il r ijden. Ze r ijden niet weg bij een groen verkeerslicht of slingeren over het fietspad omdat ze toch echt twee handen nodig hebben om te Whatsappen. Er is al een tijd veel aandacht voor de veiligheid van sociale media. Dan gaat het meestal om het pr ivac ybeleid van Facebook of Google, maar door mobiel internet komt zelfs de verkeersveiligheid in het geding. L aatst hoorde ik op de radio dat een meisje in Amer ika zich dood had gereden ter w ijl ze zat te Facebooken in de auto. Kor t voordat ze het ongeluk veroor zaakte, stuurde ze nog de wereld in dat ze het kor t ging houden omdat Facebooken in de auto veel te gevaarlijk is. Gelukkig had ze dus wel enig besef, maar k wam het voor haar zelf te laat. In Nederland is handheld bellen en smsen in de auto verboden en aanver wanten daar van, zoals Facebooken en Whatsappen, dus ook. Verkeerskundigen zijn van mening dat bellen in de auto helemaal verboden moet worden omdat het de aandacht van de weg houdt. Maar ik vraag me af of dat wel te handhaven is. Voor veel mensen is de telefoon zo’n essentieel verlengstuk geworden dat ze niet meer een paar minuten zonder kunnen, laat staan een lange autor it. Ik v ind het bovendien idioot dat mensen liever met anderen op afstand bezig zijn of met wat zich v ir tueel afspeelt, dan wat er om hen heen gebeur t en met w ie ze op dat moment zijn. Daar hoor t je aandacht volgens mij te zijn. Pr ima, als je in je eentje ergens rustig zit en met je telefoon speelt. Maar in het verkeer moet je aandacht op de weg en je medeweggebruikers zijn ger icht, niet bij je v ir tuele vr ienden die op dat moment misschien wel onder een tram lopen. Hoe zou je je voelen als dat gebeur t? Voel je je dan schuldig? Bén je dan schuldig? Kun je het jezelf ooit vergeven? Of ga je diezelfde avond nog gezellig met je lief op de bank tv kijken? Jij naar een voetbalwedstr ijd op de good old tv, zij naar een film op de tablet. Dat v ind ik ook zo’n armoedige ontw ikkeling. Willen we echt zo indiv idueel en egoïstisch zijn dat je naast elkaar op de bank gaat zitten, maar naar een ander tv-programma gaat kijken, allebei met een koptelefoon op het hoofd? Ik w il me niet opsluiten in een ik-wereld, waar in anderen een bijzaak zijn of hoogstens digitaal enter tainment. Wat is de k waliteit daar van? Waar gaan we naar toe? Wat is nu echt belangr ijk? Echt belangr ijk zijn voor mij toch de mensen om me heen en mijn eigen veiligheid. Het hier en nu is waar het om gaat, de tastbare sociale omgev ing. Dus niet spelen met je mobiel of tablet op de fiets of in gezelschap. Is dat zo veel gevraagd?
Door: Bregje Bakx Over de auteur: Bregje Bakx heeft een blog over dingen die haar verwonderen in het dagelijks leven. Deze column is een bewerking van één van haar blogartikelen.
21
ediscovery in het mededingingsrecht: doeltreffend genoeg of kan het (nog) beter? Sonja Aćimović
ediscovery in het mededingingsrecht
Doo r de toenemende dig ital ise r ing van data speelt eD iscove r y een steeds belang r i j ke re rol binnen het mededi ng i ngs recht. De Nede r landse Mededing ingsauto r iteit (NMa) heef t al s één van de voo r lope r s bi nnen de Eu ropese Unie op het gebied van dig itaal onde r zoek i n augustus 2 010 haa r nieuwe “We r k w i j ze analoog en dig itaal reche rche ren” 1 (We r k w i j ze) geï nt roducee rd. Deze we r k w i j ze heef t de “NMa D ig itale We r k w i j ze 2 0 07” 2 (We r k w i j ze 2 0 07) ve r vangen en is tot stand gekomen na uit voe r ige consultatie met dive r se ma r k tpa r ti jen, rekeni ng houdende met de p rak ti j ke r va r ingen van de afgelopen ja ren en de huidige stand van de techniek. De We r k w i j ze is in vele opz ichten een ve r bete r i ng ve rgeleken met de oude ve r sie en is mee r ge r icht op het vinden van de balans tussen het ef f iciënt onde r zoek doen en het waa r bo rgen van de rechten van onde r nem i ngen en natuu r l i j ke pe r sonen die het onde r we r p z i jn van het onde r zoek. Ruim een jaar na de invoer ing blijkt men in de praktijk echter te kampen met een aantal
Ove r de auteu r :
problemen die niet door de vernieuwde
Mw. Mr. Sonja Aćimov ić is sinds 20 07
Werk w ijze onder vangen is. De voornaamste
werk zaam als advocaat bij De Brauw
oor zaak ligt in de technische beperkingen van
Black stone Westbroek in Amsterdam. Zij
de gebruikte zoekmethode van de NMa. Dit
specialiseer t zich in mededingingsrecht, met
ar tikel zal zich r ichten op de geconstateerde
name op het gebied van concentratiecontrole
knelpunten bij eDiscover y door de NMa en zal
en kar telonder zoeken. Zij is tevens lid van
enkele aanbevelingen doen die de effectiv iteit
de Vereniging voor Mededingingsrecht. Dit
van digitale onder zoeken mogelijk kunnen
ar tikel heeft zij geschreven op persoonlijke
verhogen.
titel. Voor reacties en meer informatie is zij bereikbaar v ia sonja.acimov
[email protected]
Het begin van eDiscover y: verzamelen van data bij een inval Wanneer de NMa een onderneming verdenkt van
en neemt deze ver volgens mee. De selectie van de digitale
gedragingen in str ijd met het mededingingsrecht, kan
gegevens is daarentegen complexer, mede omdat het
zij een inval bij de betreffende onderneming doen
meestal om grote hoeveelheden data gaat.
om bew ijsmater iaal te ver zamelen. Die verdenking
Bij het verr ichten van digitaal onder zoek, ofwel
kan betrekking hebben op mededingingsbeperkende
eDiscover y, het is de NMa niet toegestaan om een forensic
afspraken zoals pr ijsafspraken, klantverdelingen en/
image 3 te maken van de computers om de gekopieerde
of expor tbelemmer ingen, maar ook op misbruik
data ver volgens op hun eigen kantoor te bekijken.
van economische machtspositie of over treding van
Dergelijke zoekacties zijn immers onvoldoende ger icht en
concentratietoezicht (o.a. het niet melden van fusies).
kunnen leiden tot zogenaamde fishing expeditions waarbij
Een dergelijke inval v indt onaangekondigd plaats, met
sprake is van een buitenspor ige zoektocht naar bew ijs
als doel het veiligstellen van bew ijsmater iaal. Daarbij
van een w illekeur ige over treding. De selectie van het
worden o.a. werknemers geïnter v iewd (eDiscover y-jargon
relevante mater iaal gebeur t ter plaatse, doordat de target
voor onder vragen) en worden de relevante analoge en
folders van (mogelijk) betrokken werknemers, zoals hun
digitale gegevens ver zameld door de NMa. De selectie
inbox, sent items en losse documenten, integraal worden
van de analoge gegevens verloopt vr ij eenvoudig: de NMa
gekopieerd naar harde schijven van de NMa. Ver volgens
bekijkt de documenten ter plaatse, maakt een kopie van
worden op deze dataset – zonder voorafgaande indexer ing
de stukken die relevant lijken te zijn voor het onder zoek
– de zoektermen van de NMa losgelaten die de selectie
Staatscourant nr. 12871, 16 augustus 2010. Staatscourant 2007, nr. 243. Een integrale kopie van het digitaal opslagmedium waardoor ook inzage kan worden verkregen in de digitale bestanden waartoe de gebruiker geen toegang (meer) heeft, zoals verwijderde bestanden, de historie van bestanden (zoals eerdere versies) en de digitale omgeving van bestanden (zoals de status daarvan). 1 2 3
23
vernauwen. Bepaalde bestanden die duidelijk niet binnen
Toch loopt men tegen een aantal problemen aan als gevolg
de reik w ijdte van het onder zoek vallen, worden er daarna
waar van digitaal onder zoek minder effectief is dan het zou
uit gefilterd, zoals foto’s, software, e.d. De bestanden
kunnen – en misschien wel zou moeten – zijn.
die overblijven, worden aangemerkt als “or igineel binnen de niet door zoekbare bestanden zoals gescande PDF’s,
Selectie digitaal zoekmateriaal door de NMa: wat hoor t er (niet) bij?
