image

Column: Certificeringen: Bewijzen van onvermogen

maandag 23 juni 2008, 11:25 door Redactie, 15 reacties

We zijn CISSP of A+, onze bedrijven zijn ISO27000 of SAS70 Type 2, onze software is Common Criteria of ICSA certified: certificering is verplicht in ons vak. Discussies over dit onderwerp gaan over de waarde en de beperkingen van specifieke papiertjes. Maar wat is het nut van certificering op zich? Dat is kennelijk een moeilijke vraag. Meestal krijg je als antwoord het soort argumenten als bij de Europese Grondwet: niemand kan je precies uitleggen waarom het goed is, maar als je het niet doet volgt armoe en uitsluiting. Dus ben ik GSEC, zijn mijn collega’s CISSP en CISM, en kijken we neer op degenen die dat niet zijn. Onze organisatie is ISO en CMM, dus dat eisen we ook van onze leveranciers en partners. Als topwerkgever ben ik natúúrlijk CRF certified en mijn omgeving is zo belangrijk dat ik EAL4 als minimum stel. Bovendien ben ik lid van register zus en clubje zo met allerlei gedragscodes en goede gebruiken. Laat niemand beweren dat ik niets aan kwaliteit doe!

De discussie over de waarde van bepaalde certificaten heeft nogal een hoog ‘wie heeft de grootste’-gehalte. We zouden bijna vergeten dat certificatie in de rest van de wereld veel minder gebruikelijk is. Niet IT-ers kijken verwonderd naar de alfabetsoep achter de naam op het visitekaartje en naar de rijen ingelijste partnerships en kwalititeitscertificaten in de hal van de IT-boer. Alsof je daarmee je geloofwaardigheid aantoont, zoals de krantenknipsels op het prikbord van de paragnost. Staat er op het kaartje van je tandarts dat ie gecertificeerd is voor een XE-Day draagbare boor? Hangt er bij de topkok een reeks certificaten van Sabatier als bewijs dat ie weet hoe hij zijn messen op orde moet houden? Is de verloskundige Gold Business Partner van de Beter Baby? Nee dus. Maar wij weten kennelijk van geen ophouden.

Onzekerheid, angst en gezichtsverlies

Wat willen we toch bewijzen met al onze labels en keurmerken? In mijn ervaring tonen zij vooral onze onzekerheid, en onze angst voor gezichtsverlies. Maar waar komt die onzekerheid dan vandaan?

Er zijn wel vergelijkbare bedrijfstakken. Neem de wereld van de garages. De BOVAG doet met zijn keurmerk al jaren zijn best om de sector uit de kwalijke reuk van beunhazerij te krijgen. Het werkt niet altijd; zo bleek toen ik laatst met mijn leasebak voor de eerste APK opging. Het reservewiel was stiekem vervangen door een afgereden exemplaar met een kromme velg. De auto is alleen onderhouden bij merkdealers die lid zijn van de BOVAG. Welke dealer het wiel gestolen heeft, is na drie jaar niet meer vast te stellen; ik controleer niet na elke beurt of alles nog in de auto ligt. (Dus ik bel de BOVAG niet, hoewel de organisatie dat echt wel wil. Waarom zou ik, het leasebedrijf draait voor de schade op. Of de verzekering. Of mijn baas. Maar ik niet. En intussen zeur ik op ieder feestje en bedrijfsuitje over dat stelletje oplichters bij de garage.)

Feit is dat de BOVAG in haar 78-jarig bestaan de verhalen over louche garages er niet veel minder op heeft weten te maken. De BOVAG is als brancheorganisatie breder dan garages alleen, maar heeft geen kwaliteitskeurmerk voor tankstations. Bij de pomp merk je het best snel als iemand de boel loopt te flessen. Bij garagebedrijven komen kwalitatieve manco’s of andere wanprestaties pas laat aan het licht. Maar voor de klant is het ondoenlijk om na ieder garagebezoek de hele auto na te lopen. En dus loopt de hele bedrijfstak imagoschade op als één van de bedrijven een grove fout maakt. De strijd van de BOVAG tegen het negatieve imago is dan ook niet te winnen: er komt echt geen moment dat iedereen denkt dat het garagebedrijf een structureel schone bedrijfstak is.

