Column: Duizend bloemen snoeien
ICT-ers zijn recht in de leer. Gelijke monniken, gelijke kappen. Alle servers moeten bestaan uit dezelfde bouwstenen en iedereen moet dezelfde muis hebben. De hele organisatie moet draaien op identieke hardware met volledig gestandaardiseerde besturingssystemen en software. En waarom? Omdat dat goedkoper is, en veiliger. Laat je duizend bloemen bloeien, dan krijg je een onbestuurbare chaos.
Dit gelijkheidsideaal neemt grootschalige proporties aan. Alle pc's moeten op hetzelfde platform draaien. Wil je naar Windows 7? Driewerf Neen, dat mag pas als we de hele firma doen en dat kan misschien al in 2014. Wil je een Mac of, godbetert, een Linux: mag niet. Twee verschillende database engines? Taboe. Iedereen moet hetzelfde draaien, anders "kan de helpdesk het niet ondersteunen." Dat is natuurlijk een kulargument - zo lang je maar een voorziening hebt om de desktop remote over te nemen, lukt het prima. De meeste helpdeskmedewerkers zijn echt niet zo volslagen debiel als we graag geloven en kunnen daadwerkelijk overweg met twee verschillende Microsoft platformen. En wat dit met servers te maken heeft snap ik al helemaal niet - bij een serverstoring bel je toch niet de eerste lijn om te vragen of ze boel remote kunnen oplossen?
Veiliger is het ook al niet: door de 'rationalisatie' draaien servers en PC's 'bouwstenen' die niet nodig, maar wél aan te vallen zijn. Omdat ze niet gebruikt worden, valt het ook niet op als er iets stuk is door een aanval. In de praktijk blijkt vervolgens ook nog dat tóch ieder stuk ijzer anders ingericht is. Het netto resultaat is dat het beheer juist duurder wordt door 'consolidatie'; je onderhoudt een fictief standaardplatform bovenop de echte servers waar meer software opstaat dan nodig is, en die dus meer storingen hebben en ook nog meer beveiliging vragen. Immers, wat er in zit, kan stuk.
Vergeet niet dat monoculturen zoals die door consolidatie ontstaan een veel groter aanvalsoppervlak vormen - de reden dat er meer virussen zijn voor Windows dan voor andere besturingssystemen is een overtuigende demonstratie van dit mechanisme. Consolidatie leidt bovendien tot een onmogelijk regressietestvraagstuk: als je een update wil testen op de bouwsteen 'standaardserver-besturingsysteem' moet je alle varianten die je uit hebt staan, testen. Dat is heel veel werk en dus heel duur. En dus laat je dat op enig moment maar zitten. Met als gevolg dat je ongeteste changes in productie uitvoert, of de updates niet installeert. Beide gevallen leiden tot een sterke toename van de onveiligheid en afname van de beschikbaarheid.
Het meest kostbare is echter opbouw en onderhoud van de bureaucratie die de dubbele taak heeft iedereen naar de standaard te dwingen en bewijzen weg te moffelen dat de standaard niet bestaat. Daar heb je wel een paar hoogbetaalde productmanagers voor nodig, geholpen door een paar ingehuurde academische theoretici.
Ja, maar al die verschillende software maakt het beheer zo duur. Als het bedrijfseconomisch verantwoord is om 23 verschillende tekstverwerkers te gebruiken en de IT-afdeling betaald wordt, wat maakt het dan uit? Wie betaalt, bepaalt. Ja, maar dan wordt het te móeilijk voor de mensen die het moeten beheren. Gut, dat kan natuurlijk niet - we forceren de IT-ers aapjes te worden en vervolgens minimaliseren we het aantal trucjes dat ze kunnen doen. Als je het geld dat je bespaart door niet neurotisch te standaardiseren, gebruikt om je IT-ers meer te betalen, kun je veel slimmere mensen neerzetten.