TIFF’s, e.d. worden meegenomen door de NMa, maar deze
Welke gegevens binnen dan wel buiten de reik w ijdte
categor ie bestanden wordt apar t gehouden als “mogelijk
van het onder zoek vallen, hangt af van het doel en het
buiten de reik w ijdte”. De indexer ing van de gekopieerde
voor werp van het onder zoek. De Werk w ijze definieer t de
bestanden v indt ver volgens plaats op kantoor van de NMa.
in scope gegevens als “gegevens en bescheiden die naar
de reik w ijdte” en worden meegenomen door de NMa. Ook
hun aard en/of inhoud redelijker w ijs binnen het doel Pas nadat de NMa met behulp van de zoektermen de
en voor werp van het onder zoek kunnen vallen”. Out of
(mogelijk) relevante dataset heeft geselecteerd en
scope data zijn daarentegen “gegevens en bescheiden
gekopieerd, wordt
waaronder begrepen
na afloop van het
pr ivé gegevens en
bedr ijfsbezoek ter
bescheiden, die niet
plaatse een over zicht
binnen de reik w ijdte
met de gebruikte
vallen”. De selectie
zoektermen aan
van de data die in dan
de onderneming
wel out of scope van
verstrekt. Daarna
het onder zoek vallen,
ontvangt de
v indt plaats “met
onderneming
behulp van één of
een kopie van de
meer zoek vragen die
geselecteerde
rechtstreek s verband
datasets op harde
houden met het doel
schijven, waarbij
en voor werp van het
tevens een door
onder zoek”.
de NMa ontw ikkeld zoekprogramma wordt meegeleverd. De onderneming wordt
In theor ie is deze aanpak van de NMa helder en lijkt het
dan in de gelegenheid gesteld om binnen een termijn van
voldoende waarborgen te bieden tegen fishing expeditions.
10 werkdagen gemotiveerd aan te geven welke gegevens
In de praktijk loopt men echter tegen een dr ietal
onder het legal professional privilege 4 (LPP) vallen en
problemen aan bij het afbakenen van het “zoekgebied”.
dus niet door de NMa bekeken mogen worden. Ook kr ijgt
Zo zijn het doel en het voor werp van het onder zoek vaak
de onderneming uit “coulance” de gelegenheid om binnen
te ruim geformuleerd. De NMa hanteer t vaak een ruimere
deze termijn claims te maken ten aanzien van pr ivé
relevante per iode en/of marktdefinitie vergeleken met de
bestanden die zich in de verstrekte datasets bev inden.
Europese Commissie, als gevolg waar van de omvang van de documenten die binnen de reik w ijdte van het onder zoek
Deze selectiemethode lijkt op het eerste gezicht
vallen daarmee onnodig groot wordt.
doeltreffend genoeg om de NMa – en de onder zochte onderneming – in staat te stellen de aanwezige data te
Een ander probleem is dat de gebruikte zoektermen over
filteren en te door zoeken voor mogelijk bew ijsmater iaal.
het algemeen niet specifiek genoeg zijn. Om relevante
4 In Nederland omvat LPP alle correspondentie tussen de onderneming en de advocaat (zowel externe als advocaat in dienstbetrekking) en alle stukken opgesteld door de advocaat. De betreffende documenten mogen buiten het onderzoek worden gelaten vanwege het beroepsgeheim van de advocaat. De Europese Commissie daarentegen rekent de stukken van een advocaat in dienstbetrekking niet tot LPP. 5 Een boolean search is een zoekopdracht waarbij documenten met bepaalde woorden of woordcombinaties worden uitgesloten of waar juist specifiek naar wordt gezocht. De woorden AND, NOT en OR worden hierbij vaak gebruikt, maar ook de tekens als +, - of de aanhalingstekens
.
24
ediscovery in het mededingingsrecht
documenten van key individuals te selecteren, gebruikt
van pr ivé bestanden en niet ten aanzien van bestanden die
de NMa vaak als zoekterm de namen van de betreffende
ev ident irrelevant zijn voor het onder zoek. Deze aanpak is
personen. Echter, in geval van persoonsnamen met een
merk waardig in het licht van ar tikel 6 lid 3 j° ar tikel 3 lid
dubbele betekenis (zoals Groot, Meer of Loon), lever t dat
6 van de Werk w ijze. Wanneer niet kan worden uitgesloten
vaak irrelevante zoekresultaten op die geen betrekking
dat een ver zameling documenten naast gegevens die out of
hebben op het onder zoek. Het zelfde geldt voor brede
scope zijn ook gegevens bevat in scope zijn, de betreffende
termen als “markt”, “pr ijs” of “concurrentie”, die snel
documenten worden opgenomen in een dataset “mogelijk
buiten de context van het onder zoek in vele documenten te
buiten de reik w ijdte”. Op grond van ar tikel 6 lid 3 zou de
v inden zullen zijn.
onderneming in de gelegenheid moeten worden gesteld om voor alle gegevens binnen deze dataset gemotiveerd
Daarnaast geldt dat de toegepaste zoekmethode niet
aan te geven out of scope is (inclusief pr ivé bestanden).
nauwkeur ig genoeg is om een adequate selectie van de
In de praktijk blijkt echter dat deze claimmogelijkheid
gegevens te maken. In de praktijk blijkt dat de NMa bij
voor zowel pr ivé als out of scope alleen bestaat voor niet
haar zoekactie een groot aantal zoektermen gebruikt (soms
door zoekbare bestanden zoals de PDF’s en de TIFF’s die
meer dan 10 0), echter zonder daarbij gebruik te maken
zich binnen deze dataset bev inden. Voor andere bestanden
van de B oolean search 5 . Daarom kan het voorkomen dat de
binnen deze dataset is dat niet mogelijk, en moet men
zoekactie veel irrelevante zoekresultaten oplever t, waarbij
volstaan met een pr ivé claim.
vaak alleen één van de zoektermen in het document voorkomt. Dat in combinatie met een ruime doel en
Ondank s de mogelijkheid om voor PDF’s en TIFF’s zowel
voor werp van het onder zoek, alsmede brede zoektermen,
een pr ivé als out of scope claim in te dienen, r ijst
kan er toe leiden dat een groot aantal geselecteerde in
toch de vraag of daarbij geen sprake is van een fishing
scope documenten in feite out of scope hoor t te zijn.
expedition? Deze documenten worden immers niet door
De NMa is zelf ook bewust van dit probleem en heeft dan
de NMa ter plaatse door zoekbaar gemaakt en worden
ook aangekondigd hier binnenkor t verander ing in te gaan
daar geen zoektermen op losgelaten. Gelet op het grote
brengen.
aantal bestanden waar het vaak om gaat, de gelimiteerde zoekmogelijkheden binnen de software van de NMa en de
De vraag r ijst dan: wat is wél out of scope? De definitie
beperkte deadline van 10 dagen, loopt de onderneming
van out of scope documenten die in de Werk w ijze staat
bovendien r isico op zelf-incr iminatie. Immers, een bestand
opgenomen, verliest in de praktijk aan betekenis door de
waar geen out of scope claim voor wordt gemaakt, wordt
invulling van het begr ip in scope. De onderneming mag in
automatisch aangemerkt als in scope. Ten aanzien van deze
de praktijk namelijk alleen een claim indienen ten aanzien
bestanden zou dit probleem onder vangen kunnen worden
‘‘
‘‘
ediscovery in het mededingingsrecht
Alle data kopiëren kan leiden tot een buitensporige zoektocht naar bewijs van een willekeurige overtreding door een “uitgestelde” in scope selectie door de NMa
geval: volgens de NMa dienen pr ivé bestanden toch als out
ten kantore. Pas nadat de PDF’s en TIFF’s geïndexeerd en
of scope te worden aangemerkt, met daarbij de toelichting
door zocht zijn door de NMa – waarna een groot deel van
dat het om pr ivé bestanden gaat.
de bestanden automatisch buiten de reik w ijdte zou vallen – zou de onderneming in de gelegenheid moeten worden gesteld om haar pr ivé en out of scope claims in te dienen.
Aanbevelingen aan de NMa: hoe wordt eDiscover y nog doeltreffender
De NMa heeft met haar Werk w ijze een grote stap gemaakt
Software NMa: beperkte gebruiksfuncties
om eDiscover y efficiënter te laten verlopen. Toch leidt
Zoals reeds gezegd, de software die door de NMa wordt
de huidige situatie nog steeds tot efficiëntieverlies
gebruikt en die aan de ondernemingen wordt verschaft
door de manier hoe er wordt omgegaan met in scope
om de LPP en de out of scope bestanden te selecteren,
en out of scope data. Dit zou bestreden kunnen worden
is beperkt in zijn mogelijkheden. Zo is het niet
door de huidige technische beperkingen weg te nemen.
mogelijk om zoektermen te gebruiken om de rev iew te
Door bijvoorbeeld de geselecteerde data ter plaatse
vergemakkelijken, maar moet men alle documenten één
door zoekbaar te maken en pas erna de zoektermen erop
voor één bekijken en aanv inken. Door het grote aantal
los te laten, zou de eerste eliminatie kunnen plaatsv inden
documenten is dat een enorme exercitie, waarbij het ook
binnen de data die volgens de huidige methode in
nog vaak genoeg voorkomt dat het programma vastloopt
de ruime ver zameling van out of scope documenten
en men opnieuw moet beginnen. Om efficiënt te kunnen
belanden (met name de PDF’s en TIFF’s). Daarnaast zou
zoeken, zetten de ondernemingen de data dan ook vaak
een her zien zoekprogramma aan efficiëntie bijdragen,
over naar eigen computers en maken gebruik van eigen
waar in de knelpunten ten aanzien van de snelheid en de
forensische zoekprogramma’s.
zoekmogelijkheden (zoals het gebruik van zoektermen en Boolean operators) kunnen worden aangepakt. Verder
Een ander bijkomend probleem van de software is dat het
zouden de ondernemingen meer ruimte moeten kr ijgen
onduidelijk is hoe om te gaan met gepr iv ilegieerde en
om, al dan niet v ia het zoekprogramma,claims in te dienen
pr ivé bestanden. De software heeft dr ie opties: in scope
ten aanzien van pr ivé, out of scope en LPP bestanden.
