Blog - Supply chain stap: van droom naar daad

Auteur: drs. Robert Metsemakers RA RE CISSP is als ervaren auditor en informatiebeveiligingsexpert beschikbaar voor security adviesopdrachten en bereikbaar via robert.metsemakers@gmail.com

Supply chain is voor mij in het Nederlands: totstandkomingsproces voor produkten en diensten in vooral het domein van de geautomatiseerde informatie- en communicatietechnologie. Supply chain is zo een traject van ‘droom tot daad’, waarbij de droom de allereerste gedachte: ‘Ik zou voor dit probleem toch eens een informatiesysteem moeten bedenken’ is, en de daad: ‘de werkelijke toepassing van dat systeem door een voldoende opgeleide en over risico's voorgelichte gebruiker’. In het totstandkomingsproces van de supply chain is – natuurlijk, u kent mij - het IT-auditproces, gericht op het te ontwikkelen product of systeem, een van de belangrijkste stappen. Ik ga daarom verder in op de met (IT-)audit samenhangende risico's. Daarbij gebruik ik een voorbeeld over bedrijfsartsen, omdat ik overeenkomsten zie tussen hun werk en dat van security-officers & -consultants.

“Want tussen droom en daad...” hoor je bij kickoffvergaderingen. De daarbij veelbetekenende blik van de overduidelijk intellectuele spreker nodigt dan uit om dat aan te vullen met: “staan wetten in den weg, en praktische bezwaren”. Deze zin van de Belgische auteur Willem Elsschot is een regel uit zijn schittterend gedicht Het Huwelijk, over een gruwelijk onderwerp. Omdat het zo gruwelijk prachtig is en er weinig gedichten in iB-Magazine staan, heb ik de tekst in een kader opgenomen. Aan het einde van dit artikel, om de clou niet te verraden en de sfeer hier niet te bederven.

Een Westerse arts heeft als doel zijn patiënt weer beter te maken en gebruikt daarvoor medicijnen en medische ingrepen. Een meer holistisch opgeleide arts past ook het gesprek en de analyse toe om mensen te genezen. Een aardige huisarts weet dat je met tijd, aandacht en goed luisteren (oogcontact, knikken, hummen, actief samenvatten) naar de klachten van een patiënt ook al heel ver komt. Correctieve maatregelen dus.
Een traditionele Chinese arts heeft juist als doel om je gezond te houden en gebruikt daarvoor meer kruiden dan chemische medicijnen, maar ook het praten, voorlichten en luisteren van zijn Westerse evenknie. Dat alles echter, meer op een preventieve manier.

Bedrijfsartsen hebben juist tot doel om problemen op te lossen. Dit blijkt bijvoorbeeld uit het feit dat zij jou in hun gespreksverslagen geen patiënt noemen, maar medewerk(st)er. En als de bureaustoelen, eerder in het traject, al door de kantoorruimte vlogen eventueel zelfs betrokkene. De probleemgebieden waar de bedrijfsarts zich op richt zijn ruwweg de volgende:

1. medewerk(st)er doet in privétijd te weinig aan sport

2. medewerk(st)er heeft het te druk in het werk

3. medewerk(st)er heeft geen goede bureaustoel

4. medewerk(st)er begrijpt de leidinggevende niet

5. leidinggevende begrijpt medewerk(st)er niet

Het mooie van deze probleemgebieden is, dat de oplossing telkens enorm voor de hand ligt. Bedrijfsarts zijn, is daarmee een mooie tijdsbesteding voor iemand die wel medicijnen wil studeren, maar erg opziet tegen de extra vervolgstudies die zijn vereist voor huisarts én specialist.

Bij probleem 1 t/m 4 is het meestal een eigen keuze om naar de bedrijfsarts te gaan. Bij probleem 5 stuurt, in het algemeen, die leidinggevende de medewerk(st)er naar de bedrijfsarts. Daarom is mijn advies, voor medewerk(st)er of betrokkene, met haar/zijn verhaal en non-verbaal gedrag de bedrijfsarts te overtuigen dat vier van de vijf mogelijkheden in elk geval niet spelen. Er is namelijk ook nog een zesde, algemene oplossing: dat betrokkene, al dan niet financieel gecompenseerd, het bedrijfspand definitief verlaat. Dat moeten we met zijn allen niet willen, dus laat wel één van de vijf probleemgebieden voor de bedrijfsarts over.

