.ego - Jaargang 11 - Editie 1
48
Magazine voor Informatiemanagement Jaargang 11 - Editie 1 Mei 2012 31 Vol. Interview met Ernst Oud Social engineering Digitaal rechercheren bij de NMa Your organizational knowledge base
-
Upload
asset-sbit -
Category
Documents
-
view
234 -
download
6
description
Full-color magazine .ego is a joint publication of study association Asset | SBIT and alumni association EKSBIT. Both associations are allied to Tilburg University. Every edition of .ego cosists of articles on various topics focused on students and professionals in the Information Management field.
Transcript of .ego - Jaargang 11 - Editie 1
Magaz i ne v oo r I n f o rma t i emanagemen t
Jaa r gang 1 1 - E d i t i e 1 Me i 2 012 31
Vol .
Interview met Ernst OudSocial engineering
Digitaal rechercheren bij de NMaYour organizational knowledge base
INHO
UDSO
PGAV
E
IN DEzE UItGAVE
.ego Magazine sprak met Ernst Oud over informatiebeveiliging, terwijl de rest van Nederland al bijna aan het
kerstdiner zat. Ernst Oud heeft een goede kijk op dit vakgebied door meerdere jaren ervaring in tal van functies binnen het Information Management vakgebied. Eén van deze functies is de functie welke Ernst op dit moment vervuld als ISO (Information Security Officer) bij Kerncentrale Borssele. Met nadruk dient gezegd te worden dat de uitspraken binnen dit interview zijn gedaan op persoonlijke titel en niet vanuit zijn functie bij deze kerncentrale of één van de andere functies welke Ernst heeft vervuld of momenteel vervult.
PAGINA 4
Vandaag de dag maakt haast ieder bedr i j f gebruik van informatie technologie (IT). Deze IT i s kwetsbaar voor verschi l lende bedreigingen. Een organisat ie kan de beste bevei l ig ingstechnologieën aanschaffen en hun mensen zo goed mogel i jk t rainen, maar ze bl i jven zo sterk als de zwakste schakel: de mens.
Ernst Oud
Social engineering
Columns15 Internet op zwart? De (on)macht van de
content industr ie
21 Sociale isolatie
Interviews4 Ernst Oud, Information Security Officer bij
kerncentrale Borssele
Oud IM’ers aan het woord38 Drs. Ouke Arts MMC
39 Drs. Gerard Cillessen
40 Drs. Pim Jörg
Artikelen9 Does your organizational knowledge base really
matter?
16 Social engineering
22 eDiscovery in het mededingingsrecht: doeltreffend genoeg of kan het (nog) beter?
28 Digitaal rechercheren bij de NMa
33 In mergers & acquisitions: don’t ignore it!
PAGINA 16
.ego Weblog44 Is het post-pc tijdperk aangebroken?
46 Acqhir ing: de nieuwe vorm van recruitment
Afgestudeerden41 Afgestudeerden (juni 2011 - april 2012)
#ego@dotegomagazine
Follow us on
Wil je een onderwerp terugzien in de .ego? Twitter mee!
COLO
FON Het semi-wetenschappelijke magazine .ego is een uitgave van studievereniging Asset | SBIT in samenwerking met alumnivereniging
EKSBIT. Asset | SBIT is de Tilburgse vereniging voor studenten Information Management en andere geïnteresseerden in dit vakgebied. Het magazine wordt verspreid onder alle leden van Asset | SBIT en de alumnivereniging EKSBIT, de medewerkers van het departement Information Systems and Management aan Tilburg University en geïnteresseerden uit het bedrijfsleven.
RedactieadresAsset | SBITKamer E116t.a.v. redactie .egoPostbus 901535000 LE Tilburg[t] 013 – 466 2998[f] 084 - 839 1373[e] [email protected][i] www.asset-sbit.nl/ego
RedactieJeroen BekkersXander BordeauxGieljan EveraertCarlijn Fr insToine van den HurkStijn IJzermansMark MustersGertjan Scholten
Grafisch OntwerpSBIT DsK.
VormgevingWouter van OoijenBart OttenheimRodney Dekkers
DrukOrangebook, Tilburg
Oplage600 exemplaren
CopyrightVoor overname van (delen van) artikelen dient schriftelijk toestemming te worden gevraagd aan de redactie. In de artikelen gedane uitspraken vallen onder de verantwoordelijkheid van de desbetreffende auteurs.
#V ErDErVoor u ligt dan eindelijk de eerste uitgave van het .ego magazine van jaargang 11.
Met een grotendeels nieuwe redactie, ondergetekende als nieuwe hoofdredacteur en
een nieuw design willen wij u een mooie reeks magazines aan gaan leveren van het
niveau dat u gewend bent van onze voorgangers. Vol goede moed trappen wij dan ook
af met deze interessante en mooi vormgegeven eerste editie.
In deze editie vindt u onder andere een artikel over beveiligingstechniek. Zoals
bekend, is die zo zwak als de zwakste schakel: de mens. Joost van Beijsterveld
beschrijft hoe bedrijven zich moeten wapenen tegen social engineering. Ook hebben
we een erg leuk interview over beveiliging met Ernst Oud, Information Security
Officer bij Kerncentrale Borssele. Oud .ego bekenden Bas en Emile vroegen hem naar
zijn persoonlijke ervaringen met informatiebeveiliging door de jaren heen.
In een ander artikel vertelt Martin Goossen ons over zijn visie op knowledge
management. Hij gaat in op de vraag wat een kennisbank er binnen een organisatie
toe doet. Verder twee artikelen met daarin een interessante discussie omtrent
eDiscovery bij de Nederlandse Mededingingsautoriteit, een artikel over het belang
van IT bij fusies en overnames en twee fr isse columns tussendoor om het lekker
luchtig te houden.
Veel plezier bij het lezen van deze 31e editie van het .ego magazine. Een editie waar
we trots op zijn, op naar de volgende!
@MarkMusters
.ego Magazine sprak met Ernst Oud over informatiebeveiliging, terwijl de rest van Nederland al bijna aan het kerstdiner zat. Ernst Oud heeft een goede kijk op dit vakgebied door meerdere jaren ervaring in tal van functies binnen het Information Management vakgebied. Eén van deze functies is de functie welke Ernst op dit moment vervuld als ISO (Information Security Officer) bij Kerncentrale Borssele. Met nadruk dient gezegd te worden dat de uitspraken binnen dit interview zijn gedaan op persoonlijke titel en niet vanuit zijn functie bij deze kerncentrale of één van de andere functies welke Ernst heeft vervuld of momenteel vervult.
Erns
t Oud
‘‘
‘‘Smartphones zijn in meerdere
opzichten gevaarlijke apparaatjes
5
Door: Emile Bons en Bas van Steen
INtErVIEW MEt ErNSt OUD
Wij vroegen Ernst naar de huidige stand van de informatiebeveiliging binnen Nederland en organisaties binnen Nederland. Ernst geeft aan dat het over het algemeen prima geregeld is met de informatiebeveiliging maar dat Nederland zeker geen koploper is op het gebied van informatiebeveiliging. Desalniettemin loopt Nederland in de pas in vergelijking met andere West-Europese landen zoals Frankrijk en Duitsland. Volgens Oud lopen landen die te maken hebben gehad met terrorisme, zoals Engeland (IRA) en Duitsland (RAF), vooral voorop met informatiebeveiliging. Deze positie van Nederland neemt niet weg dat dit artikel al bijna gevuld had kunnen worden met boeiende anekdotes over de informatiebeveiliging binnen organisaties waarin Ernst Oud actief is geweest.
Ernst Oud startte zijn carrière na de HTS bij Philips. Ernst vertelt
ons dat Philips een tijd lang één van de koplopers was in de
computertechniek maar deze koppositie na een aantal jaren heeft
verloren. Ernst maakte bij Philips gebruik van een draagbare
computer van Toshiba. Hij zag dat dit de toekomst van computers was
en wilde hier bij zijn, zo besloot hij bij Toshiba te gaan werken. “In
die tijd had Defensie een flink aantal van die draagbare computers
en daar raakten er ook steeds meer van verloren. Een van de vragen
waarmee ze naar mij kwamen was: hoe kunnen we voorkomen dat
men de data kan misbruiken op het moment dat ze de beschikking
krijgen over zo’n computer?” Zo kwam Ernst in contact met Crypsys;
een kleine organisatie die zich specialiseerde in de encryptie van
gegevens, alwaar hij zijn carrière voortzette. In het verdere verloop
van zijn carrière raakte Ernst ook betrokken bij de uitbreiding van de
consultancy afdeling van het computer-uitwijkcentrum van Getronics
in Lelystad. Ernst vertelt ons dat een dergelijk uitwijkcentrum in
de huidige tijd voor steeds minder organisaties een goede oplossing
is. “In de loop der jaren is de informatievoorziening voor veel
organisaties steeds belangrijker geworden. Daardoor moeten hun
informatiesystemen zo goed als continu beschikbaar zijn. Dit is met
een uitwijkcentrum toch vaak lastig te bewerkstelligen, omdat het
vaak niet mogelijk is om een informatiesysteem eenvoudig binnen
enkele uren op een andere fysieke locatie operationeel te hebben.”
Verder werkte Ernst enkele jaren voor Urenco, een organisatie
gespecialiseerd in het verrijken van uranium. Dit proces van het
verrijken van uranium is altijd een staatsgeheim geweest en heeft
destijds voor politieke onrust gezorgd bij het lekken daarvan. Vanuit
deze functie is Ernst overgestapt naar Deloitte en daarna naar
Microsoft om, sinds 2008, vanuit zijn eigen onderneming actief te
zijn.
Eigenlijk, zo stelt Ernst, is het vakgebied van informatiebeveiliging
al “zo oud als de weg naar Rome”; het principe van
informatiebeveiliging bestond al ver voor het ontstaan van
informatiesystemen. Wat dat betreft, zo stelt hij, is de beveiliging
van een informatiesysteem nog steeds te vergelijken met de
beveiliging van een burcht “waarbij er aan de ene kant wachttorens
en bewakers zijn en aan de andere kant indringers die moeilijk de
gracht over komen”. Wat wel verschilt, zo licht Ernst toe, is het feit
dat informatie steeds compacter is geworden, niet meer fysiek hoeft
worden weggenomen en er ook digitaal kan worden ingebroken.
“Veel waardevolle informatie ligt tegenwoordig bij elkaar, het
is vergelijkbaar met een schatkamer van vroeger. Als indringers
eenmaal binnen zijn, is het eenvoudig om grotere hoeveelheden data
te vergaren.”
Het enige probleem met de indringers van nu is dat deze heel
eenvoudig over dezelfde middelen kunnen beschikken als de middelen
waarover de organisatie beschikt die zichzelf poogt te wapenen tegen
deze indringers. “Het is voor een indringer kinderlijk eenvoudig om
antivirus software te kopen voor ongeveer 100 euro om daarmee
te zien hoe hij zijn ‘malware’ moet schrijven om onopgemerkt te
blijven.” Bovendien, zo geeft hij aan, is het met de veelzijdigheid
aan platforms en apparaten waarop informatiesystemen actief
zijn veel lastiger geworden om informatiebeveiliging efficiënt toe
te passen. Hierbij haalt Ernst een quote aan van Bill Gates: “de
functionaliteit van een informatiesysteem zal het altijd blijven
winnen van de beveiliging van deze systemen”.
Waar wij eigenlijk over wilden spreken met Ernst is de ultieme vraag:
wanneer kun je stellen dat een informatiesysteem veilig is? Ernst
geeft aan dat het relatief eenvoudig is om te bepalen wanneer een
6
informatiesysteem veilig is: dit is het geval wanneer het restrisico
aanvaardbaar is. Daarbij nemen wij in ogenschouw dat het restrisico
niets anders is dan het niet door de beveiligingsmaatregelen
afgedekte risico vermenigvuldigd met de kans van optreden.
“Natuurlijk”, zo geeft Ernst aan, “is het niet altijd eenvoudig om
vast te stellen wat dat restrisico is en hoe groot de kans is dat dit
restrisico optreedt”. Tevens is het van belang dat het toetsen van dit
risico en het bepalen van de beveiligingsmaatregelen niet door één
en dezelfde persoon binnen de organisatie uitgevoerd moet worden.
“Zo komt het vaak voor dat de ICT-manager zelf bepaalt of het
restrisico aanvaardbaar is, waar hij eigenlijk de gebruikersorganisatie
zou moeten vragen om aan te geven of dit het geval is.” Het
voorbeeld van de manager die zelf bepaalt dat bij het mislukken
van de dagelijkse back-up de maatregel van het onderzoeken en
de volgende dag opnieuw proberen voldoende zou zijn is hierin
sprekend. Eigenlijk zou deze manager te rade moeten gaan bij de
proceseigenaar of het aanvaardbaar is om van deze back-up een dag
te kunnen missen. Het lastige met dit risico is dat het vaak wel te
becijferen is, maar dat de ervaring van het risico door de burger of
eindgebruiker vaak verschilt met datgene wat becijferd is. “Denk
hierbij aan het risico dat een kerncentrale lekt versus het risico dat
je met je auto een ongeluk hebt; het eerste is wel als een kleiner
risico becijferd, maar wordt vaak als groter ervaren. Uiteindelijk is
het de ervaring van de gebruiker of burger die daarin het meeste
telt.”
Tegelijkertijd is risico niet per definitie
negatief. “Sprekend is hierin de oude
reclame van de Staatsloterij waarbij
men sprak van het grootste risico om
miljonair te worden”, zo stelt Ernst. Een
wereld zonder risico is volgens Ernst
ook niet de meest spannende
wereld. Immers, het
bepalen en (al dan niet
bewust) nemen van dit
risico maakt het maken van
keuzes interessant.
Het vervelende
aan het vakgebied van
informatiebeveiliging vindt Ernst dat
maatregelen vaak “als een soort van pleister” worden toegepast.
“Het gebeurt nog veel te weinig, in mijn ogen, dat het gehele
denkproces achter informatiebeveiliging wordt meegenomen wanneer
het gaat om het vaststellen of inrichten van een bedrijfsproces.” Het
vakgebied van informatiebeveiliging is volgens hem nog onderbelicht
binnen het vakgebied van Informatie Management.
Bedrijven realiseren zich volgens Ernst te weinig wat de informatie
waarover zij beschikken waard is voor kwaadwillenden. Ook
werknemers, die vaak de zwakste schakel zijn in het proces,
beseffen niet wat de waarde van de data op een USB stick kan zijn.
Oud trekt hierbij graag het vergelijk met een diamant. Als de USB
stick een diamant was dan zou iedereen hem uit het zicht houden
en veilig in zijn binnenzak bewaren. Helaas is dit bij een USB stick
niet zo, terwijl de inhoud ervan van grotere waarde kan zijn. Een
andere misrekening waar Ernst voor waarschuwt is de zogenaamde
‘stepping stone’ functie die bedrijven kunnen spelen. Het bedrijf
realiseert zich dan te weinig dat de informatie die zij heeft door
kwaadwillenden gebruikt kan worden om bij een ander te gebruiken.
Om het principe te verduidelijken geeft hij het voorbeeld van
een bedrijf dat tokens maakt. Deze tokens worden gebruikt voor
toegangscontrole bij diverse organisaties. Op een moment werd
er bij het bedrijf dat de tokens maakt ingebroken. Hier werd niet
veel aandacht aan besteed, er was niets van waarde weg. Twee
maanden later bleek dat er informatie over de werking van de
token was gestolen en deze werd gebruikt bij een inbraak bij een
vliegtuigbouwer.
We vragen Ernst Oud naar opkomende risico’s. Hij houdt lachend zijn
smartphone in de lucht. “Dit zijn in meerdere opzichten gevaarlijke
apparaatjes” aldus Ernst. De ontwikkeling gaat zo hard, dat is niet bij
te houden. Hiervoor geldt zeker dat functies boven
veiligheid gaan. “Op een gemiddelde desktop,
draait nog wel iets dat ‘malware’ tegengaat.
