Aan het eind van het jaar is het tijd voor terugkijken en voorspellingen. Wat we de afgelopen periode gezien hebben is een toenemende druk op de ICT-organisaties: meer regelgeving, meer techniek. Daarbij vervagen de traditionele pijlers netwerk, werkplek en applicaties - waarop beheerorganisaties gebouwd zijn - met SOA. En dat nét nu die markt voor ervaren krachten overspannen is...

Afgezien van de inspanningen rond anti-virus, richt de bulk van de beveiligingsactiviteiten van de techneuten zich op het inrichten van preventie op de netwerklaag en zijn de consultants druk druk druk met beleidsformulering en beleidsondersteuning. Leuk, de techies steken nog een paar appliances aan en de consultants schurken zich nog eens behaaglijk tegen het management aan.

Het gevolg is dat er geen capaciteit is voor al die ingewikkelde nieuwe dingen of de minder glorieuze operationele aspecten. Hoe gebruik te maken van al die superoplossingen die naar binnen gereden worden? Wat ga je doen met de melding die de IDS uitspuugt? Niets, want er kijkt toch niemand en waarom zou je: de rulebase staat nog op de fabrieksinstellingen dus het zégt ook helemaal niets. Wat doe je als er een probleempje is met IPS: simpel, de regel uitschakelen.

Applicatiebeveiliging? Nou, eh, we definiëren een VPN voor het beveiligen van SOAP over SMTP, we regelen autorisatie in de web front-end terwijl deze de achterliggende databases als system benadert, we gebruiken de default server certificaten die in de developerkit van de leverancier zitten en raken in paniek op de expiry date.

De belangrijkste realiteit is deze 'uphill battle', die op termijn vrijwel niet te winnen is. Kleine organisaties zijn volledig afhankelijk van een paar mensen qua beveiliging. Dit kán goed gaan, zo lang de omgeving simpel is, de mensen het overzicht hebben, het vertrouwen krijgen, het hoofd koel houden en integer zijn. En niet weggekocht worden.

Middelgrote organisaties kunnen niet concurreren met de groten op geld en met de kleinen op vrijheid in de slag om de medewerkers. Het recept: outsourcen of samenwerken/fuseren. Maar het outsourcen van beveiliging is pas mogelijk als je 'in control' bent over het stuk dat je wilt uitbesteden. Een vlucht naar voren gaat niet werken: bij outsourcing is alleen het champagnemoment simpel. En bij samenwerken of fuseren word je een grote organisatie....

… met alle gevolgen van dien. Grote organisaties zijn vrijwel onbestuurbaar geworden op ICT-gebied, wat nog versterkt wordt door de Security clubs. Normale ICT-ers zijn servicegericht: als het niet kan de op ene manier, dan zoeken ze een andere, hoi we mogen weer. Bij grote organisaties en bij Security mensen zie je dat zelden: gewoon nee zeggen, maar komen met een alternatief, ho maar. Misschien ken je die mensen wel: ze zeggen “het kan niet” maar ze bedoelen “ik kan het niet”. Of “ik wil het niet”. Er wordt een autoriteit gevraagd die zich bij onzekere (underskilled) mensen uit in indekgedrag: nee zeggen is risicoloos. Misschien ben je er zelf wel één van.

Als machtscentrum trekt Security bovendien mensen aan die de machtsconcentratie interessant vinden. Ik heb gelijk en ik zal je daarvan overtuigen of tenminste mijn zin opleggen - doe je niet wat ik zeg dan druk ik op de MIP (Management In Paniek) Knop. Die werkt als volgt: ik herinner de directeur eraan dat hij onder SOX hoofdelijk en strafrechtelijk aansprakelijk is. Ziezo, dat nieuwe systeem komt de deur niet in.

Het invoeren van kwaliteitsprocessen om de boel te stroomlijnen, helpt ook niet. CMM en ISO beschrijven inspanningen, geen resultaten. Het metselt de boel nog verder dicht. Wat ook zelden helpt is het werken 'onder architectuur'. Hoe vaak zie je in ontwerpen dat de inleiding onderdanig een hommage brengt aan de formele architectuur, en die vervolgens volledig de eigen gang gaat? Hoeveel hoog abstracte architecturen schetsen niet een artist impression van de 'stip op de horizon' waar geen zinnig mens naar toe wil - als de richting überhaupt te raden is? Zo fungeren 'het proces' en 'de architectuur' als management desinformatiesysteem, een schuimrubber laag tussen sturing en uitvoering. Dat komt bovenop de traditionele en vakkundige invulling van deze taak door het middle management.

Dit leidt tot een bestuurbaarheid als van een winkelwagentje op de ijsbaan. Zo worden grote organisaties kwetsbaar voor de kleinere concurrenten die uit een garage opereren en (nog) geen last hebben van het dichtmetselsyndroom.

Dit zie je ook bij organisaties waarnaar je zou kunnen outsourcen, niet alleen van beveiliging maar van de hele ICT: deze kunnen niet concurreren op vrijheid (metersdikke contracten en de kwaliteitsmanagementregels van de sales pitch) noch op geld (ze moeten immers concurrerend zijn). Mensen willen daar echt alleen maar werken omdat ze anders verhongeren. Vandaar dat de meeste van die clubs in derdewereldlanden zitten, of in de VS. Wie gelooft er nu werkelijk dat er volop hooggeschoolden zijn in een land met honderd miljoen inwoners waar de onderwijsbegroting lager is dan de aanschafprijs van één JSF? En zie die leverancier in Boekiwoekiestan maar eens aansprakelijk te stellen als zijn broer opperrechter is.

Het enige echte voordeel van outsourcing is dat het gepruts vakkundig onzichtbaar gemaakt wordt door een professionele salesorganisatie, iets waar de eigen ICT-club nooit budget voor heeft gehad. Het vermijden van de term outsourcen door over 'On Demand' te praten, is een mooie illustratie van deze kunst. Volgens de India Times steeg het percentage afgebroken contracten in 2005 van 21% naar 51%. Gegeven dat dit alleen gebeurt als het management van de opdrachtgever de eigen fouten durft te erkennen, kunnen we er van uitgaan dat dit het topje van de ijsberg is, dus dat ruim 100% van alle outsourcingsprojecten volslagen bagger is.

En dan nu de voorspellingen, die ik in de inleiding beloofde. In 2007 overschrijdt het aantal rampzalige ICT-projecten de 97%. Alle organisaties die afdoende Security hebben, moeten het eerste personeel nog in dienst nemen. De introductie van nieuwe kwaliteitsmanagementmethodieken stijgt naar gemiddeld één per maand. Het managementboek 'Security & Flexibiliteit In 50 Best Practices' zal de winkels uit vliegen. Het aantal organisaties met meer geïmplementeerde 'best practices' dan medewerkers groeit bij de Fortune 500 naar 85%.

Tegelijkertijd krijgt de tegenbeweging, die Security als de grootste rampspoed voor het bedrijfsleven beschouwt, steeds meer momentum. Het verloop in specialistische functies in de ICT overstijgt de 60%. Bij dit alles zal het salaris in de ICT stijgen met gemiddeld 17%, waarbij de stijging het laagst is voor specialisten met meer dan drie jaar ervaring.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter