Jongen, ben jij wel bang genoeg?


Het Security team van inspearit hanteert als motto “Sturen op vertrouwen, bouwen aan vertrouwen”. Die nadruk op vertrouwen, dat klinkt vreemd voor een team dat zich met security bezig houdt. Geldt op dat terrein juist niet de uitspraak van de Russische leider Lenin, uit 1921: “Vertrouwen is goed, controle is beter”? Wij denken van niet! Of, beter gezegd, wij brengen de juiste nuance aan in deze uitspraak. In een vijftal blogs leggen we uit waarom en hoe.

In deze blog beschrijft Eric Nieuwland hoe informatiebeveiligers zijn lastige zeurkousen kunnen zijn: “Ze zeggen ‘nee’ voor ze begrijpen wat je wilt en zadelen je op met een logheid waarbij een mammoettanker op een gazelle lijkt. En dat is lang niet altijd nodig.”

Projectleiders, ontwikkelaars en beheerders. Ze kunnen het soms hartgrondig oneens zijn. Maar er is regelmatig iets dat de rijen sluit, dat verbroedert en verbindt: de informatiebeveiliger. Voor velen een plaag, al was het maar omdat het nooit goed genoeg is.

‘Security says NO’-syndroom

Na een degelijke risicoanalyse trekt de doorgewinterde informatiebeveiliger een arsenaal maatregelen open. Allemaal belangrijk en nuttig. Maar waarvoor ook al weer? In (te) veel gevallen om zelfs het kleinste incident al in de kiem de smoren, liefst volledig te voorkomen. En dat is niet zo gek, want veel organisaties zijn volstrekt avers van incidenten, hoe onbenullig ook. Dus heeft de informatiebeveiliger zich reflexen aangeleerd om de kans op incidenten tot een minimum te beperken.

De maatregelen die daaruit volgen kunnen zo verlammend zijn, dat elke mogelijkheid tot verandering en vernieuwing onmogelijk wordt. Het beruchte ‘security says NO’-syndroom. Misschien is dit wel een grotere dreiging voor een organisatie dan het gebrek aan een adequate beveiliging.

Aan de achterkant beginnen

En dat terwijl in veel gevallen de vraag eigenlijk niet is “hoe voorkomen we dit?”, maar “hoe gaan we daarna verder?” Dus niet zozeer een vraag naar preventie maar naar continuïteit door correctie. Maar voor informatiebeveiligers is correctie vaak zo ongeveer het laatste redmiddel. Wanneer al het andere gefaald heeft zit er niets anders op dan de boel de herstellen. Daarom worden correctieve maatregelen vaak als laatste bedacht.

En wat blijkt? Door juist aan de achterkant te beginnen hoeven we ons aan de voorkant minder zorgen te maken.

Een voorbeeld: Organisatie X maakt zich zorgen om haar rekencentrum. Om uitval te voorkomen is alles dubbel uitgevoerd over twee locaties. Een prijzige maatregel. Nu blijkt bij doorvragen dat uitval op zich vervelend, maar niet onoverkomelijk is. Men is vooral beducht voor definitief kwijtraken van de data. Met dit gegeven kan een veel eenvoudiger oplossing bedacht worden: een goede back-up en een goed geoefende herbouw/-inrichting op een uitwijklocatie. Dus de uitval niet voorkomen, maar binnen enkele dagen weer aan de slag kunnen. En in de tussentijd een goede tijdelijke werkwijze hanteren.

Wat levert het op? Ten eerste: minder kosten. Daar staat tegenover dat je andere dingen geregeld moet hebben, dus die winst is mogelijk beperkt. Maar je kunt ineens andere maatregelen minder sterk aanzetten, misschien zelfs achterwege laten, omdat je een snelle en bewezen herstelprocedure hebt. En dat betekent: minder kosten, minder beheerlast.

Misschien durf je het ineens zelfs aan iets nieuws te proberen, te experimenteren. Want je weet: we kunnen terug.

Just Enough Security

Denk dus eens achterstevoren. Het levert soms verrassende inzichten op, waardoor je ziet wat echt nodig is en wat vooral door angst wordt ingegeven. Het levert je iets op dat we bij inspearit ‘Just Enough Security’ noemen: de maatregelen die echt nodig zijn om verder te kunnen, ook wanneer het mis is gegaan.