(die standaard staat aangev inkt), out of scope en LPP.
Dank zij de huidige stand van techniek zou dat haalbaar
Zoals gezegd, staat LPP voor “legal professional pr iv ilege”.
moeten zijn. Tot slot verdient het de aanbeveling om de
Echter, zowel de handleiding als de “help” functie van het
termijn voor het maken van claims naar evenredigheid
programma definieer t LPP als “Legal Pr iv ilege & Pr ivé”.
te koppelen aan de hoeveelheid geselecteerde data. Met
Dit zou dus betekenen dat ook pr ivé bestanden als LPP
deze w ijzigingen zou de NMa een nog grotere stap vooruit
aangemerkt zouden moeten worden. Dit is echter niet het
kunnen maken binnen eDiscover y.
26
Digitaal rechercheren bij de NMa Edwin van Dijk
Digitaal rechercheren bij de NMa
De NMa is belast met het onde r zoek naa r ka r telove r t redi ngen zoal s p r i j safsp raken, ma r k t ve rdel ing en het misb r ui k van econom ische machtsposities. Om een ove r t redi ng te kunnen vaststel len en ve r volgens te best raf fen via een boete is bew i j s nodig. Het onde r zoeken van dig itale info r matie is hie r bi j essentieel. Onde r nem i ngen kunnen hun bed r i jfsactiviteiten niet uit voe ren zonde r geb r ui k te maken van een dig itale omgeving. Denk daa r bi j aan e - ma i l voo r de i n - en ex te r ne communicatie en dig itale bed r i jfsp rocessen voo r de bed r i jfsvoe r i ng en reg ist ratie. Onde r zoek i n de dig itale bed r i jfsomgeving is voo r een toez ichthoude r noodzakel i j k om bew i j s te ve rga ren. D it essay gaat in op het dig itaal reche rche ren bi j de NMa.
In de per iode van de grote bouw fraudeonder zoeken (20 01-
Een van de instrumenten die de NMa kan inzetten zijn
20 03) heeft de Raad van Bestuur van de NMa besloten om
onaangekondigde bedr ijfsbezoeken bij ondernemingen
te investeren in digitale recherche. Nu, na jarenlange
waar van het vermoeden bestaat dat zij kar telafspraken
kennisopbouw, een doorontw ikkelde procedure en gebruik
maken. Deze bezoeken zijn ger icht op het vergaren van
van goede tools, loopt de NMa, zowel in Nederland
analoge, digitale en mondelinge informatie en duren
als internationaal, voorop op het gebied van digitale
doorgaans twee of dr ie dagen op het bedr ijfsadres. De
recherche.
jur idische grondslag voor deze bezoeken staat in de Algemene Wet bestuursrecht en de Mededingingswet.
Op ver zoek van de redactie van dit blad, geef ik inzicht
Hier in is opgenomen dat de NMa ondermeer plaatsen
in de digitale werk w ijze van de NMa. Eerst ga ik globaal
mag betreden, inlichtingen mag vorderen en afschr iften
in op de taken die de NMa uitoefent. Daarna geef ik een
mag maken van gevonden mater iaal. Hierbij is
toelichting op de w ijze van onder zoek van de NMa en
propor tioneel handelen door de toezichthouder
ver volgens op de manier waarop w ij digitaal onder zoek
verplicht propor tionaliteitsbeginsel. Dit houdt in dat
uitvoeren.
het optreden ger icht moet zijn op het vermoeden van de kar telover treding.
Doel van dit essay is de inzet van digitale recherche door de NMa te verduidelijken en tevens de betreffende
Het propor tionaliteitsbeginsel vormt bij digitaal onder zoek
jur idische kaders en praktische uitvoer ing uiteen te zetten.
een complicerende factor. In het arrest NMa- For tis /
Met praktische uitvoer ing bedoel ik dat het onder zoek
Allianz 1 heeft de rechter het propor tionaliteitbegr ip voor
vanzelfsprekend relevante informatie moet opleveren
digitaal onder zoek meer inhoud gegeven. Daardoor dient
binnen een redelijke termijn en op een w ijze die voor de
de NMa bij haar digitaal onder zoek data te selecteren die
onder toezicht staande onderneming het minst belastend
zij relevant acht voor het verdere onder zoek. Wanneer
is.
de NMa meer data dan een propor tionele selectie van de digitale data meeneemt, mag de onderneming of een
Het werk van de NMa: het bevordern van de marktwerking. De NMa is toezichthouder op de marktwerking. Een
Ove r de auteu r :
belangr ijke oor zaak van een verstoorde markt is het maken
Mr. Edw in van Dijk A A is werk zaam
van pr ijsafspraken tussen concurrerende ondernemingen
als Hoofd van de eenheid
onderling of het verdelen van de markt. Dit soor t gedrag
Recherche en Inlichtingen van de
noemen w ij kar telvorming en is verboden op basis van
NMa. Hij heeft een achtergrond
de Mededingingswet en het EU-recht. De NMa bestr ijdt
in de bestuurlijke handhav ing en
kar telvorming door het uitvoeren van (doorgaans
in de opspor ing door zijn werk
grootschalige) onder zoeken.
bij de Belastingdienst en FIOD als manager en daar voor 13 jaar als rechercheur.
Fortis/ Allianz: vonnis in kort geding van de Rb Den Haag van 13 oktober 2008, zaaknr/rolnr. 317585/KGZA08-1043. 1
29
Digitaal Onderzoek
van dat onder zoek aanwezig zijn. Besloten is dat de NMa
Wat gebeur t er tijdens een digitaal bedrijfsbezoek van de NMa
bij voorkeur de selectie van relevante informatie tijdens
Een kar telonder zoek r icht zich doorgaans op de personen
het bedr ijfsbezoek op locatie maakt.
binnen een onderneming die volgens het vooronder zoek
ver tegenwoordiger van de onderneming bij de uitvoer ing
van de NMa betrokken zijn bij de vermoedelijke Naar aanleiding hier van heeft de NMa onder zocht of het
verboden afspraken (targets). In eerste instantie r icht
mogelijk was op locatie een zodanige selectie te maken dat
het digitaal onder zoek zich tot de data waar toe deze
er alleen nog data werd meergenomen die in redelijkheid
targets schr ijfrechten hebben. Ver zameling van deze
een relatie zou kunnen hebben met het doel en voor werp
data v indt digitaal plaats. Dit betekent het expor teren
van het onder zoek. Daarnaast dient de NMa een onder zoek
van voornamelijk e-mail en files van exchange ser vers,
op locatie redelijker w ijs binnen een aantal dagen uit
maar ook van images van laptops, usb-stick s en andere
te voeren. Technisch gezien was hier sprake van een
datadragers. Wanneer deze set is gegenereerd, worden pst-
uitdaging. Wij stelden ons de vraag hoe het mogelijk zou
bestanden uitgepakt. Hier voor heeft de NMa verschillende
zijn om de ‘digitale wasstraat’ op locatie uit te voeren,
forensische tools zoals F TK, Encase, Paraben en een zelf
resulterend in een geselecteerde dataset die voornamelijk
ontw ikkelde tool, Omnia genaamd, tot haar beschikking.
data zou bevatten die een relatie heeft tot het doel en voor werp van het onder zoek. Hoewel de forensische
Ver volgens v indt een filter ing plaats. Tussen de in de
techniek vergevorderd is, blijkt forensisch onder zoek
dataset aanwezige bestanden is veel mater iaal aanwezig
vooral mensenwerk. Er is geen “bew ijsknop” en toch werd
dat geen waarde heeft als onder zoek smater iaal. Denk
die van ons gevraagd.
bijvoorbeeld aan programmatuurbestanden. Deze technische bestanden worden geëlimineerd. De NMa
De NMa heeft in 2010 de digitale werk w ijze gepubliceerd 2
gebruikt hier voor het programma Encase. Het resultaat
op haar website. Deze werk w ijze is sindsdien leidraad voor
is een substantiële verminder ing van data waardoor de
het digitaal onder zoek dat de NMa uitvoer t.
ver volghandelingen minder tijd kosten. Met de hoeveelheid
2 3 4
Werkwijze NMa analoog en digitaal rechercheren, Stcrt. 2010, 12871. Het komt voor dat er email boxen worden aangetroffen van meer dan 30 GB terwijl dit vroeger om geringe hoeveelheden data ging. Er zijn echter ook andere manieren om data te selecteren. De NMa kan ook andere methoden gebruiken om te selecteren.