Maar op zo’n apparaatje draait helemaal
niets om de gebruiker te beschermen” zegt
Ernst. Je kan als gebruiker enkel software
uit een ‘market’ of ‘store’ downloaden.
“Maar Google kan natuurlijk nooit 400.000
apps goed controleren. Je weet niet wat voor
kwaadwillende code erin zit en, als het
al bekend wordt, is het vaak
al te laat.” Volgens Ernst is
het verwonderlijk dat banken
massaal apps uitbrengen om
elektronisch te bankieren.
Hackers zijn volgens hem
massaal de aandacht op Windows
aan het verminderen en richten zich
inmiddels meer op Android.
We vragen hem over zijn visie op het moderne cloud computing.
Ook dit is volgens Ernst niet echt nieuw. Uitbesteden doen we
volgens hem al heel lang. Als je het ziet in de Deming cirkel, zegt
hij, besteed je enkel het eerste kwart, ‘plan’, uit. De overige 75%
7
moet je nog wel zelf doen. Hij zegt dat dit makkelijker gezegd
is dan gedaan. Je kan als auditor moeilijk naar Amazon.com (een
van de grootste aanbieders van cloud oplossingen, red.) toegaan
en vragen waar je data staat. Waarschijnlijk krijg je wel antwoord
waar het regulier is, maar niet wanneer er onderhoud is. Volgens
Ernst zijn er dan ook veel Nederlandse bedrijven die hier onbewust
de wet mee overtreden. Bepaalde persoonsgegevens mogen niet
zonder toestemming van justitie worden opgeslagen buiten Europees
grondgebied. Wanneer een data center in onderhoud is worden de
gegevens tijdelijk opgeslagen in een ander gedeelte van de cloud, dit
hoeft niet perse binnen Europa te zijn.
Ernst kwam in het vizier van de .ego redactie doordat hij betrokken
is bij de informatiebeveiliging van de kerncentrale in Borssele.
Het mooie van een kerncentrale is dat het goed tot de verbeelding
spreekt, een dergelijke centrale is wel het laatste waar je een lek
in de beveiliging wilt hebben. Volgens Ernst is een kerncentrale
niet heel spannend, in feite is het volgens hem vergelijkbaar
met andere organisaties in de procesindustrie. Er zijn volgens
hem op de Maasvlakte bedrijven die een hoger risico hebben. De
kerncentrale is gebouwd eind jaren ‘60. In die tijd was alles nog
overzichtelijk met kasten met printplaten en relais. Er is sinds die
tijd veel gedigitaliseerd, maar er is vanaf het begin goed rekening
gehouden met de veiligheid. Zo zijn er binnen de centrale maar
weinig systemen die in verbinding staan met de buitenwereld.
Hij is dan ook niet bang dat mensen met slechte bedoelingen erin
slagen om bijvoorbeeld de sturing van de reactorstaven direct te
bedienen. “Maar”, zegt hij, “ook hier geldt dat de mens een zwakke
schakel is in het geheel”. Hij is meer bezorgd over het feit dat de
systemen die wel met de buitenwereld in verbinding staan zouden
worden overgenomen; en deze vervolgens foutieve informatie gaven.
Informatie die medewerkers verkeerd laat handelen. Dit is getest1 en
de onderliggende processen blijken dusdanig goed in elkaar te zitten
dat ook dit niet tot ongewenste situaties kan leiden.
In het algemeen kan volgens Ernst gesteld worden dat er momenteel
nog niet altijd even goed met informatiebeveiliging wordt omgegaan.
Om dit kracht bij te zetten vertelt hij een verhaal over een grote
retail organisatie. Hij had de opdracht om de informatiebeveiliging in
kaart te brengen. Al snel bleek dat de hele bevoorrading van filialen
werd geregeld door een oude Compaq computer met daarop een
programma dat specifiek voor een 286 processor was geschreven.
De computer verzamelde alle data van de kassa’s van de filialen
en zorgde voor bevoorrading. Volgens hem werd de computer op
dat moment ongeveer al 20 jaar niet meer gemaakt. Uit navraag
van Ernst bleek, dat als de computer het zou begeven, er na
ongeveer vier dagen niets meer verkocht kon worden. Het bedrijf
verweerde zich met een planning dat er over drie maanden een
nieuw systeem zou draaien. Hier had Oud de nodige vraagtekens bij.
Voor de verduidelijking heeft hij eenzelfde 286 voor enkele euro’s
via Marktplaats gekocht en deze bij de oplevering van het rapport
cadeau gedaan.
Zoals de traditie betaamd hebben we Ernst gevraagd naar wat hij
de toekomstige informatiemanager wil meegeven. Hier is Ernst zeer
duidelijk over: “er moet meer aandacht aan informatiebeveiliging
worden besteed; vanaf het ontwerpen van processen moet
informatiebeveiliging worden meegenomen”. Het is niet verstandig
om achteraf experts er na te laten kijken, je moet deze vooraf al
mee laten denken. Dit is volgens hem beter en vaak uiteindelijk ook
goedkoper. Als afsluiter geeft hij mee dat de eindgebruiker op de
hoogte van de risico’s moet zijn, zodat hij kan bepalen of hij zich
prettig voelt bij het restrisico.
INtErVIEW MEt ErNSt OUD
KErN
CENt
rAlE
BOrS
SElE
1 Het rapport is te vinden op www.kerncentrale.nl
© 2012 PricewaterhouseCoopers B.V. (KvK 3412089) Alle rechten voorbehouden.
www.werkenbijpwc.nl
Soms hou je alleopties openSoms weet je direct waar je aan de slag wilt
Kom verder op werkenbijpwc.nl
Tijdens je studie heb je een schat aan kennis opgedaan, je bent ambitieus en nu wil je aan de slag. Bij ons kun je al je kwaliteiten volop ontwikkelen.
Je ideeën zijn meer dan welkom Ook wij zijn ambitieus. We willen op de gebieden Audit & Assurance, Tax & Human Resource Services, Advisory en Compliance Services de beste oplossingen bedenken voor onze klanten. Dat kan alleen als onze mensen verschillende invalshoeken hebben. Dus maakt het minder uit wat je gestudeerd hebt. Het gaat om je ideeën.
Blijf je ontwikkelen Je krijgt op dag één een coach, werkt samen in teams met inspirerende collega’s en volgt opleidingen. Zo ontdek je waar je kracht ligt. Je kunt switchen tussen secto-ren, bijvoorbeeld tussen beursgenoteerde ondernemingen en de overheid. Je kunt ook van PwC-vestiging veranderen, binnen Nederland of over de grens.
Pak de ruimte die je krijgt Je gaat bij ons aan de slag in een open kennisorganisatie. We werken met passie en een gezonde dosis lef; zijn open, integer en eerlijk. Het gaat er bij ons informeel aan toe. Je initiatieven zijn welkom. Je start je carrière vliegend, ontwikkelt je volop en haalt het beste in jezelf naar boven. Want daar worden onze klanten, wij én jij beter van.
4872-19 PwC RC Adv. Profiel 200x265 Ego.indd 1 3/28/12 5:37:28 PM
9
As swift ly as it appeared in the end of the previous century, as quick ly as it disappeared only several years later: knowledge management. Its rapid r ise and subsequent waning is probably related to a lack of st rong fundamental pr inciples, thereby making it the next management fad in the f ields of innovation, human resources, and information management. Never theless, it has reinvigorated practit ioners’ and academics’ interest in the role of knowledge for innovation. And it raised once more the question: in the end, does the organizational knowledge base real ly matter?
DOES yOUr OrGANIz AtIONAl KNOWlEDGE BASE rEAlly MAttEr?
Martin C. Goossen
yES!
About the authorMartin Goossen is currently a Ph.D. candidate at the Strategy
Department of HEC Paris, a French business school near
Versailles. In 2010 he graduated from Tilburg University with a
master’s degree in Information Management after having studied
finance and management in the Netherlands and the UK.
10
The issues with knowledge managementKnowledge management comprises all organizational
practices related to the creation, absorption, distr ibution,
dispersion, application, retr ieval and maintenance of
knowledge. It ranges from employee training by senior
colleagues to writing detailed manuals for standard
operating procedures. To express the importance of
knowledge for competition and performance, Nonaka et
al. (1992) reconceptualized the firm as a combination
of three different layers (see Figure 1). Originally the
organizational structure with its divisions, functions,
and operations is captured by the business-system layer
whereas the project-team layer outlines how employees
interact and are allocated to particular projects. Both of
these structures draw upon the fuzzy knowledge base layer
that includes and makes available all knowledge present in
the organization.
A major issue contributing to the reduced interest in
knowledge management is its intangible nature. The
relevance of knowledge management processes for product
and process innovation have been identified via interviews
with people in the field, but are often hard to observe.
The intangible nature of knowledge management makes it
impossible to set clear measurable objectives and apply
management-by-numbers, which immediately reduces
managerial interest and resource allocation. Besides,
the social and tacit nature of knowledge suggests that
organizations have hardly any means to influence and guide
knowledge sharing and application. For example, Nonaka’s
well-known SECI model describing four modes of knowledge
conversion (socialization, externalization, combination,
internalization) gives managers very few handles to steer
and manage organizational knowledge.
Making knowledge assets and flows visibleThis article’s main objective is to assess the claims made
by knowledge management, but knowledge assets and flows
need to be made tangible in order to do so. Therefore we
turn to the semiconductor industry where knowledge is
visible via patenting activities. Since its initiation in the
1950s, the semiconductor industry has been characterized
by high R&D intensity, strong patent protection, and rapid
product development based upon technological innovation.
Patents are in fact externalized knowledge with a
detailed description of a technological invention, though
inventors generally agree that the patent is merely a part
of the skills and know-how used to create the invention.
Nevertheless, patents have two characteristics used to
observe knowledge: classification and citations.
Business-system layer
Project-system layer
Collaboration among project teams to promote knowledge creation
Team members form a hyper network across business-systems
Teams are loosely-coupled around organizational vision
Knowledge-base layerOrganizational vision, culture, databases, etc.
High accessibility to knowledge-base byindividual members
Dynamic knowledge cycle continuously creates, exploits and accumulates organizational knowledge
Figure 1: The knowledge-creating company (Nonaka et al., 1992)
11
DOES yOUr OrGANIzAtIONAl KNOWlEDGE BASE rEAlly MAttEr?
Take for instance Texas Instruments’ patent 5335276
describing tablet computers. It is among others classified
in category “380 – telephonic communications”. Because
of that, we can assume that the firm has at least some
knowledge of telephonic communications. Similarly,
patents also have citations: references to other
technologies that the inventors have drawn upon to develop
the novel technology. For instance, this patent cites the
older patents 4712242 and 5054082 which fall both in
category “704 – data processing”. This means that the
inventors have used data processing knowledge to create
this new technology as well.
The knowledge base layer of a semiconductor firm becomes
visible if all recent patents of a firm are pooled together.
Figure 2 shows a simplified version of the knowledge base
of Texas Instruments during 1998 till 2000. The nodes
represent the different types of technological knowledge
(based on the patent classes) and are sized by the number
of times Texas Instruments has drawn upon this particular
of knowledge for its R&D activities. The links between the
nodes represent the knowledge flows (if different types
of knowledge are combined in new innovations) and the
weight indicates to what extent these types of knowledge
are combined. For instance, it is obvious that technology
classes 438 (“semiconductor manufacturing”) and 375
(“pulse communications”) are important, but not combined
for new inventions. Knowledge diversity is displayed in
this picture by the number and size of the different nodes.
Knowledge integration is visualized via the presence and
strength of linkages between the nodes. Learning can be
envisioned by comparing two knowledge base snapshots of
the same firm at different moments in time to see which
nodes (types of knowledge) have been added.
The value of knowledge management: diversity and dynamicsAfter visualizing the knowledge base layer, we can assess
the value of knowledge diversity for innovation. On the
one hand, proponents have argued that heterogeneity
stimulates creativity. When R&D staff can draw upon
a variety of technologies and materials, it increases
the probability of solving technological challenges and
developing new products. On the other hand, too much
diversity may harm the productivity of inventors because
of confusion and cooperation difficulties. More diversity
in expertise and know-how make more options available,
but might make it harder to select and pursue the most
successful ones. Resolving these two opposing arguments
is obviously necessary to create effective knowledge
management policies.
The semiconductor industry reveals that firms with a
larger diversity in their organizational knowledge base
have on average fewer but higher quality technological
innovations. Knowledge base homogeneity leads to more
focused R&D, which aids inventors in quickly identifying
new applications for the same knowledge. But then again,
novel technologies developed by a firm with more diverse
expertise are of a higher quality: they are more often
copied by or incorporated in the products of competitors
in the industry. Heterogeneity of knowledge provides more
Figure 2: Knowledge base layer of Texas Instruments (1998-2000, simplified)
438
257
361
323
330
318
360
327
326
365
714
710
712
711
708
370
704
375 341
348
12
alternatives to inventors, who eventually develop more
widely applicable innovations after a careful evaluation.
The opposing outcomes for quality and quantity hint at
a trade-off given time and resource constraints. Drawing
upon a single type of technological knowledge requires less
time and resources, but reduces the number of options
to apply it in novel ways. Conversely, including multiple
experts on different types of techniques provides a larger
number of potential solutions, but analyzing and evaluating
each option is more time-consuming.
Besides the composition of the organizational knowledge
base, the dynamics of this knowledge base over time
also matter. Referr ing to Figure 2, organizations can
change the composition (the number and size of the
nodes) of the knowledge base via learning new knowledge
as well as the structure (the presence and size of the
links) via knowledge integration. Constraints in a firm
require executives to choose between exploiting present
skills and expertise via recombination and exploring
new technologies via learning and experimentation.
While integration of present knowledge seems more
efficient than learning new knowledge, it is unlikely that
organizations in high-tech industr ies can survive without
the latter.
Nevertheless, the results of this study indicate that
integration increases both the quantity and quality of
innovations whereas learning actually has a negative
impact on the number of innovations. Learning is expected
to reduce the number of inventions because developing
new knowledge is a time and resource intensive process
involving practice and experimentation by all employees.
Moreover, novel knowledge may not be immediately
applicable in the firm’s R&D processes. Surprisingly,
learning has no direct relationship with the quality of
technological inventions in the semiconductor industry.
In contrast, combining the present knowledge resources
in novel ways is an effective method for improving firm
innovative performance. Since the know-how and skills are
already present within the firm, R&D staff can efficiently
collaborate to create new solutions that build upon
this diverse technological knowledge. Simultaneously,
recombining technological expertise and skills in which
the firm has a proven track record improves the quality of
technological inventions.
The results regarding knowledge learning, diversity
and integration for technological innovation should
be interpreted carefully. In fact, firms pass through a
continuous cycle: learning new knowledge brings diversity
within the organization and knowledge diversity allows for
more integration. By fine-tuning the degrees of learning,
executives can influence the degree of knowledge diversity
to optimize the quality/quantity trade-off. At the same
time they should also consider the effects of the project-
team layer upon realizing knowledge recombination
opportunities. Finally, past research on absorptive capacity
has shown that there is a feedback loop from knowledge
diversity to learning. Figure 3 summarizes the outcomes of
this study as a process scheme.
Practical applicationsThis research provides two practical applications
for knowledge managers: performance measurement
and benchmarking. First, by transforming knowledge
management from a fuzzy and intangible towards an
observable and measurable process, managers can
- Selective recruitment
- Employee training
- Basic research
- Technological expertise
- R&D experience
- Skills and know-how
- Project structure
- Team composition
- Job rotation
Qua
ntit
y of
in
nova
tion
sQ
uant
ity
of
inno
vati
ons
Knowledge diversity
Technological learning
Knowledge integration
+
+
+
-
-
Figure 3: Relationships within and between the knowledge base layer and firm technological innovation
I. Nonaka, N. Konno, K. Tokuoka, and T. Kawamura (1992). Hypertext organization for accelerating organizational knowledge creation. Diamond Harvard Business, August-September
13
ConclusionKnowledge management is in decline. Partially justified by creating unrealistic expectations
regarding its contr ibutions to firm performance, partially because it failed to materialize into
a clear set of managerial practices related to particular outcomes. For that reason this article
performed a study to test some of the most prominent claims of knowledge management. It shows
how knowledge diversity, learning and technological recombination have different effect upon
the quantity and quality of a firm’s inventions. Moreover, by making knowledge base composition
and dynamics quantifiable, managers are provided with a set of performance measures that can
guide the internal knowledge management strategy. Similar metrics may facilitate competitor
benchmarking by corporate executives concerned about the firm innovative performance.
track the performance of their knowledge management
strategies over time. Particularly in innovation intensive
industr ies, like semiconductors, managers should develop
and implement a knowledge management strategy with
a set of practices and a number of clear objectives.