De bouw heeft ook zo’n imago van onbetrouwbaarheid, verkapte criminaliteit en amateurisme. Toen ik een grote verbouwing aan mijn huis voorbereidde werd ik overstelpt met goede raad hoe om te gaan met de aannemers, waarbij altijd de ondertoon was dat alle aannemers boeven waren. Als je kijkt naar de bouwfraude zie je dat het imago van de bedrijfstak volkomen ruk is. Toch kent de bouwwereld geen keurmerken met de bekendheid van BOVAG. Het verschil is natuurlijk dat je veel vaker bij een garage komt dan dat je een aannemer over de vloer hebt. En dat je van garage nog makkelijk kunt wisselen, iets wat je met een aannemer tijdens een klus niet moet doen, tenzij je graag nóg langer zonder keuken zit, of zonder dak. Garagebedrijven zijn dus kwetsbaarder dan aannemers. Daarom voelen garages een grotere noodzaak om aan hun imago te werken.

Ons vak lijkt meer op de garages dan op de aannemers. Gebreken in ons werk komen ook vaak pas laat aan het licht. Klanten kunnen onze kwaliteit – of het gebrek eraan – niet zo snel zien. Wij voeren veel kleinere werkzaamheden uit en klanten kunnen zo overstappen naar een concurrent. Dat maakt ons net zo kwetsbaar als een garage, en stelt ons voor dezelfde uitdaging: het aantonen van onze kwaliteit. Maar er zijn ook grote verschillen. Bij de BOVAG kun je klagen over het werk van haar leden. Kun jij bij ISC2 klagen over het werk van een individuele CISSP? Of bij de Norea over een auditor? Of bij de CRF over de ‘top ICT werkgever’? Volgens mij niet. In elk geval lopen de organisaties achter de labels er niet mee te koop. Maar stel dat het wel kan, wat zouden ze dan moeten doen bij een klacht? Mensen of bedrijven schrappen als lid heeft weinig zin: dan halen ze gewoon het vergelijkbare certificaat van de concurrent. Dus als kwaliteitslabel zijn zelf ook niet voor hun taak geschikt.

Nog een verschil: waar de garagebranche één label heeft, hebben wij er honderden. Waarom eigenlijk? Komt dat alleen omdat alle predicaten onvolwassen en niet op hun taak berekend zijn? Lijkt mij niet logisch, met zoveel labels zitten er vast wel een paar goede tussen. Ik zie het meer als onze eigen onzekerheid. Gaat er iets mis, dan willen we graag kunnen zeggen dat onze voorgangers er een potje van hebben gemaakt. Dat we veel beter zijn dan onze concurrent, en ook beter dan onze jongere collega’s die voor lagere tarieven werken. Dat de mensen die Algol, SNA en kloppen in C niet mee hebben gemaakt er nooit iets van zullen bakken. Dat ons bedrijf beter is óók. Terwijl we eigenlijk onszelf niet goed genoeg vinden. We hobbelen maar voort, van het ene mislukte project naar de andere halve implementatie. Dat knaagt toch vroeg of laat, ergens diep van binnen. Het is dezelfde existentiële onzekerheid die ons gedram over best practices en proven technology veroorzaakt.

Onze verslaving aan certificaten wordt versterkt door het grote verloop in bedrijven en medewerkers. Hoe lang bestaat een IT-bedrijf gemiddeld? Hoeveel nieuwe banen, schaalvergrotingen, reorganisaties en fusies maak je mee in een gemiddelde carrière? In al die situaties moet je als ICT-er je waarde binnen enkele seconden administratief kunnen aantonen. En net als een garagebedrijf kunnen we dat niet. Dan is alles meegenomen, al is het maar een lullig certificaatje waar we feitelijk geen waarde aan hechten.

