Blog - Wat ik weet uit de wijnkelder
Door Robert Metsemakers 22 dec 2021
Ik leerde van mijn militaire dienstmaat Dick drie dingen over wijn, die verrassend bruikbaar zijn voor een security officer. 1. Wat ruik je in Rioja?, 2. Zijn beste klant betaalde nooit zelf voor wijn, 3. Ziekenhuisflesjes.
Na werktijd ging ik uit kantoor regelmatig naar de wijnwinkel van Dick in Apeldoorn. Dick had sinds de zomervakantie in onze diensttijd een Italiaanse vriendin, verhuisde later naar Italië en trouwde daar met haar. In Nederland had hij zelf een ERP-systeem voor kerstpakketten gebouwd. Samenstellen van pakketten, inkopen van ingrediënten, bijhouden van voorraad, bijhouden van bestellingen voor pakketten, plannen van het inpakken, versturen van facturen en aanmaningen en exporteren van data naar het boekhoudpakket. Alles zat erin en het was, eind jaren tachtig, geschreven in Turbo Pascal op een IBM-compatible personal computer. Daar spraken we over, en over haar (Claudia), films, muziek, belasting betalen, onze collega's en wijn. Want Dick had altijd wel iets 'open' dat ik zeker even moest proeven voordat we samen naar de Italiaan (Roma), de Chinees (Fong Sheng) en/of de bioscoop [1] gingen.
Wat ruik je in deze Rioja?
Ik dacht dat die Rioja naar lavendel of vanille zou ruiken of dat je goed kon proeven dat hij in oude sherryvaten opgeslagen was geweest. Of was gemaakt van druiven die aan de westkant (dus zeekant) van de heuvel groeiden, zodat er een zweem van zilte doorheen sluimerde. Neen, zei Dick, je doet te moeilijk, je ruikt poep, koeienmest, de boerderij! En daarom is het zo lekker bij rood vlees. Soms (of: heel vaak) is het antwoord op een vraag simpel en ligt de oplossing van je probleem voor de hand. Komt de leverancier zelf met een gratis patch voor zijn pakket? Installeren die handel en wel zo vlug mogelijk. Zelf heb je voor je bankzaken allicht een smartphone waarop ook veel dierbare foto’s zijn opgeslagen. Die telefoon staat op automatisch bijwerken van patches, je hebt er geen omkijken naar. Je desktopcomputer waarmee je regelmatig (nou ja, drie tot vier keer per jaar) podcasts maakt, staat op automatisch downloaden van patches en handmatig installeren. Dat doe je ook bijna elk kwartaal. En de oude laptop, die je alleen gebruikt voor je belastingaangifte omdat je daar de eerdere aangiftes, aanslagen en bewijzen van insturen op bewaart? Die is altijd uit en hangt niet eens aan het internet! Dus die wordt één keer per jaar (eind april...) bijgewerkt.
Van die gekozen updatefrequenties kun je iets vinden: die nauwkeurig ingesproken podcast verliezen is vervelender dan één van vele digitale foto's. En de opgelegde belastingaanslag op basis van je eigen aangifte is weer belangrijker dan die podcast. Maar je hebt tenminste een plan met motivatie hoe je met software-patching omgaat. Dat moet je als organisatie ook hebben. Maak het schema niet ingewikkelder dan nodig.
Ruilhandel
Dick kocht regelmatig een complete wijnkelder uit een erfenis. Ik vroeg dan of er bijzonder en duur 'spul' bij zat. Dick vertrok zijn gezicht en leerde me dat ik tegen klanten 'kostbaar' moest zeggen. Wie kocht nou zo'n fles van 300 gulden [2], die in een restaurant vier keer over de kop ging en daar 'niet goedkoop, maar erg, erg lekker' zou zijn, wilde ik weten. Dick onthulde dat (eind jaren tachtig!) een Apeldoornse tandarts aan ruilhandel deed. Voor inlays, kronen en bruggen liet hij zich betalen in veel en exclusieve wijn. Hij bestelde het zelf, maar de rekening ging naar de patiënt, die bij Dick zijn kerstpakketten kocht. Die tandarts kreeg dus ook een 'kerstpakket', dat dan wel in april of augustus en zonder doosje crackers of tosti apparaat bij hem werd afgeleverd. Destijds hadden tankstations een 'verdiesel'-knop op de kassa. Truckchauffeurs konden daarmee de prijs van een slof sigaretten of geïllustreerd tijdschrift laten omrekenen naar liters diesel. Die dan samen met de echte tankinhoud als totaalbedrag op de bon kwamen en dus door de opdrachtgever of de baas betaald werden. Niet zwart, niet zoals bedoeld, niet helemaal ethisch, maar wel echt eighties.
Voor mij als software-ontwikkelaar was zoiets toen een grappige feature van het pakket. Voor de registeraccountant in opleiding die ik ook was een gruwel, vanwege het
verschuivingsgevaar in de opbrengsten en de bedreiging van de rechtmatigheid van kosten. Later als security officer kon ik deze voorbeelden echter goed gebruiken als motivatie voor 'negatief testen'. Namelijk expliciet vaststellen dat het te testen systeem, behalve de gewenste functionaliteit, géén dingen doet die juist niet de bedoeling zijn (zoals export naar Excel van alle persoonsgegevens in de totale GGD-database). Als positief voorbeeld van ruilhandel heb ik ervaren dat het 'om niet' uitwisselen van security intelligence (lees: informatie, ideeën, inlichtingen en innovatie) tussen branchegenoten voor alle partijen nuttig en positief kan zijn.
Ziekenhuisflesjes
Een grote eettafel in de wijnwinkel stond vol met een recent gearriveerde wijncollectie. Ik vroeg Dick of er een klein, betaalbaar flesje bij was dat ik dan wilde kopen, als aspirant bon vivant. "Ah", zei hij, "zo'n ziekenhuisflesje?" Een wijnfles van 37,5 cl bevat genoeg voor twee ruim gevulde glazen en een 'demi' is daarmee inderdaad een mooie hoeveelheid bij een ziekenhuismaal. In mijn beperkte levenservaring destijds lagen familieleden in het ziekenhuis voor iets ernstigs en gold er altijd een streng dieet. Ik had er daarom tot dan toe nooit aan gedacht dat je in een dergelijke ernstige situatie, toch kunt proberen er maar het beste van te maken. En dus kunt kiezen om grote inspanning gepland af te wisselen met (grote) ontspanning. Zoals dat je bij bestrijden van een grote besmetting met ransomware, toch nog wel een grapje kunt maken om de spanning te breken en de teamgeest te versterken. En dat je – wanneer het hele weekend doorgewerkt moet worden om het probleem op te lossen – het eigen slaapmanagement op orde moet houden. Zeker wanneer er ogenschijnlijk geen tijd beschikbaar is om te slapen. Van zijn drie security-lessen zijn die ziekenhuisflesjes misschien wel de nuttigste tip. Grazie Dick! Saluti.
Bron afbeelding: http://www.ewdm.nl/faq.html
Robert Metsemakers
Robert Metsemakers schrijft op persoonlijke titel en is als ervaren IT-auditor en informatiebeveiligingsexpert beschikbaar voor security-advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com
Dit blog verscheen in IB6-2021.