Regular evaluation of the effectiveness of this strategy is
facilitated by knowledge measures that indicate strategic
performance. Moreover, if organizations can find proxies
for knowledge assets and knowledge dynamics, managers
can develop scorecards that help in steering knowledge
management practices more effectively.
A second relevant outcome of this study is related to
competitor analysis. In particular industr ies, like the
semiconductor industry, the organizational knowledge
base is also visible for outsiders (via patents, government
records, publications, etc.) and measures similar to the
ones in this study can be used to compare knowledge
management performance of competitors. Figure 4,
for instance, shows an exemplar benchmark of ATI
Technologies, Xilinx and National Semiconductor, three
medium-sized semiconductor firms, in the year 2000.
Besides their size and relative R&D expenditure, the
knowledge management practices of these competitors
largely differ: all of them have a relatively diverse
knowledge base, but Xilinx is more active in recombining
different types of expertise while ATI fails to learn
new skills and knowledge. There is a substantial
difference in the number and quantity of technological
innovations created by these three firms: ATI is clearly
underperforming and where National Semiconductor
had the largest number of inventions, the inventions by
Xilinx are of a much higher quality. Benchmarking the
organizational knowledge of one company with the main
competitors is useful because it predicts the strength of
technology and product based competition in the near
future.
Nevertheless, much work remains to be done. One
major area for further investigation is related to the
determinants of knowledge diversity, learning and
integration. Whereas we know that particular practices
stimulate or inhibit knowledge creation, diffusion and
application, the relative effectiveness of these practices is
still unknown.
DOES yOUr OrGANIzAtIONAl KNOWlEDGE BASE rEAlly MAttEr?
ATI techonologies Xilinx National Semiconduct
Annual revenue $ 1.4 bln $ 1.7 bln $ 2.1 bln
R&D expenditure
Technological learning
Knowledge diversity
Knowledge integration
Quantity of innovation 25 186 215
Quality of innovation 2.0 3.8 2.5
Figure 4: Benchmark of three semiconductor firms in 2000 (compared to overall industry)
© 2011 KPMG N.V., alle rechten voorbehouden. W W W.GA A AN.NU
Kijk voor meer tips op facebook.com/kpmgscriptiecoach.Of beter nog: schrijf je scriptie bij KPMG.
Scriptietip # 3:
“ Bepaal eerst het raamwerk van je scriptie, dan hebje houvast bij het schrijven.”
EEN INHOUDS-OPGAVE IS HET HALVE WERK
-04487_200x280mm_adv_Scriptanten_tip3.indd 1 14-12-2011 17:43:39
15
COLUMNInternet op z war t?De (on)macht van de contentindustrie
Ergens begrijp ik het wel, neem Homeland. Deze spraakmakende Amerikaanse TV serie is een paar weken
geleden van start gegaan op BNN. Ik las er pas later over in de krant en heb daardoor aflevering 1 gemist. De
serie wordt niet alleen op TV uitgezonden, maar is ook via BNN- gemist tot een aantal dagen na uitzending online
te bekijken. In het geval van Homeland, was de eerste aflevering zelfs voor uitzending al online bij BNN te
bekijken. Ik had de serie ook van TV kunnen opnemen. Hij is niet beschikbaar via de iTunes store (ook niet in de
VS) en Bol.com verkoopt hem niet. Volgens The Pirate Bay is hij wel, ook Nederlands ondertiteld, beschikbaar via
BitTorrent. Wat te doen? Waarom is er niets mis met opnemen van de uitzending of bekijken via Uitzending gemist, maar
klinkt het hel en verdoemenis als je dezelfde aflevering via BitTorrent verkrijgt?
Natuurlijk snap ik de content industr ie ook wel. Iemand zal voor het aanbod moeten betalen, maar wat de industr ie
momenteel in stelling brengt om haar belangen te beschermen, zowel in de VS als in Nederland, mist elke proportie.
Wat is er aan de hand? De makers van intellectuele werken hebben onder meer het exclusieve recht op openbaarmaking
en het exclusieve recht op verveelvoudiging. Met andere woorden, zij bepalen of en onder welke voorwaarden hun werk
wordt verspreid. Wanneer content zonder toestemming online wordt aangeboden kunnen ze derhalve eisen dat het werk
wordt verwijderd. Dit gebeurt via een zogenaamd ‘notice-and-takedown’ bevel. De hosting provider zal aan een dergelijk
verzoek moeten voldoen.
Recent heeft de Haagse rechter in een zaak tussen de Stichting Brein, Ziggo en XS4ALL bepaald dat deze laatsten de
toegang tot The Pirate Bay site moeten blokkeren. Ziggo en XS4ALL hosten zelf geen onrechtmatige content, maar zijn
slechts een doorgeefluik (‘mere conduit’) van informatie. Mere conduits werden tot voor kort niet verantwoordelijk
gehouden voor de informatie die ze doorlaten. Internet Service Providers (ISP’s) mogen zich net als postbodes niet inlaten
met de informatie die ze bezorgen. Dat is maar goed ook. De zege van Brein zet dit echter op z’n kop; ISP’s worden
gedwongen om als politie op te treden in het verkeer dat via hun faciliteiten loopt. Dat is een onwenselijke stap r ichting
censuur.
Nog zorgelijker zijn twee wetsvoorstellen die in de VS in voorbereiding waren. De Stop Online Piracy Act (SOPA) en
de tegenhanger in de Senaat (Protect IP). Het notice-and-take-down regime wordt hierin verder uitgehold: service
providers moeten (nog) actiever maatregelen nemen die voorkomen dat hun gebruikers onrechtmatige content uploaden.
ISPs kunnen worden gedwongen om de toegang tot buitenlandse websites die illegale content aanbieden te blokkeren
(net zoals door Brein gevorderd in het geval van Ziggo en XS4ALL). Verder moeten zoekmachines, de links naar deze
buitenlandse websites die illegale content aanbieden, filteren uit de zoekresultaten. Ook kunnen betaalbedrijven, zoals
PayPal, worden gedwongen geen betalingen meer te verr ichten aan buitenlandse sites die illegale content aanbieden. Dit
alles op basis van claims door rechthebbenden die weinig tot geen bewijs hoeven te leveren van de onrechtmatigheid van
het aanbod, of van de schade die ze daardoor lijden.
De grote internet bedrijven, zoals Google (inclusief YouTube), Facebook, Twitter en Yahoo zijn uiteraard niet blij met
deze voorstellen. SOPA betekent dat iedere blog post, iedere video en iedere afbeelding door de hosters moet worden
gecontroleerd. Dat is bijna onmogelijk en verstikt het internet. Service providers zullen erg voorzichtig worden en
censuur ligt op de loer. Een ieder kan claimen dat er onrechtmatige of belastende informatie wordt gehost in de hoop dat
de aanbieders het verwijderen. Een brede coalitie met juristen, mensenrechtenactivisten, tot en met de Amerikaanse
president heeft zich tegen SOPA gevormd. Google en consorten hebben daarom overwogen om het internet eind januari
een dag op zwart te zetten om het protest kracht bij te zetten.
Zijn dit soort ontwikkelingen het einde van het internet zoals we dat kennen, of is het meer een achterhoede gevecht
van de industr ie dat ze gaat verliezen? Het wordt tijd dat de contentindustr ie de bakens verzet: niet verbieden, maar
online diensten leveren tegen fatsoenlijke prijzen. Ik wil helemaal niet knoeien met BitTorrent, ik wil gemakkelijk en snel
toegang tot content (via mijn iPad). Het lijkt echter wel alsof de contentindustr ie niet door heeft dat we willen kijken en
luisteren, in plaats van stad en land aflopen om een veel te dure DVD te kopen. De Amerikaanse iTunes store laat zien dat
het ook anders kan: een TV aflevering, zonder reclame, kost daar $1.99 (€ 1,56). Nu Homeland nog in het (Nederlandse)
assortiment opnemen.
Door: Ronald Leenes
Joost van Beijsterveld
SOCIAl ENGINEErING
17
In de literatuur zijn er diverse definities van social
engineering te vinden. Wat echter in iedere definitie
terugkomt, is dat het een slimme manipulatie is van de
menselijke neiging om anderen te vertrouwen. Kevin
Mitnick (2005), een van de meest vooraanstaande personen
op het gebied van social engineering, definieert het begrip
als volgt:
“Social engineering is het gebruikmaken van manipulatie, beïnvloeding en misleiding, om een betrouwbaar persoon binnen een organisatie te laten voldoen aan een verzoek. Dit verzoek betreft vaak het loslaten van informatie of een bepaalde actie uit te voeren in het voordeel van de aanvaller.”
Volgens onderzoek van Gartner bestaat social engineering
(SE) uit vier stappen, zoals te zien is in figuur 1. Allereerst
verzamelt een social engineer zoveel mogelijk (globale)
informatie door verschillende technieken toe te passen.
Voorbeelden van methodes die de social engineer gebruikt
zijn zich voordoen als iemand anders, afval doorzoeken,
achter iemand een deur met toegangsbeveiliging
binnenlopen, afluisteren, phishing etc. De informatie
die zo verzameld wordt is vaak nog onschuldig. Nadat de
informatie verzameld is, ontwikkelt de social engineer
een relatie met een insider, om hier vervolgens misbruik
van te maken. De laatste stap voor de social engineer is
om op basis van de verzamelde informatie zijn einddoel te
bereiken, zoals het achterhalen van geheime informatie.
SOCIAl ENGINEErING
Vandaag de dag maakt haast ieder bedr i j f gebruik van informatie technologie (IT). Deze IT i s kwetsbaar voor verschi l lende bedreigingen. Een organisatie kan de beste bevei l ig ingstechnologieën aanschaffen en hun mensen zo goed mogel i jk t rainen, maar ze bl i jven zo sterk als de zwakste schakel: de mens. Misbruik maken van deze zwakke schakel heet ook wel social engineer ing. De vraag is hoe bedr i jven z ich kunnen beschermen tegen de dreiging van dit fenomeen, genaamd social engineer ing.
SOCIAl ENGINEErING
Information gathering
Development of relationship
Exploitation of relationship
Execution to achieve objective
Figuur 1: De social engineering aanvalcyclus
Attack type
Attack Deceptive relationship
Influence techniques
Soc. psyc. vulnerabilities
Short con
Long con
Physical attack Combination attack
Social attack
Figuur 2: Conceptueel model
18
De aanval van een social engineer is schematisch
weergegeven in het conceptueel model van figuur 2.
Zoals te zien, bestaat een aanval uit een enkelvoudig of
meervoudig contact tussen aanvaller en doelwit. De aanval
zelf is een fysieke, sociale of combinatieaanval, waarbij
een bepaald type aanval hoort (bijvoorbeeld je voordoen
als iemand anders). Bij deze aanval wordt vervolgens
misbruik van de mens gemaakt door deze te misleiden.
De motieven van een social engineerDoor de motieven van een social engineer te weten, kun
je je beter beschermen tegen social engineering’. Social
engineers hebben zowel goedaardige als kwaadaardige
motieven. Alleen de kwaadaardige motieven zijn een
bedreiging voor een organisatie en dus van belang. Er zijn
in totaal een viertal kwaadaardige motieven:
• Economisch motief: De social engineer streeft naar
financieel gewin.
• Politiek motief: De aanvaller gelooft heilig in zijn doel
en is bereid alles te doen dit doel na te streven.
• Sociaal motief: Respect of macht verkrijgen. Dit hoeft
niet perse schadelijk te zijn.
• Wraak: Het hoofddoel van een aanvaller met dit
motief is om schade aan te r ichten.
De bedreigingIn de literatuur zijn er veel voorbeelden te vinden van
geslaagde social engineering aanvallen. Een voorbeeld
hiervan is de aanval op de ABN AMRO bank te Antwerpen:
“Drie jaar geleden wist een oudere man de sympathie
van vrouwelijke medewerkers van de diamantopslag van
ABN Amro in Antwerpen op te wekken, door als ‘succesvol
zakenman’ regelmatig langs te komen, zich als grote
klant voor te doen en regelmatig een doos chocolaatjes
mee te nemen. “Het was goedkope chocola”, vertelt
Nickerson, “maar met dergelijke presentjes roep je al snel
een losse, informele sfeer op.” Na verloop van tijd wist
de man genoeg vertrouwen op te wekken om ook buiten
kantoortijden toegang tot het gebouw te kr ijgen. Op een
zeker moment verdween de man weer uit beeld, samen met
120.000 karaten aan diamant.” (Schneider 2007)
Uit de literatuur kan worden opgemaakt dat SE een echte
bedreiging vormt voor bedrijven. Deze bedreiging heeft
een tweetal succesfactoren, namelijk de zwakke menselijke
schakel en de relatieve eenvoudigheid om het uit te
voeren.
Wat betreft de zwakke menselijke schakel is het de vraag
waarom de mens zo zwak is. Wat uit diverse onderzoeken
naar voren komt is dat de mens er niets aan kan doen dat
hij vatbaar is voor social engineering. Dit komt omdat de
mens op veel situaties automatisch reageert. Zo luisteren
mensen naar gezag en willen zij over het algemeen graag
aardig gevonden worden. Van deze menselijke zwakheden
maakt een social engineer gretig misbruik, door deze
mensen te bespelen met de zogenaamde ‘weapons of
influence’ (Cialdini, 2001) . Volgens Workman (2007)
worden mensen die snel anderen vertrouwen, autoriteit
gehoorzamen of denken dat social engineering hun niet
overkomt, eerder slachtoffer van social engineering dan
mensen die de desbetreffende eigenschap niet bezitten.
Onderzoek heeft overigens aangetoond dat bovenstaande
zaken niets met intelligentie te maken hebben.
Niet alleen is de mens een zwakke schakel, daarnaast is
social engineering relatief simpel om uit te voeren. Veel
organisaties focussen hun informatiebeveiliging vaak
volledig op technische en fysieke beveiliging. Hierdoor
creëren bedrijven de illusie dat ze veilig zijn, maar het
tegenovergestelde is waar. Hoe moeilijker een bedrijf
technisch te hacken is, hoe sneller een hacker overstapt op
social engineering. Hierbij komt nog eens dat het fenomeen
social engineering erg onderbelicht is en veel mensen
niet eens weten dat het bestaat. Daarnaast neemt social
engineering weinig kosten en lage r isico’s met zich mee en
zijn de benodigde skills voor social engineering eenvoudig
om te leren.
Belangrijk om te vermelden is dat de relatieve eenvoud van
social engineering de laatste jaren alleen maar versterkt
is door de opkomst van social media. Op deze social media
staat veel persoonlijke informatie die nu nog makkelijker
te verkrijgen is door social engineers.
Het risico van social engineeringHet is erg lastig voor een bedrijf de r isico’s te meten,
aangezien één kwetsbare medewerker de gehele
organisatie kwetsbaar maakt en veel social engineering
aanvallen vaak onopgemerkt blijven. Uit de literatuur
Over de auteur:Joost van Beijsterveld volgt momenteel de master
Information Management aan de Universiteit van
Tilburg. Zijn bachelor thesis over Social engineering is
beloond met de best paper award. Daarnaast is Joost
oud-voorzitter van de .ego Weblog.