Met ‘Just Enough Security’ bouwt een security officer aan vertrouwen: bij technici dat hij geen over-de-top maatregelen vraagt, bij management dat hij alleen vraagt wat echt nodig is. En daarmee creëert hij draagvlak.

Met ‘Just Enough Security’ stuurt een organisatie op vertrouwen: het vertrouwen dat er een adequaat werkend vangnet is, dat rampen voorkomt maar bewegingsvrijheid laat.

Accepteer incidenten

Mocht u dit ook willen proberen, dan heb ik nog wel een tip. Accepteer incidenten, omarm ze. Hoe uw organisatie ze verwerkt zegt uiteindelijk meer over de daadwerkelijke beveiliging dan wanneer er niets zou gebeuren.

Eric Nieuwland werkt aan hoogwaardige informatiesystemen. Systemen die doen waarvoor ze bedoeld zijn. Nu en morgen. Veilig en betrouwbaar. Hij werkt voor organisaties die deze systemen nodig hebben. Die begrijpen dat techniek niet alles kan oplossen. Organisaties die het beste uit zichzelf en hun IT willen halen.

DEEL DIT ARTIKEL
VOLG ONZE BLOGS

Gerelateerde blog artikelen

  • SAFe een verkapte waterval? Echt niet!

    Erik Borgers blogt: "SAFe roept naar mijn ervaring regelmatig emotie op. Een terugkerend verwijt is dat het eigenlijk 'verkapte waterval' is."

    Lees verder
  • Het fysieke Kanban of Scrum bord

    Is er in een wereld met verregaande automatisering nog wel ruimte voor fysieke Kanban of Scrum borden? Dat is een vraag die ik mij regelmatig stel.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 2) - 'Solution intent’

    In dit tweede deel van mijn serie blogs over SAFe (Scaled Agile Framework) 4.0 bespreek ik een voor mij ondergeschoven kindje in agile: ‘Solution intent’.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 3) - Meer flexibiliteit met het 'Spanning palette'

    Brian Teunissen vertelt over het palet aan resources en items binnen SAFe die niet aan één team kunnen worden toegewezen.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 4) - Kanban op alle lagen

    De definitie van Kanban uit wikipedia luidt: Kanban (van het Japanse kan ‘visueel’ en ban ‘kaart of bord’) is een concept gebruikt in lean manufacturing en just-in-timeproductie.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 6) - Foundation layer

    SAFe 4.0 leunt op fundamenten zoals Lean and agile leaders en Communities of Practice, maar ook Core values en SAFe principles. Brian Teunissen licht deze toe.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 7) - Multiple portfolio’s

    In het 7e en laatste deel van de serie blogs over SAFe 4.0 gaat hij in op "Multiple portfolio’s". Een nauwelijks te vinden, maar significante aanvulling op het framework.

    Lees verder
  • Maak kennis met SAMM

    inspearit heeft samen met de Belastingdienst SAMM ontwikkeld.

    Lees verder
  • Eet je eigen hondenvoer!

    Eén van mijn principes luidt: Pas een agile werkwijze toe bij het implementeren van agile werkwijzen. "Ja, logisch toch?" zullen de meeste agilisten denken. Maar probeer dat maar eens vol te houden bij grootscheepse implementaties bij traditioneel aangestuurde organisaties. Toch loont het om de verandering zo snel mogelijk agile aan te pakken.

    Lees verder
  • De zwaluw die wél zomer maakt

    ‘Agile werken’ en ‘Scrummen’ worden steeds breder in de organisatie toegepast. Dat leidt tot doelgerichte zelforganisatie die berust op autonomie, meesterschap en zingeving.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 5) - Onderscheid ‘Business operation’ value stream en de ‘IT life cycle’

    In dit 5e deel van een serie blogs over SAFe 4.0 laat ik zien dat er nu beter onderscheid wordt gemaakt tussen de ‘Business operation’ value stream en de ‘IT life cycle’ value stream.

    Lees verder
  • Eerste antipatronen bij Scaling Agile

    Brian Teunissen vertelt over hoe in de praktijk de voordelen van SAFe worden ondermijnd door drie grote antipatronen.

