Column: Flexicurity
Je kent ze wel, de IT-cowboys. Ook in de Security zijn zij geen onbekend fenomeen, sinds er geld te verdienen is. Victor is er zo eentje. Ik ken hem nog uit de internetbubbeltijd en vorige week sprak ik hem op de rokersplek bij een securitycongres. Hij had een ideetje.
“Luister Peet, haal je hoofd eens uit de bits en bytes en denk eens met me mee. Ik heb namelijk een dingetje en daar wil ik snel mee van de wal, want mijn geldorgaan ruikt geld. Veel geld.
Het toverwoord is Flexicurity. Weet je wat dat is, Flexicurity? Nou, daar zul je achter komen – jij loopt immers ook al tegen de vijftig toch? Flexicurity is de uitkomst van de arbeidsmarkthervorming die er aankomt om de eurocrisis te verhelpen. De arbeidsmarkt moet soepeler om ons uit de crisis te concurreren. Met Flexicurity is het eenvoudiger om dure oude bokken zoals jij en ik eruit te kieperen. In plaats van een gouden handdruk krijg je een opleiding. Die helpt je dan weer aan een volgende baan. De maakbare arbeidsmarkt. Leuk hè?”
Ja, ik wist van flexicurity was en nee, dat vond ik niet zo heel erg leuk. “Het lijkt me een typisch voorbeeld van een oplossing dat het eigenlijke probleem helemaal niet verhelpt”, zei ik. “Die ontslagen oude bokken blijven te duur, dus die komen toch in de bijstand. En bovendien, waarom zou je de arbeidsmarkt willen aanpassen terwijl de eurocrisis is veroorzaakt door de geldmarkt en de vastgoedmarkt? If it ain’t broken, don’t fix it. Gips om je been helpt niet tegen een hersentumor. En kijk eens naar Duitsland, een sterke economie met hartstikke veel ontslagbescherming.”
“Nou”, hernam Victor. “Het kan in elk geval mijn eigen crisis oplossen. Het toverwoord, jongen, is concurrentie. We moeten concurreren. Want de Chinezen komen! Weet je wel hoeveel ingenieurs daar per jaar afstuderen? En die komen allemaal onze bedrijven wegconcurreren. Daar moeten we iets aan doen, nietwaar? Nou, dat tel je dan op bij dat andere toverwoord, kenniseconomie. Hoe kom je aan kennis? Leren! Waar leer je? Op school! Ook daar is niets tegen in te brengen, toch?”
Daar had hij een punt. Deze toverwoorden hebben zelfs de gestaalde kaders van GroenLinks omgekregen, dus het nieuwe kabinet zal dit heus wel overnemen. Nu kwam Victor met het toverwoord voor zijn persoonlijke crisis: omscholingsbudgetten. “Denk aan de omscholingsbudgetten die vrij gaan komen als het ontslagrecht wordt aangepast. Stel dat er per jaar 100.000 mensen een jaarsalaris aan omscholingsbudget meekrijgen. Ontslagen ouderen krijgen het meest, namelijk 75.000 euri per persoon. Honderdduizend keer vijfenzeventigduizend harde pegels per jaar – Peet, dat is een markt van zeven en een half miljard, give or take.”
Ik zag waar hij heen wilde. Zijn volgende toverwoord was waarschijnlijk security en daarom was hij bij mij terechtgekomen. Bijna goed. Victor: “Security Management! Dat is het toverwoord! Dáár ga ik die mensen dan voor opleiden. Laten we wel wezen, wie wil dat nu niet worden. Ben je 56, eruit geknikkerd bij een bank, kun je Security Manager worden. Dat is leuk!”
“Security Management?” zei ik. “Maar dat is eigenlijk geen vak. Dat is het aansturen van de beveiligingsmensen, maar niet van de beveiligingsinspanning. Want de beveiliging zelf wordt bestuurd door noodsprongen bij crises, toevallige bevindingen van audits en verder door checklistjes en architectuurprocessen. Structuur ho maar. Dus voor Security Management heb je geen bijzondere opleiding nodig.”