19
wordt duidelijk dat iedere organisatie kwetsbaar is voor
SE. De vraag is echter hoe kwetsbaar. Janssen (2005) heeft
een kwetsbaar bedrijfsprofiel opgesteld wat te zien is
in figuur 3. Als één van de kwetsbare factoren (rechter
kolom) aanwezig of groot is binnen een bedrijf, loopt het
een verhoogd r isico om slachtoffer te worden van social
engineering. Een groot bedrijf loopt bijvoorbeeld een
groter r isico dan een klein bedrijf waar iedereen elkaar
kent.
Je bedrijf wapenen tegen social engineeringZoals gezegd loopt ieder bedrijf het r isico slachtoffer te
worden van social engineering. Door tegenmaatregelen
te nemen, kan het r isico worden gereduceerd naar een
aanvaardbaar niveau. Nohlberg (2008) heeft een model
opgesteld, genaamd ‘The Cycle of Deception’ (figuur 4). De
zwarte punt staat voor het doel van de social engineer. De
binnenste cirkel stelt de acties van het slachtoffer voor,
de middelste cirkel die van de verdediger en de buitenste
cirkel die van de aanvaller. De gedachte is dat minstens
één van de stappen in de verdedigingscirkel (midden) goed
genoeg is, waardoor de aanval zal mislukken.
Het gaat er dus om je verdediging sterk genoeg te maken.
Er is echter geen sleuteloplossing waarmee je social
engineering tegengaat. Wel zijn er een hoop ‘tips and
tr icks’ zoals het direct ontzeggen van toegang tot het
systeem als een medewerker is ontslagen. Het nadeel
van deze ‘tips and tr icks’ is dat deze op den duur bekend
raken en een social engineer hier omheen gaat werken.
Daarnaast creëer je op deze manier weer de illusie dat men
denkt goed beschermd te zijn. Het gaat er dus uiteindelijk
om een oplossing voor de lange termijn te vinden. Uit de
literatuur komen twee algemene maatregelen naar voren
om de beveiliging tegen social engineering te verbeteren.
SOCIAl ENGINEErING
Strategy Value & Development
StructureProcesses & Organization
CultureLeadership & Basic values
PeopleCompetences & Development
AssetsIT, Money & Facilities
ResultsProducts & Output
Vulnerable aspects
- Good market position- Colliding political opinion
- Size of the company- Division in physical locations- The way the company works- Employee information (who, what and where)
- Revenge because of resignation- Informal culture- Not involved because of poor HRM
- New employees- Important knowledge available- Good development and storage of development- People are sensitive to manipulation
- Advanced security measures- Presence of financial resources- Presence of different communication tools
- Political sensitive product- Interesting services
Company aspects
Figuur 3: Het kwetsbare bedrijfsprofiel (Janssen 2005)
20
De eerste is training en beveiligingsbewustzijn. Gebruikers
moeten zich ervan bewust zijn wat een social engineer
is en hoe hij te werk gaat. Om dit te bereiken moeten
gebruikers getraind worden in het kennen en toepassen
van de r ichtlijnen en procedures met betrekking
tot beveiliging. Deze training moet niet in de klas
plaatsvinden, maar door zogenaamde penetratietesten,
waarbij een ‘goedaardige’ social engineer een social
engineering aanval uitvoert. Op deze manier ervaren de
medewerkers wat social engineering is en hoe ze zich
hiertegen kunnen wapenen. Dit trainen is een continu
proces. Men moet er constant aan herinnert worden dat
social engineers bestaan en wat ze kunnen veroorzaken.
Aangezien het iets is wat niet iedere dag voorkomt, denkt
men al snel dat het gevaar geweken is, maar dit ligt altijd
op de loer. Mann (2008) vindt dat er naast het creëren van
bewustzijn en training ook nog systemische maatregelen
moeten worden doorgevoerd. Deze maatregelen dienen als
een tweede schil, mocht de eerste (menselijke) schil toch
doorbroken zijn.
Beveiligingsbeleid (security policy) is de tweede algemene
maatregel tegen social engineering. Dit zijn duidelijke
instructies die dienen als r ichtlijn voor medewerkers om
informatie te beschermen. Het is belangrijk dat deze
r ichtlijnen in overeenstemming met het personeel tot stand
komen, zij gaan er immers mee werken. Daarnaast moet
het beleid door het hoger management worden gesteund,
moet het voor iedereen begrijpelijk beschreven staan en
moet duidelijk zijn waarom het belangrijk is dat men het
nastreeft. Het beveiligingsbeleid kan niet in steen worden
geschreven, maar vereist continu aanpassingen. Naarmate
de tijd vordert, doen zich nieuwe kwetsbaarheden voor
waarop het beveiligingsbeleid afgestemd moet worden. Zo
is er een nieuwe kwetsbaarheid ontstaan door de komst
van social media, waarop het beveiligingsbeleid moet
worden aangepast. Dit gebeurt door afspraken te maken
over het gebruik van dit nieuwe medium. Tot slot moet het
beveiligingsbeleid ook worden aangepast als er zich een
incident heeft voorgedaan, zodat dit incident zich niet
herhaalt.
Execute
M
ap & Bond
Plan Evolve
/Reg
ress
R
ecru
it & Cl
oak Detect Protect
Deter Re
cove
r
Re
spon
d
Expose
Reg
ress
I
gnor
e
Submit Socialize Advertise Ev
olve/
Acce
pt
&
Gebruikte referenties in dit artikel:- Cialdini, R. (2001). Influence. Allyn & Bacon, 2001. -262 p.
- Janssen, D. (2005). ’Social engineering: de menseli jke schakel in informatiebeveiliging’,
Radbout Universiteit.
- Nohlberg, M. (2008). ’Securing information assets: Understanding, Measuring and
Protecting against Social Engineering Attack’, DSV Report Series, No. 09-001.
- Mann, I. (2008). Hacking the Human – Social Engineering Techniques and Security
Countermeasures. Gower Publishing, 2008. -247 p.
- Workman, M. (2007). ’Gaining Access with Social Engineering: An Empirical Study of
the Threat’, Information Security Journal: A Global Perspective, Vol. 16, No. 6, 315-331.
Figuur 4: The cycle of deception (NohlBerg, 2008)
SOCIAl ENGINEErING
21
COLUMNVorige week woensdag stond ik op de loopband in de sportschool uit te kijken over het plein ervoor. Dat plein, en
dus ook mijn sportschool, ligt midden in het centrum en op woensdagmiddag is het daar behoorlijk druk. Terwijl
ik aan mijn conditie werk kan ik dan lekker mensen kijken. Wat me opvalt, is dat steeds meer mensen, vooral
jongeren die in een groepje of duo door de stad lopen, niet alleen aandacht hebben voor elkaar en de omgeving.
Sterker nog, hun aandacht is helemaal niet bij hun gezelschap of de winkels op het plein. Ze worden volledig in beslag
genomen door hun telefoon. Ik vind het een raar gezicht: zo’n duo dat gebroederlijk of gezusterlijk zwijgend op hun
telefoons loopt te kijken. Waarom ga je dan met een vr iendin naar de stad? Waarom ga je dan überhaupt naar de stad?
Ik verstuur ook wel eens berichtjes of ik bel terwijl ik in de stad loop, maar dan ben ik vaak alleen. Bovendien doe ik
dat maar even, of het gesprek gaat over iets dat ik in de stad nodig heb, zoals een cadeautje voor iemand. En zelfs daar
geneer ik me dan een beetje voor. Want, wie weet, bots ik wel tegen iemand op of snijd ik iemand de pas af. Dat vind ik
onbeleefd. Maar misschien ben ik wel ouderwets, is dit iets van een andere generatie, zoals oudere mensen dat altijd zo
mooi zeggen.
Toch vind ik het jammer als dat zo is. Niet alleen omdat ik het een raar gezicht vind, al die mensen die rondlopen en
alleen gefocust zijn op hun telefoon, maar je raakt er ook oog voor je omgeving mee kwijt. Letterlijk en figuurlijk. Als
ik niet-op-mijn-telefoon-kijkend van mijn werk naar huis fiets, moet ik tegenwoordig regelmatig uitkijken voor twee of
soms voor drie fietsers, omdat de mensen voor me niet twee handen aan het stuur en hun blik op de weg hebben, maar
één hand aan de mobiel en hun blik op het scherm. Zij zijn compleet ergens anders, sociaal geïsoleerd, terwijl ik ze
probeer te ontwijken en ondertussen niet onder een auto, bus of vrachtwagen wil r ijden. Ze r ijden niet weg bij een groen
verkeerslicht of slingeren over het fietspad omdat ze toch echt twee handen nodig hebben om te Whatsappen.
Er is al een tijd veel aandacht voor de veiligheid van sociale media. Dan gaat het meestal om het privacybeleid van
Facebook of Google, maar door mobiel internet komt zelfs de verkeersveiligheid in het geding. Laatst hoorde ik op de
radio dat een meisje in Amerika zich dood had gereden terwijl ze zat te Facebooken in de auto. Kort voordat ze het
ongeluk veroorzaakte, stuurde ze nog de wereld in dat ze het kort ging houden omdat Facebooken in de auto veel te
gevaarlijk is. Gelukkig had ze dus wel enig besef, maar kwam het voor haarzelf te laat. In Nederland is handheld bellen en
smsen in de auto verboden en aanverwanten daarvan, zoals Facebooken en Whatsappen, dus ook. Verkeerskundigen zijn
van mening dat bellen in de auto helemaal verboden moet worden omdat het de aandacht van de weg houdt. Maar ik vraag
me af of dat wel te handhaven is. Voor veel mensen is de telefoon zo’n essentieel verlengstuk geworden dat ze niet meer
een paar minuten zonder kunnen, laat staan een lange autorit.
Ik vind het bovendien idioot dat mensen liever met anderen op afstand bezig zijn of met wat zich virtueel afspeelt,
dan wat er om hen heen gebeurt en met wie ze op dat moment zijn. Daar hoort je aandacht volgens mij te zijn. Prima,
als je in je eentje ergens rustig zit en met je telefoon speelt. Maar in het verkeer moet je aandacht op de weg en je
medeweggebruikers zijn gericht, niet bij je virtuele vr ienden die op dat moment misschien wel onder een tram lopen.
Hoe zou je je voelen als dat gebeurt? Voel je je dan schuldig? Bén je dan schuldig? Kun je het jezelf ooit vergeven? Of ga
je diezelfde avond nog gezellig met je lief op de bank tv kijken? Jij naar een voetbalwedstr ijd op de good old tv, zij naar
een film op de tablet.
Dat vind ik ook zo’n armoedige ontwikkeling. Willen we echt zo individueel en egoïstisch zijn dat je naast elkaar op de
bank gaat zitten, maar naar een ander tv-programma gaat kijken, allebei met een koptelefoon op het hoofd? Ik wil me
niet opsluiten in een ik-wereld, waarin anderen een bijzaak zijn of hoogstens digitaal entertainment. Wat is de kwaliteit
daarvan? Waar gaan we naartoe? Wat is nu echt belangrijk?
Echt belangrijk zijn voor mij toch de mensen om me heen en mijn eigen veiligheid. Het hier en nu is waar het om gaat, de
tastbare sociale omgeving. Dus niet spelen met je mobiel of tablet op de fiets of in gezelschap. Is dat zo veel gevraagd?
Sociale isolatie
Door: Bregje BakxOver de auteur:Bregje Bakx heeft een blog over dingen die haar verwonderen
in het dagelijks leven. Deze column is een bewerking van één
van haar blogartikelen.
Sonja Aćimović
eDISCOVEry IN HEt MEDEDINGINGSrECHt: Doeltreffend genoeg ofkan het (nog) beter?
23
Ruim een jaar na de invoering blijkt men in
de praktijk echter te kampen met een aantal
problemen die niet door de vernieuwde
Werkwijze ondervangen is. De voornaamste
oorzaak ligt in de technische beperkingen van
de gebruikte zoekmethode van de NMa. Dit
artikel zal zich r ichten op de geconstateerde
knelpunten bij eDiscovery door de NMa en zal
enkele aanbevelingen doen die de effectiviteit
van digitale onderzoeken mogelijk kunnen
verhogen.
Het begin van eDiscovery: verzamelen van data bij een invalWanneer de NMa een onderneming verdenkt van
gedragingen in str ijd met het mededingingsrecht, kan
zij een inval bij de betreffende onderneming doen
om bewijsmateriaal te verzamelen. Die verdenking
kan betrekking hebben op mededingingsbeperkende
afspraken zoals prijsafspraken, klantverdelingen en/
of exportbelemmeringen, maar ook op misbruik
van economische machtspositie of overtreding van
concentratietoezicht (o.a. het niet melden van fusies).
Een dergelijke inval vindt onaangekondigd plaats, met
als doel het veiligstellen van bewijsmateriaal. Daarbij
worden o.a. werknemers geïnterviewd (eDiscovery-jargon
voor ondervragen) en worden de relevante analoge en
digitale gegevens verzameld door de NMa. De selectie
van de analoge gegevens verloopt vr ij eenvoudig: de NMa
bekijkt de documenten ter plaatse, maakt een kopie van
de stukken die relevant lijken te zijn voor het onderzoek
en neemt deze vervolgens mee. De selectie van de digitale
gegevens is daarentegen complexer, mede omdat het
meestal om grote hoeveelheden data gaat.
Bij het verr ichten van digitaal onderzoek, ofwel
eDiscovery, het is de NMa niet toegestaan om een forensic
image 3 te maken van de computers om de gekopieerde
data vervolgens op hun eigen kantoor te bekijken.
Dergelijke zoekacties zijn immers onvoldoende gericht en
kunnen leiden tot zogenaamde fishing expeditions waarbij
sprake is van een buitensporige zoektocht naar bewijs
van een willekeurige overtreding. De selectie van het
relevante materiaal gebeurt ter plaatse, doordat de target
folders van (mogelijk) betrokken werknemers, zoals hun
inbox, sent items en losse documenten, integraal worden
gekopieerd naar harde schijven van de NMa. Vervolgens
worden op deze dataset – zonder voorafgaande indexering
– de zoektermen van de NMa losgelaten die de selectie
Door de toenemende digital iser ing van data speelt eDiscovery een steeds belangr i jkere rol binnen het mededingingsrecht. De Neder landse Mededingingsautor iteit (NMa) heeft als één van de voor lopers binnen de Europese Unie op het gebied van digitaal onderzoek in augustus 2010 haar nieuwe “Werkwi jze analoog en digitaal rechercheren”1 (Werkwi jze) geïntroduceerd. Deze werkwi jze heeft de “NMa Digitale Werkwi jze 2007” 2 (Werkwi jze 2007) vervangen en is tot stand gekomen na uitvoer ige consultatie met diverse marktpar t i jen, rekening houdende met de prakti jkervar ingen van de afgelopen jaren en de huidige stand van de techniek. De Werkwi jze is in vele opzichten een verbeter ing vergeleken met de oude vers ie en is meer ger icht op het vinden van de balans tussen het eff iciënt onderzoek doen en het waarborgen van de rechten van ondernemingen en natuur l i jke personen die het onder werp z i jn van het onderzoek.
Over de auteur:Mw. Mr. Sonja Aćimović is sinds 2007
werkzaam als advocaat bij De Brauw
Blackstone Westbroek in Amsterdam. Zij
specialiseert zich in mededingingsrecht, met
name op het gebied van concentratiecontrole
en kartelonderzoeken. Zij is tevens lid van
de Vereniging voor Mededingingsrecht. Dit
artikel heeft zij geschreven op persoonlijke
titel. Voor reacties en meer informatie is zij
bereikbaar via [email protected]
1 Staatscourant nr. 12871, 16 augustus 2010.2 Staatscourant 2007, nr. 243.3 Een integrale kopie van het digitaal opslagmedium waardoor ook inzage kan worden verkregen in de digitale bestanden waartoe de gebruiker geen toegang (meer) heeft, zoals verwijderde bestanden, de historie van bestanden (zoals eerdere versies) en de digitale omgeving van bestanden (zoals de status daarvan).
eDISCOVEry IN HEt MEDEDINGINGSrECHt
24
vernauwen. Bepaalde bestanden die duidelijk niet binnen
de reikwijdte van het onderzoek vallen, worden er daarna
uit gefilterd, zoals foto’s, software, e.d. De bestanden
die overblijven, worden aangemerkt als “origineel binnen
de reikwijdte” en worden meegenomen door de NMa. Ook
de niet doorzoekbare bestanden zoals gescande PDF’s,
TIFF’s, e.d. worden meegenomen door de NMa, maar deze
categorie bestanden wordt apart gehouden als “mogelijk
buiten de reikwijdte”. De indexering van de gekopieerde
bestanden vindt vervolgens plaats op kantoor van de NMa.
