Sunday, May 29, 2011

'Nature of work changes through 2020'

Het Nieuwe Werken (HNW) is een onderwerp dat mij boeit en waarover intussen veel gesproken en geschreven wordt. Hieronder de mening van onderzoeksbureau Gartner. Het staat weliswaar bol van jargon, maar het is toch nuttig voor de beeldvorming over HNW.

In 2010 is 25% van het werk volgens Gartner 'nonroutine'. In 2015 zal dat 40 procent bedragen. Dat heeft er natuurlijk mee te maken, dat het klassieke routinewerk meer geautomatiseerd wordt respectievelijk geoutsourced is naar Verweggistan. Per saldo zal dus het overblijvende werk meer vragen van medewerkers: vaardigheden, kennis, interpretatie, beoordelingsvermogen, houding.
Gartner noemt tien veranderingen met de opdracht aan organisaties om te beoordelen, of deze veranderingen hun organisatie raken. En of ze daarvoor een 'technology governance model' moeten inrichten.

1 'deroutinisation of work'

Waarde wordt toegevoegd in nonroutine processen met als kenmerken: menselijk, analytisch en interactief, resulterend in ontdekking, innovaties, teaming, leiden, verkopen en leren.
Deze zaken zijn niet te automatiseren, maar je kunt dat werk wel ondersteunen met tools.

2. 'work swarms'
De werkstijl wordt gekenmerkt door een vloed van collectieve activiteit van iedereen die beschikbaar is en die waarde kan toevoegen.
Gartner introduceert het woord Swarming om onderscheid te maken met de meer klassieke vormen van teaming.
Klassiek: Mensen hebben al vaker samen gewerkt, werken voor hetzelfde bedrijf en kennen elkaar.
Nieuw: De werkvorm komt snel op en lost ook weer op zodra de vraag opgelost is.
Deze werkstijl is een beweeglijk antwoord op ad hoc eisen en vervangt de gestructureerde bureaucratische situaties.

3. 'weak links'
In swarms kennen de individuen elkaar soms niet. De verbinding berust op tips van bekenden. Via navigeren in sociale netwerken vind je ze.

4. 'working with the collective'
Er wordt gewerkt in informele groepen buiten de directe controle van de organisatie. Ze bepalen wel het succes of falen van de organisatie. De binding is een gemeenschappelijke belangstelling en niet een hiërarchische dwang. Business executives moeten leren te leven in een business ecosysteem, dat ze niet controleren.

5. 'work sketch-ups'
De meeste non-routineprocessen zijn informeel.
Gartner gelooft weliswaar, dat er werkpatronen voor nonroutineprocessen zullen ontstaan, maar intussen blijven het sketch-ups, creating on the fly. (Dat inzicht klopt met de maturity-theorieën. Eerst adhoc, daarna steeds meer gestructureerd en beheerst. CMM bijvoorbeeld onderscheidt als vijf fasen: initial, repeatable, defined, managed, optimizing.)

6. 'Spontaneus work'
Het werk vraagt meer dan reactief handelen. Bijvoorbeeld omdat nieuwe patronen zich voordoen bij de werkzaamheden.
Ook proactief werk zoals het vinden van nieuwe kansen, opportunities, en scheppen van nieuwe ontwerpen en modellen.

7. Simulatie en experimenteren
Men zal actief bezig zijn met gesimuleerde omgevingen en virtual environments. Dit vervangt het boren in cellen van spreadsheets.
Er zal sprake zijn van n-dimensionale virtuele voorstellingen van allerlei soorten gegevens. Men werkt met deze data en manipuleert verschillende parameters om zo de wereld te veranderen die zij zien. (Zelf ontwikkel ik met de vakgroep Informatica van het Actuariëel Instituut een cursus Simulatie. Actuarissen analyseren door simulatie allerlei mogelijke toekomstige situaties van hun financiële instelling.)