“Ho ho Peet, denk nou eens commercieel. Wat boeit het nou helemaal dat het geen vak is. On-der-ne-mer-schap, daar draait het om. En dat ben ik. Ondernemer in hart en nieren. En jij gaat meedoen. Samen stampen we zo een Security Management opleiding uit de grond. Een vrindje van mij heeft nog het perfecte stulpje aan de Vecht waar we de boel kunnen vestigen, leuk lapje grond erbij, en voor een vriendenprijsje maakt hij er aanbouwtje aan met een klaslokaal. Flatscreentje erin en je kunt aan de slag. Kun jij dan wat tekstjes voor de website en de subsidieaanvraag in elkaar knutselen?”
“Ja maar Victor”, probeerde ik nog. “Er is wel een levensgroot probleem om op te lossen. Security heeft de flexibiliteit van een granieten aanrecht, terwijl de aanvaller elke dag verandert. Over flexicurity gesproken. Niet de arbeidsmarkt, maar de Security kan wel wat flexibiliteit gebruiken. Bedrijven hebben een goalkeeper nodig die binnen enkele seconden optreedt, maar wat ze krijgen is een bureaucratisch proces dat na een paar jaar een mogelijke oplossing oplevert voor een probleem dat ooit acuut was maar tegen die tijd allang weer voorbij. Niemand weet wat Security Management eigenlijk is anno 2012. Dus die Security Managers van jou gaan zich rechtstreeks naar een burnout werken. Bij gebrek aan flexicurity, zeg maar. ”
“Jongen, Peet, doe je dat nou nog steeds, echte problemen oplossen? Dat is toch niet spannend. We hebben het hier wél over zeven en een half miljard per jaar. Daar pis je toch niet op? Enne, Security Management bestaat wel hoor. In mijn onderzoekje vond ik CISM opleidingen, gecertificeerd Information Security Management. Dit staat erbij: “highest paying and sought after IT certifications”. Leuk toch? Die banen zijn er echt dus je hoeft je calvinistische moraal om kwaliteit te willen leveren niet eens echt overboord te gooien. En als je wilt, betaal ik je weinig, oké?”
Nu werd ik Victor wel een beetje zat. “Luister Victor, CISM zegt op te leiden om alle beveiligingstechnologie en -maatregelen inhoudelijk samenhangend en werkend te ontwerpen. Dat is geen management, dat is supertechneutenwerk en dat leer je niet in een paar maanden. Wat je eigenlijk leert bij CISM is hoe je securitybudget binnen kan halen en dat is ook hartstikke fijn, maar voor het management van de maatregelen geeft CISM je niet meer dan een beetje blokjes-en-pijltjeskennis. Wat die blokjes en pijltjes betekenen gaat CISM je niet leren. Dat kan namelijk niet in dertig dagen en met één boek. Eigenlijk zijn ze gewoon een stelletje oplichters.”
“Jongen, Peter, kom eens van je hoge paard. Er is geld te verdienen. Serieus geld. Denk er nog eens goed over na.”
En weg was hij. Dit idiote gesprek zette me aan het denken. Niet over die flexicurity op de arbeidsmarkt, dat gaat gewoon gebeuren. Maar wel over Security Management. Want het is echt een probleem: hoe bestuur je al die beveiligingslagen die we sinds de invoering van ‘layered security’ hebben? Langzaam, als het al lukt. Flexibiliteit, of agility zoals IT-ers het tegenwoordig graag noemen eigenlijk: behendigheid, buiten onze wereld vooral bekend als paarden- en hondentraining is ver te zoeken. Wij security mensen zijn specialisten in betonnen zwembroeken.