Pas nadat de NMa met behulp van de zoektermen de
(mogelijk) relevante dataset heeft geselecteerd en
gekopieerd, wordt
na afloop van het
bedrijfsbezoek ter
plaatse een overzicht
met de gebruikte
zoektermen aan
de onderneming
verstrekt. Daarna
ontvangt de
onderneming
een kopie van de
geselecteerde
datasets op harde
schijven, waarbij
tevens een door
de NMa ontwikkeld
zoekprogramma wordt meegeleverd. De onderneming wordt
dan in de gelegenheid gesteld om binnen een termijn van
10 werkdagen gemotiveerd aan te geven welke gegevens
onder het legal professional privilege4 (LPP) vallen en
dus niet door de NMa bekeken mogen worden. Ook krijgt
de onderneming uit “coulance” de gelegenheid om binnen
deze termijn claims te maken ten aanzien van privé
bestanden die zich in de verstrekte datasets bevinden.
Deze selectiemethode lijkt op het eerste gezicht
doeltreffend genoeg om de NMa – en de onderzochte
onderneming – in staat te stellen de aanwezige data te
filteren en te doorzoeken voor mogelijk bewijsmateriaal.
Toch loopt men tegen een aantal problemen aan als gevolg
waarvan digitaal onderzoek minder effectief is dan het zou
kunnen – en misschien wel zou moeten – zijn.
Selectie digitaal zoekmateriaal door de NMa: wat hoort er (niet) bij?Welke gegevens binnen dan wel buiten de reikwijdte
van het onderzoek vallen, hangt af van het doel en het
voorwerp van het onderzoek. De Werkwijze definieert de
in scope gegevens als “gegevens en bescheiden die naar
hun aard en/of inhoud redelijkerwijs binnen het doel
en voorwerp van het onderzoek kunnen vallen”. Out of
scope data zijn daarentegen “gegevens en bescheiden
waaronder begrepen
privé gegevens en
bescheiden, die niet
binnen de reikwijdte
vallen”. De selectie
van de data die in dan
wel out of scope van
het onderzoek vallen,
vindt plaats “met
behulp van één of
meer zoekvragen die
rechtstreeks verband
houden met het doel
en voorwerp van het
onderzoek”.
In theorie is deze aanpak van de NMa helder en lijkt het
voldoende waarborgen te bieden tegen fishing expeditions.
In de praktijk loopt men echter tegen een drietal
problemen aan bij het afbakenen van het “zoekgebied”.
Zo zijn het doel en het voorwerp van het onderzoek vaak
te ruim geformuleerd. De NMa hanteert vaak een ruimere
relevante periode en/of marktdefinitie vergeleken met de
Europese Commissie, als gevolg waarvan de omvang van de
documenten die binnen de reikwijdte van het onderzoek
vallen daarmee onnodig groot wordt.
Een ander probleem is dat de gebruikte zoektermen over
het algemeen niet specifiek genoeg zijn. Om relevante
4 In Nederland omvat LPP alle correspondentie tussen de onderneming en de advocaat (zowel externe als advocaat in dienstbetrekking) en alle stukken opgesteld door de advocaat. De betreffende documenten mogen buiten het onderzoek worden gelaten vanwege het beroepsgeheim van de advocaat. De Europese Commissie daarentegen rekent de stukken van een advocaat in dienstbetrekking niet tot LPP.
5 Een boolean search is een zoekopdracht waarbij documenten met bepaalde woorden of woordcombinaties worden uitgesloten of waar juist specifiek naar wordt gezocht. De woorden AND, NOT en OR worden hierbij vaak gebruikt, maar ook de tekens als +, - of de aanhalingstekens.
documenten van key individuals te selecteren, gebruikt
de NMa vaak als zoekterm de namen van de betreffende
personen. Echter, in geval van persoonsnamen met een
dubbele betekenis (zoals Groot, Meer of Loon), levert dat
vaak irrelevante zoekresultaten op die geen betrekking
hebben op het onderzoek. Hetzelfde geldt voor brede
termen als “markt”, “prijs” of “concurrentie”, die snel
buiten de context van het onderzoek in vele documenten te
vinden zullen zijn.
Daarnaast geldt dat de toegepaste zoekmethode niet
nauwkeurig genoeg is om een adequate selectie van de
gegevens te maken. In de praktijk blijkt dat de NMa bij
haar zoekactie een groot aantal zoektermen gebruikt (soms
meer dan 100), echter zonder daarbij gebruik te maken
van de Boolean search 5 . Daarom kan het voorkomen dat de
zoekactie veel irrelevante zoekresultaten oplevert, waarbij
vaak alleen één van de zoektermen in het document
voorkomt. Dat in combinatie met een ruime doel en
voorwerp van het onderzoek, alsmede brede zoektermen,
kan er toe leiden dat een groot aantal geselecteerde in
scope documenten in feite out of scope hoort te zijn.
De NMa is zelf ook bewust van dit probleem en heeft dan
ook aangekondigd hier binnenkort verandering in te gaan
brengen.
De vraag r ijst dan: wat is wél out of scope? De definitie
van out of scope documenten die in de Werkwijze staat
opgenomen, verliest in de praktijk aan betekenis door de
invulling van het begrip in scope. De onderneming mag in
de praktijk namelijk alleen een claim indienen ten aanzien
van privé bestanden en niet ten aanzien van bestanden die
evident irrelevant zijn voor het onderzoek. Deze aanpak is
merkwaardig in het licht van artikel 6 lid 3 j° artikel 3 lid
6 van de Werkwijze. Wanneer niet kan worden uitgesloten
dat een verzameling documenten naast gegevens die out of
scope zijn ook gegevens bevat in scope zijn, de betreffende
documenten worden opgenomen in een dataset “mogelijk
buiten de reikwijdte”. Op grond van artikel 6 lid 3 zou de
onderneming in de gelegenheid moeten worden gesteld
om voor alle gegevens binnen deze dataset gemotiveerd
aan te geven out of scope is (inclusief privé bestanden).
In de praktijk blijkt echter dat deze claimmogelijkheid
voor zowel privé als out of scope alleen bestaat voor niet
doorzoekbare bestanden zoals de PDF’s en de TIFF’s die
zich binnen deze dataset bevinden. Voor andere bestanden
binnen deze dataset is dat niet mogelijk, en moet men
volstaan met een privé claim.
Ondanks de mogelijkheid om voor PDF’s en TIFF’s zowel
een privé als out of scope claim in te dienen, r ijst
toch de vraag of daarbij geen sprake is van een fishing
expedition? Deze documenten worden immers niet door
de NMa ter plaatse doorzoekbaar gemaakt en worden
daar geen zoektermen op losgelaten. Gelet op het grote
aantal bestanden waar het vaak om gaat, de gelimiteerde
zoekmogelijkheden binnen de software van de NMa en de
beperkte deadline van 10 dagen, loopt de onderneming
bovendien r isico op zelf-incriminatie. Immers, een bestand
waar geen out of scope claim voor wordt gemaakt, wordt
automatisch aangemerkt als in scope. Ten aanzien van deze
bestanden zou dit probleem ondervangen kunnen worden
eDISCOVEry IN HEt MEDEDINGINGSrECHt
26
door een “uitgestelde” in scope selectie door de NMa
ten kantore. Pas nadat de PDF’s en TIFF’s geïndexeerd en
doorzocht zijn door de NMa – waarna een groot deel van
de bestanden automatisch buiten de reikwijdte zou vallen
– zou de onderneming in de gelegenheid moeten worden
gesteld om haar privé en out of scope claims in te dienen.
Software NMa: beperkte gebruiksfunctiesZoals reeds gezegd, de software die door de NMa wordt
gebruikt en die aan de ondernemingen wordt verschaft
om de LPP en de out of scope bestanden te selecteren,
is beperkt in zijn mogelijkheden. Zo is het niet
mogelijk om zoektermen te gebruiken om de review te
vergemakkelijken, maar moet men alle documenten één
voor één bekijken en aanvinken. Door het grote aantal
documenten is dat een enorme exercitie, waarbij het ook
nog vaak genoeg voorkomt dat het programma vastloopt
en men opnieuw moet beginnen. Om efficiënt te kunnen
zoeken, zetten de ondernemingen de data dan ook vaak
over naar eigen computers en maken gebruik van eigen
forensische zoekprogramma’s.
Een ander bijkomend probleem van de software is dat het
onduidelijk is hoe om te gaan met geprivilegieerde en
privé bestanden. De software heeft drie opties: in scope
(die standaard staat aangevinkt), out of scope en LPP.
Zoals gezegd, staat LPP voor “legal professional privilege”.
Echter, zowel de handleiding als de “help” functie van het
programma definieert LPP als “Legal Privilege & Privé”.
Dit zou dus betekenen dat ook privé bestanden als LPP
aangemerkt zouden moeten worden. Dit is echter niet het
geval: volgens de NMa dienen privé bestanden toch als out
of scope te worden aangemerkt, met daarbij de toelichting
dat het om privé bestanden gaat.
Aanbevelingen aan de NMa: hoe wordt eDiscovery nog doeltreffenderDe NMa heeft met haar Werkwijze een grote stap gemaakt
om eDiscovery efficiënter te laten verlopen. Toch leidt
de huidige situatie nog steeds tot efficiëntieverlies
door de manier hoe er wordt omgegaan met in scope
en out of scope data. Dit zou bestreden kunnen worden
door de huidige technische beperkingen weg te nemen.
Door bijvoorbeeld de geselecteerde data ter plaatse
doorzoekbaar te maken en pas erna de zoektermen erop
los te laten, zou de eerste eliminatie kunnen plaatsvinden
binnen de data die volgens de huidige methode in
de ruime verzameling van out of scope documenten
belanden (met name de PDF’s en TIFF’s). Daarnaast zou
een herzien zoekprogramma aan efficiëntie bijdragen,
waarin de knelpunten ten aanzien van de snelheid en de
zoekmogelijkheden (zoals het gebruik van zoektermen
en Boolean operators) kunnen worden aangepakt. Verder
zouden de ondernemingen meer ruimte moeten krijgen
om, al dan niet via het zoekprogramma,claims in te dienen
ten aanzien van privé, out of scope en LPP bestanden.
Dankzij de huidige stand van techniek zou dat haalbaar
moeten zijn. Tot slot verdient het de aanbeveling om de
termijn voor het maken van claims naar evenredigheid
te koppelen aan de hoeveelheid geselecteerde data. Met
deze wijzigingen zou de NMa een nog grotere stap vooruit
kunnen maken binnen eDiscovery.
eDISCOVEry IN HEt MEDEDINGINGSrECHt
‘‘‘‘
Alle data kopiëren kan leiden tot een buitensporige zoektocht naar bewijs van
een willekeurige overtreding
Edwin van Dijk
DIGItA Al rECHErCHErEN BIj DE NMa
29
In de periode van de grote bouwfraudeonderzoeken (2001-
2003) heeft de Raad van Bestuur van de NMa besloten om
te investeren in digitale recherche. Nu, na jarenlange
kennisopbouw, een doorontwikkelde procedure en gebruik
van goede tools, loopt de NMa, zowel in Nederland
als internationaal, voorop op het gebied van digitale
recherche.
Op verzoek van de redactie van dit blad, geef ik inzicht
in de digitale werkwijze van de NMa. Eerst ga ik globaal
in op de taken die de NMa uitoefent. Daarna geef ik een
toelichting op de wijze van onderzoek van de NMa en
vervolgens op de manier waarop wij digitaal onderzoek
uitvoeren.
Doel van dit essay is de inzet van digitale recherche
door de NMa te verduidelijken en tevens de betreffende
juridische kaders en praktische uitvoering uiteen te zetten.
Met praktische uitvoering bedoel ik dat het onderzoek
vanzelfsprekend relevante informatie moet opleveren
binnen een redelijke termijn en op een wijze die voor de
onder toezicht staande onderneming het minst belastend
is.
Het werk van de NMa: het bevordern van de marktwerking.De NMa is toezichthouder op de marktwerking. Een
belangrijke oorzaak van een verstoorde markt is het maken
van prijsafspraken tussen concurrerende ondernemingen
onderling of het verdelen van de markt. Dit soort gedrag
noemen wij kartelvorming en is verboden op basis van
de Mededingingswet en het EU-recht. De NMa bestr ijdt
kartelvorming door het uitvoeren van (doorgaans
grootschalige) onderzoeken.
Een van de instrumenten die de NMa kan inzetten zijn
onaangekondigde bedrijfsbezoeken bij ondernemingen
waarvan het vermoeden bestaat dat zij kartelafspraken
maken. Deze bezoeken zijn gericht op het vergaren van
analoge, digitale en mondelinge informatie en duren
doorgaans twee of drie dagen op het bedrijfsadres. De
juridische grondslag voor deze bezoeken staat in de
Algemene Wet bestuursrecht en de Mededingingswet.
Hierin is opgenomen dat de NMa ondermeer plaatsen
mag betreden, inlichtingen mag vorderen en afschriften
mag maken van gevonden materiaal. Hierbij is
proportioneel handelen door de toezichthouder
verplicht proportionaliteitsbeginsel. Dit houdt in dat
het optreden gericht moet zijn op het vermoeden van de
kartelovertreding.
Het proportionaliteitsbeginsel vormt bij digitaal onderzoek
een complicerende factor. In het arrest NMa- Fortis /
Allianz1 heeft de rechter het proportionaliteitbegrip voor
digitaal onderzoek meer inhoud gegeven. Daardoor dient
de NMa bij haar digitaal onderzoek data te selecteren die
zij relevant acht voor het verdere onderzoek. Wanneer
de NMa meer data dan een proportionele selectie van
de digitale data meeneemt, mag de onderneming of een
De NMa is belast met het onderzoek naar kar telover tredingen zoals pr i j safspraken, marktverdel ing en het misbruik van economische machtsposit ies. Om een over treding te kunnen vaststel len en vervolgens te bestraffen via een boete is bewi js nodig. Het onderzoeken van digitale informatie is hierbi j essentieel. Ondernemingen kunnen hun bedr i j fsactiviteiten niet uitvoeren zonder gebruik te maken van een digitale omgeving. Denk daarbi j aan e-mai l voor de in- en externe communicatie en digitale bedr i j fsprocessen voor de bedr i j fsvoer ing en regist ratie. Onderzoek in de digitale bedr i j fsomgeving is voor een toezichthouder noodzakel i jk om bewi js te vergaren. Dit essay gaat in op het digitaal rechercheren bi j de NMa.
DIGItAAl rECHErCHErEN BIj DE NMa
Over de auteur:Mr. Edwin van Dijk AA is werkzaam
als Hoofd van de eenheid
Recherche en Inlichtingen van de
NMa. Hij heeft een achtergrond
in de bestuurlijke handhaving en
in de opsporing door zijn werk
bij de Belastingdienst en FIOD als
manager en daarvoor 13 jaar als
rechercheur.1 Fortis/ Allianz: vonnis in kort geding van de Rb Den Haag van 13 oktober 2008, zaaknr/rolnr. 317585/KGZA08-1043.
30
vertegenwoordiger van de onderneming bij de uitvoering
van dat onderzoek aanwezig zijn. Besloten is dat de NMa
bij voorkeur de selectie van relevante informatie tijdens
het bedrijfsbezoek op locatie maakt.
