Opstap

 

Afbeelding via Pixabay

Iedere ICT’er weet dat je, als je iets hebt gemaakt of gewijzigd, eerst moet testen of alles (alles!) nog werkt. In een professionele omgeving hebben we daar een meertraps mechanisme voor, dat we koesteren onder de afkorting OTAP: Ontwikkel, Test, Acceptatie, Productie. Deze week hoorde ik een variant op deze afkorting die mij eerst met de oren deed klapperen en die daarna een brede grijns op mijn gezicht veroorzaakte.

Die variant is OPSTAP en dat staat voor: Ontwikkel, Productie, Shit het werkt niet, Toch maar testen, Acceptatie, Productie. Ik hoorde dit tijdens een risicoanalyse. In zo’n sessie bespreken we wat er allemaal fout kan gaan en hoe erg dat is, en een van de vaste onderwerpen daarbij is: iemand maakt een fout, welke maatregelen zijn er genomen om ervoor te zorgen dat dit tijdig wordt ontdekt en dus geen schade kan veroorzaken? Bij alle risicoanalyses die ik tot nu toe heb begeleid – en dat zijn er heel wat – riepen de aanwezigen op dit punt triomfantelijk in koor: OTAP!

En daarmee was eigenlijk alles gezegd. We ontwikkelen iets, we doen een degelijke test, de klant doet een acceptatietest en pas als iedereen tevreden is, gaat het nieuwe systeem of de nieuwe versie in productie. Als er nog fouten aan het licht komen, dan gaat het product terug naar de ontwikkelfase. Een degelijke werkwijze die in het DNA van alle ICT’ers zit en die zo vanzelfsprekend is dat we ons zelden afvragen of een team écht áltijd op deze wijze werkt. Of dat er, soms of misschien zelfs structureel, afkortingen worden genomen.

Vanzelfsprekend, tot deze week dus. Na al die jaren durfde eindelijk iemand uit te spreken dat het kennelijk wel eens voorkomt – en niet eens noodzakelijkerwijze bij hemzelf, denk ik – dat er geitenpaadjes worden genomen. Het kon eigenlijk ook niet anders hè. Ik weet ook wel dat de druk om iets op tijd op te leveren soms zo groot kan zijn, dat je een keuze moet maken tussen op tijd klaar zijn of netjes de officiële route volgen. Kies je voor het eerste, dan zit je als consciëntieuze medewerker vervolgens een paar dagen of weken met dichtgeknepen billen te wachten of het allemaal wel goed blijft gaan.

Naarmate je vaker zo’n afkorting neemt, word je daar misschien wat gemakkelijker in. En dan zou het wel eens link kunnen worden. Je begeeft je dan op een glijdend pad naar onachtzaamheid, misschien zelfs onverschilligheid. In een organisatie, die zo groot is als de onze, kan ik overigens niet uitsluiten dat er ook enkele collega’s rondlopen die nooit bovenaan dan glijdende pad hebben gestaan, die van nature altijd de gemakkelijkste weg kiezen. Ik ken veel collega’s, en ik heb er nog geen één ontmoet waarvan ik dacht: daar heb je er zo eentje. Maar statistisch kan ik niet uitsluiten dat ze er zijn. Misschien verblijven ze in de luwte van hun team en worden ze bijvoorbeeld niet gevraagd om mee te doen aan risicoanalyses en andere activiteiten waarbij ik betrokken ben. Tegen deze mensen – en hun managers – wil ik zeggen: recht je rug, sta voor je vakmanschap en zorg daarmee dat je niet zelf een risico voor onze bedrijfsvoering wordt. Misschien heb je wel een (opfris)cursus nodig. Of – wees eerlijk tegen jezelf – ander werk.

Ik heb hier ook van geleerd. Ik word strenger. Nog meer dan nu ga ik doorvragen, ook als ik collega’s spreek waarvan ik met zekerheid weet dat ze heel erg begaan zijn met security. Doe je het echt altijd op deze manier, of ga je heel soms OPSTAP? Als je dat durft toe te geven, dan verdien je daar bonuspunten mee. Want je zegt ermee dat er misschien ergens een risico zou kunnen zitten, en daar kunnen we alleen iets aan doen als we het weten. Het markeert ook het verschil tussen risico’s lopen (dat gebeurt onbewust) en risico’s nemen (bewust en op basis van afwegingen).

Ten slotte vanaf deze plek nog even een speciale groet aan een van mijn trouwste lezers: mijn moeder. Ze is vandaag negentig geworden. Van harte gefeliciteerd!

 

En in de grote boze buitenwereld …

• ben ook jij misschien slachtoffer van een wereldwijde cybercrimezaak.
• ging een Nederlander voor een flink bedrag het schip in door deze kwestie.
• kun je het niet maken om na een groot datalek in alle talen te zwijgen, zegt de rechter.
• is april Senioren en Veiligheidsmaand, met een speciale campagnewebsite.
• hoor je securitytools niet voor criminele doeleinden te gebruiken.
• deelden Tesla-medewerkers beelden die jouw auto maakte, en ze maakten er grapjes over.
• heeft IoT-devices-fabrikant Nexx het belang van beveiliging niet begrepen, waardoor bijvoorbeeld gemakkelijk overal ter wereld garagedeuren kunnen worden geopend.
• heeft de overheid nu een gereedschapskist voor red teaming.
• steelt een andere gereedschapskist credentials voor achttien clouddiensten.
• steelt een gehackt telefoonsysteem wachtwoorden uit browsers.
• is Telegram een marktplaats voor phishing-tools.
• is biometrie niet automatisch veilig.