Security-officers kunnen zich in hun loopbaan door deze rol/functiemodellen van artsen laten inspireren en hun gedrag en handelen zo vormgeven. Echter, gedrag afwisselen en afstemmen op veranderende situaties in de eigen werkomgeving.

Nuances over medewerker-problemen
Probleem: sport
Medewerk(st)ers die regelmatig sporten, zijn gezonder dan degenen die dat niet doen en alleen maar nachtenlang gamen, chips eten en cola of bier drinken. Méér sporten, is dus een veelgegeven advies. Hoewel iedereen vanzelfsprekend slanke, lenige (agile!), fitte, gespierde, afgetrainde medewerk(st)ers wil, kun je bij sporten helaas ook geblesseerd raken. Voor de werkgever tellen hierbij alleen de blessures waardoor u, beste lezer(es), (langere tijd) niet meer kunt werken. Soms is het daarom nodig een medewerk(st)er juist minder te laten sporten. De security-analogie is hier: BYOD (Bring Your Own Device). Of platter gezegd: elke lul, zijn eigen spul. Niet te weinig (nooit eigen apparatuur), maar ook niet te veel.

Probleem: drukte
Soms vertrekken er veel collega's vrijwillig of verdwijnen ze door reorganisaties. In sommige maanden zijn veel mensen fysiek ziek, door de heersende griep, of zijn ze 'niet in staat om te werken' verklaard door de bedrijfsarts, of hebben ze vakanties, ouderschapsverlof, pappa-dagen. Als de werkzaamheden dan toch in dezelfde grote kwantititeit en nauwkeurige kwaliteit moeten worden voortgezet, hebben de overblijvers het druk. Te druk, en dan zegt de bedrijfsarts tegen je, dat je de werkdruk moet gaan bespreken met je baas. En vaker ‘nee’ zeggen en proberen om activiteiten zoveel mogelijk te delegeren. Dat laatste woord lijkt trouwens op het Duitse acroniem: DELLE: durch einfach liegen lassen erledigt. Want veel problemen op je werk lossen zich vanzelf op, als je niks doet maar gewoon rustig afwacht. Ben je te druk met je werk, dan spreken we van burn-out of opgebrand. Wie graag met lucifers speelt, weet dat je een kaars aan twee kanten tegelijk kunt aansteken. Je hebt dan meer licht, maar de kaars is twee keer zo snel op. Dat snelle opbranden geldt ook voor 'human resources'. Aan de andere kant is er incidenteel iemand die zich verveelt, omdat hij het niet druk genoeg heeft. Hier wordt dan het etiket bore-out op geplakt. Deze personen lossen hun probleem, uit verveling, meestal zelf wel op. Ook op security-afdelingen komt het voor (heb ik gehoord) dat er niet genoeg medewerk(st)ers zijn voor het oplossen van alle incidenten en het daarbij noodzakelijke uitzoekwerk (threat hunting of root cause analysis). Tegelijk zijn er soms securitymedewerkers van wie niemand precies weet wat ze de hele werkweek doen. Precies genoeg mensen inplannen voor de hoeveelheid securitywerk is het devies!