Ja maar, hoe moet het dan met updates als je allemaal verschillende sofware draait? Nou - ieder besturingssysteem en grote applicatie sinds 1998 haalt zelf z'n updates van het Internet op en dat kun je ook binnen je netwerk toestaan. Ja maar, dan kun je geen volledige garanties geven dat het systeem stabiel is, omdat je niet alle patches zelf getest hebt. Dat argument is folklore: dat kun je evenmin van de systemen die je wel centraal patcht, omdat je voor je er erg in hebt een volledig service pack achterloopt, een minor patch gemist hebt en niet doet aan regressietesten. Ja maar, hoe kun je garanderen dat de updates niet van een onbetrouwbare server gehaald worden? Welnu, als je DNS zó onbetrouwbaar is, heb je ergere problemen dan waar je patches en updates vandaan komen. Ja maar, als je al die smaken systemen hebt, hoe moeilijk wordt het dan wel niet om door de audit te komen? Dat lijkt een sterk argument. Maar in mijn boekje zijn systemen er voor de gebruikers, niet voor het gemak van de auditor. De tijd die auditoren beschikbaar hebben, bepaalt de bevindingen, niet de mate van standaardisatie. Beschouw de opmerking dat ze meer tijd nodig hebben om tot een goed oordeel te komen als een zelfverlengingsverzoek van een inhuurkracht, en je hebt het binnen de juiste proporties gebracht.
Ik denk wel eens dat al het ge-jamaar komt omdat we het onmogelijke vragen. En da's handig, dan kunnen we ons niet bezig houden met het mogelijke.
Het gelijkheidsstreven is overigens al zo oud als de ICT. Iedere organisatie van enige leeftijd heeft om de zoveel tijd weer een consolidatieproject; We gaan de Wildgroei Terugsnoeien. Zo'n project krijgt dan een krachtige naam als GRiP (maakt niet uit waar de letters voor staan), Complexiteitsreductie of BiC (Business in Control). Een naam die duidelijk maakt dat je voor eens en voor altijd in control komt. Met een uitspraak als "Betere beheersing en sturing is noodzakelijk" laat je immers iedere professioneel bestuurder soppen in zijn bureaustoel. Kostenreductie en hogere veiligheid door vereenvoudiging klinkt heel overtuigend en je hebt wel heel stevig management nodig dat hier niet in meegaat. Sterker nog - een manager die zich kan onderscheiden door zo'n project mogelijk te maken, is al vrijwel verzekerd van een promotie zodra de kredietcrisis over is. Maak als beginnend manager alleen niet de fout dat project daadwerkelijk te leiden, want gegeven het te verwachten rendement - geen - heeft dat het tegenovergestelde effect op je carrière. Je meer ervaren collega's weten dat al járen.
ICT-Security is ook overtuigd aanhanger van het gelijkheidsideaal. En minstens even goed in ja-maren. Zo roepen we dat een netwerk met al die verschillende software niet te beveiligen is. Het is toch vreselijk als er drie Officeversies naast elkaar gebruikt worden; levensgevaarlijk! Drie verschillende webservers? Oh, gruwel!
Het is inderdaad onveilig. Zo lang we ons druk maken over beleid maar ons niet wagen aan handhaving, niet beter patchen dan nu, geen idee hebben welke software er draait in ons serverpark, niet zoneren, en alleen inbound verkeer een beetje filteren, om er maar een paar te noemen, blijft dat zo. Wie kan er ingrijpen op de perimeter om bepaalde gevaarlijke content tijdelijk buiten te sluiten, als een bepaald gat in onze systemen aanwezig is? En "kan" heeft hier de dubbele dimensie: het gaat om technisch kunnen en organisatorisch kunnen. Wie kan erdoorheen krijgen dat voor onbepaalde tijd alle bestanden in PDF, Word en Excel tegengehouden worden? Standaardisatie van hard- en software is écht niet ons grootste probleem - het probleem is dat wij struikelen over de eerste drempel.
Dit gelijkheidsideaal leidt tot taferelen die dolkomisch zijn, behalve als je beseft wat het kost en hoe weinig het oplevert. Andere organisaties houden zich natuurlijk niet aan onze interne standaarden en doen het dus verkeerd. Zo moest ik ooit twee ministeries aan elkaar knopen en de eerste indrukken waren dodelijk - wederzijds. Hoewel hetzelfde formele beveiligingsniveau gold, liepen de interpretaties ver uiteen. "IK ben méér Departementaal Vertrouwelijk dan JIJ!" Deze gordiaanse knoop werd door het hoger management hardhandig doorgehakt - we voldoen allebei aan dezelfde veiligheidseisen, dus ophouden met dat gezeur; het is veilig omdat wij dat zeggen. En strikt genomen is dat juist - niemand weet wat op dit moment veilig is, wat morgen veilig, of wat veiliger dan een ander is. Het is geen zinvolle discussie. Maar er wordt nog steeds nagesputterd. En het is inmiddels al heel wat jaren geleden.
