image

Column: Het stinkt hier

dinsdag 2 juni 2009, 09:45 door Peter Rietveld, 18 reacties

Computable heeft Ernst & Young uitgeroepen tot de beste Security adviseur van 2009. De Top 7 bestaat verder uit Deloitte, Microsoft, KPN, Cap, IBM en onderaan Atos. Dit is natuurlijk drie keer slikken voor alle hooggespecialiseerde bedrijven die het beveiligingsvak bevolken; alle bedrijven in de Top 7 zijn generalist. Blijkbaar zijn generalisten ook beter in specialismen dan de specialisten. Nu heb ik wel eens uitstekend werk gezien van mensen die namens deze spelers werkten, maar het ruikt hier wel sterk naar WC-eend. En dat spul meurt.

In opdracht van Computable voerde TNS NIPO het onderzoek in februari en maart uit onder 1913 ICT-managers en 'ambitieuze ICT-professionals'. In de gids worden onder andere per topic rapportcijfers gegeven voor dienstverleners die actief zijn in dat ICT-deelgebied. Respondenten konden per topic alleen de bedrijven waarderen waarmee ze daadwerkelijk ervaring hadden opgedaan.

Enquêtes houden is een behoorlijke wetenschap, waar veel over te leren valt. Daarbij worden we overigens goed op weg geholpen door TNS NIPO zelf, die in haar confrontaties met Maurice de Hond regelmatig tal van kundige opmerkingen plaatst over hoe enquêtes uit te voeren en de gegevens te interpreteren.

In de aankondiging van het voorlaatste onderzoek uit 2007 staat te lezen: 'onderzocht TNS NIPO in opdracht van Computable alle belangrijke ICT-dienstverleners'. Om te kwalificeren als belangrijke dienstverlener en in de lijst te staan zal een bedrijf een bepaalde economische omvang moeten hebben. Daarmee valt het overgrote deel van de specialistische bedrijven af, zo niet alle. E&Y heeft in Nederland een paar honderd man op Security zitten en is daarmee zeker een hele grote, en voor zover ik weet zelfs de grootste speler. Dus het aantal mensen dat zaken heeft gedaan met E&Y zal ook groot zijn. E&Y heeft, naast beveiligingsspecialisten in allerlei smaken, veel auditoren op de loonlijst. Veel meer dan de anderen in de Top 7. Een auditor doet meer verschillende klanten per jaar aan dan bijvoorbeeld een consultant, een programmeur of een cryptograaf. En met bovengemiddeld veel auditoren zal dat oordeel vaker positief zijn dan bij alle andere soorten diensten; audits mislukken zelden. Software- en bouwprojecten daarentegen, nu ja dat weten we allemaal. Dit alles leidt tot een sterke vertekening in de statistiek. Wie de beste is zul je er niet mee kunnen vaststellen.

En waarin eigenlijk? Wat is Security eigenlijk in dit onderzoek. Auditing, het schrijven van beleid, het inrichten van processen of een firewall, forensisch onderzoek of antivirus? Vallen clustering en uitwijkvoorzieningen er ook onder? Blijkbaar is Security zodanig onderdeel van de kennis van ICT-managers en ambitieuze ICT-professionals dat het niet gespecificeerd hoefde te worden.

Als ik kijk naar de andere 'net iets minder goede' Security Adviseurs wordt duidelijk dat Computable ook dezelfde misser maakt als de meeste aanbestedende diensten en subsidieverstrekkers; het subtiele verschil tussen iets kunnen en iets kunnen leveren ontgaat ze. De grote spelers werken allemaal met onderaannemers, wanneer ze zelf de expertise niet in huis hebben. Voor vier van de zeven heb ik zelf in die hoedanigheid gewerkt en van de andere weet ik ook zeker dat ze regelmatig werken met free-lancers, allerlei smaken partners en andere sub-contractors. Dit wordt de klant er in de regel niet bij verteld, het is vaak zelfs geheim. Dus bij deze enquete komt dat ook niet op tafel.

Kortom. Het onderzoek van TNS NIPO meet percepties rond een niet nauwkeurig afgebakende productgroep, sluit het grootste deel van het gebied uit en telt wederverkopers gewoon mee als experts. Ik kan me niet voorstellen dat de winnaar van dit onderzoek blij zal zijn met deze 'verkiezing', behalve als hij een enorme plaat voor de kop, of geen enkele integriteit heeft. TNS NIPO brengt haar geloofwaardigheid op deze manier grote schade toe. De 'business insights' waar ze zelf zo prat op gaat, ontbreken in dit onderzoek overduidelijk. Met deze onderzoeksmethode kan je ook vaststellen dat Volkswagen, Gazelle en Peugeot de beste auto's maken. Op de voet gevolgd door de Lidl, Opel en Boeing.