Naar aanleiding hiervan heeft de NMa onderzocht of het
mogelijk was op locatie een zodanige selectie te maken dat
er alleen nog data werd meergenomen die in redelijkheid
een relatie zou kunnen hebben met het doel en voorwerp
van het onderzoek. Daarnaast dient de NMa een onderzoek
op locatie redelijkerwijs binnen een aantal dagen uit
te voeren. Technisch gezien was hier sprake van een
uitdaging. Wij stelden ons de vraag hoe het mogelijk zou
zijn om de ‘digitale wasstraat’ op locatie uit te voeren,
resulterend in een geselecteerde dataset die voornamelijk
data zou bevatten die een relatie heeft tot het doel en
voorwerp van het onderzoek. Hoewel de forensische
techniek vergevorderd is, blijkt forensisch onderzoek
vooral mensenwerk. Er is geen “bewijsknop” en toch werd
die van ons gevraagd.
De NMa heeft in 2010 de digitale werkwijze gepubliceerd2
op haar website. Deze werkwijze is sindsdien leidraad voor
het digitaal onderzoek dat de NMa uitvoert.
Wat gebeurt er tijdens een digitaal bedrijfsbezoek van de NMa Een kartelonderzoek r icht zich doorgaans op de personen
binnen een onderneming die volgens het vooronderzoek
van de NMa betrokken zijn bij de vermoedelijke
verboden afspraken (targets). In eerste instantie r icht
het digitaal onderzoek zich tot de data waartoe deze
targets schrijfrechten hebben. Verzameling van deze
data vindt digitaal plaats. Dit betekent het exporteren
van voornamelijk e-mail en files van exchange servers,
maar ook van images van laptops, usb-sticks en andere
datadragers. Wanneer deze set is gegenereerd, worden pst-
bestanden uitgepakt. Hiervoor heeft de NMa verschillende
forensische tools zoals FTK, Encase, Paraben en een zelf
ontwikkelde tool, Omnia genaamd, tot haar beschikking.
Vervolgens vindt een filter ing plaats. Tussen de in de
dataset aanwezige bestanden is veel materiaal aanwezig
dat geen waarde heeft als onderzoeksmateriaal. Denk
bijvoorbeeld aan programmatuurbestanden. Deze
technische bestanden worden geëlimineerd. De NMa
gebruikt hiervoor het programma Encase. Het resultaat
is een substantiële vermindering van data waardoor de
vervolghandelingen minder tijd kosten. Met de hoeveelheid
2 Werkwijze NMa analoog en digitaal rechercheren, Stcrt. 2010, 12871.3 Het komt voor dat er email boxen worden aangetroffen van meer dan 30 GB terwijl dit vroeger om geringe hoeveelheden data ging.4 Er zijn echter ook andere manieren om data te selecteren. De NMa kan ook andere methoden gebruiken om te selecteren.
DIGItAAl ONDErzOEK
31
DIGItAAl rECHErCHErEN BIj DE NMa
digitale data groeit ook de benodigde tijd, goed en snel
werken is dus belangrijk.3
Zoals reeds besproken, is het om redenen van
proportionaliteit noodzakelijk dat de selectie van data
digitaal op locatie plaatsvindt. Hierom wordt gewerkt
met bijvoorbeeld zoektermen.4 Voorafgaand aan het
bedrijfsbezoek bereidt het NMa onderzoeksteam een lijst
met zoektermen5 voor. Op basis van deze zoektermen
kunnen de forensisch digitaal experts van de NMa met
behulp van digitaal forensische techniek6 een selectie
in het datamateriaal maken. Deze selectie op basis van
zoektermen is de laatste forensische handeling die op
locatie gebeurd en levert vaak een dataset op die tussen
de 5 en 10% van de oorspronkelijk verzamelde informatie
omvat. Vervolgens wordt de dataverzameling gehashed7 en
encrypt zodat de dataset veilig vervoerd kan worden naar
het kantoor van de NMa.
Een NMa-onderzoek op bedrijfslocatie duurt twee of
drie werkdagen. Doorgaans wordt de nacht die in het
bedrijfsbezoek valt, gebruikt om een kopieerslag of
selectieslag te maken op de dataset.
LPP-claims en vervolgonderzoekWanneer het onderzoek op locatie is afgerond, wordt het
onderzoek bij de NMa voortgezet. In de dataset kunnen
zich nog wel data bevinden die zien op het verkeer
tussen advocaat en cliënt.8 Denk bijvoorbeeld aan een
advies van een mededingingsjurist aan de onderneming.
In de Mededingingswet is opgenomen dat dit materiaal
uitgezonderd moet worden van de data die de NMa gebruikt
voor haar onderzoek. Dit noemt men Legal Professional
Privilege oftewel LPP. Om het LPP-materiaal uit de
dataset te elimineren, is er een speciale procedure in
het leven geroepen. De digitaal specialisten van de NMa
plaatsen de volledige dataset in een speciaal gebouwde
applicatie9. In deze gebruikersvriendelijke applicatie kan
de onderneming aangeven welk materiaal LPP-data bevat.
De NMa draagt de applicatie over aan de onderneming,
die vervolgens 10 werkdagen de tijd heeft om hierop te
reageren. Ook kan de onderneming aangeven welke data
eventueel privé-informatie bevat. Na 10 werkdagen wordt
de applicatie weer opgehaald bij de onderneming en vindt
automatische uitsplitsing in LPP, privé en overig plaats.
Wanneer ondernemingen hebben aangegeven dat bepaalde
bestanden LPP-informatie bevatten, wordt dit beoordeeld
door de LPP-functionaris van de NMa. Hij bekijkt de data
en geeft aan of er inderdaad sprake is van LPP.
De dataset die uiteindelijk overblijft, wordt aan het
zaakteam (het team dat het onderzoek uitvoert)
gepresenteerd in een zoekprogramma: Optara. Deze
applicatie is door een medewerker van NMa gebouwd
en wordt gebruikt om de dataset grondig en gericht te
onderzoeken. Van groot belang is dat er snel gezocht
kan worden en dat reeds geanalyseerde data kunnen
worden vastgelegd. Een zaakteam bestaat doorgaans uit
verschillende onderzoekers die gelijktijding hun analyse
willen uitvoeren. De applicatie zorgt ervoor dat men
gelijktijdig op de hoogte is van elkaars bevindingen.
De NMa zet in een aantal gevallen
zelf ontwikkelde tools in. De
wereldwijde markt voor
forensische tools is klein.
De basistools zijn Forenic
Toolkit (FTK) en Encase.
De tools van de NMa:
Omnia (voor het verwerken
van pst-files), Inscope (voor het
selecteren en veilig uitsplitsen van LPP en
onderzoeksdata) en Optara, hiervoor waren geen goede
commerciële alternatieven voor handen.
Een veelvuldig voorkomend probleem vormt de lengte
van “padnamen”. Door het forensisch onderzoek worden
padnamen in veel gevallen langer en zijn ze uiteindelijk
niet meer leesbaar voor forensische tools. Het resultaat
is dat zoekslagen vastlopen of zeer lang duren. De
forensisch specialisten van de NMa hebben via de door
hen ontwikkelde tools oplossingen gevonden voor deze
problematiek.
5 De zoektermenlijst wordt intern gemotiveerd en getoetst door juristen.6 Hiervoor wordt de nieuwste versie van het programma Encase gebuikt.7 Hashen is het maken van een digitale fingerprint waardoor het materiaal wordt bevroren en niet meer kan worden gewijzigd zonder dat dit waarneembaar is. Op deze wijze garandeert de NMa dat de data niet gewijzigd kunnen worden. Dit is van groot belang omdat er geen spoor van twijfel mag bestaan over de integriteit van het NMa onderzoek.8 Deze gegevens wordt legal proffesional privelege (LPP) genoemd.9 Deze applicatie is door NMa gebouwd en heet “ Inscope”.
32
DIGItAAl rECHErCHErEN BIj DE NMa
Juridische bezwarenDe advocatuur heeft regelmatig commentaar op de
werkwijze van de NMa. De uitsluitend juridische discussie
gaat doorgaans over de beoordeling van de LPP-functionaris
of over het feit dat de NMa een te grote hoeveelheid
materiaal overneemt en onderzoekt. Echter, via de
huidige werkwijze onderzoeken de NMa-zaakbehandelaren
doorgaans circa 5 tot 10% van het reeds op basis van
targets geselecteerde materiaal. Daarmee legt de NMa ca.
90% van de data terzijde in de wetenschap dat ook in dit
materiaal veel bewijs aanwezig kan en zal zijn.
Bij onderzoek heeft de NMa niet alleen te maken met
juridische argumenten. Het onderzoek op locatie moet
praktisch en technisch uitvoerbaar zijn. Bovendien wil de
NMa de bedrijfsvoering van een onderneming niet voor
enkele weken verstoren door langdurig onderzoek in de
digitale bedrijfsomgeving uit te voeren. In de juridische
argumentatie worden deze aspecten, naar mijn mening, nog
wel eens over het hoofd gezien.
Reactie op opmerkingen Mw. Mr. AćimovićAan het slot van dit betoog ga ik kort in op de door Mw. Mr. Açimoviç gemaakte opmerkingen in dit blad. Ik
licht er een paar uit. Ze wenst dat er nog meer en beter gespecificeerde selectie op locatie plaatsvindt. Dit
is vanzelfsprekend ook een wens van de NMa. Helaas bieden de huidige forensische tools die wij in het triage-
proces10 kunnen inzetten geen mogelijkheid om binnen een redelijke termijn van een paar dagen bijvoorbeeld
een Boolean search uit te voeren. De werkwijze van de NMa is in die zin uniek dat er op locatie een wasstraat en
eerste zoekslag wordt uitgevoerd. De NMa onderzoekt momenteel of het mogelijk is om bijvoorbeeld met scripts
te werken en op die manier verfijnder te zoeken. Gelet op de extra complexiteit die deze methode met zich
meebrengt en de verminderde inzichtelijkheid in de procedure, is het echter de vraag of deze werkwijze wenselijk
is.
In het verleden heeft de NMa in enkele gevallen op locatie een klein netwerk gebouwd en op die wijze de data
geanalyseerd. Een bedrijfsbezoek moest in dat geval met weken worden verlengd. De vraag is of de onderneming
dat een wenselijke situatie vindt en of een dergelijk lang verblijf op de onderneming niet disproportioneel is.
Een andere opmerking van Mw. Açimoviç gaat over de Inscope tool die wordt ingezet bij het uitsplitsen van LPP
data. Deze tool biedt inderdaad geen zoekfunctie. Het toevoegen van een zoekfunctie zou de complexiteit en
destabiliteit van de applicatie vergroten. In de praktijk blijkt dat ondernemingen goed in staat zijn (met behulp
van een eigen zoekfunctie) binnen de gestelde termijn een claim uit te voeren. Dit lijkt het ontbreken van deze
functie te ondervangen.
Als laatste wil ik opmerken dat er in een eerdere versie van Inscope inderdaad een onduidelijkheid in de
handleiding was geslopen. Privé-claims dienen aangevinkt te worden als out of scope. Dit is in de laatste versie
reeds hersteld.
De NMa blijft zich ontwikkelen op forensisch digitaal terrein. De digitale omgeving verandert dagelijks en een
moderne toezichthouder gaat hier vanzelfsprekend in mee.
10 Triageproces is het proces om de data in eerste instantie te verzamelen en rangschikken om ze goed mee te kunnen nemen. Het is term uit het leger en medische hulpverlening.
33
Arjan Groen and Amit Shiwani
IN MErGErS & ACqUISItIONS: DON’t IGNOrE It!Deal making is such an integral par t of the business landscape that even in the cur rent economic condit ions i f you f l ip open the newspaper’s business section, odds are good that at least one headl ine wi l l announce some k ind of mergers and acquis it ions (M&A) transaction. Whi le the economic weather continues to be turbulent, the global deal volumes after a shor t term s low down are on the r ise. In the EMEA region alone, there were approximately 4000 deals in 2011, a 10% r ise f rom the year before (mergermarket.com, 2011). Since the economic resources are scarce, the pressure to avoid fai lure in deal making and execution has never been so high. Years ago, a company might have had more t ime to f ine-tune the detai ls, or a chance to recover i f its M&A in it iat ives went bad. Today it i s fatal, a non revers ible downsl ide.
34
Since capital is more expensive, the time granted by
investors to produce results is shorter, and there is less
slack in the balance sheet to recover from missteps,
financial engineering cannot be relied on anymore as the
only source of value creation in deals. Therefore, the
focus on operational matters as a source of value in M&A
has become more prevalent. Both Corporate and Private
Equity buyers are increasingly looking to drive deal value
through proactively managing operational r isk, improving
operational performance and extracting more post merger
operational synergies.
Ignoring IT due diligence can be costly Appreciating the shiny paint job on the new car and
hearing about its make, mileage and performance to date
may sound helpful, but it does not guarantee that the car
will perform well in the future. Carefully looking “under
the hood” to determine the r isks and opportunities has
become extremely important before doing the proverbial
handshake. The deal history book is filled with many
instances where insufficient information about the target
company or the acquired entity is the primary reason for
failed M&A transactions. Insufficient pre-deal information
results in costly surprises, unmet synergy targets, and
integration budget overruns. Acquirers have carr ied out
due diligence exercises before the deal to uncover these
r isks. However, a traditional due diligence exercise, scoped
narrowly, is intended to validate only the financial and
legal aspects of the acquisition. The financial due diligence
is considered as a de-facto standard before proceeding on
any acquisition but surprisingly still only a few businesses
realize the importance of investigating the underlying
operational aspects of the business. Since information
technology underpins the operational aspects of businesses
in all sectors, businesses should not underestimate the
importance of conducting an information technology
due diligence before the deal. Executives can’t hope to
forecast the synergies from merged supply chains, for
example, without a deep understanding of what’s required
to integrate two companies’ information systems.
According to Dan Olley, CIO, Reed Business: “I think the
bigger question is to what extent is technology becoming
an absolutely cr itical factor for businesses? If you’re not
online and not embracing technology, you probably won’t
be here in a few years. We’re already seeing this in the
media industry, and in the travel industry. With businesses
becoming more dependent on technology, it is very unwise
to view due diligence in a generic way. If due diligence is
about taking r isk out of a deal, then why would you gamble
about such an important factor?” (E&Y, 2011)
As companies realize how important IT is in determining
competitive advantage, they are making changes where
necessary so that they can engage IT as a true business
partner. As a result, IT is being forced to be much more
agile and increasingly more engaged and integrated with
both internal and external customers and suppliers. A
company’s IT performance and capability are being directly
linked to the revenue-and-profit side of the financial
equation. It is no longer a mere overhead expense, IT
is being recognized as a true asset in determining a
company’s competitive position.
Recently, the Dutch newspaper Het Financieele Dagblad
reported about a book retailer chain in the Netherlands
undergoing a decline in turnover after its buyout last year.
It mentioned that one of the key reasons of its decline
was that the company was late in moving towards internet
retailing and so lags behind its competitors. In this case,
a timely IT due diligence could have provided invaluable
insight and uncovered if the systems running the company
were sufficiently robust and flexible to support the future
business strategy. This could have helped investors develop
more informed opinions about the acquisitions’ value
potential and develop an appropriate mitigation plan.
Pre-deal IT rigor is crucial to effectively capture post deal synergies Numerous studies indicate that approximately 70% of
deals fail to create shareholder value, and shareholder
value ironically is the rationale why they happen in the
first place. The reasons for failure could be many but
failed post merger integration due to cultural conflicts
and incompatible information systems definitely stand
out. In case of mergers, companies expect to create
About the authors: Arjan Groen is Partner and Amit Shiwani is Senior
Manager at Ernst & Young Operational Transaction
Services. Their passion is to create actual value from
transactions and transformations by helping clients
with due diligence, separations, integrations and
operational restructuring.
35
value through synergies such as combined increased market
share, reduced operating costs, and an integrated value
chain. These synergies often come from economies of
scale, common processes, shared overhead and operational
integration. What is underestimated is the importance of IT
in achieving anticipated synergies. Since IT is so intr icately
interwoven into the operational aspects of the business
it is both an enabler of merger synergies and a significant
source of cost rationalization. IT also generally contributes
the highest out-of-pocket cost to achieve post-merger
integration.
