Bedrijven vinden eigen personeel groter gevaar dan hackers

Inderdaad – en het is dit artikel zelf dat gelijk een mooi voorbeeld verschaft. Emerce wil niet alleen de ICT professionals informeren maar ook een didactische en opvoedkundige rol vervullen. Dat is geheel in lijn met wat Ernst & Young ICT Leadership het bedrijfsleven als advies geven, namelijk interne trainings- en bewustwordingsprogramma's over hoe informatieprocessen werken en wat de consequenties kunnen zijn als er fouten gemaakt worden. Ze willen immers hun centrale boodschap benadrukken, namelijk dat (in mijn woorden samengevat):"Het eigen personeel (veroorzaakt veelal de) uitval van bedrijfskritische systemen (door) operationele fouten, zoals het laden van foutieve software. (en andere stommiteiten, slordigheden, en vooral door door informatie en technische aanpassingen niet te verifieren en/of te testen)." Ik zei dat Emerce (of Ernst & Young?) het nut daarvan gelijk in de praktijk wilde demonstreren met de hoop dat dit didactisch effect heeft. Ze doen dat heel slim. Zoals "normaal en te verwachten" verschaft het artikel hotlinks naar het onderliggende onderzoeksrapport. Je moet immers kunnen verwachten dat diegenen die zich serieus met deze zaken bezig houden dan ook de onderliggende bronnen lezen i.p.v. alleen af te gaan op de (op zich goede) samenvatting van het persbericht. Gebeurd dat ook? Emerce (of Ernst & Young) doen gelijk een proef op de som door als gemeen addertje het gras een testje te verbergen in het artikel. DE HOTLINKS BLIJKEN NAMELIJK HELEMAAL NIET NAAR DE ONDERLIGGENDE RELEVANTE DOCUMENTATIE TE GAAN, maar naar een persbericht over de Ernst & Young 2-maandelijke ICT barometer van 13 februari en daar komt het onderwerp helemaal niet ter sprake. (Pas na enig zoeken – maar wie heeft daar zin in of tijd daarvoor – is de juiste bron te vinden.) Ook zoiets simpels als het opslaan van het artikel op de site van Ernst & Young geeft alweer allerlei mogelijkheden voor het introduceren van ontraceerbaar en foutief opslaan omdat de gebruiker zelf een file titel moet gaan verzinnen (met een muisklik krijg je als file-titel alleen standaard Blah, blah over E & Y). Kortom, niemand van de PR afdeling heeft nagedacht dat een persbericht een functioneel gebruiksvoorwerp is en laat dit over aan de technici die uit hoofd van hun werk helemaal niet na zouden hoeven te denken hoe zoiets misschien in de praktijk gebruikt gaat worden. Als beleids- of informatiemanager kan je dus niet aan een secretariaat's medewerker vragen om e.a. even op te zoeken en op te slaan voor toekomstig informatiegebruik. Ook die mensen zijn niet ingehuurd om als detective en spoorzoekertje te functioneren (als ze dat wel zouden doen dan houden ze geen tijd over voor andere essentiele zaken). Stel dat het hier (dus het artikel in Emerce of de informatie die Ernst en Young de wereld instuurde) gaat om echt bedrijfskritische zaken (i.p.v. van mijn tamelijk triviale voorbeeld). Zou het dan allemaal wel beter gechecked en geverifieerd worden. Op grond van mijn praktijkervaringen vrees ik van niet. Kortom, we zien hier een opeenstapeling van op zich kleine fouten, slordigheden, en vooral taakverwachtingen die niet waar gemaakt kunnen worden. Maar, en dat is inherent aan IT-processen, het heeft een grote doorwerking omdat e.a. gedigitaliseerd is. (Een stuk perkament of papieren document is in dat opzicht veel minder kwetsbaar.) Aan de ene kant is het altijd wel erg gemakkelijk om de technici de schuld te geven van foutieve data-invoer – veelal is het echter de schuld van niet-IT competente informatie- en beleidsmanagers die inzicht missen hoe electronische data en informatie technisch verwerkt wordt of door de eindgebruikers. Aan de andere kant zouden IT-technici daar ook meer aandacht voor moeten hebben, meedenken en zo nodig dat "andere soort managers" gewoon moeten terugfluiten. Helaas hebben veel IT-technici (veelal door hun relatief jonge leeftijd – en dat is ze toch nauwelijks kwalijk te nemen) daarvoor te weinig jaren bedrijfservaring en is er ook in hun opleiding geen aandacht aan geschonken. Er gloort gelukkig ook licht aan de horizon. We zitten nu in een overgangsfase. IT is al decennia oud, maar de explosie van electronische informatieoverdracht op en naar vrijwel elke werkplek is van heel recente datum (maximaal tien jaar – en vijf jaar is beter getal). De niet-IT vaardige managers gewoon natuurlijk afsterven (hoe sneller hoe beter); IT-managers en technici zullen door ervaring en opleiding meer inzicht krijgen in de bredere bedrijfsprocessen en de rol van electronische informatieversrpeiding. De kosten van dit soort falen zijn gigantisch en zal een aanzet zijn tot nauwkeuriger analyses van wat er intern fout gaat. Tenslotte, om het onderwerp op de agenda te krijgen (en bredere bewustwordingsproces) moeten managers en bedrijven die zich bezig houden met Risk Management voorlopig telkens nog maar even het afgezaagde onderwerp van het zwaaroverschatte hackergevaar uit de kast moeten rukken om in feite op dat moment de hele zaak door te lichten en te wijzen op de ECHTE gevaren binnen een bedrijf. Immers, we weten al tientallen jaren dat de grootste beveiligingsproblemen (en fraudes of ronduit gigantische blunders met grote financiele gevolgen) BINNEN de bedrijven zijn. We weten het en toch zijn we ons er niet zo van bewust omdat dit soort dingen meestal onder de pet worden gehouden (bedrijfsreputatie), terwijl hackers en nare gewapende bankovervallers altijd wel spectaculair breed uitgemeten worden. Tenslotte, binnen elk bedrijf zijn er altijd wel van die irritante mensen die telkens de pret druk door bij alles nogal mierenneukerig te vragen: "ja, dat klinkt wel leuk, maar hoe gaat dat nou echt in de praktijk?" Hou dit soort mensen in ere – misschien zijn zij de degenen die voorkomen dat later je investeringen of je baan naar de donder gaat.