Probleem: ingezette hulpmiddelen
De 'stoel' staat voor alle ingezette hulpmiddelen. Er zijn ook medewerk(st)ers die problemen hebben met hun laptop of smarthone, meestal als ze NIET van Apple zijn, of die last hebben van het lawaai op kantoor; waar immers ook andere mensen zijn die bellen, praten of te luid ademhalen!. Vaak vindt de bedrijfsarts hier een oplossing voor door de medewerk(st)er meer thuis te laten werken, waar de problemen met precies dezelfde apparatuur dan als sneeuw voor de zon verdwijnen. Komt een medewerk(st)er daarentegen bijna nooit op kantoor én klaagt zij/hij over 'gevoelens van vervreemding en afstand tot collega's', dan moet die persoon juist vaker op kantoor komen, om mee te vergaderen en (samen) te werken. Denk bij deze problemen aan alle technische securitymaatregelen die je (nog) kunt/moet implementeren, ‘boys and their toys’. Lampjes, piepjes en grafiekjes. Ook het implementeren van 2 (of 3) factor authenticatie is eigenlijk puur een kwestie van meer of nieuwe/andere hulpmiddelen gaan gebruiken. Of je de muren van het bedrijfspand nu roze of lichtblauw verft maakt niet uit: de medewerk(st)ers gaan harder werken omdat ze het gevoel hebben dat er echt aandacht voor hun problemen is en dat het management er iets mee doet (Hawthorne onderzoek).

Probleem: “Ik begrijp de manager niet!”
Wanneer de medewerk(st)er bij de bedrijfsarts aangeeft, haar/zijn leidinggevende niet te begrijpen, vraagt de bedrijfsarts meteen én met nadruk: “Jij hebt dus een probleem met je huidige leidinggevende?” Dit lost bij goede verstaanders veel problemen al direct op. Als uit het verdere gesprek blijkt dat het werkelijk om niet begrijpen gaat, is 'een cursus volgen' het beste advies. Maar als blijkt dat de medewerk(st)er de leidinggevende gewoon een (ondeskundige, onbewame, onvriendelijke) eikel of mafketelin vindt, helpt een inhoudelijke cursus niet meer. De bedrijfsarts moet dan kiezen: óf hij gaat voor de 'mercy kill' oplossing óf hij biedt de medewerker een uitweg door te vragen naar vakantieplannen, een sport als hobby, de werkdruk in het algemeen, bijhouden van vakkennis op buitenlandse congressen. En natuurlijk de vraag: “zit je eigenlijk wel goed? Heb je wel een goede bureaustoel?” Heeft men op kantoor al een goede stoel, dan kan het ook nog aan de stoel op de thuiswerkplek liggen. En een in hoogte verstelbaar stabureau op kantoor of in jouw huiskamer kan ook een tijdelijke uitweg uit de ontstane impasse zijn. Denk hierbij aan 'verhogen van de security-awareness' als Haarlemmerolie voor alle securityproblemen waar we geen technische of organisatorische oplossingen voor kunnen bedenken. Of niet willen of kunnen betalen.

Probleem: “Mijn leidinggevende begrijpt mij niet!”
Dit soort problemen zijn altijd lastig. De medewerk(st)er staat al met één been buiten, maar kan soms nog behouden blijven door na een goed gesprek in te zien, dat het eigenlijk een van de andere problemen betreft. Er zijn gradaties: de leidinggevende kan de afspraak met de bedrijfsarts voor de medewerk(st)er alleen in de agenda inplannen, maar zij/hij kan ook voorafgaand een intakegesprek doen waardoor de bedrijfsarts ‘alvast is ingepraat over wat er allemaal speelt’. Extra moeilijk is het, wanneer de leidinggevende de werknemer wel degelijk begrijpt, maar hem/haar gewoon respectievelijk een eikel of mafketelin vindt. Dan valt er met meer sporten, een andere werkindeling of een (duurdere) nieuwe stoel weinig meer te redden.
Als in dergelijke werkomstandigheden de tegenpartij het puur zakelijk houdt, probeer er dan een persoonlijke draai aan te geven. Soms maakt de tegenpartij het te persoonlijk, zoals bij mobbing: het spelen op de vrouw/man, gericht op het beschadigen van de persoon door suggestief, irriterend, hinderlijk gedrag. Dan is het beter om het contact verder zakelijk te houden, dus mogelijk ook via advocaten.
Het is van belang de bedrijfsarts de gelegenheid te geven om uit de informatie die je verbaal en non-verbaal geeft, zelf de diagnose te stellen wat het probleem is. Vergelijkenderwijs: het is ook een goed idee dat een auditor samen met de auditee de actielijst met in te voeren verbeteringen opstelt óf dat een security consultant bij de eerste (project) bespreking vraagt: “Wat denk je er zelf van, qua securityrisico's die hier spelen?”

