Beestenboel

 

Afbeelding via Pixabay

Begeleid door een felle herfstzon wandelde ik afgelopen dinsdag met een teamgenoot door de afdeling Dinosaurussen van de dierentuin in Amersfoort. Gek hè, dat een dierentuin, die over het algemeen levende wezens verzamelt, ook een stukje bos heeft ingericht met beelden van al lang uitgestorven beesten. Net zo gek als de aanwezigheid van een speeltuin, trouwens. Kwam je nou om dieren te kijken of om te wippen?

Als je denkt dat onze aanwezigheid daar, tijdens werktijd, nog veel vreemder is, dan moet je bedenken dat dierentuinen ook ruimtes hebben die ze verhuren voor bijeenkomsten. En wij hadden die middag dus een bijeenkomst van ons organisatieonderdeel, het CTO Office, verantwoordelijk voor de optimale en effectieve inzet van technologie in de hele organisatie. Na een overzichtelijk praatje van onze directeur (de chief technology officer, ofwel CTO) moesten we in groepen uiteengaan om over een bepaald thema te praten. Je kent dat wel: de groepen zijn vooraf zó samengesteld, dat je vooral niet met eigen teamgenoten bij elkaar zit, zodat je ook eens met andere mensen in contact komt. Ik zat – lekker puh – in een groepje waarvan ik twee IT-architecten al kende; de een door het werk, de ander door een praatje bij de koffieautomaat. De anderen, een licentiebeheerder en een contractmanager, kende ik van gezicht.

Het thema, dat op ons bordje lag, heette: snel, beter, veiliger. Technologie moet snel ter beschikking van onze medewerkers komen. Kennelijk mag de kwaliteit daarbij ook wat omhoog en tja, het besef dat het veiliger moet is gelukkig ook doorgedrongen tot de hogere echelons. In menige organisatie betekent dat niet veel meer dan  comfortabel abstract roepen dat het veiliger moet, de werkvloer achterlatend in een vertwijfeld “hoe dan?” Want het gat tussen de erkenning dat het veiliger moet en de praktische uitwerking van zo’n oekaze heeft al gauw canyoneske afmetingen. Welkom in het spanningsveld tussen ‘dat mag zo niet’ en ‘maar anders werkt het niet’.

Dat ze ons met dit thema aan het werk zetten, toont zowel lef als de  behoefte om er daadwerkelijk invulling aan te geven. Het eerste wat wij opschreven, was dat je niet alleen snel, beter en veiliger moet zijn, maar ook flexibel. Dat is als het ware de katalysator die de andere drie eigenschappen een handje helpt. Flexibel in combinatie met veiliger betekent dat je niet maximaal beveiligt, maar optimaal. Dat betekent ook dat je in bepaalde situaties – ik denk bijvoorbeeld aan testomgevingen – soepeler kunt zijn. Beveiligingsbeleid en -normatiek voorziet daar echter niet in; dergelijke documenten lijken blind te zijn voor de complexe omgeving van een grote ICT-organisatie.

Dat brengt ons bij risicobereidheid (in het Engels pakkend risk appetite geheten). Hoeveel risico wil een organisatie nemen? Een bedrijf, dat dingen produceert met een korte time to market, zal over het algemeen een grotere risicobereidheid hebben dan, zeg, een overheidsinstantie. Dat product moet immers snel in de winkel liggen en dan kun je je geen al te frivole beveiligingsoverhead veroorloven. Kijk maar naar slimme apparaten zoals babyfoons, beveiligingscamera’s en broodroosters, die van het internet of things een gevaarlijke beestenboel maken.

Onze constatering was dat we meer moeten differentiëren in de risico’s waarmee we te maken hebben. Daar hoort onlosmakelijk bij dat eenduidig vaststaat wie waarvoor verantwoordelijk is. Een van de architecten wilde die verantwoordelijkheid zo laag mogelijk beleggen. Ik wist hem ervan te overtuigen dat we toch op z’n minst op het niveau van een afdelingshoofd moeten gaan zitten, omdat anders het eigen belang te zwaar gaat wegen: als een team een doel moet bereiken, dan zal een teammanager over het algemeen eerder bereid zijn om risico’s te accepteren. Risico’s hebben echter de neiging om een bredere uitwerking te hebben dan één team en moeten dus ook in die bredere context gewogen worden. Enige afstand tot de werkvloer helpt daarbij.

Gisteren sprak ik een afdelingshoofd dat vaak te maken heeft met risicobehandeling. We hebben namelijk een proces ingericht dat regelt dat wanneer iemand iets wil dat volgens de regels niet mag maar wel (op dat moment) nodig is om voortgang te waarborgen, moet opschrijven wat dat inhoudt en welk risico de organisatie loopt. En dat formulier moet worden voorgelegd aan het afdelingshoofd. Omdat het de laatste tijd de spuigaten uitloopt, gaat hij actief de boer op om verandering te bewerkstelligen. Het nemen van die risico’s is namelijk in veel gevallen niet echt nodig, mits men zich enige inspanning wil getroosten om aan een robuuste oplossing te werken. Dit afdelingshoofd neemt duidelijk zijn verantwoordelijkheid voor beveiliging, daarbij het belang van de operatie niet uit het oog verliezend. Want beveiliging gaat óók over beschikbaarheid.

Een andere dierentuingroep, die ook met het thema ‘snel, beter, veiliger’ was belast, had opgeschreven: lees de Security (b)log! Dat is natuurlijk een geweldige altijd-goed-actie.

 

En in de grote boze buitenwereld …

• legt Arjen Lubach uit wat ransomware is.
• valt het nog enigszins mee met de recent ontdekte bugs in OpenSSL.
• heeft TikTok-personeel in (onder andere) China toegang tot data van Europese gebruikers.
• is Dropbox gehackt via phishing.
• kan een datalek ook gewoon op papier.
• zouden de Russen de telefoon van de vorige Britse premier gehackt hebben.
• gaat de Amerikaanse overheid optreden tegen desinformatie op social media.
• wil het Rode Kruis een digitaal embleem, dat de IT van de organisatie in oorlogssituaties moet beschermen.
• heeft Oostenrijk een stokje gestoken voor een plan van de Europese Commissie om alle Europese chatberichten te controleren.
• verdiende dit bedrijf veel geld met het toepassen van dark patterns.
• stelen malafide PyPI-packages je inloggegevens.
• geeft de Amerikaanse overheid advies over multifactorauthenticatie die niet middels phishing kan worden omzeild.
• is de privacy zone van Strava niet waterdicht.