Security is nog erger dan de ICT in het algemeen. De onzekerheid over ons eigen kunnen is dan ook groter: de meeste mensen lopen hooguit een jaar of drie, vier mee, de meeste bedrijven niet meer dan zeven. Het zijn juist de jonge, intelligente mensen die doorhebben dat ze met grote belangen aan het spelen zijn. Voor veel geld. Die dan ook van alle kanten onzeker zijn: ben ik mijn geld wel waard? Hoe overtuig ik mensen die al twintig jaar meedraaien van mijn gelijk? En wat blijkt dan: we overtuigen de anderen helemaal niet. We zijn namelijk van onszelf ook niet overtuigd.

Deze onzekerheden duwen ons steeds verder de mallemolen van certificering in, nog verder aangejaagd door een veelheid van leerinstellingen en andere overheadachtige bedrijfjes die hiervan leven. Tel eens na hoeveel mensen er nodig zijn om één Security specialist aan het werk te krijgen; delivery manager, contract manager, mantelcontract manager, PZ, tussenhandel, brancheorganisatie, opleiders en maak de lijst maar af. Want daar komt het uiteindelijk op neer: de marges in de Security zijn zodanig dat het zeer lonend is een probleem op te blazen als je leeft van het oplossen ervan. Dat hebben de opleiders goed van de IT afgekeken.

Nu ik het er toch over heb, ik ben ook te huur als trainer. Ik moet alleen nog even een mooi klinkende afkorting voor een certificaat verzinnen en een register oprichten. Wat denken jullie van RSA, Register Security Analyst? Of moet er toch een C in?


Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

Reacties (15)
23-06-2008, 12:09 door Anoniem
Het leukste vond ik laatst een test of ik geschikt was voor de ICT, een
toleatings test uit 1950! Die haalde ik niet, maar er zat dan ook geen enkele IT
vraag in.

Certificering is volgens mij een teken dat je de basis kent en een teken dat je
bezig met de nieuwste software. Het is voornamelijk leuk voor je zelf, maar
werk een jaartje op een andere afdeling en je moet jezelf toch weer in werken
in de materie al is het alleen maar omdat de software is veranderd. Niets zo
veranderlijk als de IT.
23-06-2008, 14:10 door Anoniem
Door Anoniem
Het leukste vond ik laatst een test of ik geschikt was voor
de ICT, een toelatings test uit 1950! Die haalde ik niet,
maar er zat dan ook geen enkele IT vraag in.
Bestond
de test uit wiskundige en natuurwetenschappelijke vragen?
Dat vormt absoluut de basis van ICT.
23-06-2008, 14:34 door Anoniem
Door Anoniem
quote]Bestond
de test uit wiskundige en natuurwetenschappelijke vragen?
Dat vormt absoluut de basis van ICT.

Nou, van managementbeslissing tot ICT carriere, één en al logica. Alleen, ik
heb er nog nooit iets van gemerkt.
23-06-2008, 15:56 door Anoniem
(Kleine correctie: Bij de NOREA kan je wel degelijk klagen
over het werk van een IT-auditor, althans, als het een RE
is/was...)
Overigens (toch wel) eens met de strekking van het verhaal.
Houd het maar op de onvolwassenheid van ons IT-vak (ongeacht
specialisme). Hoe lang duurde het ook alweer voordat we
'overal' op 220V zaten, met uniforme stekkers niet zijnde
'stekers' ..? Overal behalve waar men 127V of wat was het
had, en/of afwijkende stekkers. En nu 'moeten' we met z'n
allen naar 230V -- wie bepaalt dat? En zouden onze klanten
tevreden zijn als we à la APK maar een paar, de meest
generiek denkbare, puntjes van IT-werk zouden toetsen ..?
Nog steeds geldt: Als m'n auto net gecontroleerd is, heeft
'ie meer kuren dan ervoor. Dus of we zo happig moeten zijn
op certificerinkjes in de IT ..?