Een misschien wel net zo groot gevaar vormen de 'job-hoppers'. Nederlanders zijn zo a-loyaal dat je je eigen concurrenten aan het kweken bent, daarom moet je specialisten nemen, een generalist begint na twee jaar voor zichzelf of gaat naar de concurrent voor drie stuivers meer en hup, daar gaat je nering en wettelijk heb je steeds minder poot om op te staan. Wij hebben daarvoor de perfecte oplossing, maak iedereen mede-eigenaar, werken ze ook wat harder en wat dacht u van het ziekteverzuim? Tegelijkertijd wordt er nauwkeuriger gewerkt want steken laten vallen kost direct geld, immers, resultaat is omzet minus de kosten.

Voor alle duidelijkheid. De lezers van mijn bovenstaande "tongue in cheek" reactie (het had als kopje dat door Emerce was weggelaten: "Eigen personeel grootste bedreiging voor kwaliteit informatiesystemen") kunnen zich terecht afvragen waarover ik emmer wat betreft de "verkeerde hotlinks" in het artikel. De bovenstaande versie is VOOR DE TWEEDE KEER GEPLAATST en de hotlinks zijn GECORRIGEERD ! Dus NADAT ik Emerce en per email Ernst & Young van het foutje op de hoogte had gebracht. Deze mogelijkheid van snelle multiple feedback en correctie is weer het aardige van de ICT.

Even een korte reactie omdat het me tegen de borst stuit dat IT-staf opzettelijk veranderingen in netwerken en systemen zou uitvoeren. Ik zelf ben ruim 15 jaar werkzaam in de IT op het gebied van data(voip) netwerken en internet verbindingen. IT'ers kunnen er vaak niets aan doen dat systemen uitvallen omdat de door de producenten verstrekte informatie vaak erg slecht is bij upgrades van b.v. routers, switches, unix platforms en nt platforms. Bovendien hebben IT'ers erg weinig tijd om een upgrade voor te bereiden. In mijn geval was er vaak geen testlab aanwezig om software releases te testen in de 24 uurs bedrijven waar ik werkzaam was. Toch wil je baas (IT mamager) dat je upgrades uitvoert m.b.t. beveiliging etc. Dus Zondag s'nachts tussen 2am en 4am mag je dan proberen om de upgrades uit te voeren op de productiesystemen zonder backup of enige vorm van redundance waar geen geld voor is. Maandagochtend wordt je uit je bed gebeld en merk je pas de fouten die in de nieuwe upgrade zitten waardoor het network plat gaat. Dat uit je bed bellen is natuurlijk ook de IT manager c.q. het management die geen geld wil investeren in een zogenaamde rechterhand voor het IT-department. Bovendien zijn cursusen ook schaars omdat je inmiddels onmisbaar wordt in de 24 uurs economie.