Standaardisatie is voor beveiliging geen absolute must, maar het wordt wel zo gebracht. Dat geldt niet alleen het desktop OS, maar bijvoorbeeld ook RBAC: we stoppen gebruikersrechten in zo min mogelijk groepen en leggen iedereen op om dezelfde spullenboel op dezelfde manier (lees: "Business Roles") in te zetten. Maar je kunt best meer rollen dan gebruikers hebben - het is maar een administratieve container dus wat maakt het feitelijk nou uit? Inderdaad - het óógt minder overzichtelijk.
De valkuil is dat standaardisatie gevoelsmatig betekent dat het eenvoudiger is en dus goedkoper. Dat kan wellicht in een theoretisch geval zo zijn, maar een niet-passende standaard is niet eenvoudiger, dus ook niet goedkoper. En het is zeker geen panacee tegen alle kwalen.
Dezelfde merkwaardige toestanden zie je bij virusscanners: we willen maar één antivirusproduct voor alles. Dan moeten we dus 'de beste' scanner hebben. Tja, we zouden onderhand kunnen weten dat de één wat beter is in het vangen van virussen op de mailserver, terwijl de ander beter is in webbased trojans en de derde de meest gemiddelde mix bevat voor de desktop. Dat de Unix versie anders werkt dan de Windows variant. Een gemengde strategie is aantoonbaar beter. En ja, minder werk - bij minder infecties hoef je minder op te ruimen. Standaarden om de standaarden is kolder. Bedenk je heel goed dat consolidatie zeer gevoelig is voor de wet van de afnemende meeropbrengsten.
Het is frappant dat we nog steeds teleurgesteld zijn als onze plannetjes en normpjes door mensen buiten ons machtsbereik volkomen genegeerd worden. Dit zullen we in de toekomst nog veel meer gaan zien - we krijgen steeds meer te maken met mensen buiten onze eigen organisatie die zich niets aantrekken van onze interne standaarden. De genetwerkte economie en gesourcete ICT staan daarvoor garant.
Wat de praktijk van meer dan twintig jaar consolideren ruimschoots aantoont, is dat duizend bloemen snoeien mogelijk is, maar dat de kosten niet dalen en dat het niet veiliger wordt. Ook niet op de langere termijn. Nu kun je het nog wel harder proberen, maar als aspirine niet helpt tegen een gebroken been, moet je gaan nadenken over een ander medicijn.
Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Vorige columns van Peter
Daarnaast heeft uniformiteit op het gebied van beheer vele voordelen, zoals het feit dat de systemen dezelfde onderdelen gebruiken, waardoor het makkelijker te vervangen is, waardoor er een kleinere voorraad aan extra onderdelen nodig is, en ga zo maar door. Ik ben het geheel eens met de nadelen die een uniform platform met zich meedraagt op het gebied van informatie beveiliging.
Deze column lijkt meer op een schrijfsel van een geirriteerde gebruiker die wil afgeven op de IT-afdeling binnen een bedrijf, dan op een goed doordacht stuk met zinnige onderbouwing.
[/quote
Precies wat ik dacht.
Tuurlijk schuilen er gevaren in uniformaliteit, maar zo kun je wel eenvoudiger patchen als er iets loos is.
Toch vind ik het wel van moed getuigen dat je zo'n stuk nog durft te ondertekenen met Senior Security consultant bij Traxion
[/quote
Precies wat ik dacht.
Tuurlijk schuilen er gevaren in uniformaliteit, maar zo kun je wel eenvoudiger patchen als er iets loos is.
Toch vind ik het wel van moed getuigen dat je zo'n stuk nog durft te ondertekenen met Senior Security consultant bij Traxion
De IT-afdeling bestaat in eerste instantie om gebruikers te ondersteunen in hun dagelijkse werkzaamheden. Ofwel, de business. En de IT-afdeling dient te doen wat de bsuness wil, niet omgekeerd. Er is een heel mooi, recent voorbeeld, van een verzekeraar waar men een business intelligence applicatie ontwikkeld heeft zonder de IT-afdeling daarin te betrekken. Gevolg is een applicatie die sneller opgeleverd is en veel beter aansluit bij wat de business nodig heeft.