30
Digitaal rechercheren bij de NMa
digitale data groeit ook de benodigde tijd, goed en snel
reageren. Ook kan de onderneming aangeven welke data
werken is dus belangr ijk. 3
eventueel pr ivé-informatie bevat. Na 10 werkdagen wordt de applicatie weer opgehaald bij de onderneming en v indt
Zoals reeds besproken, is het om redenen van
automatische uitsplitsing in LPP, pr ivé en over ig plaats.
propor tionaliteit noodzakelijk dat de selectie van data
Wanneer ondernemingen hebben aangegeven dat bepaalde
digitaal op locatie plaatsv indt. Hierom wordt gewerkt
bestanden LPP-informatie bevatten, wordt dit beoordeeld
met bijvoorbeeld zoektermen. 4 Voorafgaand aan het
door de LPP-functionar is van de NMa. Hij bekijkt de data
bedr ijfsbezoek bereidt het NMa onder zoek steam een lijst
en geeft aan of er inderdaad sprake is van LPP.
met zoektermen 5 voor. Op basis van deze zoektermen kunnen de forensisch digitaal exper ts van de NMa met
De dataset die uiteindelijk overblijft, wordt aan het
behulp van digitaal forensische techniek 6 een selectie
zaakteam (het team dat het onder zoek uitvoer t)
in het datamater iaal maken. Deze selectie op basis van
gepresenteerd in een zoekprogramma: Optara. Deze
zoektermen is de laatste forensische handeling die op
applicatie is door een medewerker van NMa gebouwd
locatie gebeurd en lever t vaak een dataset op die tussen
en wordt gebruikt om de dataset grondig en ger icht te
de 5 en 10 % van de oorspronkelijk ver zamelde informatie
onder zoeken. Van groot belang is dat er snel gezocht
omvat. Ver volgens wordt de dataver zameling gehashed 7 en
kan worden en dat reeds geanalyseerde data kunnen
encr ypt zodat de dataset veilig ver voerd kan worden naar
worden vastgelegd. Een zaakteam bestaat doorgaans uit
het kantoor van de NMa.
verschillende onder zoekers die gelijktijding hun analyse w illen uitvoeren. De applicatie zorgt er voor dat men
Een NMa-onder zoek op bedr ijfslocatie duur t twee of
gelijktijdig op de hoogte is van elkaars bev indingen.
dr ie werkdagen. Doorgaans wordt de nacht die in het bedr ijfsbezoek valt, gebruikt om een kopieerslag of
De NMa zet in een aantal gevallen
selectieslag te maken op de dataset.
zelf ontw ikkelde tools in. De wereldw ijde markt voor forensische tools is klein.
LPP-claims en ver volgonderzoek
De basistools zijn Forenic
Wanneer het onder zoek op locatie is afgerond, wordt het
Toolkit (F TK) en Encase.
onder zoek bij de NMa voor tgezet. In de dataset kunnen
De tools van de NMa:
zich nog wel data bev inden die zien op het verkeer
Omnia (voor het ver werken
tussen advocaat en cliënt. 8 Denk bijvoorbeeld aan een
van pst-files), Inscope (voor het
adv ies van een mededingingsjur ist aan de onderneming.
selecteren en veilig uitsplitsen van LPP en
In de Mededingingswet is opgenomen dat dit mater iaal
onder zoek sdata) en Optara, hier voor waren geen goede
uitgezonderd moet worden van de data die de NMa gebruikt
commerciële alternatieven voor handen.
voor haar onder zoek. Dit noemt men Legal Professional Pr iv ilege oftewel LPP. Om het LPP-mater iaal uit de
Een veelvuldig voorkomend probleem vormt de lengte
dataset te elimineren, is er een speciale procedure in
van “padnamen”. Door het forensisch onder zoek worden
het leven geroepen. De digitaal specialisten van de NMa
padnamen in veel gevallen langer en zijn ze uiteindelijk
plaatsen de volledige dataset in een speciaal gebouwde
niet meer leesbaar voor forensische tools. Het resultaat
applicatie 9. In deze gebruikersvr iendelijke applicatie kan
is dat zoek slagen vastlopen of zeer lang duren. De
de onderneming aangeven welk mater iaal LPP-data bevat.
forensisch specialisten van de NMa hebben v ia de door
De NMa draagt de applicatie over aan de onderneming,
hen ontw ikkelde tools oplossingen gevonden voor deze
die ver volgens 10 werkdagen de tijd heeft om hierop te
problematiek.
De zoektermenlijst wordt intern gemotiveerd en getoetst door juristen. Hiervoor wordt de nieuwste versie van het programma Encase gebuikt. Hashen is het maken van een digitale fingerprint waardoor het materiaal wordt bevroren en niet meer kan worden gewijzigd zonder dat dit waarneembaar is. Op deze wijze garandeert de NMa dat de data niet gewijzigd kunnen worden. Dit is van groot belang omdat er geen spoor van twijfel mag bestaan over de integriteit van het NMa onderzoek. 8 Deze gegevens wordt legal proffesional privelege (LPP) genoemd. 9 Deze applicatie is door NMa gebouwd en heet “ Inscope”. 5 6 7
31
Digitaal rechercheren bij de NMa
Juridische bezwaren
Bij onder zoek heeft de NMa niet alleen te maken met
De advocatuur heeft regelmatig commentaar op de
jur idische argumenten. Het onder zoek op locatie moet
werk w ijze van de NMa. De uitsluitend jur idische discussie
praktisch en technisch uitvoerbaar zijn. Bovendien w il de
gaat doorgaans over de beoordeling van de LPP-functionar is
NMa de bedr ijfsvoer ing van een onderneming niet voor
of over het feit dat de NMa een te grote hoeveelheid
enkele weken verstoren door langdur ig onder zoek in de
mater iaal overneemt en onder zoekt. Echter, v ia de
digitale bedr ijfsomgev ing uit te voeren. In de jur idische
huidige werk w ijze onder zoeken de NMa-zaakbehandelaren
argumentatie worden deze aspecten, naar mijn mening, nog
doorgaans circa 5 tot 10 % van het reeds op basis van
wel eens over het hoofd gezien.
targets geselecteerde mater iaal. Daarmee legt de NMa ca. 90 % van de data ter zijde in de wetenschap dat ook in dit mater iaal veel bew ijs aanwezig kan en zal zijn.
React ie op opme rk i ngen Mw. M r. Aći mović Aan het slot van dit betoog ga ik kort in op de door Mw. Mr. Açimoviç gemaakte opmerkingen in dit blad. Ik licht er een paar uit. Ze wenst dat er nog meer en beter gespecificeerde selectie op locatie plaatsvindt. Dit is vanzelfsprekend ook een wens van de NMa. Helaas bieden de huidige forensische tools die wij in het triageproces 10 kunnen inzetten geen mogelijkheid om binnen een redelijke termijn van een paar dagen bijvoorbeeld een Boolean search uit te voeren. De werkwijze van de NMa is in die zin uniek dat er op locatie een wasstraat en eerste zoekslag wordt uitgevoerd. De NMa onderzoekt momenteel of het mogelijk is om bijvoorbeeld met scripts te werken en op die manier verfijnder te zoeken. Gelet op de extra complexiteit die deze methode met zich meebrengt en de verminderde inzichtelijkheid in de procedure, is het echter de vraag of deze werkwijze wenselijk is. In het verleden heeft de NMa in enkele gevallen op locatie een klein netwerk gebouwd en op die wijze de data geanalyseerd. Een bedrijfsbezoek moest in dat geval met weken worden verlengd. De vraag is of de onderneming dat een wenselijke situatie vindt en of een dergelijk lang verblijf op de onderneming niet disproportioneel is. Een andere opmerking van Mw. Açimoviç gaat over de Inscope tool die wordt ingezet bij het uitsplitsen van LPP data. Deze tool biedt inderdaad geen zoekfunctie. Het toevoegen van een zoekfunctie zou de complexiteit en destabiliteit van de applicatie vergroten. In de praktijk blijkt dat ondernemingen goed in staat zijn (met behulp van een eigen zoekfunctie) binnen de gestelde termijn een claim uit te voeren. Dit lijkt het ontbreken van deze functie te ondervangen. Als laatste wil ik opmerken dat er in een eerdere versie van Inscope inderdaad een onduidelijkheid in de handleiding was geslopen. Privé-claims dienen aangevinkt te worden als out of scope. Dit is in de laatste versie reeds hersteld. De NMa blijft zich ontwikkelen op forensisch digitaal terrein. De digitale omgeving verandert dagelijks en een moderne toezichthouder gaat hier vanzelfsprekend in mee. 10
Triageproces is het proces om de data in eerste instantie te verzamelen en rangschikken om ze goed mee te kunnen nemen. Het is term uit het leger en medische hulpverlening.
32
Arjan Groen and Amit Shiwani
in mergers & acquisitions: don’t ignore it! Deal mak ing is such an integ ral pa r t of the busi ness landscape that even in the cu r rent econom ic conditions if you fl ip open the newspape r’s busi ness section, odds a re good that at least one headl ine w i l l announce some k ind of me rge r s and acquisitions (M& A) transaction. Whi le the economic weathe r continues to be tu r bulent, the g lobal deal vol umes af te r a sho r t te r m slow down a re on the r ise. I n the EME A reg ion alone, the re we re app rox i mately 4 0 0 0 deal s in 2 011, a 10 % r ise f rom the yea r befo re (me rge r ma r ket. com, 2 011). Since the economic resou rces a re sca rce, the p ressu re to avoid fa i l u re in deal mak ing and execution has neve r been so high. Yea r s ago, a company m ight have had mo re ti me to f ine -tune the deta i l s, o r a chance to recove r if its M& A i nitiatives went bad. Today it is fatal, a non reve r sible downs l ide.