Zo en nu nog even drie keer de Captcha exact goed intypen
voor het erdoor komt...
23-06-2008, 16:28 door Anoniem
Zoveel fabrikanten, zoveel certificaten.
En voor iedere certificering geldt, dat je die iedere zoveel
jaar opnieuw moet halen: het is gewoon een product geworden
van de diverse fabrikanten. Net zoals Microsoft Windows2003
en Vista verkoopt, verkoopt ze ook cursussen, boeken en de
bijbehorende certificaten.
Redt je het niet met alleen de cursus? Geen nood: Microsoft
verkoopt ook boeken met aanvullende informatie (bij sommige
cursussen wordt je bij aanvang al verteld dat het verstandig
is om boek X ook maar door te nemen).

En bedrijven kijken inderdaad alleen maar naar de papiertjes
die mensen in bezit hebben. Of ze ook daadwerkelijk iets
kunnen, communicatief vaardig zijn, in een groep passen en
dergelijke is van minder belang... Tot de praktijk. En in
die praktijk heb ik ongecertificeerde mensen netwerken zien
bouwen waar mensen met tig certificaten met open mond naar
stonden te kijken (van bewondering), terwijl ik
gecertificeerde mensen af heb zien branden op de meest
basale problemen...

Certificering belangrijk? Hooguit om aan te tonen dat je de
gedachtengang van een fabrikant kan volgen. Maar niet om aan
te tonen dat je in de praktijk ook werkelijk iets kan, want
dat wordt meestal niet aangetoond met een certificaat.

disclaimer: Microsoft wordt hier als voorbeeld gebruikt,
Cisco, Novell en noem ze maar op hebben hetzelfde "business
model" voor hun respectievelijke certificeringen.
23-06-2008, 18:53 door Anoniem
certificering is onzin, punt uit. (dat zeg ik zelf als
iemand die een aantal certs heeft (!))
23-06-2008, 19:34 door Anoniem
>>>
Nu ik het er toch over heb, ik ben ook te huur als trainer.
Ik moet alleen nog even een mooi klinkende afkorting voor
een certificaat verzinnen en een register oprichten. Wat
denken jullie van RSA, Register Security Analyst? Of moet er
toch een C in?
<<<

FMW; Fill My Wallet...
23-06-2008, 20:40 door [Account Verwijderd]
[Verwijderd]
24-06-2008, 11:36 door Anoniem
Alle leerstof bestaat uit imitatieleer.

Echte wijsheid is vaak ver te zoeken.

En daarmee daalt de kwaliteit van het menselijk denken.
24-06-2008, 13:40 door Anoniem
Wat een verhaal.
Appels worden met peren vergeleken. Als argumenten worden neergezet
controleer ze dan.

- Waar gaat het om Het instrument veroordelen of het gebruik ervan door (on)
ervaren lieden. Het uitvinden van een certificaat of het behalen van geeft geen
garantie tot kwaliteit.
- Is het verhalen van je recht (klagen) anders voor iemand met een certificaat,
of een ervaringsdeskundige of een universiteitsverlater. Ga maar eens je
gelijk halen na een medische blunder!!
- Er zijn ook vele reguliere onderwijsvormen en richtingen. Dus er dient een
zekere mate van inteligentie te zijn bij het aanname beleid.

Tuurlijk is binnen security en ICT land het aantal certificaten niet meer te
tellen. Wellicht is dat ook gelijk het probleem. Niemand weet het meer en
ieder heeft zijn eigen ding.
Aanstuuring (zeg IT Governance) is binnen de meeste bedrijven een ramp.
Gaat dit weg door certificering. Nee, worden projecten beter: Ik denk het ook
niet.

