IPMA-NL nieuwsbrief

Ontploffende kerncentrales, 112 systemen die uitvallen, falende IT projecten, het lijkt wel of het allemaal steeds vaker voorkomt en of het allemaal steeds erger wordt. Hele dikke rapporten worden geschreven door stevige onderzoekscommissies, allemaal op zoek naar de oorzaken en vooral naar iemand die het zou kunnen hebben gedaan. Maar is dat wel terecht? Kijken we wel in de goede hoek van de kamer?


Kennis loopt weg

Complexe systemen, systemen in de breedste zin van het woord, zijn systemen die gedrag kunnen vertonen waarbij zelfs de mensen met de juiste kennis en kunde van in verwarring kunnen raken. Complexiteit is daarmee een eigenschap van het systeem en niet van degenen die het moeten beheersen. Complexiteit neemt niet af, maar het neemt dus ook niet toe met het verdwijnen van ervaren mensen. Bij complexiteit mag je van niemand meer verwachten dat hij of zij het hele gedrag van het systeem kan overzien en begrijpen. Hoe onervaren of ervaren ook. De kennis loopt weg, maar is dat wel een probleem?

De verleiding van het model

Moeten we alle complexiteit uit de weg gaan? Dat denk ik niet. Misschien kan dat ook helemaal niet. In de wereld van vandaag knopen we alles aan elkaar en dat heeft ons toch ook heel veel gebracht. Complexiteit is niet perse verkeerd. Maar misschien moeten we wel anders naar de risico’s kijken. Niet meer krampachtig rekenen aan modellen omdat we alle risico’s op voorhand willen uitsluiten. Elk model is immers slechts een vereenvoudigde weergave van de werkelijkheid. Complexiteit is niet te modelleren, in ieder geval niet volledig. Als dat wel kon, dan was het immers niet complex. Dat maakt de definitie simpel.

Hier Complex? Onmogelijk!

Hoe zorgen we dan dat complexiteit niet leidt tot al teveel problemen? Wanneer we het over IT systemen hebben, dan is veel van onze bescherming tegen onheil gebaseerd op redundantie. Maar dat is wel heel erg gericht op het idee dat je alles kunt overzien. En dat staat haaks op bovengenoemde idee van complexiteit. In de praktijk hebben we ook alles wat we belangrijk vinden minimaal dubbel uitgevoerd en toch gaat er nog van alles stuk. Het 112 systeem was viervoudig uitgevoerd…en toch ging het plat. Vier omgevingen. Dan heeft het toch geen zin om er nog eentje naast te zetten? Want hoeveel redundantie je ook inbouwt, er is altijd wel een nieuwe oorzaak, vaak een combinatie van kleine dingen, waardoor de hele IT omgeving toch omvalt, alle vier…of vijf. Gebeurt niet vaak, maar de kans daarop is niet nul. En ook de Cloud gaat dat niet oplossen. Het is namelijk lastig op te lossen met techniek…zeker als het complex is, het wordt dan ook te duur.

IPMA-NL nieuwsbrief

Denk doem

Zelfs als we ons best doen om beschikbaarheid te garanderen, kunnen we dus al heel veel stuk maken. Met 112 als mooi voorbeeld. Wat dan als iemand dat opzettelijk doet? Iemand die opzettelijk dingen weg gooit, zoals bijvoorbeeld belangrijke systeem configuratie? Of iemand die een stukje software binnen je organisatie smokkelt, zoals met Solarwinds is gebeurd. Door iemand die je organisatie kwaad wil doen, puur sabotage? Dat kan zowel intern als extern gebeuren…d’r is ook eigenlijk helemaal geen intern en extern meer, alles hangt aan elkaar. En dat is niet erg, daar gaat de IT wereld nu eenmaal naartoe. Maar ben je dan wel voorbereid? Ik heb het niet over gewoon je werk goed doen met patching, met installeren van virusscanning. Ik heb het niet over gewoon onderhoud. Ik heb het over wanneer het al mis is gegaan, en voorkomen dus niet meer kan. Je koopt ook geen brandwerend behang als je huis al in de fik staat. Dus, als het misgaat, heb je dan wel alles bij de hand om weer op te bouwen? Weet je wat je moet doen? En hoe snel kun je dat? Uren, dagen, weken? Negeren is geen strategie. Genezen is beter dan voorkomen.

NIST heeft een interessant framework geschreven over het beheersen van Cyber Security Risico’s. Daarin gaat het over IDENTIFY, PROTECT, DETECT, RESPOND en RECOVER. Een aanrader. In gesprekken die ik heb met collega’s, leveranciers, bedrijven, academici wordt dit framework vaak genoemd. In die gesprekken gaat het vaak over “awareness”, “security operations center”, “backups”, “virus scanning”, “patching” en al het andere moois. Want we blijven denken dat we alles kunnen voorkomen. We blijven denken dat we de kans op onheil gelijk aan nul kunnen maken. Ik mis in die gesprekken dus ook eigenlijk altijd de laatste: RECOVER. Heb je rekening gehouden met het feit dat er toch van alles mis kan gaan, en dat je dat niet kunt voorkomen. Ben je dan nog in staat om je organisatie, of je IT opnieuw op te bouwen?

Risicomanagement in de lift

Meer techniek is misschien niet de oplossing. Niet alleen wordt het dan nog complexer, maar juist die complexiteit betekent dat je nooit alle narigheid kunt voorkomen. Zouden we ons dan misschien beter kunnen richten op het beperken van de impact ervan? Dat betekent dat je er vanuit gaat dat dingen mis kunnen gaan. En als er iets mis gaat, hoe kunnen we dat dan sneller zien, sneller isoleren en sneller corrigeren? Zit het niet gewoon tussen de oren? Geen techniek, maar gedrag? Geen onbeperkt vertrouwen in de techniek? Niet vertrouwen op het voorkomen, maar juist goed worden in genezing. En dat gedrag kun je niet kopen, dat is niet even snel te pitchen en daar is misschien zelfs geen business case voor te maken. Dat is een existentiele vraag en daar moet je plannen voor maken en daarvoor de tijd nemen.

Als je er vanuit gaat dat je altijd iets vergeet, en dat je daar dan toch rekening mee houdt, pas dan kun je spreken survival of the smartest. Pas dan kun je spreken van resilience.

Literatuurlijst
Perrow, C. (2011). Normal accidents: Living with high risk technologies-Updated edition. Princeton university press.
Weick, K. E., & Sutcliffe, K. M. (2015). Managing the unexpected: Sustained performance in a complex world. John Wiley & Sons.
Taleb, N. N., & Raju, P. V. L. (2011). Fooled by Randomness.
Barrett, M. P. (2018). Framework for improving critical infrastructure cybersecurity version 1.1.

Een bijdrage van

IPMA-NL nieuwsbriefRichard Bliek heeft een masterdiploma Technische Informatica (Ir.) En een masterdiploma Risicomanagement (MSc), beide van de Universiteit Twente. Richard werkt sinds 1996 in de IT, voor grote bedrijven in een internationaal speelveld, zoals Euronext en de London International Financial Futures and Options Exchange. Momenteel werkt hij voor ABN Amro, verantwoordelijk voor het definiëren van een IT Resilience Framework en een Cyber Recover Plan binnen de afdeling Platforms & Technology.

IPMA-NL nieuwsbrief
IPMA Yo

0 Reacties

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

*

©2020 IPMA Nederland - Platform Projectmanagement

Neem contact op

We zijn nu niet online. Maar je kan ons een email sturen, dan nemen we zo spoedig mogelijk contact op.

Versturen

Log in met je gegevens

Gegevens vergeten?