We zijn CISSP of A+, onze bedrijven zijn ISO27000 of SAS70 Type 2, onze software is Common Criteria of ICSA certified: certificering is verplicht in ons vak. Discussies over dit onderwerp gaan over de waarde en de beperkingen van specifieke papiertjes. Maar wat is het nut van certificering op zich? Dat is kennelijk een moeilijke vraag. Meestal krijg je als antwoord het soort argumenten als bij de Europese Grondwet: niemand kan je precies uitleggen waarom het goed is, maar als je het niet doet volgt armoe en uitsluiting. Dus ben ik GSEC, zijn mijn collega’s CISSP en CISM, en kijken we neer op degenen die dat niet zijn. Onze organisatie is ISO en CMM, dus dat eisen we ook van onze leveranciers en partners. Als topwerkgever ben ik natúúrlijk CRF certified en mijn omgeving is zo belangrijk dat ik EAL4 als minimum stel. Bovendien ben ik lid van register zus en clubje zo met allerlei gedragscodes en goede gebruiken. Laat niemand beweren dat ik niets aan kwaliteit doe!

De discussie over de waarde van bepaalde certificaten heeft nogal een hoog ‘wie heeft de grootste’-gehalte. We zouden bijna vergeten dat certificatie in de rest van de wereld veel minder gebruikelijk is. Niet IT-ers kijken verwonderd naar de alfabetsoep achter de naam op het visitekaartje en naar de rijen ingelijste partnerships en kwalititeitscertificaten in de hal van de IT-boer. Alsof je daarmee je geloofwaardigheid aantoont, zoals de krantenknipsels op het prikbord van de paragnost. Staat er op het kaartje van je tandarts dat ie gecertificeerd is voor een XE-Day draagbare boor? Hangt er bij de topkok een reeks certificaten van Sabatier als bewijs dat ie weet hoe hij zijn messen op orde moet houden? Is de verloskundige Gold Business Partner van de Beter Baby? Nee dus. Maar wij weten kennelijk van geen ophouden.

Onzekerheid, angst en gezichtsverlies

Wat willen we toch bewijzen met al onze labels en keurmerken? In mijn ervaring tonen zij vooral onze onzekerheid, en onze angst voor gezichtsverlies. Maar waar komt die onzekerheid dan vandaan?

Er zijn wel vergelijkbare bedrijfstakken. Neem de wereld van de garages. De BOVAG doet met zijn keurmerk al jaren zijn best om de sector uit de kwalijke reuk van beunhazerij te krijgen. Het werkt niet altijd; zo bleek toen ik laatst met mijn leasebak voor de eerste APK opging. Het reservewiel was stiekem vervangen door een afgereden exemplaar met een kromme velg. De auto is alleen onderhouden bij merkdealers die lid zijn van de BOVAG. Welke dealer het wiel gestolen heeft, is na drie jaar niet meer vast te stellen; ik controleer niet na elke beurt of alles nog in de auto ligt. (Dus ik bel de BOVAG niet, hoewel de organisatie dat echt wel wil. Waarom zou ik, het leasebedrijf draait voor de schade op. Of de verzekering. Of mijn baas. Maar ik niet. En intussen zeur ik op ieder feestje en bedrijfsuitje over dat stelletje oplichters bij de garage.)

Feit is dat de BOVAG in haar 78-jarig bestaan de verhalen over louche garages er niet veel minder op heeft weten te maken. De BOVAG is als brancheorganisatie breder dan garages alleen, maar heeft geen kwaliteitskeurmerk voor tankstations. Bij de pomp merk je het best snel als iemand de boel loopt te flessen. Bij garagebedrijven komen kwalitatieve manco’s of andere wanprestaties pas laat aan het licht. Maar voor de klant is het ondoenlijk om na ieder garagebezoek de hele auto na te lopen. En dus loopt de hele bedrijfstak imagoschade op als één van de bedrijven een grove fout maakt. De strijd van de BOVAG tegen het negatieve imago is dan ook niet te winnen: er komt echt geen moment dat iedereen denkt dat het garagebedrijf een structureel schone bedrijfstak is.

De bouw heeft ook zo’n imago van onbetrouwbaarheid, verkapte criminaliteit en amateurisme. Toen ik een grote verbouwing aan mijn huis voorbereidde werd ik overstelpt met goede raad hoe om te gaan met de aannemers, waarbij altijd de ondertoon was dat alle aannemers boeven waren. Als je kijkt naar de bouwfraude zie je dat het imago van de bedrijfstak volkomen ruk is. Toch kent de bouwwereld geen keurmerken met de bekendheid van BOVAG. Het verschil is natuurlijk dat je veel vaker bij een garage komt dan dat je een aannemer over de vloer hebt. En dat je van garage nog makkelijk kunt wisselen, iets wat je met een aannemer tijdens een klus niet moet doen, tenzij je graag nóg langer zonder keuken zit, of zonder dak. Garagebedrijven zijn dus kwetsbaarder dan aannemers. Daarom voelen garages een grotere noodzaak om aan hun imago te werken.