An effective IT integration always starts with effective
planning which depends on insight and information
obtained before the deal. Consequently, IT needs to be one
of the primary focus areas of any due diligence effort, and
the IT function needs to be evaluated both as an enabler
of synergies and as an opportunity for cost reduction. Many
businesses which fail to put emphasis on IT before signing
the deal report delays, suffer from significant integration
cost increases, and often regulatory and compliance
issues. IT integration difficulties also impacts employee
productivity as well as revenue and profitability.
In the words of John F Kennedy “The time to repair the
roof is when the sun is shining” but companies, often
scamper for information after the deal is done and by this
time it is already too late. Many executives will vouch
that after the “pop” sound of the champagne , it is a race
against time where many decisions having long term impact
must be taken within days. Lack of information at this
stage results in vague decision making.
A CIO of a global retail business r ightly points out: “Data
uniformity and information systems are often the most
difficult post-deal objectives to achieve. These are the
things that need to be considered even when identifying
targets.” (E&Y, 2011)
An insurance company executive based in Finland has
a positive story to share. He says that in his company’s
most recent acquisition, the IT team was involved in the
transaction process and, as a result, was able to prevent
value erosion early on. “We were able to identify issues
with certain SAP and ERP projects, so we knew in advance
where there would be delays. We put in a margin to allow
for this in our time and cost estimates.” (E&Y, 2011)
IT due diligence in practice An effective IT due diligence begins with understanding
of the buyer’s goals for the investment and conducting a
comprehensive evaluation of the target’s IT landscape to
uncover the r isks to these goals. Unlike IT audit reviews,
IT due diligence reviews are often accelerated assessments
where IT findings are translated into business r isks and
business opportunities. The IT due diligence findings should
be directly usable, if required, to bring relevant items on
the negotiation table. It should also result in a high level
action plan to mitigate identified r isks, resolve key issues,
and capitalize on major opportunities. There is a cr itical
need for speed in IT due diligence assignments, which are
typically completed within a two to three week period.
Key areas of investigationThe scope of an IT due diligence assignment is tailored
for every deal depending on the acquirers issues, industry
sector and the business context. Listed below are some of
the areas that an IT due diligence covers. Each of these
areas have many dimensions, some of which are highlighted
below for a high level understanding. It should be noted
that neither the listed areas are a comprehensive list nor
all areas are given equal importance during investigation.
IN MErGErS & ACqUISItIONS: DON’t IGNOrE It!
36
The degree and focus of verification varies with every
deal. The key is to separate the wheat from the chaff.
IT strategy alignment with the business strategy:
The goal is to identify the consistency of a company’s
IT strategy with its business objectives. For example:
What ongoing role does IT have in driving revenue
or managing/reducing costs and does the IT strategy
support that? Imagine a retailer’s strategy to drive
cost benefits through supply chain optimization while
the underlying IT strategy does not reflect concrete
plans or investments for relevant optimization of
underlying systems.
Business applications:
This is mainly aimed at identifying the quality of
applications, the flexibility of applications, level of
automation, quality of reporting etc. For instance,
a proprietary custom-built legacy application, at
the core of a target’s business, may take months, to
combine with an acquirer’s own systems in order to
realize cost savings. Upgrading this system may cost
millions. Unless this is known up front, significant
potential synergies could be delayed or forgone.
Consider another scenario where a company’s business
strategy includes growth by acquisitions however none
of its current IT applications are capable to absorb
such a growth unless
the company wants to r isk
accumulation of more disparate systems and
consequently complicate the application portfolio
from its acquisitions.
IT project portfolio alignment and execution:
The aim is to find out how the company’s IT projects
align with business objectives? What are the
investments required? What are the r ight projects the
company should be focusing on and why?
Leadership and support of/from the IT organization,
use of outsourcing:
This aims at understanding the IT governance function
including the quality of the management running the
IT function and their involvement with the business.
A poor IT governance structure often leads to poor IT
systems, IT spending strategy and investments.
IT spending levels:
This is one of the most crucial areas of investigation
as it quantifies the whole picture and has direct
impact on financial side of the deal equation. IT
running costs and IT capital investment costs of the IT
functions are analyzed with the aim of identifying the
gaps with company’s financial projections, upcoming
investment surprises and opportunities for cost
rationalization.
References: mergermarket.com, 2011 annual global deal report, 2011, mergermarket.com E&Y, IT as a dr iver of M&A success, E&Y report, 2011, http://www.ey.com/Publication/vwLUAssets/IT_as_a_driver_of_M_and_A_success/$FILE/EY_IT_as_driver_for_M&A.pdf
37
IN MErGErS & ACqUISItIONS: DON’t IGNOrE It!
Level of stability and scalability of the IT
infrastructure:
Stability of IT infrastructure, preparedness for
disaster recovery, business continuity, investments
required in infrastructure, etc. are areas which
are investigated under this topic. This has cr itical
importance in some industr ies like financial services
where unexpected downtime of IT systems, even for
a short period, can lead to a drastic impact on the
revenues and reputation of the business.
A comprehensive IT due diligence goes beyond ticking
the boxes. IT due diligence needs to be carr ied out by
the r ight team which is capable of translating technology
issues into relevant deal issues or opportunities which
directly impact the transaction. The internal IT staff of the
company may lack the skills to make this assessment due to
lack of relevant deal experience, time and a standardized
methodology. The internal IT teams should be supported by
due diligence professionals specialized in conducting IT due
diligence.
ConclusionOut of many challenges that must be overcome in an M&A transaction, IT is one of the most important
yet quite often the most underestimated one. Some buyers may shy away from requesting IT due
diligence due to plain lack of awareness, underestimation or for fear that it will take excessive time
and uncover little value. However, buyers should not skip IT due diligence and put themselves in r isky
waters leading to value erosion. A skilled IT due diligence team armed with a structured methodology
can deliver valuable insights relatively quickly. The better IT is understood, the more informed
decisions can be made regarding the value of the business and the potential for future success of the
deal. Pre-deal r igor = post-deal success.
38
Drs. Ouke Arts MMCLeeftijd: 33
Woont in: Utrecht
Checkt elke dag: Of het een werkdag is en schrijft
één keer per week op www.explicateur.nl
Huidige functie: Adviseur Thaesis
Opleiding: Bestuurlijke Informatiekunde (drs.)
Post-graduate opleiding Management Consultant (MMC)
OpleidingStudieperiode: 1997-2004 en 2006-2007
Universiteit: Universiteit van Tilburg en Vrije Universiteit Amsterdam
Activiteiten SBIT: Wat Pim ook zegt: ik heb de dot in de ego bedacht. Dat mag na al die tijd wel eens
worden rechtgezet. In mijn tweede jaar rolde ik de Informail commissie in omdat ik een
mooi gelayout rapport had ingeleverd bij mijn studentassistent Lobke Coppens. Daarna
volgden een studiereis naar Egypte en een schitterend bestuursjaar en een ambitieuze
IT-Almanakcommissie met onder andere r ising stars Gregor van Issum, Ard Jansen en Paul
Koetsier. Volgens mij heb ik ook nog eens kascontrole-commissie gedaan met de twee
Pimmen. Warme herinneringen alom en wat namen wij alle activiteiten toch vreselijk
serieus!
Belang studie: Leren denken. Vriendjes en vr iendinnetjes maken. Beetje van de wereld zien en jezelf
tomeloos overschatten. En altijd blijven studeren!
Mooiste herinnering: Aan dat meisje in de bieb dat mij op vr ijdagmiddag altijd zo vr iendelijk een prettig
weekend wenste. Ze is nu raadslid in Breda zag ik laatst. En dat ik met Gregor, Ard en
Paul na al die jaren toch nog eens een keer in Havana (Cuba) ben geweest zoals we ooit
in Havana (Heuvel) afspraken.
Huidige situatieHuidige baan &
werkzaamheden:
Adviseren over strategie in snel veranderende markten. Nieuwe producten en diensten
ontwikkelen, kansen voor nieuwe verdienmodellen beoordelen en opdrachtgevers in
een ‘ander’ strategievormingsproces begeleiden. Daarnaast ben ik lid van de commissie
van deskundigen van de NOS, die de Raad van Toezicht en directie adviseert over het
journalistiek-maatschappelijk functioneren. Ook werk ik als vr ijwilliger bij het mooiste
filmhuis van Utrecht.
Specifieke expertise: flavors.me/oukearts
ConnectiesVolgende oud-BIKker: Raffy van der Burgt. Avontuurlijk en buitengewoon sympathiek, woont en werkt al jaren
in China. Aan haar zou ik willen vragen: hoe gaat het met je?
Oud IM’ers aan het wOOrd
39
OpleidingStudieperiode: 1996-2003
Universiteit: Universiteit van Tilburg
Activiteiten SBIT: Ik ben pas na 3 jaar studie actief geworden bij SBIT als penningmeester van de
congrescommissie. Vervolgens ben ik in het jaar 2000-2001 voorzitter geweest van SBIT,
redacteur van de IT-monitor en zat ik namens SBIT in het bestuur van de Economische
Bedrijvenweek Tilburg. Na mijn bestuursjaar heb ik nog een paar jaar in de Raad van
Advies gezeten.
Belang studie: De studie heeft mij inzicht gegeven in enerzijds de uitdagingen waar een organisatie
voor staat (strategievorming en de vertaling naar doelstellingen) en anderzijds de rol die
IT kan spelen bij het halen van de organisatiedoelstellingen.
Mooiste herinnering: Dat is toch wel mijn bestuursjaar bij SBIT. Samen met een grote groep actieve (en
fanatieke) leden hebben we een erg succesvol jaar neergezet. Ik heb in dat jaar erg
veel mensen leren kennen, veel geleerd op bestuursvlak en ontzettend veel lol gehad in
gebouw K. Ook de wekelijkse 4 uur durende bestuursvergadering in Kandinsky staan mij
nog goed bij.
Huidige situatieHuidige baan &
werkzaamheden:
Momenteel ben ik werkzaam als procesmanagement consultant bij Sogeti. Ik word op
detacheringbasis weggezet bij klanten. In de afgelopen 5 jaar bij Sogeti heb ik onder
andere in de keuken mogen kijken van Fortis Verzekeren Nederland, ING, Air France/
KLM en ABN AMRO. De werkzaamheden die ik uitvoer zijn divers; procesarchitectuur
opstellen, processen beschrijven, coaching, requirements opstellen en business cases
schrijven. Afhankelijk van de rol die ik heb bij de klant verschilt het waarop de nadruk
ligt.
Specifieke expertise: Business Process Management
ConnectiesVolgende oud-BIKker: Ik zou graag willen weten waarom Sven de Zwart naar Dubai vertrok en wat hij daar
geleerd heeft.
Huidige functie: Procesmanagement consultant
Opleiding: Bestuurlijke Informatiekunde (drs.)
Drs Gerard CillessenLeeftijd: 34
Woont in: Utrecht
Checkt elke dag: nu.nl, fd.nl, facebook.com
OUD IM’ErS AAN HEt WOOrD
40
Oud IM’ers aan het wOOrd
OpleidingStudieperiode: 1996-2003
Universiteit: Katholieke Universiteit Brabant en later Universiteit van Tilburg
Activiteiten SBIT: Bij SBIT ben ik begonnen bij de congrescommissie. Na een half jaar studie in de VS ben
ik een jaar lang penningmeester geweest in het bestuur. Dat betekende een jaar lang
niet studeren, maar samen met de vele actieve leden werken aan alle activiteiten die
er werden georganiseerd. Vanuit het bestuur onder meer betrokken geweest bij de twee
seminars die we dat jaar hebben georganiseerd en de ontwikkeling van het magazine
.ego als vervanger van het magazine i-Catcher. En wat Ouke ook zegt: de dot in de ego
bestond al, alleen laten we Ouke nog steeds in de waan.
Belang studie: De twee gevleugelde begrippen tijdens de studie waren de ‘helicopterview’ en de
‘bruggenbouwer’ en zo terugkijkend slaan beide begrippen de spijker op zijn kop.
Ik merk in mijn dagelijkse werk dat het van een afstand beschouwen van zaken erg
belangrijk is om de juiste stappen te bepalen en te zetten. Daarnaast ben ik tijdens de
studie doordrongen van het feit dat er meerdere perspectieven zijn en belangen spelen
en dat het de uitdaging is om die te verbinden en bij elkaar te brengen. Zeker in de
bestuurlijke en politieke context van de gemeente.
Mooiste herinnering: Dat zijn er velen. Van de ‘ochtendbiertjes’ in de PUF tot een half jaar onderdompeling
in het studentenwereldje in de VS, van een jaar lang intensief samenwerken in het SBIT-
bestuur tot het moment van de buluitreiking en van de vele bezoekjes aan borrels van
collega-studieverenigingen tot aan een indrukwekkend etentje bij Professor Nielen.
Huidige functie: Informatieadviseur bij gemeente Alphen aan den Rijn
Informatiemanager bij gemeente Boskoop
Opleiding: Bestuurlijke Informatiekunde (drs.)
Drs. Pim JörgLeeftijd: 34
Woont in: Den Haag
Checkt elke dag: linkedin.com, yammer.com, nu.nl
41
Huidige situatieHuidige baan &
werkzaamheden:
Na mijn studie ben ik zeven jaar werkzaam geweest als extern adviseur voor
met name gemeenten op het gebied van informatiemanagement, e-overheid en
organisatieontwikkeling. Na zeven jaar begon het te kr iebelen en wilde ik ook wel
eens de ‘andere kant’ van de tafel ervaren. Daarom ben ik zo’n twee jaar geleden
begonnen als zogenaamde flexambtenaar. Dat betekent dat ik de ene helft van de week
Informatiemanager ben bij de gemeente Boskoop en de andere helft Informatieadviseur
bij de gemeente Alphen aan den Rijn. Dat is sinds een paar maanden nog boeiender
geworden vanwege het fusieproces waarin beide gemeenten zitten. En het werk varieert
van het ontwikkelen van een i-Visie voor drie fuserende gemeenten tot helpdesken bij de
iPad van de Burgemeester.
Specifieke expertise: De belangrijkste werkzaamheden betreffen proces-, informatie- en projectmanagement
gericht op de implementatie en realisatie van ‘de e-Overheid’ binnen beide gemeenten.
Specifieke werkterreinen daarbij zijn de ontwikkeling van de (digitale) dienstverlening
en de bijbehorende organisatieontwikkeling, onder meer via de doorontwikkeling van een
KlantContactCentrum en zaakgericht werken.
ConnectiesVolgende oud-BIKker: Het stokje geef ik graag door aan Rutger Slump. Ik zie via Linkedin vaak updates van hem
die mij nieuwsgierig maken naar wat hij heeft gedaan na zijn studie.
42
M.C. Toscano 30-06-2011
The role of information technology
in creating sustainability value for
financial institutions in 2020
Dr. Laifa
H.A. Scheidl 30-06-2011
Master Data Management Maturity and
Technology Assessment - From theory
to practice, case Ineo Oy
Dr. Leino
K. Venkatachalam 30-06-2011
Developing Project Management
Information Systems -A large and
complex multinational perspective
Prof. dr. ing. Van der Zee
S.K. Bhattarai 30-06-2011
Challenges in Scaling Agile Software
Development in Offshoring
Environment
Dr. Rutkowski
A.F. Baiyere 30-06-2011
Disruptive Innovations at the Bottom
of the Pyramid - Can they impact
the sustainability of today’s top
companies?