    Lees verder
  • De Agile Architectuur Pizza

    Als agile architectuurcoach is er voor mij niets leukers om mensen met agile Frameworks te leren werken en daartoe soms diepgaande discussies te voeren over WIP limieten en WSJF-en.

    Lees verder
  • Hoe Agile en Security hand in hand gaan

    Beveiliging en agile ontwikkeling kunnen wél hand in hand gaan en vertrouwen geven dat producten naast functionaliteit ook veiligheid bieden

    Lees verder
  • Autorisaties binnen agile teams

    Michiel Broekhuijsen blogt over een oplossing voor dit veelgehoorde pijnpunt.

    Lees verder
  • De taaie kant van Scaling Agile

    Agile organisatiebreed implementeren is een hele kluif. Brian Teunissen raadt iedereen die van start gaat met het opschalen van Agile aan om zich vooral ook te verdiepen in verandermanagement.

    Lees verder
  • Scaling Agile, van trend naar gevestigde orde

    Blog van Brian Teunissen met zijn visie op de agile trend en de verschillende scaling frameworks

    Lees verder
  • ​Informatiebeveiliging versus Privacymanagement, wie wint de slag?

    In dit (gratis) event zullen de tegenstellingen tussen privacy - en informatiebeveiligingsmanagement onder een vergrootglas worden gelegd.

    Lees verder
  • 5 tips om je agile transformatie te laten mislukken

    In deze blog een vijftal concrete tips om de kans op een geslaagde agile transformatie flink te verkleinen of vertragen. Tip: stuur deze blog door naar je grootste concurrent! Of lees 'm zelf nog eens na voor alle zekerheid...

    Lees verder
  • Van Scrum team naar agile organisatie - vierde ontwikkelingsfase

    Ditmaal beschrijft Brian Teunissen de vierde ontwikkelfase om van Scrum team tot Agile organisatie te komen.

    Lees verder
  • Van Scrum team naar agile organisatie - vijfde ontwikkelingsfase

    Brian Teunissen blogt over de laatste van de vijf ontwikkelingsfasen om van Scrum team door te groeien naar een Agile organisatie.

    Lees verder
  • Pak die banaan!

    Blog van Brian Teunissen over het veel eenvoudiger budgetteren bij scaling agile.

    Lees verder
  • Melk produceren of poepscheppen

    Blog van Brian Teunissen over de productiviteit van Agile teams.

    Lees verder
  • Van Scrum team naar agile organisatie - eerste ontwikkelingsfase

    In een serie van 5 blogs gaat Brian Teunissen in op de ontwikkelingsfasen waarmee een (organisatie)structuur zich aan kan passen aan een agile werkwijze.

    Lees verder
  • Paradigmaverschuivingen bij Scaling Agile

    Brian Teunissen: In deze blog geef ik een overzicht van paradigma verschuivingen die een organisatie door moet bij het opschalen van agile werken

    Lees verder
  • Van Scrum team naar agile organisatie - derde ontwikkelingsfase

    Brian Teunissen vertelt over ontwikkelingsfase 3: fysieke product of domein afdelingen, al dan niet aangevuld met Operations.

    Lees verder
  • Van Scrum team naar agile organisatie - tweede ontwikkelingsfase

    Brian Teunissen beschrijft Agile ontwikkelingsfase 2: virtuele product teams over functie afdelingen heen.

    Lees verder
  • Is Agile werken voorspelbaar?

    Is Agile werken voorspelbaar? "Ja en nee", vindt Brian Teunissen.

    Lees verder
  • Luitenant Borgers

    Alhoewel je het uit de titel waarschijnlijk niet direct zult halen, deze blog gaat 'dus' over het schalen van Agile teams. De volhardend lezer beloon ik met concrete ideeën hoe mensen aan te zetten om een goed lopend team van teams te vormen.

    Lees verder
  • Ga goed voorbereid 2017 in!

    Ga goed voorbereid 2017 in! Je ontvangt nu nl. 17% korting op alle opleidingen die nog in 2016 gepland staan.