33
Since capital is more expensive, the time granted by
example, w ithout a deep understanding of what’s required
investors to produce results is shor ter, and there is less
to integrate two companies’ information systems.
slack in the balance sheet to recover from missteps, financial engineer ing cannot be relied on anymore as the
According to Dan Olley, CIO, Reed Business: “I think the
only source of value creation in deals. Therefore, the
bigger question is to what extent is technolog y becoming
focus on operational matters as a source of value in M& A
an absolutely cr itical factor for businesses? If you’re not
has become more prevalent. Both Corporate and Pr ivate
online and not embracing technolog y, you probably won’t
Equity buyers are increasingly looking to dr ive deal value
be here in a few years. We’re already seeing this in the
through proactively managing operational r isk, improv ing
media industr y, and in the travel industr y. With businesses
operational per formance and extracting more post merger
becoming more dependent on technolog y, it is ver y unw ise
operational synergies.
to v iew due diligence in a gener ic way. If due diligence is about taking r isk out of a deal, then why would you gamble
Ignoring IT due diligence can be costly
about such an impor tant factor?” (E&Y, 2011)
Appreciating the shiny paint job on the new car and hear ing about its make, mileage and per formance to date
A s companies realize how impor tant IT is in determining
may sound helpful, but it does not guarantee that the car
competitive advantage, they are making changes where
w ill per form well in the future. Carefully looking “under
necessar y so that they can engage IT as a true business
the hood” to determine the r isk s and oppor tunities has
par tner. A s a result, IT is being forced to be much more
become extremely impor tant before doing the proverbial
agile and increasingly more engaged and integrated w ith
handshake. The deal histor y book is filled w ith many
both internal and external customers and suppliers. A
instances where insufficient information about the target
company’s IT per formance and capability are being directly
company or the acquired entity is the pr imar y reason for
linked to the revenue-and-profit side of the financial
failed M& A transactions. Insufficient pre-deal information
equation. It is no longer a mere overhead expense, IT
results in costly surpr ises, unmet synerg y targets, and
is being recognized as a true asset in determining a
integration budget overruns. Acquirers have carr ied out
company’s competitive position.
due diligence exercises before the deal to uncover these r isk s. However, a traditional due diligence exercise, scoped
Recently, the Dutch newspaper Het Financieele Dagblad
narrowly, is intended to validate only the financial and
repor ted about a book retailer chain in the Netherlands
legal aspects of the acquisition. The financial due diligence
undergoing a decline in turnover after its buyout last year.
is considered as a de-facto standard before proceeding on
It mentioned that one of the key reasons of its decline
any acquisition but surpr isingly still only a few businesses
was that the company was late in mov ing towards internet
realize the impor tance of investigating the underly ing
retailing and so lags behind its competitors. In this case,
operational aspects of the business. Since information
a timely IT due diligence could have prov ided invaluable
technolog y underpins the operational aspects of businesses
insight and uncovered if the systems running the company
in all sectors, businesses should not underestimate the
were sufficiently robust and flexible to suppor t the future
impor tance of conducting an information technolog y
business strateg y. This could have helped investors develop
due diligence before the deal. E xecutives can’t hope to
more informed opinions about the acquisitions’ value
forecast the synergies from merged supply chains, for
potential and develop an appropr iate mitigation plan.
About the autho r s:
Pre-deal IT rigor is crucial to effectively capture post deal synergies
Arjan Groen is Partner and Amit Shiwani is Senior
Numerous studies indicate that approximately 70 % of
Manager at Ernst & Young Operational Transaction
deals fail to create shareholder value, and shareholder
Services. Their passion is to create actual value from
value ironically is the rationale why they happen in the
transactions and transformations by helping clients
first place. The reasons for failure could be many but
with due diligence, separations, integrations and
failed post merger integration due to cultural conflicts
operational restructur ing.
and incompatible information systems definitely stand out. In case of mergers, companies expect to create
34
in mergers & acquisitions: don’t ignore it!
value through synergies such as combined increased market
things that need to be considered even when identify ing
share, reduced operating costs, and an integrated value
targets.” (E&Y, 2011)
chain. These synergies often come from economies of scale, common processes, shared overhead and operational
An insurance company executive based in Finland has
integration. What is underestimated is the impor tance of IT
a positive stor y to share. He says that in his company’s
in achiev ing anticipated synergies. Since IT is so intr icately
most recent acquisition, the IT team was involved in the
inter woven into the operational aspects of the business
transaction process and, as a result, was able to prevent
it is both an enabler of merger synergies and a significant
value erosion early on. “ We were able to identify issues
source of cost rationalization. IT also generally contr ibutes
w ith cer tain SAP and ERP projects, so we knew in advance
the highest out-of-pocket cost to achieve post-merger
where there would be delays. We put in a margin to allow
integration.
for this in our time and cost estimates.” (E&Y, 2011)
An effective IT integration always star ts w ith effective
IT due diligence in practice
planning which depends on insight and information
An effective IT due diligence begins w ith understanding
obtained before the deal. Consequently, IT needs to be one
of the buyer’s goals for the investment and conducting a
of the pr imar y focus areas of any due diligence effor t, and
comprehensive evaluation of the target’s IT landscape to
the IT function needs to be evaluated both as an enabler
uncover the r isk s to these goals. Unlike IT audit rev iews,
of synergies and as an oppor tunity for cost reduction. Many
IT due diligence rev iews are often accelerated assessments
businesses which fail to put emphasis on IT before signing
where IT findings are translated into business r isk s and
the deal repor t delays, suffer from significant integration
business oppor tunities. The IT due diligence findings should
cost increases, and often regulator y and compliance
be directly usable, if required, to br ing relevant items on
issues. IT integration difficulties also impacts employee
the negotiation table. It should also result in a high level
productiv ity as well as revenue and profitability.
action plan to mitigate identified r isk s, resolve key issues, and capitalize on major oppor tunities. There is a cr itical
In the words of John F Kennedy “The time to repair the
need for speed in IT due diligence assignments, which are
roof is when the sun is shining” but companies, often
typically completed w ithin a two to three week per iod.
scamper for information after the deal is done and by this time it is already too late. Many executives w ill vouch
Key areas of investigation
that after the “pop” sound of the champagne , it is a race
The scope of an IT due diligence assignment is tailored
against time where many decisions hav ing long term impact
for ever y deal depending on the acquirers issues, industr y
must be taken w ithin days. L ack of information at this
sector and the business context. Listed below are some of
stage results in vague decision making.
the areas that an IT due diligence covers. Each of these areas have many dimensions, some of which are highlighted
A CIO of a global retail business r ightly points out: “Data
below for a high level understanding. It should be noted
uniformity and information systems are often the most
that neither the listed areas are a comprehensive list nor
difficult post-deal objectives to achieve. These are the
all areas are given equal impor tance dur ing investigation.
35
such a grow th unless the company wants to r isk accumulation of more disparate systems and The degree and focus of ver ification var ies w ith ever y
consequently complicate the application por tfolio
deal. The key is to separate the wheat from the chaff.
from its acquisitions.
IT strateg y alignment w ith the business strateg y: The goal is to identify the consistenc y of a company’s
IT project por tfolio alignment and execution: The aim is to find out how the company’s IT projects
IT strateg y w ith its business objectives. For example:
align w ith business objectives? What are the
What ongoing role does IT have in dr iv ing revenue
investments required? What are the r ight projects the
or managing/reducing costs and does the IT strateg y
company should be focusing on and why?
suppor t that? Imagine a retailer’s strateg y to dr ive cost benefits through supply chain optimization while
the underly ing IT strateg y does not reflect concrete plans or investments for relevant optimization of
Leadership and suppor t of/from the IT organization, use of outsourcing:
This aims at understanding the IT governance function
underly ing systems.
including the quality of the management running the IT function and their involvement w ith the business.
Business applications:
A poor IT governance structure often leads to poor IT
This is mainly aimed at identify ing the quality of
systems, IT spending strateg y and investments.
applications, the flexibility of applications, level of automation, quality of repor ting etc. For instance, a propr ietar y custom-built legac y application, at
IT spending levels: This is one of the most crucial areas of investigation
the core of a target’s business, may take months, to
as it quantifies the whole picture and has direct
combine w ith an acquirer’s own systems in order to
impact on financial side of the deal equation. IT
realize cost sav ings. Upgrading this system may cost
running costs and IT capital investment costs of the IT
millions. Unless this is known up front, significant
functions are analy zed w ith the aim of identify ing the
potential synergies could be delayed or forgone.
gaps w ith company’s financial projections, upcoming
Consider another scenar io where a company’s business
investment surpr ises and oppor tunities for cost
strateg y includes grow th by acquisitions however none
rationalization.
of its current IT applications are capable to absorb
References: mergermarket.com, 2011 annual global deal repor t, 2011, mergermarket.com E&Y, IT as a dr iver of M& A success, E&Y repor t, 2011, http://w w w.ey.com/Publication/v wLUA sset s/IT_ as _ a _ dr iver_ of_ M _ and _ A _ success/$FILE/E Y_ IT_ as _ dr iver_for_ M& A.pdf
36
in mergers & acquisitions: don’t ignore it!