IT-audit proces risico’s
Auditors moeten voor hun werk ieder jaar meerdere audits uitvoeren en maken daarom een jaarplanning. Om oppoets- of gladstrijkacties vlak voor de audits te vermijden, is het beter de planning niet af te stemmen met auditees. Auditees die veel problemen maken over de door de auditor geplande uitvoeringsperiode zijn een ‘red flag’. 

Bij een IT-audit wordt vooraf een normenkader opgesteld, dat moet worden geaccordeerd door de auditee. Tijdens het onderzoek worden de bevindingen vergeleken met het vooraf vastgestelde normenkader om tot een zo objectief mogelijk en door een ander toetsbaar oordeel te komen. Auditees die zogenaamd 'geen tijd hebben' om het normenkader te accorderen zijn een red flag, omdat ze zo het begin van de audit weten uit te stellen en dan kunnen gaan oppoetsen.

Als auditor begin je na veel wachten en smeken uiteindelijk dan toch maar aan jouw audit, met een niet door auditee geaccordeerd, maar wel succesvol eerder gebruikt normenkader. Omdat je toch je eigen  jaarplanning moet uitvoeren. Wees dan niet verbaasd als diezelfde auditee jou vertelt dat jouw auditresultaten ongeldig zijn, omdat het normenkader niet vooraf is geaccordeerd. Dit gebeurt overigens alleen bij een negatief oordeel, maar goed, de meeste IT-auditrapporten hebben een negatief oordeel met aanbevelingen. Als de auditee het in de rapportbespreking op de inhoud niet van de auditor kan winnen, begint hij over fouten in het proces.

Bij een normenkader van 100 regels, waarbij er op 20 punten problemen zijn, kiezen de meeste auditors ervoor om de overige 80 regels niet op te nemen in het auditrapport. Dit om de rapportomvang te beperken en qua audit-uren (er is altijd te weinig ingepland voor rapportage) binnen budget te blijven. Er bestaan echter auditees die aanvoeren ‘maar er gaat toch ook heel veel goed...’ - en dan, nadat je een aantal van die punten (bijvoorbeeld 40) hebt toegevoegd, klagen dat het auditrapport veel te lang is om te lezen voor een drukbezette manager. En dat sowieso tweederde van de in het rapport behandelde punten voldoende zijn! Door alleen regels te tellen, gaan ze voorbij aan de ernst en omvang en daarmee het gewicht van de diverse tekortkomingen. Wees voorzichtig met toevoegen van tekst aan je rapport op verzoek van de auditee!

Veel tekortkomingen leiden ook tot veel aanbevelingen. Een auditee, wiens bonus afhankelijk is van het aantal opgeloste auditissues per jaar, zal de auditor vragen om 'behapbare' aanbevelingen, waarvan ‘door de auditor gemakkelijk is vast te stellen dat ze compleet zijn uitgevoerd’. Dat het er daardoor veel worden, is voor die auditee helemaal geen probleem.. Andere auditees lopen hun bonus juist mis, als ze teveel openstaande issues hebben per 30 september, want in oktober start elk jaar de bonus-beoordelingsronde. Sommige van die auditees vragen daarom om grote, veelomvattende aanbevelingen en abstracter geformuleerde acties. “Want goed beschouwd hangen die problemen met elkaar samen!” en: “We moeten het goed en gestructureerd oplossen, desnoods kost het dan wat meer doorlooptijd”, krijg je dan te horen als auditor. Red flag!