    Lees verder
  • Privacy

    Toen mijn grootmoeder mijn vader kwam inschrijven bij de burgerlijke stand, werd zijn achternaam voorgoed veranderd vanwege een defecte typemachine. De letter "Y" deed het niet meer, waarop de beste ambtenaar (behulpzaam als hij was) de letters "IJ" in plaats daarvan gebruikte (je hoort het verschil toch niet). Daarmee werd figuurlijk gezien een streep gezet door mijn familie stamboom.

    Lees verder
  • Het architectentheekransje

    Hier volgt een sprookje over een kennisgroep van architecten. Je kent ze wel, die clubjes die eens in de tijd bijeenkomen om gezamenlijke visies, strategieën en concrete doelen te definiëren en dan uit elkaar gaan om van alles te realiseren. Dit verhaal vertelt over hun Ups en Downs. Totdat ze samen nieuwe manieren van werken ontdekten. Herken je zaken? Doe er je voordeel mee!

    Lees verder
  • Vertrouwen: noodzakelijk bij informatiebeveiliging en cloud computing

    Informatiebeveiligers nemen op basis van risico's maatregelen het (bedrijfs)proces. Maar dat loopt spaak bij het uitbesteden naar de cloud. Hoe gaan we dit aanpakken?

    Lees verder
  • Security & DevOps: toekomstmuziek?

    Michiel Broekhuijsen wil je meenemen op een reis naar de nabije toekomst. We bezoeken een organisatie waarbij ontwikkeling, security en operations (z.g. DevSecOps) volledig zijn geïntegreerd...

    Lees verder
  • 10 eenvoudige verbetervoorstellen voor Agile architectenteams

    Ben je architect en doe je (in teamverband) voorbereidend werk voor één of meer Scrum ontwikkelteams? Hierbij 10 concrete tips die jou en je architectenteam verder helpen te verbeteren.

    Lees verder
  • Het "Juniper effect"

    Op 21 december 2015 liet Juniper (leverancier van o.a. firewall producten) weten dat ze ongeautoriseerde code hebben ontdekt, die door kwaadwillende als een backdoor kunnen worden gebruikt. Het is mogelijk dat via backdoor om versleutelde VPN verbindingen af te luisteren en/of toegang te krijgen de firewall een SSH verbinding te krijgen door middel van een ingebakken wachtwoord.


    Lees verder
  • De Agile Architect: de ultieme klimgeit?

    Agile werken lijkt voor de IT eerder regel dan uitzondering te worden. Maar bedreigen die "agile teams" het zo zorgvuldig door enterprise architecten bewaakte gedachtengoed niet? Hoe zorgen architecten ervoor dat de uiteindelijke architectuurdoelen anno 2013 geborgd blijven? In deze blog wil ik daar mijn inzichten met u over delen.

    Lees verder
  • TOGAF: radioactief materiaal voor organisaties?

    Ik geef al jaren les in TOGAF en dat kent een interessant aanvangspatroon. Op de eerste dag kom ik binnen met een hele grote doos met die vuistdikke TOGAF boeken.

    Lees verder
  • Rokjesdag voor architecten

    Waar gebeurd. Aan een door mij onlangs gegeven training voor architecten nam zowaar een vrouw deel. In mijn praktijk is dat behoorlijk zeldzaam! Gedurende de lunch dacht ik: daar wil ik wel iets meer van weten. We raakten aan de praat en ik vroeg naar haar rol.

    Lees verder
  • Round Table Scaling Agile zeer succesvol

    Op 5 oktober jl. vond op het landgoed ‘Zonheuvel’ een Round Table plaats met als thema: ‘Scaling Agile: Boardroom besluit of IT feestje?” O.l.v. Marco de Jong en Brian Teunissen werd deze vraag bediscussieerd door 16 genodigden van uiteenlopende organisaties.

    Lees verder
  • Scrum voor informatiemanagement: 5 hindernissen om te overkomen

    Ik coach informatiemanagement om Scrum te gebruiken. De verschillende rollen hebben elkaar veel te bieden en samen kunnen ze fantastische producten maken. De praktijk is echter weerbarstig. Wat zijn typische belemmeringen en wat doe je er tegen?

    Lees verder
  • Agile transformatie: het slechten van de grenzen

    "De agile en digital coaches en consultants van inspearit helpen de huidige grenzen aan agility te slechten en deze tot enablers te maken. Wij maken bij onze klanten aan den lijve mee wat het betekent om een organisatie te veranderen", blogt Sandra Schreppers.