Level of stabilit y and scalabilit y of the IT
A comprehensive IT due diligence goes beyond ticking
infrastructure:
the boxes. IT due diligence needs to be carr ied out by
Stability of IT infrastructure, preparedness for
the r ight team which is capable of translating technolog y
disaster recover y, business continuity, investments
issues into relevant deal issues or oppor tunities which
required in infrastructure, etc. are areas which
directly impact the transaction. The internal IT staff of the
are investigated under this topic. This has cr itical
company may lack the skills to make this assessment due to
impor tance in some industr ies like financial ser v ices
lack of relevant deal exper ience, time and a standardized
where unexpected downtime of IT systems, even for
methodolog y. The internal IT teams should be suppor ted by
a shor t per iod, can lead to a drastic impact on the
due diligence professionals specialized in conducting IT due
revenues and reputation of the business.
diligence.
Conclusion Out of many challenges that must be overcome in an M& A transaction, IT is one of the most impor tant yet quite often the most underestimated one. Some buyers may shy away from requesting IT due diligence due to plain lack of awareness, underestimation or for fear that it w ill take excessive time and uncover little value. However, buyers should not skip IT due diligence and put themselves in r isk y waters leading to value erosion. A skilled IT due diligence team armed w ith a structured methodolog y can deliver valuable insights relatively quickly. The better IT is understood, the more informed decisions can be made regarding the value of the business and the potential for future success of the deal. Pre-deal r igor = post-deal success.
37
Oud IM’ers aan het woord Drs. Ouke Arts MMC Leeftijd:
33
Woont in:
Utrecht
Checkt elke dag:
Of het een werkdag is en schr ijft
één keer per week op w w w.explicateur.nl
Huidige functie:
Adv iseur Thaesis
O pleiding:
Bestuurlijke Informatiekunde (drs.) Post-graduate opleiding Management Consultant (M MC)
Opleiding Studieper iode:
1997-20 0 4 en 20 0 6-20 07
Universiteit:
Universiteit van Tilburg en Vr ije Universiteit Amsterdam
Activ iteiten SBIT:
Wat Pim ook zegt: ik heb de dot in de ego bedacht. Dat mag na al die tijd wel eens worden rechtgezet. In mijn tweede jaar rolde ik de Informail commissie in omdat ik een mooi gelayout rappor t had ingeleverd bij mijn studentassistent Lobke Coppens. Daarna volgden een studiereis naar Eg ypte en een schitterend bestuursjaar en een ambitieuze IT-Almanakcommissie met onder andere r ising stars Gregor van Issum, Ard Jansen en Paul Koetsier. Volgens mij heb ik ook nog eens kascontrole-commissie gedaan met de twee Pimmen. Warme her inner ingen alom en wat namen w ij alle activ iteiten toch vreselijk ser ieus!
Belang studie:
Leren denken. Vr iendjes en vr iendinnetjes maken. Beetje van de wereld zien en jezelf tomeloos overschatten. En altijd blijven studeren!
M ooiste her inner ing:
Aan dat meisje in de bieb dat mij op vr ijdagmiddag altijd zo vr iendelijk een prettig weekend wenste. Ze is nu raadslid in Breda zag ik laatst. En dat ik met Gregor, Ard en Paul na al die jaren toch nog eens een keer in Havana (Cuba) ben geweest zoals we ooit in Havana (Heuvel) afspraken.
Huidige situatie Huidige baan &
Adv iseren over strategie in snel veranderende markten. Nieuwe producten en diensten
werk zaamheden:
ontw ikkelen, kansen voor nieuwe verdienmodellen beoordelen en opdrachtgevers in een ‘ander’ strategievormingsproces begeleiden. Daarnaast ben ik lid van de commissie van deskundigen van de NOS, die de Raad van Toezicht en directie adv iseer t over het journalistiek-maatschappelijk functioneren. Ook werk ik als vr ijw illiger bij het mooiste filmhuis van Utrecht.
Specifieke exper tise:
flavors.me/oukear ts
Connecties Volgende oud-BIK ker:
Raffy van der Burgt. Avontuurlijk en buitengewoon sympathiek, woont en werkt al jaren in China. Aan haar zou ik w illen vragen: hoe gaat het met je?
38
Oud IM’ers aan het woord Drs Gerard Cillessen Leeftijd:
34
Woont in:
Utrecht
Checkt elke dag:
nu.nl, fd.nl, facebook.com
Huidige functie:
Procesmanagement consultant
O pleiding:
Bestuurlijke Informatiekunde (drs.)
Opleiding Studieper iode:
1996-20 03
Universiteit:
Universiteit van Tilburg
Activ iteiten SBIT:
Ik ben pas na 3 jaar studie actief geworden bij SBIT als penningmeester van de congrescommissie. Ver volgens ben ik in het jaar 20 0 0-20 01 voor zitter geweest van SBIT, redacteur van de IT-monitor en zat ik namens SBIT in het bestuur van de Economische Bedr ijvenweek Tilburg. Na mijn bestuursjaar heb ik nog een paar jaar in de Raad van Adv ies gezeten.
Belang studie:
De studie heeft mij inzicht gegeven in ener zijds de uitdagingen waar een organisatie voor staat (strategievorming en de ver taling naar doelstellingen) en ander zijds de rol die IT kan spelen bij het halen van de organisatiedoelstellingen.
M ooiste her inner ing:
Dat is toch wel mijn bestuursjaar bij SBIT. Samen met een grote groep actieve (en fanatieke) leden hebben we een erg succesvol jaar neergezet. Ik heb in dat jaar erg veel mensen leren kennen, veel geleerd op bestuursvlak en ont zettend veel lol gehad in gebouw K. Ook de wekelijk se 4 uur durende bestuursvergader ing in Kandinsk y staan mij nog goed bij.
Huidige situatie Huidige baan &
M omenteel ben ik werk zaam als procesmanagement consultant bij Sogeti. Ik word op
werk zaamheden:
detacher ingbasis weggezet bij klanten. In de afgelopen 5 jaar bij Sogeti heb ik onder andere in de keuken mogen kijken van For tis Ver zekeren Nederland, ING, Air France/ KL M en ABN A MRO. De werk zaamheden die ik uitvoer zijn divers; procesarchitectuur opstellen, processen beschr ijven, coaching, requirements opstellen en business cases schr ijven. Afhankelijk van de rol die ik heb bij de klant verschilt het waarop de nadruk ligt.
Specifieke exper tise:
Business Process Management
Connecties Volgende oud-BIK ker:
Ik zou graag w illen weten waarom Sven de Zwar t naar Dubai ver trok en wat hij daar geleerd heeft.
39
Oud IM’ers aan het woord Drs. Pim Jörg Leeftijd:
34
Woont in:
Den Haag
Checkt elke dag:
linkedin.com, yammer.com, nu.nl
Huidige functie:
Informatieadv iseur bij gemeente Alphen aan den Rijn Informatiemanager bij gemeente Boskoop
O pleiding:
Bestuurlijke Informatiekunde (drs.)
Opleiding Studieper iode:
1996-20 03
Universiteit:
Katholieke Universiteit Brabant en later Universiteit van Tilburg
Activ iteiten SBIT:
Bij SBIT ben ik begonnen bij de congrescommissie. Na een half jaar studie in de VS ben ik een jaar lang penningmeester geweest in het bestuur. Dat betekende een jaar lang niet studeren, maar samen met de vele actieve leden werken aan alle activ iteiten die er werden georganiseerd. Vanuit het bestuur onder meer betrokken geweest bij de twee seminars die we dat jaar hebben georganiseerd en de ontw ikkeling van het magazine .ego als ver vanger van het magazine i-Catcher. En wat Ouke ook zegt: de dot in de ego bestond al, alleen laten we Ouke nog steeds in de waan.
Belang studie:
De twee gevleugelde begr ippen tijdens de studie waren de ‘helicopter v iew’ en de ‘bruggenbouwer’ en zo terugkijkend slaan beide begr ippen de spijker op zijn kop. Ik merk in mijn dagelijk se werk dat het van een afstand beschouwen van zaken erg belangr ijk is om de juiste stappen te bepalen en te zetten. Daarnaast ben ik tijdens de studie doordrongen van het feit dat er meerdere perspectieven zijn en belangen spelen en dat het de uitdaging is om die te verbinden en bij elkaar te brengen. Zeker in de bestuurlijke en politieke context van de gemeente.
M ooiste her inner ing:
Dat zijn er velen. Van de ‘ochtendbier tjes’ in de PUF tot een half jaar onderdompeling in het studentenwereldje in de VS, van een jaar lang intensief samenwerken in het SBITbestuur tot het moment van de buluitreiking en van de vele bezoekjes aan borrels van collega-studieverenigingen tot aan een indruk wekkend etentje bij Professor Nielen.
40
Huidige situatie Huidige baan &
Na mijn studie ben ik zeven jaar werk zaam geweest als extern adv iseur voor
werk zaamheden:
met name gemeenten op het gebied van informatiemanagement, e-overheid en organisatieontw ikkeling. Na zeven jaar begon het te kr iebelen en w ilde ik ook wel eens de ‘andere kant’ van de tafel er varen. Daarom ben ik zo’n twee jaar geleden begonnen als zogenaamde flexambtenaar. Dat betekent dat ik de ene helft van de week Informatiemanager ben bij de gemeente Boskoop en de andere helft Informatieadv iseur bij de gemeente Alphen aan den Rijn. Dat is sinds een paar maanden nog boeiender geworden vanwege het fusieproces waar in beide gemeenten zitten. En het werk var ieer t van het ontw ikkelen van een i-Visie voor dr ie fuserende gemeenten tot helpdesken bij de iPad van de Burgemeester.