Ik dacht dat de ivoren toren-mentaliteit "wij van IT weten wat goed voor u is" wel een beetje dood was inmiddels, maar blijkbaar niet.
Als je met Anoniem ondertekent, ben je natuurlijk snel onder de indruk van zo'n ondertekening.
martijno, senior BBcode reparateur.
Nee, duidelijk.
De business wil dat de IT afdeling zo efficient mogelijk en goedkoop mogelijk werkt. En ja, daar kan uniformiteit ook bijhoren. Overigens worden veel beslissingen op dit gebied gewoon door het management genomen, waarbij IT een uitvoerende taak heeft (al is dit vaak voor gebruikers niet direkt zichtbaar). Dat heeft niets met close-minded te maken, maar met de dagelijkse realiteit. En het ingewikkeld maken van patching is natuurlijk ook geen 'doel van de business'.
"Ik dacht dat de ivoren toren-mentaliteit "wij van IT weten wat goed voor u is" wel een beetje dood was inmiddels, maar blijkbaar niet. "
Ik zie niet in wat dit met een ivoren toren-mentaliteit van doen heeft. Je doet net alsof IT afdelingen volledig autonoom werken en onafhankelijk van het management alles kunnen bepalen. Veel uniformiteit, waar het hier over gaat, wordt gewoon van bovenaf opgelegd om kosten te besparen. En dat is wat de business wil.......
Ik zie niet in wat dit met een ivoren toren-mentaliteit van doen heeft. Je doet net alsof IT afdelingen volledig autonoom werken en onafhankelijk van het management alles kunnen bepalen. Veel uniformiteit, waar het hier over gaat, wordt gewoon van bovenaf opgelegd om kosten te besparen. En dat is wat de business wil.......
De business wil besparen. Dat uniformiteit bespaart, is onze aanname, waar de business met ons in meegaat. Soms klopt deze aanname, soms niet. Dat is wat peter beweert.
Zolang de gebruikers niet (of amper) willen/kunnen luisteren naar de rare (van die it-freaks) systeembeheerders, kan uniformiteit nooit werken.
En daar ligt altijd het hele probleem.
Een gebruiker snapt van de gemiddelde pc al niks of niet veel, hoe wil je dan een businessmanager (die er ook niet veel van snapt) uitleggen dat het beter is om alles gelijk te houden en het personeel strikt aan de regels laten houden wat betreft de systemen.
(de gemid. gebruiker luistert amper en al zeker niet degene die er wat "meer" van snapt"
En een businessmanager die wat meer van IT snapt zijn er (helaas) niet zo veel.
Generaliseren heet dat, en dat is een foutieve/arrogante manier van denken.
Wij hebben binnen ons IT team geen Stalin-regime, dus maak ons niet belachelijk.
Als je met Anoniem ondertekent, ben je natuurlijk snel onder de indruk van zo'n ondertekening.
martijno, senior BBcode reparateur.
Wat maakt het uit hoe je ondertekent? Ben jij martijno (waarschijnlijk eerder martijn0). Het lijkt me zelfs op een site die pretendeert "... het laatste nieuws over beveiliging en privacy" te kunnen leveren eerder een gotspe als je je artikelen niet anoniem plaatst.
Groeten,
Anonymous, (oh ja, ook senior in .... ach bedenk zelf maar wat)
JoGnet
(ja ik erger mij aan je stuk.. Dit slaat nog kan nog wal)
Jouw argumenten in je artikel staat op nergens. Je idee alleen al om verschillende office pakketten in één organisatie te gebruiken vraagt om problemen. Ik zie de problemen al ontstaan bij zeer competente organisaties van 50 man. Wat denk je wat er gebeurd wanneer een organisatie van 5000 man (met Miep en Henk achter het scherm) zelf erop los wordt gelaten voor het beslissen van het te installeren eigen office pakket... Één groot drama.
Je krijgt te maken maken incompatibiliteit problemen, dat heb je al met Office 2007 en 2003. Wat dacht je van Proofing tools 2007 wat wel is te installeren op 2007, maar niet in combinatie met 2003. Dan hebben wij het nog niet over de Star Office. PowerPoint, PDF. Weer meerdere licenties wat je beheren, meer kosten...
Dan haal je ook nog eens security aan, goh, omdat je een artikel voor security.nl schrijft?