Ernst & Young rept overigens nergens van deze uitverkiezing. Dat pleit dan weer voor ze.

Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter


Reacties (18)
02-06-2009, 10:23 door [Account Verwijderd]
[Verwijderd]
02-06-2009, 11:20 door Anoniem
Kennelijk is er dan toch iets fout gegaan in het rapport/onderzoek zelf.
Want bij KPN is de webhosting zo lek als een mandje.
http://www.phpfreakz.nl/forum.php?forum=8&iid=1231082#id1231118
02-06-2009, 11:47 door spatieman
volgens onze raporten, is uw machine virus vrij, als de computer uit blijft staan....,kuch....
02-06-2009, 12:03 door Anoniem
Het valt mij al jaren op dat er in de media weinig personen achter de teksten zitten die werkelijk verstand hebben van de onderwerpen waarover ze schrijven. Het gaat kennelijk om stukjes plaatsen en in veel mindere mate de correctheid van het werk, de diepgang en relevantie. Zolang het er maar professioneel genoeg uit ziet is het al voldoende. Helaas blijft het werk ook lezers trekken. Er is kennelijk vraag naar dit soort rotzooi. En zo houden we het publiek lekker dom.
02-06-2009, 12:09 door Kukel
Goed stuk met heldere onderbouwing. En hoewel ik het met Jos Visser eens ben, vraag ik me hier (wederom) af welk belang Computable heeft bij het uitvoeren van een onderzoek op een dergelijke manier. Adverteerders?
02-06-2009, 12:58 door Anoniem
Is het niet altijd zo dat het mensen zijn die de kwaliteit bepalen? Bij Traxion werken ongetwijfeld mensen met dezelfde kwaliteiten als bij KPN.

Ernst & Young heeft vaak goede onderzoeken, die wanneer nodig tegen de foute mening van de papagaaiende meute in gaat. Er is geen reden te twijfelen aan de mensen die deze onderzoeken uitvoeren. Ik kan me prima voorstellen dat ze op 1 staan in een opinieonderzoek.
02-06-2009, 13:20 door magwel
WC-eens meurt, want dat is de slager die ál zijn vlees (goed)keurt meen ik.
Wat nu als collega's het werk van collega's beoordelen?
De kift in een column?
Door Peter Rietveld, "Senior Security consultant bij Traxion".........
02-06-2009, 13:53 door Anoniem
Door magwel: WC-eens meurt, want dat is de slager die ál zijn vlees (goed)keurt meen ik.
Wat nu als collega's het werk van collega's beoordelen?
De kift in een column?
Door Peter Rietveld, "Senior Security consultant bij Traxion".........

Bij Peter is het in ieder geval helder waar zijn belangen liggen. Bij Computable niet.
In een slechte advertentiemarkt willen ze grote bedrijven misschien niet voor het hoofd stoten.
02-06-2009, 14:18 door magwel
Door Anoniem: Bij Peter is het in ieder geval helder waar zijn belangen liggen. Bij Computable niet.
In een slechte advertentiemarkt willen ze grote bedrijven misschien niet voor het hoofd stoten.
.
Ik ken Peter niet dus zijn zijn belangen mij niet zo helder en "de advertentiemarkt" zegt me nog minder.
Voor mij was het -na lezing- gewoon de eerste, spontane reactie die bij me opkwam. ;-)
02-06-2009, 14:30 door gorn
Door magwel:
Door Anoniem: Bij Peter is het in ieder geval helder waar zijn belangen liggen. Bij Computable niet.
In een slechte advertentiemarkt willen ze grote bedrijven misschien niet voor het hoofd stoten.
.
Ik ken Peter niet dus zijn zijn belangen mij niet zo helder en "de advertentiemarkt" zegt me nog minder.
Voor mij was het -na lezing- gewoon de eerste, spontane reactie die bij me opkwam. ;-)
Bekijk de website van zijn bedrijf dan krijg je een beeld van de belangen van zijn bedrijf. Daar hij niet aangeeft ook nog onafhankelijk bezig te zijn zou dat de lading moeten dekken.
02-06-2009, 17:26 door Anoniem
Nou, nou,nou peter... Ondanks je anders erg aardige columns, vind ik deze wel heel erg ongenuanceerd. Als traxion in de top 8 had gestaan, hadden we je waarschijnlijk niet gehoord.

Ik wil niet zeggen dat ik het niet met je eens ben, maar had je vorige week ook al op de Computable site zien ageren. Om dan nu ook security.nl nog een keer als podium te gebruiken... Niet nodig, toch?
03-06-2009, 10:32 door Anoniem
Het is zo makkelijk "Als je voor bovengenoemde zou werken dan bla bla." Dan heb ik nieuws voor jullie peter zou dan nog steeds het zelfde colum schrijven.