Specifieke exper tise:
De belangr ijk ste werk zaamheden betreffen proces-, informatie- en projectmanagement ger icht op de implementatie en realisatie van ‘de e-Overheid’ binnen beide gemeenten. Specifieke werkterreinen daarbij zijn de ontw ikkeling van de (digitale) dienstverlening en de bijbehorende organisatieontw ikkeling, onder meer v ia de doorontw ikkeling van een KlantContactCentrum en zaakger icht werken.
Connecties Volgende oud-BIK ker:
Het stokje geef ik graag door aan Rutger Slump. Ik zie v ia Linkedin vaak updates van hem die mij nieuwsgier ig maken naar wat hij heeft gedaan na zijn studie.
41
Afgestudeerden juni 2011 - april 2012 M .C. Toscano
30 - 06 -2011
Y. Li
30 - 06 -2011
B.P.E Soepnel
14 - 07-2011
The role of information technology
Improving Alumni Administration
Ser vice Innovation in Virtual Worlds
in creating sustainability value for
by Self-Built Information Systems -
Dr. Rutkowski
financial institutions in 2020
Building IMMIT Connected to enhance
Dr. L aifa
alumni connection
L .J.M Sun
Dr. Rutkowski
A Petri Net Model of Payment and
H.A . Scheidl
30 - 06 -2011
22- 07-2011
Securities Settlement Systems V. Lukashov
Technology Assessment - From theor y
Configuration Management Process
to practice, case Ineo Oy
Improvement - A Case Study of a Pan-
J.J.C. Jonkergouw
Dr. Leino
Nordic insurance company
SNS
Dr. Leino
Kostenmodel Functioneel Beheer
K . Venkatachalam
30 - 06 -2011
Prof. dr. ir. Daniels
Master Data Management Maturity and
22- 07-2011
Prof. dr. ing. Van der Zee
30 - 06 -2011
Developing Project Management
O. Kor zhova
30 - 06 -2011
Information Systems -A large and
Enterprise Software for Nuclear
S. van Arendonk
complex multinational perspective
Industr y - The Case of the SAP Nuclear
Design for adaptation
Prof. dr. ing. Van der Zee
Competency Center
Dr. Weigand
05- 08-2011
Dr. Rutkowski S.K . Bhattarai
C.I. Koeppinghoff
30 - 06 -2011 30 - 06 -2011
08- 08-2011
Challenges in Scaling Agile Software
T.J.F. Theppatipat
Development in Offshoring
IT Ser v ice Catalog: A Case Study of the
Information Management: the Case of
Env ironment
Implementation Need in a Pan-Nordic
Haiti
Dr. Rutkowski
Insurance Company
Dr. Van de Walle
Humanitarian Relief and the Role of
Dr. Rutkowski A .F. Baiyere
N. Bayadyan
30 - 06 -2011 30 - 06 -2011
22- 08-2011
Disruptive Innovations at the B ottom
P.V. Nguyen
of the P yramid - Can they impact
Business Process Modelling in a Global
Technologies in Transition Economies
the sustainability of today’s top
Organization
Prof. Salmela
companies?
Prof. dr. ing. Van der Zee A . Issabayeva
Dr. Rutkowski W. Xu A .R . Vadang i
Information and Communication
30 - 06 -2011
30 - 06 -2011
23- 08-2011
Software Improvement Group
Business on Demand And its mobile
Issue handling in Commercial Systems
Social tagging within task management
solution -study with SAP ByDesign
and its relation to maintainability
Dr. Leino
Prof. dr. ing. Van der Zee
Dr. Türetken
A . Radchenko
30 - 06 -2011
S. Toth
06 - 07-2011
D. Cfarku
24 - 08-2011
Key Success Factors and Process for it
Towards a Faithful Simulation Model
A Framework for Management and
Project Portfolio Management
of the ITIL Incident Management
Control of Ser vice Granular Properties
Prof. dr. ing. Van der Zee
Process
in Ser vice-B ased Applications (sBAs)
Dr. Jeusfeld
Prof. dr. ir. Papazoglou
Y. Shen
30 - 06 -2011 26 - 08-2011
I. Rubenshteyn
Ideation Process
Analysis of value drivers behind crm
Dynamic Ser vice Provisioning by
Prof. dr. ir. O’Callaghan
adoption projects in financial ser vices
controlling the Road to the Cloud
industr y
Dr. Rutkowski
Dr. L aifa
42
11- 07-2011
L .J.M v L aarhoven
IT Innovation at Philips - Structuring
26 - 08-2011
J.M . van Workum
31- 08-2011
N. M aas
08-12-2011
Koninklijke PostNL
V VA-Informatiser ing
analysis results for annual audit
Business Intelligence in 2016
Enterprise Architectuur in de Zorg:
support An explorative research
Prof. dr. ing. Van der Zee
Fundament voor flexibiliteit in een
Dr. Rutkowski
dynamische sector L . Kools
S. Koolen
afgestudeerden
H.W. v. Rijsbergen
Improving presentation of data
29- 08-2011
05-10 -2011
Prof. dr. Ribbers
Impact of Software Testing on the
How could Cloud Computing
Software Development Process
N.V. Fezliyska
transformations be integrated into
Dr. Jeusfeld
Impact of process and policy design
12-12-2011
on the performance of a mental
the retained IT organisation of public organisations?
A .M . Verbaander t
Prof. dr. Beulen
The impact of national culture on
at the Mental Healthcare Institute in
cross-cultural ERP projects
Eindhoven
Prof. dr. Ribbers
Dr. Smits
F. Liang
29- 08-2011
10 -10 -2011
healthcare institution: a case study
Knowledge Management in Enterprise
22-12-2011
T. Kuijten
Prof. dr. Beulen
Stanley Black & Decker
Communication and user participation
How does current Information
in ERP implementations
System performance influence the
Prof. dr. ing. Van Groenendaal
S. de Koning
29- 08-2011
14 -10 -2011
A .P. Nijssen
Architecture Community
Complementing Agile Software Project
expectations of future Information
Management Methods with Plan-driven
Systems- an empirical study
D.R . Mulder
Components
Dr. Weigand
De effecten van IT-innovatie op
Dr. Jeusfeld
structuur en performance van E. Bons
Y. Mo
30 - 08-2011
17-10 -2011
Total Cost of Ownership of Open
Value Modeling of Port Community
Source Software
Systems: Using REA methodology
Prof. dr. ing. Van Groenendaal
zorgprocessen in ziekenhuizen Dr. Smits C.A .P. Breg ieta
acceptance of PCS
R .R .C. Snoeren
Dr. Weigand
Gemeente Tilburg
Management N.V. Curacao
E-Government and innovation
Dr. Weigand
30 - 08-2011
02- 03-2012
An Organizational Perspective
building business models to check
J.A . Haverhals
26 - 01-2012
11-11-2011
on Content Management at HB
in employment mediation “The
Eurofar International BV
challenges and opportunities of Social
J.F. van de Pol
Informatiesystemen voor het MKB -
Media”
Philip Morr is
inventarisatie en evaluatie -een single
Dr. Smits
Examination of the Application Portfolio ~ within Philip Morris
casestudy van Eurofar International BV Prof. dr. ing. Van Groenendaal
B. van Steen
25-11-2011
Overheidsdiensten ontwerpen J. K roeger
31- 08-2011
22- 03-2012
Holland B.V. Prof. dr. Ribbers
voor en met de burger. Even
Towards optimized performance
studie naar burgerparticipatie
Y.K . Lee
management
in het ontwikkelingsproces van
Enterprise Content Management: The
24 - 04 -2012
Prof. dr. ing. Van Groenendaal
overheidsdiensten.
right content tot the right person at
Prof. dr. Van den Heuvel
the right time Prof. dr. ir. O’Callaghan
43
.ego weblog
Is het post-pc tijdperk aangebroken? D o o r : Re y e r S i k k e l Gepubliceerd: 26 maart 2012
Aan de computer zoals we die nu kennen kan niet veel meer verbeterd worden. Op de specificaties na, is er nauwelijks innovatie mogelijk. Daarom gaan fabrikanten steeds meer concurreren op prijs. Het gevolg daarvan is dat het voor fabrikanten van computers niet meer aantrekkelijk is om te investeren in nieuwe computers. Maar waarin investeren ze nu dan wel?
for all it’s worth – and get busy on the next great thing. The PC wars are over. Done. Microsoft won a long time ago.” Eén jaar later stond Steve Jobs daadwerkelijk (wederom) aan het roer van Apple. Met zijn iPhone begon Apple met de implementatie voor zijn strategie voor het post-pc era. Nu zijn ze voorlopers op dit vlak. Met de iPhone, iPad en MacBook Air zet het al jarenlang de toon voor de ontw ikkeling van post-pc apparaten. Maar wat is nu precies het post-pc era?