Dr. Rutkowski
A.R. Vadangi 30-06-2011
Social tagging within task management
Dr. Leino
A. Radchenko 30-06-2011
Key Success Factors and Process for it
Project Portfolio Management
Prof. dr. ing. Van der Zee
Y. Shen 30-06-2011
IT Innovation at Philips - Structuring
Ideation Process
Prof. dr. ir. O’Callaghan
Y. Li 30-06-2011
Improving Alumni Administration
by Self-Built Information Systems -
Building IMMIT Connected to enhance
alumni connection
Dr. Rutkowski
V. Lukashov 30-06-2011
Configuration Management Process
Improvement - A Case Study of a Pan-
Nordic insurance company
Dr. Leino
O. Korzhova 30-06-2011
Enterprise Software for Nuclear
Industry - The Case of the SAP Nuclear
Competency Center
Dr. Rutkowski
T.J.F. Theppatipat 30-06-2011
IT Service Catalog: A Case Study of the
Implementation Need in a Pan-Nordic
Insurance Company
Dr. Rutkowski
P.V. Nguyen 30-06-2011
Business Process Modelling in a Global
Organization
Prof. dr. ing. Van der Zee
W. Xu 30-06-2011
Business on Demand And its mobile
solution -study with SAP ByDesign
Prof. dr. ing. Van der Zee
S. Toth 06-07-2011
Towards a Faithful Simulation Model
of the ITIL Incident Management
Process
Dr. Jeusfeld
I. Rubenshteyn 11-07-2011
Analysis of value drivers behind crm
adoption projects in financial services
industry
Dr. Laifa
B.P.E Soepnel 14-07-2011
Service Innovation in Virtual Worlds
Dr. Rutkowski
L.J.M Sun 22-07-2011
A Petri Net Model of Payment and
Securities Settlement Systems
Prof. dr. ir. Daniels
J.J.C. Jonkergouw 22-07-2011
SNS
Kostenmodel Functioneel Beheer
Prof. dr. ing. Van der Zee
S. van Arendonk 05-08-2011
Design for adaptation
Dr. Weigand
C.I. Koeppinghoff 08-08-2011
Humanitarian Relief and the Role of
Information Management: the Case of
Haiti
Dr. Van de Walle
N. Bayadyan 22-08-2011
Information and Communication
Technologies in Transition Economies
Prof. Salmela
A. Issabayeva 23-08-2011
Software Improvement Group
Issue handling in Commercial Systems
and its relation to maintainability
Dr. Türetken
D. Cfarku 24-08-2011
A Framework for Management and
Control of Service Granular Properties
in Service-Based Applications (sBAs)
Prof. dr. ir. Papazoglou
L.J.M v Laarhoven 26-08-2011
Dynamic Service Provisioning by
controlling the Road to the Cloud
Dr. Rutkowski
Afgestudeerden juni 2011 - April 2012
AfGEStUDEErDEN
43
H.W. v. Rijsbergen 26-08-2011
Improving presentation of data
analysis results for annual audit
support An explorative research
Dr. Rutkowski
S. Koolen 29-08-2011
How could Cloud Computing
transformations be integrated into
the retained IT organisation of public
organisations?
Prof. dr. Beulen
F. Liang 29-08-2011
Knowledge Management in Enterprise
Architecture Community
Prof. dr. Beulen
S. de Koning 29-08-2011
Complementing Agile Software Project
Management Methods with Plan-driven
Components
Dr. Jeusfeld
Y. Mo 30-08-2011
Value Modeling of Port Community
Systems: Using REA methodology
building business models to check
acceptance of PCS
Dr. Weigand
J.A. Haverhals 30-08-2011
Eurofar International BV
Informatiesystemen voor het MKB-
inventarisatie en evaluatie -een single
casestudy van Eurofar International BV
Prof. dr. ing. Van Groenendaal
J. Kroeger 31-08-2011
Towards optimized performance
management
Prof. dr. ing. Van Groenendaal
J.M. van Workum 31-08-2011
Koninklijke PostNL
Business Intelligence in 2016
Prof. dr. ing. Van der Zee
L. Kools 05-10-2011
Impact of Software Testing on the
Software Development Process
Dr. Jeusfeld
A.M. Verbaandert 10-10-2011
The impact of national culture on
cross-cultural ERP projects
Prof. dr. Ribbers
T. Kuijten 14-10-2011
Stanley Black & Decker
How does current Information
System performance influence the
expectations of future Information
Systems- an empirical study
Dr. Weigand
E. Bons 17-10-2011
Total Cost of Ownership of Open
Source Software
Prof. dr. ing. Van Groenendaal
R.R.C. Snoeren 11-11-2011
Gemeente Tilburg
E-Government and innovation
in employment mediation “The
challenges and opportunities of Social
Media”
Dr. Smits
B. van Steen 25-11-2011
Overheidsdiensten ontwerpen
voor en met de burger. Even
studie naar burgerparticipatie
in het ontwikkelingsproces van
overheidsdiensten.
Prof. dr. Van den Heuvel
N. Maas 08-12-2011
VVA-Informatisering
Enterprise Architectuur in de Zorg:
Fundament voor flexibiliteit in een
dynamische sector
Prof. dr. Ribbers
N.V. Fezliyska 12-12-2011
Impact of process and policy design
on the performance of a mental
healthcare institution: a case study
at the Mental Healthcare Institute in
Eindhoven
Dr. Smits
A.P. Nijssen 22-12-2011
Communication and user participation
in ERP implementations
Prof. dr. ing. Van Groenendaal
D.R. Mulder 26-01-2012
De effecten van IT-innovatie op
structuur en performance van
zorgprocessen in ziekenhuizen
Dr. Smits
C.A.P. Bregieta 02-03-2012
An Organizational Perspective
on Content Management at HB
Management N.V. Curacao
Dr. Weigand
J.F. van de Pol 22-03-2012
Philip Morris
Examination of the Application
Portfolio ~ within Philip Morris
Holland B.V.
Prof. dr. Ribbers
Y.K. Lee 24-04-2012
Enterprise Content Management: The
right content tot the right person at
the right time
Prof. dr. ir. O’Callaghan
Afgestudeerden juni 2011 - April 2012
.ego weblog
44
The “post-pc” eraAl in 1996 dacht Steve Jobs dat het tijdperk van van de
computer ten einde zou komen. Hij zei het volgende:
“The desktop computer industry is dead. Innovation has
virtually ceased. Microsoft dominates with very little
innovation. That’s over. Apple lost. The desktop market
has entered the dark ages, and it’s going to be in the dark
ages for the next 10 years, or certainly for the rest of this
decade.
If I were running Apple, I would milk the Macintosh
for all it’s worth – and get busy on the next great thing. The PC wars are over. Done. Microsoft won a long time ago.”
Eén jaar later stond Steve Jobs daadwerkelijk (wederom)
aan het roer van Apple. Met zijn iPhone begon Apple met
de implementatie voor zijn strategie voor het post-pc
era. Nu zijn ze voorlopers op dit vlak. Met de iPhone,
iPad en MacBook Air zet het al jarenlang de toon voor de
ontwikkeling van post-pc apparaten. Maar wat is nu precies
het post-pc era?
Het post-pc tijdperk is een tijdperk, gebonden aan
draagbare, aan het internet verbonden apparaten. Het
is essentieel dat deze apparaten verbonden zijn met het
internet, want post-pc apparaten worden van data voorzien
door de cloud. Daar worden alle media van de gebruiker
opgeslagen. Als gevolg daarvan kunnen de gegevens van
de gebruiker op elk willekeurig apparaat bekeken worden.
Met post-pc apparaten verdwijnen de grenzen tussen werk,
thuis en vr ienden. Al je media staan bij elkaar, door elkaar
opgeslagen in de cloud. Het delen van informatie en media
wordt makkelijker.
Is het post-pc tijdperk aangebroken?Doo r : Reye r S i k ke l
Gepub l i c ee rd : 2 6 maa r t 2 012
Aan de computer zoals we die nu kennen kan niet veel meer verbeterd worden. Op de specificaties na, is er nauwelijks innovatie mogelijk. Daarom gaan fabrikanten steeds meer concurreren op prijs. Het gevolg daarvan is dat het voor fabrikanten van computers niet meer aantrekkelijk is om te investeren in nieuwe computers. Maar waarin investeren ze nu dan wel?
.ego weblog
45
Het bedrijfslevenVoor bedrijven is het duidelijk. Google, Microsoft, Apple
en anderen investeren flink in het post-pc tijdperk. De
eerste twee proberen de infrastructuur voor het post-pc
tijdperk klaar te maken. Ze maken cloud toepassingen waar
de tablets, laptops en smartphones van bedrijven als Apple
afhankelijk van zijn.
Bedrijven als Intel proberen relevant te blijven in het post-pc
tijdperk. Met nieuwe concepten zoals de ultrabook, probeert
het een markt te maken voor post-pc apparaten, aangestuurd
door de hardware van Intel.
Daartegenover staat bijvoorbeeld ARM. ARM is gefocussed
op het maken van hardware voor de post-pc wereld. Met
processoren die weinig stroom verbruiken, maar toch enorm
krachtig zijn, leid onder anderen ARM de markt. Dat is ook
terug te zien in de winst die ARM maakt.
Verder staat cloud computing bij het bedrijfsleven al
jarenlang in de spotlights. Zodra bedrijven overstappen op
de cloud, is de stap naar het post-pc tijdperk zo gemaakt.
Trends als het thuiswerken worden steeds meer gepusht door
de overheid. Het post-pc tijdperk kan het thuiswerken veel
beter faciliteren dan de traditionele manier van werken,
waarbij documenten alleen lokaal toegankelijk waren.
Kortom, het post-pc tijdperk komt eraan. De markt voor
pc’s wordt steeds kleiner, terwijl de markt voor apparaten
die altijd in verbinding staan met het internet steeds
groter wordt. Bedrijven als HP verkopen hun pc productie-
afdelingen, en bedrijven als Apple, die hebben ingespeeld
op de veranderende markt, verdienen meer dan ooit. Het
tijdperk van de pc is voorbij.
Discussieer mee op www.egoweblog.nl
Al een aantal jaren zien we dat er niet zozeer nieuwe apparaten worden bedacht, maar dat innovatie draait om
het combineren van bestaande technologieën in nieuwe toepassingen. Dit wordt ook wel smart genoemd. Zo is
een smartphone of tablet eigenlijk niets nieuws onder de zon. De computer, telefoon, GPS, mobiel internet, etc.
bestonden allemaal afzonderlijk van elkaar. Door dit te combineren nemen de mogelijkheden exponentieel toe.
Reactie: Anne, op 27 april 2012
.ego weblog
46
Acqhiring: de nieuwe vorm van recruitmentDoo r : R i c ha rd v an L aak
Gepubliceerd: 16 februari 2012
Rex Hammer, blogger en CEO van zijn eigen marketing
bedrijf, heeft al in 2005 op zijn eigen blog de definitie
gegeven. Tot op heden is dit nog steeds de meest concrete
definitie van ‘acqhir ing’:
“When a large company ‘purchases’ a small company with
no employees other than its founders, typically to obtain
some special talent or a cool concept.”
Voor meer definities van het woord kun je bij Breakingcopy
of bij Visual Thesaurus terecht.
Voorbeelden van ‘acqhiring’Op 29 oktober 2010 heeft Facebook de Dropbox voorloper
Drop.io voor miljoenen opgekocht. Dit bedrijf is opgericht
door Sam Lessin, en enkele maanden na deze overname
werden op 10 december de deuren van het bedrijf gesloten.
Dit is uiterst vreemd, zeker gezien het succes dat Dropbox
op dit moment heeft. Het ging Facebook om de kwaliteiten
die Sam Lessin bezat, daar waren ze naar op zoek. Deze
agressieve vorm van recruitment wordt op meerdere
technologieblogs ‘acqhir ing’ genoemd.
Een ander voorbeeld is de overname van Fluther door
Twitter op 21 december 2010. De zoekmarkt was op dat
moment dermate volwassen en doorontwikkeld dat deze
de technische vraag niet kon bijhouden van de snelle
ontwikkeling van smartphones en social media. Wie
herinnert zich niet de #durftevragen hashtag op Twitter?
Middels deze tag kon je vragen stellen via Twitter. Fluther
was een zogenaamde Q&A website, welke precies hetzelfde
deed als hoe #durftevragen hier in Nederland functioneert.
Er zijn geen bedragen bekend gemaakt die met de
overname gemoeid gingen, maar wat wel bekend is, is dat
Twitter niet de producten en aandelen van het bedrijf
heeft opgekocht. Het heeft een deal gesloten met de
vijf medewerkers van Fluther om voor Twitter te komen
werken. Zou Twitter dus binnenkort met een Q&A dienst
komen?
Strategie achter de overnames: versterken of verbredenEr wordt uiterst nauwkeurig bijgehouden welke bedrijven
worden overgenomen door de ‘grote jongens’. Het is
imposant om te zien hoe veel van de bedrijven ook
uiteindelijk hun deuren sluiten na een overname door
Google, Yahoo, Microsoft of Facebook. Voornamelijk de
eerste twee hebben hierbij de strategie om hun SaaS
aanbod uit te breiden, getuige dat de vorm van ‘acqhir ing’
in 90% van de gevallen is bedoeld om hun huidige
producten te versterken.
Strategie voor startups: snel groeien of opgekocht worden“Engineers are worth half a million to one million”,
dat zei Vaughan Smith, de corporate development
director van Facebook. Met dit in het achterhoofd trekt
Facebook entrepeneurs aan, en biedt ze daarbij meteen
een royaal salar is en aandelenopties in Facebook aan. Eén
voorwaarde; er wordt van je verwacht dat je naar Silicon
Valley komt.
In Azië gaat het agressieve ‘acqhir ing’ niet op. Het is
veel te kostbaar om daar een heel team op te kopen, en
De laatste jaren komt steeds vaker in het nieuws dat een groot bedrijf als Google, Apple, Microsoft, Yahoo of ook Twitter een bedrijf over heeft genomen. Er wordt dan gesproken over hoge bedragen die in de miljoenen lopen, terwijl in sommige gevallen deze bedrijven pas enkele maanden of jaren bestaan. Deze nieuwe, agressieve vorm van acquisitie wordt ook wel ‘acqhiring’ genoemd, niet te verwarren met het woord ‘acquiring’.
47
bedrijven die daar starten zijn vaak kopieën van een Westers
bedrijf. Je koopt in feite een kloon van het oorspronkelijke
idee, welke daarnaast ook nog eens van een lagere kwaliteit
is dan het origineel.
Een bedrijf waar ik persoonlijk veel waarde in zie is de
Nederlandse startup Silk. Vorig jaar heb ik tijdens mijn
bachelor thesis veel kennis opgedaan over het semantisch
web, ook vaak web 3.0 genoemd. De startup Silk wordt
gezien als pionier op het gebied van deze volgende fase in
de ontwikkeling van het internet. Silk heeft een platform
ontwikkeld wat op een voor de eindgebruikers simpele
manier de gegevens uit meerdere Open Data API’s haalt.
Het aggregeert gestructureerde gegevens uit bronnen als
Wikipedia en IMDB tot tabellen, grafieken en rapportages.
Steeds meer komt het in het nieuws, maar ook bedrijven
zoals SNTMNT die bij DWDD komen, zijn het bewijs dat
informatie het nieuwe goud is. Startups die zich bezighouden
met innovatie op het gebied van informatie hebben een
gouden toekomst, letterlijk!
Discussieer mee op www.egoweblog.nl
Ik zie met de recente overnames van Skype, Instagram en Draw Something ook een zeer duidelijke trend om een
overname te doen voor de userbase, in plaats van werknemers of technologie. Het gaat in die gevallen om een
potentiële concurrent, die miljoenen gebruikers heeft en waar de ‘tech giant’ niet zomaar meer tussen kan komen.
Natuurlijk is het dan wel te hopen dat de investering het waard blijkt te zijn en dat niet iedereen over een maand
een andere hippe app gebruikt…
Reactie: Rodney, op 27 april 2012
Magaz i ne v oo r I n f o rma t i emanagemen t
Het semi-wetenschappelijke magazine .ego is een uitgave van studievereniging Asset | SBIT in samenwerking met alumnivereniging EKSBIT.
Asset | SBIT - Kamer E116 - t.a.v. redactie .egoPostbus 90153 - 5000 LE Tilburg
[t] (013) 466 2998 - [e] [email protected] - [i] www.asset-sbit.nl/ego