Dan weet je gewoon dat je JUIST security ondermijnt als je alles toestaat....
Natuurlijk, aan het einde van het pad is alles mogelijk en ook weer niet. Alles kost tijd en tijd is geld.... Dat heb je vast ook wel geleerd.
EDIT: Nu zie ik het, je werkt voor: http://www.traxion.nl/
Nou... ik hoop dat je collega's daar anders over denken....
Edit: Persoonlijke opmerkingen verwijderd.
Volgens mij trek je voorbarige conclusies. Want Peter gaat volledig voorbij dat veel van de zaken waar hij het over heeft gewoon besloten worden door het management van een bedrijf, waarbij IT-ers enkel een uitvoerende rol hebben. Ik denk dat in 80% van de bedrijven een IT-er die standaardisatie terug wil draaien, en alle wensen van de gebruiker inwilligt, hard wordt uitgelachen en/of ontslagen wordt.
Want vanuit het oogpunt van het management betekent dat dat er minder efficient wordt gewerkt, dat licentiekosten stijgen, dat er meer personeel nodig is voor ondersteuning, en ga zo maar door. Maar als jij uit het feit dat we reageren wilt concluderen dat Peter gelijk heeft dan moet je dat vooral doen ;)
IT-afdelingen zijn geen autonome clubjes met mandaat om te doen en te laten wat ze zelf willen......
Omdat ik, als systeembeheerder, nog meer te doen heb.
Dus martijno: Ik ben idd systeembeheerder.
En om dan hier gelijk als een kwaaie jongen afgeschilderd te worden.... Sjonge jonge, wat een frustraties!!
Ik herken dat bij ons toch niet.
Tuurlijk is ICT er om de mensen te helpen, en staan we in dienst van het bedrijf en de core business.
Maar wel binnen grenzen, het is niet zo dat als de gebruiker zegt "spring", dat wij vragen hoe hoog.
Zoals een paar posts hiervoor hebben wij ook veel problemen met het handhaven van honderden applicaties. Deze worden vooraf goed onderzocht en bekeken of het wel of niet in onze (educatieve) omgeving past.
Maar dit alles gaat in goed overleg met de gebuiker/aanvrager.
De ICT moet helpen in de dagelijkse werkzaamheden, en dat betekend dat je uptime gruwelijk belangrijk is.
IMHO: Veiligheid is omgekeerd evenredig met gebruikers gemak, en daar zal toch een goede balans tussen gevonden moeten worden.
Had in het verhaal ook nog even verteld dat er op de IT afdeling voor de it-ers zelf vervolgens wel van alles draait/mag draaien en dat er geen regels zijn want "zij" weten immers wel hoe ze er mee om moeten gaan. bah....
Goed voorbeeld is bijv. om de gebruikers achter een proxy te zetten en de it-er zelf uiteraard niet want dan kan-ie zo slecht zijn downloads ophalen....bah...
Aan al diegenen die halverwege afgehaakt zijn, maar wel een mening op het web pleuren: wat ben ik blij dat jullie niet voor mij (gebruiker) werken.
Punt is: alles kan. De gebruiker vraagt en wij, IT, horen te leveren. Punt. Aan ons om aan dat door jullie zo verfoeide Management duidelijk te maken wat de kosten en risico's zijn hiervan. En dan aan ons om duidelijk te maken dat uniformiteit handiger en vooral goedkoper is. En zet dan even de oogkleppen af: of misschien wel niet goedkoper.
WIJ zijn de professionals. WIJ adviseren de business. En niet andersom! Dus ga niet zitten Calimero'en, maar doe gewoon je werk en verdiep je in de business. In de problemen van de klant.
bij dit werk hoort o.a. het oplossen van storingen, het bijwerken van software en het oplossen van problemen die de gebruikers met de applicatie hebben. Hiervoor moet de technische werking van de applicatie bekend zijn. Hoe meer applicaties, hoe meer tijd je nodig hebt om deze beschikbaar te houden. Dit is meteen de belangrijkste reden dat je wilt voorkomen dat je twee applicaties moet ondersteunen die globaal hetzelfde doen. en ja, voor notepad heb je minder tijd nodig dan voor SAP.
vergelijk het even met jongleren. 1 bal hoog houden kan iedereen. 5 ballen kost even oefenen 100 ballen in de lucht houden kan niemand.
vergelijk het even met jongleren. 1 bal hoog houden kan iedereen. 5 ballen kost even oefenen 100 ballen in de lucht houden kan niemand.