    Lees verder
  • ​Agile Assessments: heaven or hell?

    Erik Borgers vertelt in zijn blog hoe een agile assessment best ingewikkeld kan zijn als je écht iets aan de resultaten wilt hebben.

    Lees verder
  • Op weg naar een High Performance Overheid

    Op initiatief van projectmanagers van UWV, de Belastingdienst, DUO en I-Interim Rijk werd op 10 mei jl. het seminar ‘op weg naar een High Performance Overheid’ gehouden voor medewerkers van de overheid.


    Lees verder
  • Faalangst-cultuur

    Gaat Agile tot een teleurstelling leiden als het organisaties niet lukt om hun faalangst-cultuur om te buigen?

    Lees verder
  • Werken Agile teams ook internationaal?

    Erik Borgers Blogt: Het toepassen van agile is vaak een stuk lastiger in grote internationale organisaties.Voor mij gaat het echt te ver als de globalisering dwars door teams gaat lopen.

    Lees verder
  • LeSS principes leggen de basis voor het Scaled Agile Model bij de Nationale Politie

    inspearit heeft samen met de Nationale Politie een agile samenwerkingsmodel ontwikkeld gericht op snelheid en wendbaarheid in een continue verbetercyclus.

    Lees verder
  • Aankondiging nieuwe cursussen Privacy en persoonsgegevens

    Om de ‘nieuwe’ Europese verordening gegevensbescherming (AVG) te kunnen vertalen naar de dagelijkse praktijk bieden we binnenkort twee nieuwe cursussen.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 1) - 'Value Stream'

    In dit 1e deel van een serie blogs over SAFe (Scaled Agile Framework) 4.0 bespreekt Brian de meest significante vernieuwing van deze versie; de 'Value Stream' laag.

    Lees verder
  • De scholingsvouchers van het UWV zijn helaas op, maar...

    De scholingsvouchers van het UWV zijn helaas op! Maar ben je werkzoekend en wil je je carrière vervolgen in de IT en heb je net misgegrepen? Wij helpen je toch graag verder.

    Lees verder
  • In the cloud we trust?

    Het nieuws dat de zgn. Safe Harbor Agreement door het Europese hof ongeldig is verklaard heeft voor een ware schokgolf gezorgd in de privacy- en informatiebeveiligingswereld.

    Lees verder
  • Round Table “De waarde van Agile: wie bepaalt dat?”

    Op donderdag 29 juni vond in Kasteel Sterkenburg een geslaagde Round Table discussie plaats rondom het thema “De waarde van Agile: wie bepaalt dat?”.

    Lees verder
  • Kerstwensboom

    December is dé maand om stil te staan bij het afgelopen jaar en vooruit te blikken op de toekomst. Maar ook om iets bijzonders te doen voor een ander. Wie in jouw omgeving wil jij verrassen met een opleiding naar keuze bij cibit academy?

    Lees verder
  • Digital Transformation en Business Analyse

    inspearit sponsorde het IIBA jaarcongres 2017. Het werd afgelopen dinsdag 14 november een goed bezochte en interessante bijeenkomst. Het thema: ‘Digital Transformation en Business Analyse’. Het vraagstuk werd door de sprekers uit verschillende invalshoeken belicht. 

    Lees verder
  • (ISC)² vernieuwt CISSP examen

    Belangrijk nieuws voor iedereen die aan het leren is voor het (ISC)² CISSP examen. Lees verder.

    Lees verder
  • cibit academy steunt stichting Edukans

    Het afgelopen jaar hebben we veel porisitieve ervaringen binnen gekregen en gemiddeld scoren we een 8,6! Voor elke ervaring doneren wij net als springest €1 euro aan stichting Edukans!

    Lees verder
  • Paasactie

    Paasactie!  We hebben goed nieuws voor iedereen die zich wil versterken met een opleiding of cursus van cibit academy. 

    .

    Lees verder
  • MOOC - Agile4All (For free)

    In the coming weeks we will offer several MOOC modules around Agile4All. These modules are created in the innovative learning platform "Curatr", which is based on modern learning principles, such as content creation, gamification, and social learning.

    Lees verder