Beveiliging is vooral een reactieve tak van sport; we lezen of merken dat er ergens iets heel erg mis gaat en plakken daar een noodverbandje op. De samenhang en effectiviteit van wat we doen wordt feitelijk niet bestuurd. Als we het al proberen te besturen hebben we middelen als het ISMS van ISO27002 en architectuurprocessen à la TOGAF. Het eerste is een exercitie in best practices met geautomatiseerde rapportages. Best practices zijn als het goed is bewezen oplossingen voor problemen die iemand ooit heeft gehad. Reken maar dat je daar niet vreselijk agile van wordt. Je voorstel moet immers eerst ergens anders bewezen effectief zijn geweest en in een boek beland zijn. Pas dan mag je die maatregel invoeren. Dat duurt wel een paar jaar. Het tweede, de architectuurbenadering, is een zeer grondige maar daardoor ook eindeloze en trage oefening in functionele behoeftes, waarin als het goed is ook plek is voor beveiliging. Schiet dus ook niet op. Nee, Security wordt niet flexibel op deze manier.
Laatste 10 columns
Meer columns van Peter Rietveld.
Bijna mee eens en vol humor, maar:
"Best practices zijn als het goed is bewezen oplossingen voor problemen die iemand ooit heeft gehad"
zou ik in ons vak herschrijven als:
"Best practices zijn als het goed is bewezen oplossingen voor problemen die iemand liefst nog nooit heeft gehad"
Groetjes,
Thaddy
PRINCE2, ITIL, SIX SIGMA, allemaal geweldig. Allemaal verzamelingen oplossingen die voor iemand anders ooit gewerkt hebben en nu maar slaafs nageaapt worden. Zonder echt te snappen waarom dat daar toen een goed idee was en hoe zich dat dan wel naar deze situatie zou vertalen. En maar volhouden dat het werkt. SIX SIGMA werkt best wel, hoor, als je Motorola heet. Maar anders... zou ik maar een minder groots pak proberen aan te trekken. Waar het aan ontbreekt is snappen waar je mee bezig bent.
En als al die ITers dat al niet snappen, hoe zullen hun klanten, die tenslotte die ITers voor hun zogenaamde kennis en ervaring ingehuurd hebben, het dan wel snappen? Dat dit nogal eens misgaat is goed te zien. Iedereen kent wel de hopeloze klant die eindeloos de scope en de inhoud verandert. En zo lopen driekwart of meer IT projecten uit de klauwen en meer dan de helft loopt gewoon stuk. Wanneer is het laatste IT project dat onder budget en op tijd afgeleverd werd aan een tevreden klant? Nou?
IT security kan er net zo goed wat van. De hele premisse is er een van gatenkaas vullen met smeerkaas. Ja nee dat gaat werken. Wil je goede security, moet je er van het begin af aan bijzijn. En dat laat weinig ruimte voor al die consultancies, althans niet in de huidige vorm. Ze zijn collectief en consequent te laat. Mosterd na de maaltijd B.V.
Nog erger zijn de "due dilligence" regels waar bovenstaande als rugdekking wordt ingezet, bijvoorbeeld door banken, effectief tegen hun klanten. "Ja we hebben wel opgelet hoor. Nouja we hebben wat handige jongens ingehuurd om wat aan die spaghettikluwen die we ons backend noemen te rammelen en te vertellen of er kakkerlakken uitrolden." Ja nee dat is echt een doordachte beveiligingsstrategie. Die heet: Je advocaten munitie geven voor wanneer, niet als, het misgaat. Want de rechter weet toch niet dat het allemaal niet zo vreselijk veel voorstelt.
Dan heb ik het hart niet de handige jongen die het snelle geld ruikt te veroordelen. Hij doet niet anders dan wat als best practice geldt in de industrie.
strohalmen vasthouden/ingraven is geen ondernemen, is omzetgarantie door vasthouden aan historie. stilstand is achteruitgang. écht ondernemerschap kijkt risico aan (neemt niet per definitie graag risico alleen kijkt risico aan en minimaliseert daarmee o.a. datzelfde risico) en gaat vooruit, in de toekomst.
Wij zijn tegenwoordig bang voor innovatie. Voor nieuwe ideeen. Onze controle cultuur bewijst dat, hoe mensen omgaan met iets wat totaal anders is dan ze verwachten, dan ze geleerd is, bewijst dat. Wij graven ons in. En wij positioneren ons in een positie waar we moeten volgen. Welteverstaan diegene die nog wel kan ondernemen, innoveren. Diegene gaat meestal over jou rug, anders lukt t de meeste niet. Voorkauwen, napraten en wijzen. Gebrek aan eigen identiteit, ondergraving van eigen identiteit. Om de rijkdom die je hebt maar vast te houden. Omzetgarantie.