Kan wel. 1 iemand lukt dat niet, maar 20 iemanden wel (na enig oefenen). En ja, dat heeft een prijs. En als de service vragende partij die prijs wil betalen, dan moet je gewoon leveren. En tegelijkertijd duidelijk maken wat de prijs is. Niet janken, maar adviseren.
Maar de tijd dat de IT afdeling roept 'Kan Niet', dat is achterhaald. IT is dienend, en niet leidend.
... je vergat te melden dat er zelden naar de kosten wordt gekeken. Soms zal standaardisatie goedkoper zijn; soms niet. Inderdaad: vellal gaan we op ons gevoel af en roepen we: Je idee alleen al om verschillende office pakketten in één organisatie te gebruiken vraagt om problemen. Ik zie de problemen al ontstaan bij zeer competente organisaties van 50 man. Wat denk je wat er gebeurd wanneer een organisatie van 5000 man (met Miep en Henk achter het scherm) zelf erop los wordt gelaten voor het beslissen van het te installeren eigen office pakket... Één groot drama.
Je krijgt te maken maken incompatibiliteit problemen, dat heb je al met Office 2007 en 2003. Wat dacht je van Proofing tools 2007 wat wel is te installeren op 2007, maar niet in combinatie met 2003. Dan hebben wij het nog niet over de Star Office. PowerPoint, PDF. Weer meerdere licenties wat je beheren, meer kosten...
Tsja, en tóch kan het zo zijn dat deze 'chaos' goedkoper is.
Weet je: ik vergelijk het maar als volgt. ik ga naar mijn snackbar op de hoek, waar ik al jaren kom. Er is 1 friture. En de uitbater kent mij al jaaaaaaren. En ik bestel 1 frites met, 1 frites curry en 1 frites mayo. Nu kan de uitbater tegen mij zegen dat het bestellen van 1 frites speciaal goedkoper is. En sneller. Dat verwacht ik ook van hem.
Maar als ik dan zeg dat ik toch die 3 frites wil, en ik wil daarop wachten, en ik wil ervoor betalen, nou, dan levert hij wel.
Getuige een boel reacties hier leveren wij de Speciale, zonder vragen...
vergelijk het even met jongleren. 1 bal hoog houden kan iedereen. 5 ballen kost even oefenen 100 ballen in de lucht houden kan niemand.
Nou Bernd, voor jou dan:
Als
Jongleren met 100 ballen = meer winst
Dan
Jongleren met 100 ballen
Anders
Niet jongleren met 100 ballen
Eindeals
Echter, de meningen hierboven dat IT moet leveren als de business vraagt, gaan mij veel te ver. De business vraagt namelijk vaak helemaal niet wat ze willen. Ze vragen een oplossing, terwijl de vraag hen zelf soms helemaal niet duidelijk is. Of die oplossing dan levert wat de business wil, daar kun je dan je vraagtekens bij zetten. Kortom, iedere partij (business en IT) heeft z'n eigen expertise, en samen moet je eruit komen. Als dat niet meer gebeurt, gaan de dingen goed mis.
Een van de belangrijkste argumenten van Peter die ik onderbouw, is de bureaucratie die vaak ontstaat n.a.v. de wens voor uniformiteit. Daar moet je wat aan doen. Een aardig idee daarbij is de reactie van anoniem @00:02 m.b.t. het jongleren. Weeg alles netjes tegen elkaar af (waaronder baten/kosten), en maak dan een beslissing. Geen van beide partijen (business en IT) kunnen dat in hun eentje bepalen, dus laten we daarmee ophouden.
Maar om dan maar te zeggen dat standaardisatie geen voordelen zou hebben, dat gaat me veel te ver. Ook naast security zijn daar nog veel redenen voor: opleidingen, help desks, compatibiliteit, etc. Als je daar geen rekening mee houdt, draait er ook al snel niets meer in een bedrijf, of alleen tegen ondraaglijke kosten.