8. Pattern sensitivity
Gartner publiceerde over research op Pattern-Based Strategy. Business world wordt meer volatiel en daardoor zijn lineaire modellen, gebaseerd op vroegere performance, minder bruikbaar.
Groepen medewerkers zullen opkomende patronen bestuderen. En maken Scenario's, hoe hun business plotseling kan veranderen ('disruption'), om nieuwe kansen en bedreigingen tijdig te signaleren.

9. Hyperconnectedness
Organisaties opereren binnen netwerken van netwerken, 'unable to control any of them'.
Dit leidt tot meer werken in formele en informele relaties die over de bedrijfsgrenzen heengaan.

10. My place
De werkplek wordt meer en meer virtueel. Vergaderingen gaan over tijdzones en organisaties heen. En de deelnemers kennen elkaar nauwelijks. Mensen werken 7*24 op willekeurige plekken aan eenzelfde opdracht.

De scheiding tussen persoonlijk, professioneel, 'social en family' verdwijnt. Gartner stelt, dat mensen die de onderliggende overload van verwachtingen en interrupts niet kunnen hanteren, minder zullen functioneren. 'As these overloads force individuals to operate in an overstimulated information-overload state'.
Ik wil daar wel de kanttekening bij maken, dat veel van die information overload oppervlakkig en nutteloos is. Mensen moeten wel de kern van de zaak kunnen zien. Zelf heb ik er een hekel aan, als tijdens een presentatie op de achtergrond een scherm met onzinnige tweets wordt geprojecteerd. ('Zet hem op spreker'. 'Ik zit ook in de zaal'. 'Wat een interessante presentatie is dit zeg'. Etc.)
Veel oppervlakkige triggers is soms goed. Evenzo is het goed om soms met absolute focus bezig te zijn met de diepgang van 1 ding!

Thursday, May 19, 2011

Keteninformatisering in de strafrechtsketen

Voor het AGIM (Amsterdams Genootschap van Informatiemanagers) hield op 18 november 2011 Wim Borst van het Ministerie van Justitie een voordracht over bovengenoemd onderwerp.
De bijeenkomst vond plaats in het nieuwe UvA Science Park, een prachtige omgeving, waar de wetenschap weer verder zijn vleugels kan uitslaan.

Wim is door de postdoctorale opleiding Informatiemanagement enthousiast geworden om te leren 'onderscheid te maken'. Tussen activiteiten, produkten, processen, organisaties en structuren. Deze analytische benadering was voor hem als jurist een openbaring.
Hij deelt wat hij allemaal leerde in de EMIM-studie, veel daarvan niet nieuw voor mensen die beroepsmatig al bezig waren met automatisering en informatiemanagement. Hij verdiept wel al zijn denkwerk met literatuurstudie en verwijzing naar auteurs. Een intellectuele en conceptuele verrijking van zijn beschouwingen.

Als produkt van de Strafrechtsketen benoemt hij de 'Interventie'. Deze Interventie is het gevolg van een 'Incident'. Hij noemt zijn voordracht 'Jegens en Wegens', omdat de interventie plaats vindt jegens een individu wegens een incident.
Daarmee heeft hij de drie centrale entiteiten benoemt, van waaruit hij de strafrechtsketen verder gaat definiëren.

De stappen van de strafrechtsketen zijn er vijf: Opsporen, Vervolgen, Berechten, Ten uitvoerlegging en Reïntegratie.
En dan komt de grootste complicerende factor. Bij elk van deze vijf stappen zijn circa zeven verschillende instanties betrokken. Hoe kan dan de coördinatie en de informatiestroom worden gewaarborgd?
Ik had al eens eerder bij een presentatie van de politie geleerd, hoe moeilijk het is om de informatiebehoefte van al deze instanties te bevredigen. De instanties vallen onder verschillende departementen en de wil om informatie te delen of om gemeenschappelijke dossiers en applicaties te ontwikkelen is niet maximaal. Vaak wordt dat nog verder belemmerd door praktische problemen als moelijk ontsluitbare legacysystemen.

