Vertrokken

Onlangs hebben we een teamgenoot uitgezwaaid. Hij zet zijn carrière nu in een andere organisatie voort. Als iemand uit een vierkoppig team vertrekt, dan heeft dat alleen al een flinke impact voor het werkvolume. En als het iemand betreft die in de drie jaar, waarin hij in je team zat, ruimschoots zijn meerwaarde heeft getoond, dan gaat het gemis veel  verder dan alleen 25% capaciteit.

Het heeft mij aan het denken gezet: wat zijn de kwaliteiten die we nu missen, en die we dus in zijn opvolger terug willen zien? En meer in het algemeen: wat maakt je tot een goede tactische security officer bij een groot datacenter?

Toen deze collega drie jaar geleden vanuit een ander team en een andere discipline bij ons kwam, was er meteen een persoonlijke klik. Is het een open deur als ik zeg dat dat onontbeerlijk is? Ik denk dat er best wel beroepen en functies zijn waarin je effectief kunt samenwerken zonder elkaar aardig te vinden. Maar ik heb ondervonden dat het in ons vak enorm helpt als je op ongeveer dezelfde golflengte zit en niet iedere discussie op het nulpunt hoeft te beginnen.

En wat hébben we gediscussieerd. Hoe zie jij dit, hoe zullen we dat aanpakken, wat vinden we hiervan? Het waren discussies zonder hakken en zand; de winst ging naar degene met de beste argumenten, maar het voelde helemaal niet als winnen – het was overeenstemming bereiken. Bijna alsof je als buitenstaander naar een stapeltje argumenten kijkt en op basis daarvan tot een conclusie komt. Zo klinisch begonnen de discussies natuurlijk niet, iedereen had een bepaald uitgangspunt – daar kwamen die argumenten natuurlijk vandaan. Samen vonden we nog aanvullende documenten. En als we er zelf niet uitkwamen, haalden we anderen erbij. Sommige discussies duurden twee minuten, andere misschien wel twee weken of langer, altijd gericht op een optimale uitkomst.

Als er een nieuwe medewerker in een team komt, dan wordt er vaak wat plichtmatig over ‘vers bloed’ gesproken. Zo van: wij zitten hier al jaren, het kan geen kwaad om de boel eens wat op te schudden en nieuwe inzichten, werkwijzen en technieken te introduceren. Dat zie je ook wel bij sommige stagiairs: die hebben tijd en gelegenheid om zich in een bepaald onderwerp vast te bijten en het tot op de bodem uit te zoeken. Dat levert soms standpunten op die wat naïef kunnen overkomen, doordat er bij die jonkies wel diepte, maar nog geen breedte in zit; er zijn nu eenmaal vaak ook andere afhankelijkheden en belangen. Het verse bloed heeft vooral meerwaarde als het vermengd wordt met oud bloed, met de kennis en ervaring van de zittende teamleden. Zo versterk je elkaar, zo hebben we ook met deze collega gemerkt.

Dat brengt me op het onderwerp organisatiesensitiviteit. Daar heb je een flinke dosis van nodig. Onder andere om recht te kunnen doen aan het aloude adagium choose your battles wisely. Maar organisatiesensitiviteit gaat veel verder dan alleen weten hoe de organisatie in elkaar zit en aanvoelen hoe zij zal reageren. Sommige mensen hebben een gebruiksaanwijzing, en het is erg handig om die te kennen. En je moet ook kunnen aanvoelen hoe handig een bepaalde formulering is. We gingen een keer samen naar een overleg met een teammanager. In de uitnodiging hadden we slechts het te bespreken onderwerp (een productnaam) benoemd, zonder verdere toelichting. Dat zette onze gesprekspartner op het verkeerde been: hij dacht dat wij een lans wilden breken voor dat product, waardoor we veel energie moesten steken in het resetten van het startpunt. We hebben dit als leerpunt genoteerd.

Ik zou bijna vergeten om het over vakkennis te hebben. Maar ja, dat ligt ook voor de hand hè. Ik ben niet zo onder de indruk van de lange reeksen afkortingen die sommige mensen achter hun naam hebben staan, vooral omdat ik weet dat sommige daarvan (niet alle!) tamelijk hol zijn. Misschien heeft mijn houding ten aanzien van certificeringen te maken met het feit dat ik zelf uit de tijd kom dat er geen opleidingen voor informatiebeveiliging bestonden. Je moest het doen met boeken (Paul Overbeek!), losse cursussen en kennis die inhuurkrachten inbrachten (ik heb nog met Paul mogen samenwerken, maar zeker in de begintijd heb ik enorm veel van allerlei tijdelijke collega’s geleerd).

Ga nou niet meteen allemaal solliciteren. We hebben namelijk op dit moment helemaal geen openstaande vacature. Dat heeft te maken met organisatorische veranderingen, waardoor ons team op een andere plek terecht gaat komen. Vanuit de oude plek wordt geen vacature meer opengesteld en de nieuwe plek kán dat nog niet doen. We zullen het dus nog een tijdje met z’n drieën moeten zien te rooien. Gelukkig zijn de hier genoemde kwaliteiten ook bij de achterblijvers aanwezig. Ja, we zijn nog steeds een leuk teampje.

 

En in de grote boze buitenwereld …

• helpt corona om het tekort aan informatiebeveiligers terug te dringen. Maar we zijn er nog lang niet.
• was een ransomware-aanval op een ziekenhuis toch niet doorslaggevend in de dood van een Duitse patiënte.
• kun je natuurlijk ook een brug hacken.
• maken ransomwarecriminelen tegenwoordig gebruik van advertenties op Facebook om hun slachtoffers onder druk te zetten.
• pleit Microsoft voor het afschaffen van sms als middel voor tweestapsverificatie (two-factor authentication, 2FA). Bedenk wel: sms is altijd beter dan helemaal geen 2FA.
• is het Privacy Shield niet meer geldig, maar een nieuwe regeling voor doorgifte van persoonsgegevens aan bedrijven buiten Europa is er nog niet.
• verdienen datingscammers miljoenen aan hun Nederlandse slachtoffers.
• was er wel degelijk sprake van verkiezingsfraude – ten faveure van de kiwi.
• adviseert de Kiesraad om stemmen per brief te beperken. Helaas vermeldt het artikel daar geen redenen voor.
• kun je hier bijdragen aan de Digital Meet-up Privacy & Security van Tweakers.net bekijken.
• richt een Indonesisch botleger zich op Nederland.
• verplicht Zoom zich door een schikking om beter om te gaan met de beveiliging van hun videoconferencing-product.
• heeft Bits of Freedom een aantal tips voor de verbetering van je online veiligheid op een rijtje gezet. (En nu maar hopen dat de ouderwetse graphics de lezers niet afschrikken.)
• werden weer eens miljoenen hotelgasten de dupe van slechte beveiliging van hun gegevens.
• gebruikte een 17-jarige phisher een QR-code op een echte brief om mensen in de val te lokken.
• raden we altijd dringend af om apps te installeren uit andere dan de officiële app stores, maar nu blijkt uit onderzoek dat de meeste malafide Android-apps uit de Google Play Store komen.