Blog - Misplaatste metaforen van securitymanagers

Door Robert Metsemakers 23 aug 2021

Met metaforen kun je dingen aan managers uitleggen, projectmedewerkers motiveren en gedrag van eindgebruikers beïnvloeden, ook op het gebied van security. Maar het geeft alleen het beoogde resultaat als het bij de ontvanger opgeroepen beeld precies is wat jij als zender bedoelt.

It ain’t over till the fat lady sings – Deze uitdrukking wordt vaak gebruikt om aan te geven dat de race nog niet gelopen is, omdat een bepaald iemand nog zijn/haar zegje erover moet doen. Of omdat de communicatiecampagne rondom het securityproject dat dreigt te mislukken, nog moet starten. Het eindresultaat van de audit, de nulmeting of de security self assessment kan nog alle kanten op, zeg maar.
Het is (a) een onheuse manier om over een zwaargebouwde vrouwelijke collega of ariazangeres te spreken en (b) in een opera is een aria wel een belangrijk moment, maar niet het slotnummer van de voorstelling. De echte uitdrukking is ‘it ain’t over till the fat lady sinks’ (met een letter k) en komt uit het 8-ball spel bij poolbiljart. Daar moet speler
A met de witte speelbal de hele ballen (effen gekleurd, met nummers 2 t/m 7) in de putjes in de biljartrand spelen. Speler B doet dat met de halve ballen (met streep, nummers 9 t/m 16). Beide spelers moeten als laatste bal de zwarte ‘8’ putten en die lijkt stilistisch een beetje op een dikke dame. Ook Britse bingomasters noemen het cijfer 8 zo – althans die enige keer dat ik in Blackpool op de boulevard was. De ‘88’ heet daar ‘two fat ladies’ en de ‘22’ ‘two sitting ducks’. Het gaat hier dus niet om communicatie of uitstel van een oordeel, maar om een duidelijke, onbetwistbare spelregel. Zoals dat een kwetsbaarheid in software binnen je organisatie pas volledig is uitgebannen als alle apparaten, dus de eigen en BYOD, met die kwetsbaarheid zijn voorzien van de patch.

Van scratch af
Projectleiders beginnen in de kick-off vaak ‘van scratch af’ om te laten zien dat er een verse start wordt gemaakt en dat alles van de grond af moet worden opgebouwd. Soms zelfs opnieuw. Het lijkt op het ‘om krediet vragen’ bij een presentatie die je onverwacht van iemand moet overnemen: ‘Het is mij een eer als vervanger deze presentatie aan u te geven, maar ik heb vanochtend pas gehoord dat ik’... Deze uitdrukking komt uit het golfspel. Daar moet de speler de eigen bal op elk van de 18 holes in zo weinig mogelijk slagen in het putje bij de vlag slaan. Na het aanleggen van de golfbaan speelt een aantal geoefende (professionele) spelers daar. Hun benodigde aantallen slagen worden gemiddeld en per hole berekent men zo de PAR (Professional Average Result). Heb je zelf minder slagen nodig, dan speel je onder PAR. Hoe méér minder slagen je nodig hebt, des te zeldzamer is de vogelnaam voor je bijzondere prestatie:
1. birdie
2. eagle
3. albatross (of double-eagle)
4. condor
De meeste amateurspelers hebben echter meer slagen dan PAR nodig. Om een wedstrijd tussen een beginnende en ervaren golfspeler toch spannend te maken, is de handicap bedacht. Dat zijn 36 slagen die je op 18 holes extra mag maken - zolang je nog niet zo goed bent in golf. Die handicap wordt van je score afgetrokken om een netto score te berekenen. Je kunt die handicap verlagen door een aantal Qualifying Scorecards (door je tegenspeler voor akkoord getekend) in te leveren. Je kunt een ‘single digit’ speler worden, met een handicap van 1 tot 9. Heel goede spelers komen zelfs op nul uit en spelen dus op professioneel niveau. Zij starten dan hun wedstrijden ‘vanaf nul’ en in golf noemen ze dat ‘from scratch’. Deze uitdrukking betekent dus dat je héél goed bent in wat je doet en dat je juist niet vanuit een achterstandspositie vertrekt.

De meeste holes zijn PAR4. Langere zijn PAR5, kortere PAR3. Daarvan zijn twee slagen gereserveerd voor het eindspel op de green (het kort gemaaide gras rondom het putje). Eentje om bij het putje in de buurt te komen en de tweede om de bal er volledig in te tikken. Tip van mij: doe dit niet nonchalant met één hand en achterstevoren. Op een PAR3 hole houd je één slag over om vanaf de tee (de afslagplaats) op de green te komen. Reserveer ook in elk securityproject aan het eind voldoende tijd voor het evalueren van je fouten, delen van lessons learned en het schrijven van een leuk stukje op de intranetsite over de nieuwe USB-dongle.

Op zijn elfendertigst
Meestal krijgen de uitvoerders van een project te horen dat iets door hen niet ‘op zijn elfendertigst’ moet worden uitgevoerd. De projectleider bedoelt dan ‘uitermate langzaam en omslachtig’. Veel mensen denken namelijk dat deze uitdrukking teruggaat op de trage manier waarop de Staten van Friesland overlegden. Deze Staten bestonden uit de afgevaardigden van 11 steden (van die schaatstocht) en 30 grietenijen (gemeten van het eind van de 16e eeuw tot 1851). Een grietenij is een voorloper van de Nederlandse gemeente, met name in Friesland. In de Groninger Ommelanden noemde men rechtsstoelen of plaatselijke rechtbanken ook zo. Het woord betekent 'bestuursgebied van een grietman'. 'Grietman' was een openbaar aanklager en verwijst naar het Oudfriese 'greta', dat aanklagen betekent. Greta Thunberg: what’s in a name?
Leuk gevonden, maar onwaarschijnlijk. Volgens het Groot Uitdrukkingenwoordenboek van Van Dale (2006) had ‘op zijn elfendertigst’ oorspronkelijk juist een gunstige betekenis: ‘keurig, netjes’. De elf-en-dertig was een weefkam voor het weven van zeer fijn textiel waar 41 (ja, ja) gangen doorheen gingen en 4.100 draden doorheen geschoven konden worden. Zo’n kam was een van de fijnsten die er bestonden en dit weverswerk vereiste precisie [1]; vandaar de originele betekenis ‘keurig’. Kies je metaforen goed. Want voor een intelligente, dus taalgevoelige, visueel denkende, zeer precies werkende security analist is het verwarrend als de ‘baas’ aan het begin van een project stelt dat het werk ‘slordig, onnauwkeurig en met fouten’ moet worden uitgevoerd. [1] Werken met de elf-en-dertig was ook tijdrovend; daardoor
ontstond de latere betekenis ‘langzaam en omslachtig’.

Robert Metsemakers



Robert Metsemakers schrijft op persoonlijke titel en is als ervaren IT-auditor en informatiebeveiligingsexpert beschikbaar voor security-advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com

Dit blog verscheen in IB4-2021.