De risico's in de supply chain van auditrapporten liggen echter niet alleen aan de kant van de auditee als onderzochte partij. Een junior auditor voelt zich een jonge god, die alle tekortkomingen in het proces van de auditee waarneemt, ze allemaal foutloos en volkomen objectief interpreteert. Althans, dat denkt zij/hij zelf. Als de junior auditor vaststelt dat in zes van de twintig onderzochte personeelsdossiers een geparafeerde kopie van een geldig identiteitsbewijs ontbreekt, en dat die persoon dus mogelijk helemaal niet bestáát, maar wel maandelijks salaris ontvangt; adviseert hij daar voortaan bij nieuwe medewerk(st)ers beter op te letten en om bestaande personeelsdossiers aan te vullen.

Een senior auditor heeft meer ervaring, maar wil graag god (lees: auditmanager) worden en abstraheert het advies van de junior tot ‘verbeteren van de procedure persoonlijke identificatie’. Daardoor wordt helaas onduidelijk dat het probleem puur zit in de naleving van de op zich best redelijke procedure: vergelijk iemands gezicht met de foto op het identiteitsbewijs, maak een kopie voor het dossier en zet er een paraaf en datum op als teken dat je dit bewust hebt gedaan. Maar het abstracte advies klinkt veel professioneler dan: ‘in zes dossiers alsnog een kopie paspoort stoppen’.

Een auditmanager (weer een stapje hoger op de auditor-rots) denkt dat hij al god is en maakt van het advies ‘verder verbeteren van de bestaande procedure persoonlijke identificatie nieuwe medewerk(st)ers’. Want zij/hij wil de auditee erkennen voor het vele goede werk dat er al is gedaan, het advies toespitsen op ‘des Pudels Kern’ en graag ooit overstappen als manager naar die afdeling.

Het hoofd van de auditafdeling weet in de tussentijd dat hij nooit echt god zal worden, maar dat poortwachter Petrus ook een zeer belangrijke en invloedrijke positie is. Hij leest alle auditrapporten die per maand verschijnen, kan ze onderling vergelijken, de grote lijn zien en past het advies daarom aan naar ‘voldoende aandacht blijven houden voor naleving van de procedures en deze waar nodig actualiseren’. Daar kan je het als auditee moeilijk mee oneens zijn! En in een followup interview over de actielijst is het gemakkelijk naar waarheid aan de auditor te antwoorden dat je hier inderdaad en voortdurend aandacht voor hebt. Zodat deze actie snel afgerond kan worden.

Houd je haaks en blijf gezond! 
 

Het Huwelijk
Toen hij bespeurde hoe de nevel van den tijd
in d'ogen van zijn vrouw de vonken uit kwam doven,
haar wangen had verweerd, haar voorhoofd had doorkloven,
toen wendde hij zich af en vrat zich op van spijt.

Hij vloekte en ging te keer en trok zich bij den baard
en mat haar met den blik, maar kon niet meer begeren,
hij zag de grootse zonde in duivelsplicht verkeren
en hoe zij tot hem opkeek als een stervend paard.

Maar sterven deed zij niet, al zoog zijn helse mond
het merg uit haar gebeente, dat haar tóch bleef dragen.
Zij dorst niet spreken meer, niet vragen of niet klagen,
en rilde waar zij stond, maar leefde en bleef gezond.

Hij dacht: ik sla haar dood en steek het huis in brand.
Ik moet de schimmel van mijn stramme voeten wassen
en rennen door het vuur en door het water plassen
tot bij een ander lief in enig ander land.

Maar doodslaan deed hij niet, want tussen droom en daad
staan wetten in den weg en praktische bezwaren,
en ook weemoedigheid, die niemand kan verklaren,
en die des avonds komt, wanneer men slapen gaat.

Zo gingen jaren heen. De kindren werden groot
en zagen dat de man dien zij hun vader heetten,
bewegingloos en zwijgend bij het vuur gezeten,
een godvergeten en vervaarlijke’ aanblik bood.

Rotterdam 1910, Verzen


Dit blog, passend bij het thema van IB4 'Supply chain in de informatiebeveiliging - deel 1', plaatsen we alvast bij het uitkomen van nummer 4, maar staat 'afgedrukt' in nummer 5 met het thema 'Supply chain in de informatiebeveiliging - deel 2, die in december 2024 verschijnt.