Kom op Peter, de volgende keer weer iets meer nuance in je verhaal... Ik zal er nog wel een paar lezen... :-)
Als() Dan (...) Anders (...) Eindeals
In het Artikel klaagt de auteur over de afwijzing van de installatie van Windows 7 op "zijn" werkstation. Stel dat zij IT-afdeling deze installatie blind had goedgekeurd. Omdat Win7 nog maar net uit is, is het te verwachten dat nog veel applicaties problemen geven op dit nieuwe platform. In dat geval zou hij vol frustratie een artikel geschreven hebben over de onkunde van IT afdelingen en hun gebrek om ook maar iets te leren van de problemen na migraties in het verleden (win95, win2000, winXP of Vista, Citrix, ...)
zoals ik al zei: een hoop frustraties (ook in de reacties) van mensen die M.I. geen idee hebben waar ze het over hebben. Natuurlijk is de IT afdeling ter ondersteuning van de Business. De laatste jaren zijn bedrijven gekanteld en zijn de applicaties en de informatie die ze ontsluiten afdelingoverstijgend geworden. Dit vergroot de verantwoordelijkheid van de IT afdeling en het belang van een goed informatiebeleid. Hierbij kán geen "u vraagt - wij draaien - IT afdeling" bijhoren. Een dergelijke dienstverlening is namelijk verschrikkelijk ad-hoc en daarmee meteen het laagste IT volwassenheidsniveau volgens zowat elk model, zoals http://itservicecmmwebsite.googlepages.com/managementsummary. Daarmee help je pas écht de Business de vernieling in.
Dus: stop met dat geklaag en bedenk dat er veel valide redenen zijn om een nieuw softwarepakket af te wijzen. Veel van deze redenen zijn aan leken moeilijk uit te leggen. Doen je dat wel, dan staat er weer een artikel over IT-ers die niet kunnen communiceren (omdat ze zoveel jargon gebruiken en omdat de gebruikers dit jargon niet begrijpen) Wil er iemand alstublieft een artikel schrijven over onnozele managers met onozele RFC's?
De IT organistatie die instaat is om elk vraag vanuit de buisiness te beantwoorden is inderdaad een level 7 it organisatie. Tenminste volgens deze definitie. De IT organisatie die werkt met standaard producten en processen is een level 2 organisatie volgens deze definitie. Niet in staat om zijn productportifilio aan te passen om een op maat gesneden dienst te leveren. Ik moet je gelijk geven dat de meeste IT service organisatie inderdaad niet boven level 2 uitkomen.
Overigens kan "Nee, want ...." best een valide "level 7" antwoord op een vraag vanuit de business zijn, zolang het argument maar niet getuigt van een "kunnen we niet - willen we niet - doen we niet!" - mentaliteit. Als je wilt dat de IT afdeling de business helpt met het vinden van oplossingen moet je ze vragen stellen, en niet in de vorm "ik schrijf wel eens een artikel op een securitysite en daarom wil ik windows 7, linux en een mac en daarop 23 tekstverwerkers", maar "We maken een sjabloonprogramma, en door multiplatform te ontwikkellen, boren we een bredere markt aan. Wil je ons daarmee helpen?"
Ik heb geen (hoogdravende) mening behalve dat 'wie de schoen past hem maar aan moet trekken', de waarheid ligt zoals gebruikelijk weer ergens (dood te bloeden?!) in het midden en dat je misschien beter met je einde, had kunnen beginnen; "Wat de praktijk van meer dan twintig jaar consolideren ruimschoots aantoont, is dat duizend bloemen snoeien mogelijk is, maar dat de kosten niet dalen en dat het niet veiliger wordt. Ook niet op de langere termijn. Nu kun je het nog wel harder proberen, maar als aspirine niet helpt tegen een gebroken been, moet je gaan nadenken over een ander medicijn."
(Mogelijk heb je dat expres gedaan; gezien de huidige hoeveelheid reacties.... nogmaals chapeau ! ;) )
[/quote]
Vergeet één heel belangrijk ding niet: het hoogste level halen mag nooit een doel zijn van een IT organisatie. Het level halen waarbij de winst optimaal is wel. Winst voor zowel de IT organisatie als voor de business.
Touche. De gebruikers willen misschien wel maximale dienstverlening, maar het management wil maximaal rendement.
Lol. Voor mij als IT-er gelden precies dezelfde regels als voor de gebruikers. En voor de software die ik wil gebruiken moet ik ook net als iedere gebruiker binnen mijn organisatie goedkeuring krijgen, want daarvoor dienen licenties te worden aangeschaft.