Als je de problemen werkelijk aankijkt tegenwoordig, bevinden deze zich in onze reflexen. Gemanipuleerde reflexen, voor alle zekerheid. Omzetgarantie. Ons beloningssysteem is fundamenteel niet in orde. Kapitalisme is kwaliteitsgarantie. This is no consumer driven market (consumentenvertrouwen, my ass!) this is capital driven market. Don't want to admit? Don't worry, you'll have to - too soon already.
Leuk artikel peter, wil je eens wat harde feiten aankijken? Schrijf maar eens een reactie en ik sta vandaag of morgen opeens voor je. Niet bang worden, ik kan dat en ook op een leuke manier. En dat is niet achter je rug om, onder welke noemer dan ook. Ouwe cowboy van me.
Groetjes en een kusje op jullie voorhoofd.
p.s. kenniseconomie? ehm.. watte? verdeel en heers zul je bedoelen. kenniseconomie klinkt spannend genoeg om je aandacht af te leiden nietwaar? we zijn geen fucking milimeter verder tov wat goebbels of een van die apen presteerde.
Natuurlijk kan beveiliging een proactieve tak van sport zijn maar dan moeten we wel anders gaan denken en acteren. Daarnaast is het management gewend om te sturen op kosten dus moet alles 'iets' opleveren. Als we een proactief monitoring systeem willen aanschaffen willen ze kunnen zien wat het ze oplevert. Als het systeem z'n werk goed doet gebeurd er maar weinig en de afgeslagen, potentiële, aanvallen kunnen we alleen in de vorm van grafiekjes en kleurtjes verkopen. Daar is helemaal niets sexy aan want we willen vooral scoren bij de baas om ons zo belangrijk mogelijk te laten lijken. Maar helaas is beveiliging is helemaal geen hogere raket kunde maar een ieder met een beetje gezond verstand en interesse in de materie kan een hoop bereiken door gewoon de slimme dingen te doen. Er is niet voor niets een gezegde: Iif you want to catch a thief, think like a thief'.
En nu zit hij tussen wal en schip :)
Moet wat aan gedaan worden
Geloof niet dat de weg uit bovenstaand stukje de juiste weg is
Beter is ICT ers veel beter belonen, komen er meer jongeren
Want dat blik whizzkids wat ons beloofd is, is nooit gekomen
Logisch, een hondebaan die niet veel betaald
Huur een hacker in, laat 'm op het netwerk los en bevecht zo de kwetsbaarheden van binnenuit naar buiten, voordat van buitenaf naar binnen wordt gehackt.
Toch komt het jonge talent eraan:
http://www.dehaagsehogeschool.nl/bachelorstudies/aanbodopleidingen/informationsecuritymanagement-voltijd/studie/algemeen
Thaddy
Moet wat aan gedaan worden
Geloof niet dat de weg uit bovenstaand stukje de juiste weg is
Beter is ICT ers veel beter belonen, komen er meer jongeren
Want dat blik whizzkids wat ons beloofd is, is nooit gekomen
Logisch, een hondebaan die niet veel betaald
Wat? Ik verdien genoeg..... ben vast niet de enige hier.
Ondertussen laten ze een spoor van vernieling achter en geven ze het vak gebied een nonsense classificatie.
Als er morgen geld verdiend kan worden met japanspapiervouwen stromen ze massaal weer door.
Klopt, en een regering die -werkelijk- wil werken aan een kennis economie zou gewoon 50-100 miljoen euro per jaar stoppen in een breed e-learning platform waar de burger kosteloos gebruik van kan maken, bijvoorbeeld via DigiD (althans kosteloos; de kosten komen uit de belastingopbrengsten en je betaalt dus niets per training).