Ons vak lijkt meer op de garages dan op de aannemers. Gebreken in ons werk komen ook vaak pas laat aan het licht. Klanten kunnen onze kwaliteit – of het gebrek eraan – niet zo snel zien. Wij voeren veel kleinere werkzaamheden uit en klanten kunnen zo overstappen naar een concurrent. Dat maakt ons net zo kwetsbaar als een garage, en stelt ons voor dezelfde uitdaging: het aantonen van onze kwaliteit. Maar er zijn ook grote verschillen. Bij de BOVAG kun je klagen over het werk van haar leden. Kun jij bij ISC2 klagen over het werk van een individuele CISSP? Of bij de Norea over een auditor? Of bij de CRF over de ‘top ICT werkgever’? Volgens mij niet. In elk geval lopen de organisaties achter de labels er niet mee te koop. Maar stel dat het wel kan, wat zouden ze dan moeten doen bij een klacht? Mensen of bedrijven schrappen als lid heeft weinig zin: dan halen ze gewoon het vergelijkbare certificaat van de concurrent. Dus als kwaliteitslabel zijn zelf ook niet voor hun taak geschikt.

Nog een verschil: waar de garagebranche één label heeft, hebben wij er honderden. Waarom eigenlijk? Komt dat alleen omdat alle predicaten onvolwassen en niet op hun taak berekend zijn? Lijkt mij niet logisch, met zoveel labels zitten er vast wel een paar goede tussen. Ik zie het meer als onze eigen onzekerheid. Gaat er iets mis, dan willen we graag kunnen zeggen dat onze voorgangers er een potje van hebben gemaakt. Dat we veel beter zijn dan onze concurrent, en ook beter dan onze jongere collega’s die voor lagere tarieven werken. Dat de mensen die Algol, SNA en kloppen in C niet mee hebben gemaakt er nooit iets van zullen bakken. Dat ons bedrijf beter is óók. Terwijl we eigenlijk onszelf niet goed genoeg vinden. We hobbelen maar voort, van het ene mislukte project naar de andere halve implementatie. Dat knaagt toch vroeg of laat, ergens diep van binnen. Het is dezelfde existentiële onzekerheid die ons gedram over best practices en proven technology veroorzaakt.

Onze verslaving aan certificaten wordt versterkt door het grote verloop in bedrijven en medewerkers. Hoe lang bestaat een IT-bedrijf gemiddeld? Hoeveel nieuwe banen, schaalvergrotingen, reorganisaties en fusies maak je mee in een gemiddelde carrière? In al die situaties moet je als ICT-er je waarde binnen enkele seconden administratief kunnen aantonen. En net als een garagebedrijf kunnen we dat niet. Dan is alles meegenomen, al is het maar een lullig certificaatje waar we feitelijk geen waarde aan hechten.

Security is nog erger dan de ICT in het algemeen. De onzekerheid over ons eigen kunnen is dan ook groter: de meeste mensen lopen hooguit een jaar of drie, vier mee, de meeste bedrijven niet meer dan zeven. Het zijn juist de jonge, intelligente mensen die doorhebben dat ze met grote belangen aan het spelen zijn. Voor veel geld. Die dan ook van alle kanten onzeker zijn: ben ik mijn geld wel waard? Hoe overtuig ik mensen die al twintig jaar meedraaien van mijn gelijk? En wat blijkt dan: we overtuigen de anderen helemaal niet. We zijn namelijk van onszelf ook niet overtuigd.

Deze onzekerheden duwen ons steeds verder de mallemolen van certificering in, nog verder aangejaagd door een veelheid van leerinstellingen en andere overheadachtige bedrijfjes die hiervan leven. Tel eens na hoeveel mensen er nodig zijn om één Security specialist aan het werk te krijgen; delivery manager, contract manager, mantelcontract manager, PZ, tussenhandel, brancheorganisatie, opleiders en maak de lijst maar af. Want daar komt het uiteindelijk op neer: de marges in de Security zijn zodanig dat het zeer lonend is een probleem op te blazen als je leeft van het oplossen ervan. Dat hebben de opleiders goed van de IT afgekeken.

Nu ik het er toch over heb, ik ben ook te huur als trainer. Ik moet alleen nog even een mooi klinkende afkorting voor een certificaat verzinnen en een register oprichten. Wat denken jullie van RSA, Register Security Analyst? Of moet er toch een C in?

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

• Leuke speledingetjes
  
• Security volgens WC-Eend
  
• Een triviaal bureautje in de periferie
  
• Koud onderzoek
  
• Wie Zwijgt Stemt Toe
  
• Een Lesje in Beveiliging
  
• Voortschrijdend Inzicht Mag Niet
  
• De Chinezen Komen Niet - Ze Zijn Er Al!
  
• Het anti-terrorismehoesje
  
• Niemand is de Baas
  
• Zin en Onzin
  
• This is Me
  
• Wat niet meet, wat niet deert
  
• De Chinezen komen, of niet natuurlijk (deel 2)
  
• Afscheid van het netwerk
  
• De Chinezen komen! Of niet, natuurlijk.
  
• Een kwakkelend dossier
  
• "Nederland is goed voorbereid"
  
• Headhunter incident
  
• Ethiek en Security
  
• De kleren van de keizer zijn dood, leve de nieuwe kleren van de keizer
  
• Over Security Architectuur
  
• Best Practices bestaan niet
  
• Unified Threat Management: dure mensen, goeie spullen?
  
• Security maturity
  
• Komt het nog wel goed
  
• Geen nieuws is goed nieuws
  
• Awareness best belangrijk
  
• Een papieren tijger in een zilveren lijstje
  
• Een goed idee is niet goed genoeg
  
• Uit de loopgraven
  
• Waarom beveiligingsbeleid faalt
  
• Groot slaat dood