Stoom en kokend water

Een goede vriend van me is gek op oude treinen. Regelmatige stoomtreinvakanties, verjaardagskalenders met treinfoto’s, penningmeester van de stoomtreinvereniging. Ik dacht altijd dat de actieradius van een stoomtrein werd bepaald door de hoeveelheid kolen in het wagentje net achter de locomotief.

Net zoals bij een IT-project het beschikbare budget (‘Kohle’ in plat Duits) bepaalt hoe snel het gaat en hoe ver het komt. Hij vertelde me dat de actieradius van een stoomtrein echter wordt bepaald door de hoeveelheid water. Van het water wordt immers die stoom gemaakt en de trein in beweging gezet. Zoals ook de uitdrukking ‘onder stoom en kokend water tot stand gekomen’ aangeeft, die je weleens hoort in een IT-project.

Dit zette me aan het denken over IT-projecten. Ook daar is vaak de gedachte dat als er maar eenmaal budget (geld) is geregeld, dat dan alles wel goed komt. Business cases worden opgesteld, en project initiatieformulieren, hier en daar een aanvullende projectbrief, maar uiteindelijk wordt aan het begin van het project vooral het geld geregeld. De (human) resources die het project moeten gaan uitvoeren, worden daarna pas gezocht. En dan vaak niet, of pas te laat, gevonden. Ook zijn er organisaties die bij hun planning de ‘named resources’ toestaan; de aanstaande projectleiding vraagt dan niet zoals het eigenlijk hoort om een ‘systeemontwerper met minstens drie jaar ervaring in webprojecten’ maar om specifiek Jan Klaassen (of Katrijn). Die Jan voldoet op zich ook wel aan die functionele eis, maar de claim van een project op die ene persoon maakt hem tot een SPOF (single person of failure) wat de planning van andere projecten bemoeilijkt. Projecten kunnen dan zogenaamd niet starten ‘omdat er geen resources zijn’, of ‘omdat afdeling Planning te langzaam werkt’. Maar in feite komt het omdat Jan Klaassen ook maar op één plaats tegelijk kan werken.

Securitypersoneel
In het bijzonder geldt dit wanneer het over securitypersoneel gaat. Veel organisaties hebben er daar al niet veel van: soms is er één security officer voor het hele bedrijf. In een aantal business cases worden helemaal geen kosten voor security opgenomen, dus is er na goedkeuring van het budget ook geen financiële ruimte om een security deskundige in het project op te nemen. Meestal komt het aan het eind van het project toch nog een beetje goed. Veel organisaties beseffen gelukkig wel dat het een goed idee is om voorafgaand aan het in productie nemen van een nieuw systeem, toch een ‘akkoord van afdeling security’ te hebben. Ten onrechte bestaat weleens het idee dat dit een soort stempelzetters zijn. Maar zoals mijn eerste verzekeringscursus mij leerde: ‘de afdeling Acceptatie keurt, ondanks haar naam, ook weleens een verzekeringsaanvraag af’. Het akkoord van security betekent in feite (u als lezer van dit magazine weet het, maar toch nog even expliciet) dat de risico’s van deze nieuwe onderneming of activiteit zijn beoordeeld ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid, en dat in de voor de beoordeling beschikbare tijd en met behulp van de kennis en ervaring van de beoordelaar er geen onoverkomelijke bezwaren zijn gevonden. Zoveel schrijfruimte is er natuurlijk niet op dat beruchte ene toegestane A4-tje voor de risicoanalyse, maar daar gaat het wel om.

Mijn pleidooi is: neem in de budgetten niet alleen financiële ruimte (kolen) op voor uitgaven aan security, maar reserveer ook meteen een redelijke hoeveelheid tijd (water/stoom) voor deelname door ‘een’ security deskundige in het projectteam. En dan niet alleen voor de laatste twee dagen van het project... Door security-eisen vanaf het begin van een project mee te nemen, is minder kostbaar last minute herstelwerk nodig. Die extra security-uren maken het project natuurlijk wel iets duurder. Daardoor zal af en toe een business case in uw bedrijf omvallen, omdat een op het eerste oog lucratief innovatief idee niet voldoende beveiligd kan worden naar bijvoorbeeld wettelijke normen zoals de Nederlandse Wbp. Of de qua boetes strengere opvolger daarvan, de Europese GDPR. Dat is wat mij betreft mooi meegenomen. Dan kun je het uitgespaarde bedrag besteden aan projecten die wel voldoende beveiligd zijn. Want klanten van allerlei organisaties en bedrijven hebben steeds hogere verwachtingen van de informatiebeveiliging in de hen aangeboden producten en diensten. Zeker als je let op hoe fel er in zowel traditionele media als op social media wordt gereageerd op ontdekte beveiligingslekken.

Drs. Robert Metsemakers RA RE CISSP heeft een rijk arbeidsverleden bij Achmea en diens voorgangers in verschillende security en audit functies. Deze column is op persoonlijke titel geschreven. Robert is bereikbaar via metsemakers@live.com.