Echter lijkt er geen enkele politieke partij te zijn die echt out of the box kan denken, en met voorzieningen kan komen waardoor kennis veel gemakkelijker toegankelijk wordt voor alle burgers van ons land.
Ik heb met vele personen gewerkt in allerlei sectoren en security officers intern verder opgeleid nadat ze dergelijke certificeringen hadden behaald. Het is echt per persoon verschillend of iemand daadwerkelijk de moeite heeft genomen om de onderliggende techniek zich eigen te maken. Zodat men ook inhoudelijk daadwerkelijk weet waar men het over heeft. Dat is gelijk ook de grootste reden waarom er zoveel fout gaat in de IT security. Er zijn veel te veel implementaties waarbij de security en configuratie settings nooit behoorlijk op poten zijn gezet. Enerzijds door gebrek aan tijd maar vaak ook door gebrek aan kennis. Vervolgens komt er een "security expert" die helemaal de ballen verstand heeft van de onderliggende techniek met high level policies aanzetten terwijl men feitelijk geen idee heeft hoe men daadwerkelijk die policies technisch moet borgen. Maar niet gehinderd door enige zelf kennis is men er van overtuigd over voldoende security kennis te beschikken om de onderliggende techniek goed in te kunnen regelen.
Zo krijg je ongelukken zoals met diginotar waarbij de golfbaan relaties een belangrijkere rol spelen dan een inhoudelijk selectie proces met zorg voor het verkrijgen van echte expertise. Want laten we realistisch zijn. cyberoorlogen vecht je met echte hackers met kennis... Niet met boekhouders en wannabe script kiddies...
My two cents....
dus geen kwestie van best practices, frameworks, processen, leeftijd, relaties, strategie,
maar logisch nadenken, doen wat vandaag nodig is, korte termijn, snel reageren, geen verspilling, actualiteit.
En dat vereist dat je je in de materie verdiept hebt en up to date blijft.
Ik heb met vele personen gewerkt in allerlei sectoren en security officers intern verder opgeleid nadat ze dergelijke certificeringen hadden behaald. Het is echt per persoon verschillend of iemand daadwerkelijk de moeite heeft genomen om de onderliggende techniek zich eigen te maken. Zodat men ook inhoudelijk daadwerkelijk weet waar men het over heeft. Dat is gelijk ook de grootste reden waarom er zoveel fout gaat in de IT security. Er zijn veel te veel implementaties waarbij de security en configuratie settings nooit behoorlijk op poten zijn gezet. Enerzijds door gebrek aan tijd maar vaak ook door gebrek aan kennis. Vervolgens komt er een "security expert" die helemaal de ballen verstand heeft van de onderliggende techniek met high level policies aanzetten terwijl men feitelijk geen idee heeft hoe men daadwerkelijk die policies technisch moet borgen. Maar niet gehinderd door enige zelf kennis is men er van overtuigd over voldoende security kennis te beschikken om de onderliggende techniek goed in te kunnen regelen.
Zo krijg je ongelukken zoals met diginotar waarbij de golfbaan relaties een belangrijkere rol spelen dan een inhoudelijk selectie proces met zorg voor het verkrijgen van echte expertise. Want laten we realistisch zijn. cyberoorlogen vecht je met echte hackers met kennis... Niet met boekhouders en wannabe script kiddies...
My two cents....
Je hebt het steeds over techniek, mij is juist opgevallen dat het implementeren en borgen in een organisatie het echte struikelblok is.
Leuk dat je zo goed kan hacken, als niemand zijn denkbeeld verandert van veilig programmeren en er geen governance is en je steeds discussies hebt dan maakt al die techniek vrij weinig uit...
"Nee, daar gaat het artikel over! De onbekwamen. Inhoudelijk is het erg sterk. De ECHTE security wereld weet echt wel waar ze het over hebben, bijvoorbeeld dat deze redacteuren mij altijd weten te vinden, Maar ja, ik ben anoniem ;-)
Je reageert iedere keer voor mij onduidelijk.
Beschrijf eens meer de ,in jou ogen, ECHTE security wereld.
Ik heb betere reacties van je gezien wat uitleg betreft.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