The “post-pc” era Al in 1996 dacht Steve Jobs dat het tijdperk van van de
Het post-pc tijdperk is een tijdperk, gebonden aan
computer ten einde zou komen. Hij zei het volgende:
draagbare, aan het internet verbonden apparaten. Het is essentieel dat deze apparaten verbonden zijn met het
“The desktop computer industr y is dead. Innovation has
internet, want post-pc apparaten worden van data voor zien
virtually ceased. Microsoft dominates with ver y little
door de cloud. Daar worden alle media van de gebruiker
innovation. That’s over. Apple lost. The desktop market
opgeslagen. Als gevolg daar van kunnen de gegevens van
has entered the dark ages, and it’s going to be in the dark
de gebruiker op elk w illekeur ig apparaat bekeken worden.
ages for the next 10 years, or certainly for the rest of this
Met post-pc apparaten verdw ijnen de grenzen tussen werk,
decade.
thuis en vr ienden. Al je media staan bij elkaar, door elkaar opgeslagen in de cloud. Het delen van informatie en media
If I were running Apple, I would milk the Macintosh
44
wordt makkelijker.
.ego weblog
Het bedrijfsleven
Verder staat cloud computing bij het bedr ijfsleven al
Voor bedr ijven is het duidelijk. Google, Microsoft, Apple
jarenlang in de spotlights. Zodra bedr ijven overstappen op
en anderen investeren flink in het post-pc tijdperk. De
de cloud, is de stap naar het post-pc tijdperk zo gemaakt.
eerste twee proberen de infrastructuur voor het post-pc
Trends als het thuiswerken worden steeds meer gepusht door
tijdperk klaar te maken. Ze maken cloud toepassingen waar
de overheid. Het post-pc tijdperk kan het thuiswerken veel
de tablets, laptops en smar tphones van bedr ijven als Apple
beter faciliteren dan de traditionele manier van werken,
afhankelijk van zijn.
waarbij documenten alleen lokaal toegankelijk waren.
Bedr ijven als Intel proberen relevant te blijven in het post-pc
Kor tom, het post-pc tijdperk komt eraan. De markt voor
tijdperk. Met nieuwe concepten zoals de ultrabook, probeer t
pc’s wordt steeds kleiner, ter w ijl de markt voor apparaten
het een markt te maken voor post-pc apparaten, aangestuurd
die altijd in verbinding staan met het internet steeds
door de hardware van Intel.
groter wordt. Bedr ijven als HP verkopen hun pc productieafdelingen, en bedr ijven als Apple, die hebben ingespeeld
Daar tegenover staat bijvoorbeeld AR M. AR M is gefocussed
op de veranderende markt, verdienen meer dan ooit. Het
op het maken van hardware voor de post-pc wereld. Met
tijdperk van de pc is voorbij.
processoren die weinig stroom verbruiken, maar toch enorm krachtig zijn, leid onder anderen AR M de markt. Dat is ook terug te zien in de w inst die AR M maakt.
Reactie: Anne, op 27 april 2012 Al een aantal jaren zien we dat er niet zozeer nieuwe apparaten worden bedacht, maar dat innovatie draait om het combineren van bestaande technologieën in nieuwe toepassingen. Dit wordt ook wel smar t genoemd. Zo is een smar tphone of tablet eigenlijk niets nieuws onder de zon. De computer, telefoon, GPS, mobiel internet, etc. bestonden allemaal afzonderlijk van elkaar. Door dit te combineren nemen de mogelijkheden exponentieel toe. Discussieer mee op w w w.egoweblog.nl
45
.ego weblog
Acqhiring: de nieuwe vorm van recruitment Door: Richard van Laak Gepubliceerd: 16 februar i 2012
De laatste jaren komt steeds vaker in het nieuws dat een groot bedrijf als Google, Apple, Microsoft, Yahoo of ook Twitter een bedrijf over heeft genomen. Er wordt dan gesproken over hoge bedragen die in de miljoenen lopen, terwijl in sommige gevallen deze bedrijven pas enkele maanden of jaren bestaan. Deze nieuwe, agressieve vorm van acquisitie wordt ook wel ‘acqhiring’ genoemd, niet te verwarren met het woord ‘acquiring’.
de technische vraag niet kon bijhouden van de snelle ontw ikkeling van smar tphones en social media. Wie her inner t zich niet de #dur ftevragen hashtag op Tw itter? Middels deze tag kon je vragen stellen v ia Tw itter. Fluther was een zogenaamde Q& A website, welke precies het zelfde deed als hoe #dur ftevragen hier in Nederland functioneer t. Er zijn geen bedragen bekend gemaakt die met de overname gemoeid gingen, maar wat wel bekend is, is dat Tw itter niet de producten en aandelen van het bedr ijf heeft opgekocht. Het heeft een deal gesloten met de v ijf medewerkers van Fluther om voor Tw itter te komen werken. Zou Tw itter dus binnenkor t met een Q& A dienst
Rex Hammer, blogger en CEO van zijn eigen marketing
komen?
bedr ijf, heeft al in 20 05 op zijn eigen blog de definitie gegeven. Tot op heden is dit nog steeds de meest concrete definitie van ‘acqhir ing’:
Strategie achter de overnames: versterken of verbreden Er wordt uiterst nauwkeur ig bijgehouden welke bedr ijven
“When a large company ‘purchases’ a small company with
worden overgenomen door de ‘grote jongens’. Het is
no employees other than its founders, typically to obtain
imposant om te zien hoe veel van de bedr ijven ook
some special talent or a cool concept.”
uiteindelijk hun deuren sluiten na een overname door Google, Yahoo, Microsoft of Facebook. Voornamelijk de
Voor meer definities van het woord kun je bij Breakingcopy
eerste twee hebben hierbij de strategie om hun SaaS
of bij Visual Thesaurus terecht.
aanbod uit te breiden, getuige dat de vorm van ‘acqhir ing’ in 90 % van de gevallen is bedoeld om hun huidige
Voorbeelden van ‘acqhiring’
producten te versterken.
Op 29 oktober 2010 heeft Facebook de Dropbox voorloper door Sam Lessin, en enkele maanden na deze overname
Strategie voor star tups: snel groeien of opgekocht worden
werden op 10 december de deuren van het bedr ijf gesloten.
“Engineers are worth half a million to one million”,
Dit is uiterst vreemd, zeker gezien het succes dat Dropbox
dat zei Vaughan Smith, de corporate development
op dit moment heeft. Het ging Facebook om de k waliteiten
director van Facebook. Met dit in het achterhoofd trekt
die Sam Lessin bezat, daar waren ze naar op zoek. Deze
Facebook entrepeneurs aan, en biedt ze daarbij meteen
agressieve vorm van recruitment wordt op meerdere
een royaal salar is en aandelenopties in Facebook aan. Eén
technologieblogs ‘acqhir ing’ genoemd.
voor waarde; er wordt van je ver wacht dat je naar Silicon
Drop.io voor miljoenen opgekocht. Dit bedr ijf is opger icht
Valley komt. Een ander voorbeeld is de overname van Fluther door Tw itter op 21 december 2010. De zoekmarkt was op dat
In A zië gaat het agressieve ‘acqhir ing’ niet op. Het is
moment dermate volwassen en doorontw ikkeld dat deze
veel te kostbaar om daar een heel team op te kopen, en
46
bedr ijven die daar star ten zijn vaak kopieën van een Westers
ontw ikkeld wat op een voor de eindgebruikers simpele
bedr ijf. Je koopt in feite een kloon van het oorspronkelijke
manier de gegevens uit meerdere Open Data API’s haalt.
idee, welke daarnaast ook nog eens van een lagere k waliteit
Het aggregeer t gestructureerde gegevens uit bronnen als
is dan het or igineel.
Wikipedia en IMDB tot tabellen, grafieken en rappor tages.
Een bedr ijf waar ik persoonlijk veel waarde in zie is de
Steeds meer komt het in het nieuws, maar ook bedr ijven
Nederlandse star tup Silk. Vor ig jaar heb ik tijdens mijn
zoals SNTMNT die bij DWDD komen, zijn het bew ijs dat
bachelor thesis veel kennis opgedaan over het semantisch
informatie het nieuwe goud is. Star tups die zich bezighouden
web, ook vaak web 3.0 genoemd. De star tup Silk wordt
met innovatie op het gebied van informatie hebben een
gezien als pionier op het gebied van deze volgende fase in
gouden toekomst, letterlijk!
de ontw ikkeling van het internet. Silk heeft een platform
Reactie: Rodney, op 27 april 2012 Ik zie met de recente overnames van Sk ype, Instagram en Draw Something ook een zeer duidelijke trend om een overname te doen voor de userbase, in plaats van werknemers of technologie. Het gaat in die gevallen om een potentiële concurrent, die miljoenen gebruikers heeft en waar de ‘tech giant’ niet zomaar meer tussen kan komen. Natuurlijk is het dan wel te hopen dat de invester ing het waard blijkt te zijn en dat niet iedereen over een maand een andere hippe app gebruikt… Discussieer mee op w w w.egoweblog.nl
47
Magazine voor Informatiemanagement
Het semi-wetenschappelijke magazine .ego is een uitgave van studievereniging A sset | SBIT in samenwerking met alumnivereniging EK SBIT. A sset | SBIT - Kamer E116 - t.a.v. redactie .ego Postbus 90153 - 50 0 0 LE Tilburg [t] (013) 4 66 2998 - [e]
[email protected] - [i] w w w.asset-sbit.nl/ego