Stelling is wel dat A kwaliteit managers - A kwaliteit personeel aanemen.
Onzekere B kwaliteit managers zoeken altijd lagere kwaliteit mensen. Helaas
is door kennisgebrek binnen de ICT een veelvoud van B kwaliteit managers te
vinden.

SOFAR RFV
24-06-2008, 14:09 door Anoniem
Door Erwin Blonk
Ik heb er ook een setje, vooral omdat ik het leuk vind om te
doen, dat
komt weer omdat ik IT een van de leukste dingen vind die er
zijn.
Zou je niet een uitdaging zoeken?
24-06-2008, 16:30 door [Account Verwijderd]
[Verwijderd]
26-06-2008, 19:05 door Anoniem
ccxxIk heb met veel aandacht bovenstaande argumenten en reactie's gelezen.
Maar volgens mij is het behalen van een certificaat of diploma nooit verkeerd.
Het bedrijfs leven kan niet zonder deze opgeleide (vakbekwame) mensen.
Ben het eens met de stelling dat de praktyk de beste leermeester is, maar
enige basiskennis is nooit weg.
Mensen met een vals verkregen certificaat vallen zo door de mand bij een
werkgever die werk maakt van zijn bedryf.
En door de vergryzing vallen er toch al te veel praktyk opgeleide vakmensen
weg.
27-06-2008, 09:19 door Anoniem
Peter Rietveld
Kun jij bij ISC2 klagen over het werk van een individuele CISSP? Of bij de
Norea over een auditor? Of bij de CRF over de ‘top ICT werkgever’? Volgens
mij niet. In elk geval lopen de organisaties achter de labels er niet mee te
koop.


Tuurlijk kun je wel klagen. Lees de volgende pagina op de (ISC)2 site:

https://www.isc2.org/cgi-bin/content.cgi?page=11378

Er is alleen een verschil tussen je werk niet goed doen en de regels van (ISC)
2 overtreden. Als een MCSE'er zijn werk niet goed doet kun je ook niet naar
Microsoft toegaan. Dat geldt ook voor de (ISC)2. Als je echter bepaalde regels
van (ISC)2 overtreedt nemen ze in het ergste geval je certificaat in. Zoals het
hoort.
27-06-2008, 10:18 door Anoniem
Tuurlijk kan er geklaagd worden bij het NOREA en (ISC)2.
Maar waar klaag je dan bij? Een onafhankelijke instantie
waarbij beide partijen gelijk zijn en waar beide argumenten
even zwaar wegen of bij een instantie waar leden van
dezelfde beroepsgroep zijn als de aangeklaagde? Hoe goed dat
werkt is te zien aan het medisch tuchtcollege. Daarnaast had
de NOREA in zijn regelementen staan dat een lid geen acties
mocht ondernemen waardoor de beropesgroep beschadigd zou
worden. Een ander lid aanklagen voor wanprestaties of iets
dergelijks viel daar onder. Dat is inmiddels geschrapt, het
geeft wel te denken.....

Ik begrijp dat je graag je CISSP certificering verdedigd, ik
heb er zelf ook een ;-) Dat neemt niet weg dat er
beperkingen aan een certificering zitten, elke
certificering. Het zijn momentopnames, daar wordt geprobeerd
iets aan te doen door deze tijdelijk te maken en afhankelijk
van het bijhouden van ontwikkelingen in het bewuste vakgebied.

Dat geeft niet weer hoe iemand zijn werk doet. Om dat een
beetje te kunnen beoordelen moet je een CV lezen en
antecedenten natrekken. Zoveel werk stop je normaal niet in
een tijdelijke medewerker die van een bodyshop komt. Het
enige wat waar je dan een beetje naar kan kijken zijn
certificeringen. En de waarde daarvan is beperkt. Daar zijn
al verschillende reden voor aangedragen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.