Het gaat er om dat het onderzoek niet klopt. Er zijn bij de computable andere factoren die zwaarder wegen, het kunnen de adverteerders zijn of iets anders. Als je schrijft onafhankelijk doe dan in iedergeval je best om het onafhankelijk te laten lijken.
03-06-2009, 10:43 door Anoniem
Peter Rietveld heeft een punt. Er is niet gemeten welk bedrijf de beste security adviseur is, er is gemeten welke van de genoemde bedrijven de meest tevreden klanten genereert bij security opdrachten. De opdrachtgever van het onderzoek plakt daar de titel 'beste security adviseur' aan en defnieert dat begrip zoals het hem uitkomt. Heeft die ook weer een leuk 'eigen nieuws' berichtje. En dag mag, want 'beste security adviseur' is geen beschermde titel, athans niet voor zover ik weet.
03-06-2009, 10:51 door Anoniem
Peter,

Je kent het spreekwoord; "Goede wijn behoeft geen krans".

Reputatie binnen de sector is vaak belangrijker dan een 'onderzoek' van een tijdschrift dat eigenlijk een bredere/andere doelgroep heeft. Niet dat ik iets tegen E&Y heb; goede professionals kom je overal tegen ...
03-06-2009, 15:58 door Anoniem
Peter schreef: Als ik kijk naar de andere 'net iets minder goede' Security Adviseurs wordt duidelijk dat Computable ook dezelfde misser maakt als de meeste aanbestedende diensten en subsidieverstrekkers; het subtiele verschil tussen iets kunnen en iets kunnen leveren ontgaat ze. De grote spelers werken allemaal met onderaannemers, wanneer ze zelf de expertise niet in huis hebben. Voor vier van de zeven heb ik zelf in die hoedanigheid gewerkt en van de andere weet ik ook zeker dat ze regelmatig werken met free-lancers, allerlei smaken partners en andere sub-contractors. Dit wordt de klant er in de regel niet bij verteld, het is vaak zelfs geheim. Dus bij deze enquete komt dat ook niet op tafel.

Beetje waar, maar feit is wel dat de groten dan zelf de verantwoordelijkheid nemen voor een project of een onderzoek.
03-06-2009, 16:36 door rob
Door Anoniem: Peter Rietveld heeft een punt. Er is niet gemeten welk bedrijf de beste security adviseur is, er is gemeten welke van de genoemde bedrijven de meest tevreden klanten genereert bij security opdrachten. De opdrachtgever van het onderzoek plakt daar de titel 'beste security adviseur' aan en defnieert dat begrip zoals het hem uitkomt. Heeft die ook weer een leuk 'eigen nieuws' berichtje. En dag mag, want 'beste security adviseur' is geen beschermde titel, athans niet voor zover ik weet.

Dat lijkt me inderdaad ook. Er staan ook enkel heel grote en bekende bedrijven boven in de lijst. Simpelweg omdat deze de meeste klanten hebben. Waarschijnlijk zijn de geenqueteerde bedrijven ook erg groot.
04-06-2009, 07:56 door Anoniem
Onafhankelijkheid bestaat niet. De Computable is niet onafhankelijk. Wat is het probleem?

Persoonlijk vind ik dergelijke onderzoeken volstrekt oninteressant. Wat Peter schrijft is waar maar is Peter onafhankelijk? Nee. Maar wij zijn dat ook niet.

Peter kan dit artikel ook gebruiken voor het volgende onderzoek en de volgende enzovoort. De waarde van het artikel blijft hetzelfde en ons wijzen op de afhankelijkheden.

Wie gebruikt de Computable als ‘bron’ om de security ontwikkelingen te volgen? Ik verwacht een stilte want er zijn betere bronnen.

Advies: lees security onderzoeken niet en gooi de Computable weg.
04-06-2009, 09:03 door Anoniem
Door Anoniem: Peter schreef: De grote spelers werken allemaal met onderaannemers, wanneer ze zelf de expertise niet in huis hebben. Voor vier van de zeven heb ik zelf in die hoedanigheid gewerkt en van de andere weet ik ook zeker dat ze regelmatig werken met free-lancers, allerlei smaken partners en andere sub-contractors. Dit wordt de klant er in de regel niet bij verteld, het is vaak zelfs geheim. Dus bij deze enquete komt dat ook niet op tafel.

Beetje waar, maar feit is wel dat de groten dan zelf de verantwoordelijkheid nemen voor een project of een onderzoek.

Verantwoordelijkheid, ja , interessante overweging, maar gegeven dat het meeste IT werk in nederland detachering is, ligt de verantwoordelijkheid bij de klant. En heb je wel eens de disclaimer gelezen bij een opdracht die onder leveranciersverantwoordelijkheid wordt uitgevoerd? Nu, dan zie je dat dit ook zo'n heikel puntje is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.