Waar het idee vandaan komt dat je als IT-er kan doen en laten wat je wil, en dat regels op IT-ers niet van toepassing zijn ontgaat mij dan ook een beetje ;)
Het grappige van vele van de reacties vind ik dat een hele hoop mensen(IT) gelijk in de verdediging gaan.
Zelf ben ik natuurlijk ook IT-er maar ik vatte het artikel eigenlijk anders op..
De laatste jaren is men ( met name management) van mening dat standaardiseren van alle tooling en consolideren van hard en software de uiteindelijk ideale situatie oplevert... maar wat heeft dit nou daadwerkelijk opgeleverd ?
Ik kom in aanraking met vele verschillende klanten-omgevingen en ik heb nog niet 1 omgeving gezien waarbij deze ideale standaardisatie ook maar een beetje in de buurt kwam.
Natuurlijk heeft men een mooie serverruimte met allemaal dezelfde(!) mooie bladeservers.. maar links onder dat bureautje staat een servertje dat eigenlijk niet aan mag blijven staan (security) maar hij kan ook niet uit (business impact ),en oh die andere server "die heeft remote beheer waarbij een derde partij moet kunnen 'inbellen" voor onderhoud" oh en die andere server daar rechts boven, daar draaien we een testomgeving op die eigenlijk ook weer een verbinding naar het produktienetwerk moet hebben en daarnaast zijn updates rechtstreeks van het internet haalt.
Kortom we leggen een basis van standaardisatie maar uiteindelijk komt er weinig van terecht.
Natuurlijk is een omgeving die helemaal standaard is makkelijk (er) te supporten maar ze zou zo flexible zijn als een stalen deur en totaal niet voldoen aan de vraag van onze klant ( de gebruiker)
Heel stiekem denk ik dat standaardisatie van een omgeving niets te maken heeft met de IT-er die graag een kant en klaar pakketje wil hebben.
Volgens mij is de grootste reden dat het gebeurt simpel weg costdriven.. Hoe meer standaard hoe minder mensen men er neer moet zetten met kennis en dat is dus goedkoper en dan kan het ook nog makkelijk worden weggebracht naar een lage-loon-land..met een nog betere service (???)
Maar nu komen we bij de gebruiker.. die wil zijn werk doen en geen gezeik hebben dat een tooltje dat hij via zijn tante heeft gehad niet op zijn pc geinstalleerd mag worden. Die vind de gemiddelde IT-er dan weer een eikel omdat dat niet mag en vanuit zijn perspectief heeft hij nog gelijk ook.
Maar dezelfde gebruiker vind ons ook een eikel als zijn laptop niet meer werkt omdat dat tooltje van zijn tante stiekem zijn HD heeft gewist en wij hem niet kunnen helpen aan zijn familiefoto's die op die zelfde laptop gestored stonden..dus hoe dan ook je blijft een eikel.
Wij verwachten ( onterecht) dat een gebruiker de impact van zijn vraag kan inschatten. Maar wat is er gebeurd met de IT-branche die zo een tooltje dan onderzocht en keek waarom de zgn standaardtooling dat niet biedt en deze mogelijk aanpast en ja misschien is dat tooltje van die tante een echte timesaver ( lees costsaver op lange termijn !)
Als je het nog breder trekt dan is de gebruiker gewoon de koning ( klant) maar een koning heeft altijd adviseurs die hem beletten domme beslissingen te nemen. En zo zou een IT afdeling ook moeten werken.
Maar door de drang van het fabeltje van kostenbesparing door standaardisatie worden IT afdelingen in harnassen gezet zodat onze klant wel een pc mag gebruiken..zolang hij maar zwart is.. ( of was dat nou iets met auto's? :) )
Pionieren wordt niet meer gedaan want dat levert op de korte termijn niets op en dat is iets waar diezelfde gebruiker van de finance afdeling ons weer op afrekent .. en zo is de cirkel rond..
Conclusie ;
Ja standaardisatie moet er zijn maar het is niet het gouden ei.
Ja security is heel erg belangrijk maar we slaan er in door.
Costsaving jazeker maar dan wel lange termijn en niet de korte termijn pleisters die ik nu overal zie.
IT afdelingen ! sta op ! en wordt weer customerdriven ipv costdriven !!! weg met de spreadsheetmanager, leve de koning !!!
Greetz
Callie
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