Wim stelt, dat voor de kwaliteit van de processen in de keten de 'voorkant moet worden dichtgetimmerd”. Voor de strafrechtsketen betekent dat het creëren van een 'integer persoonsbeeld' door goede identificatie van de persoon. Dat herinnert mij aan mijn ervaring in de verzekeringswereld, waar we leerden, dat de intake van het proces bepalend is voor de verdere kwaliteit. Als foutieve input wordt doorgelaten bij de input, dan geeft dat in het vervolgproces problemen: rework, uitval, zoekwerk, opstoppingen.
Hij presenteert als een belangrijke conclusie, dat het delen van informatie over een individu over verschillende processtappen en applicaties wordt belemmerd. De oorzaak is, dat de zoeksleutels niet éénduidig zijn. Een familienaam bijvoorbeeld kan namelijk op veel verschillende manieren worden geschreven (per ongeluk of expres) en als je daarop zoekt vindt je dus veel relevante informatie niét. Zijn voorstel is om een uniek nummer in te voeren, het zogenaamde SRK-nummer. (SRK voor StrafRechtsKeten.)
Zijn oplossing was echter al lang onderkend binnen het vak Gegevensmanagement. En voor personen heb je dus in Nederland al het BSN, burgerservicenummer. En de tegenwerping, dat buitenlanders geen BSN-nummer hebben, is ook al ondervangen doordat voor hen het RNI wordt ingericht, het Register Niet Ingezetenen.
Het BSN nummer (inclusief RNI) mag alleen worden gebruikt door overheidsinstanties en voor de strafrechtsketen zal het gebruik van dit nummer dus gepermitteerd zijn.

Ten slotte verzucht hij, dat het moeilijk is om het denken in termen van Informatiemanagement onder de aandacht te brengen van zijn vakbroeders, de juristen. Zij distantiëren zich daar altijd nog van, omdat ze het beschouwen als het terrein van de IT. Zeer terecht is hij van mening, dat juist materiedeskundigen (de 'business') de leiding moeten nemen voor een goed informatiemanagement in de strafrechtsketen.
Hij heeft daarom het initiatief genomen om voor collega' s een collegecyclus te organiseren, waarin hij zijn kennis met hen wil delen.
Tenslotte heeft het Rijk voor de stroomlijning van de informatievoorziening een Rijks-CIO (Hillenaar) benoemt en CIO's per departement. Het lijkt mij, dat deze laag betrokken moet raken om tot vooruitgang in deze materie te komen.

Monday, May 9, 2011

Infosecurity in de Jaarbeurs: current cyber threats

Op 3 november 2010 werd deze beurs gehouden in de Jaarbeurs. Jaren geleden ging ik daar voor het eerst heen, omdat het onderdeel Linuxworld mij aantrok. De andere delen (Infosecurity, tooling-event en storage expo) trokken mij minder. In de loop der jaren werd Infosecurity voor mij steeds meer de trekker om deze beurs te bezoeken. En dat geldt voor meer mensen, als ik zie, hoe druk de keynote-sessies van Infosecurity worden bezocht.

De inleider begon met het melden van onderzoeksresultaten. De consument in Nederland is vergeleken met de rest van Europa het meest bezorgd over security. Maar die zelfde consument gaat in vergelijking met de rest van Europa het meest laks om met security.
Hij vroeg zich af, hoe dat met professionals zit. De bomvolle grote zaal gaf volgens mij een deel van het antwoord.

Een spreker van PWC uit de States presenteert concrete praktijkvoorbeelden onder de noemer 'Current cyber threats'. Hij wil twee cases bespreken: 1. Sensitive data with commercial value. 2. Data with economic value (espionage).

Vooraf legt hij uit welke criminele groepen er te onderscheiden zijn: 1. botnetwork operators; 2. phishers/spammers; 3. malware authors; 4. industrial spies.
Een andere spreker vult later aan, dat deze groepen vaak het resultaat van hun inbraken verkopen. Zij concentreren zich op de elektronische inbraak. Het misbruiken van de gestolen gegevens (kaartgegevens, identiteitsgegevens) wordt dan uitgevoerd door weer andere criminelen. Er zijn marktplaatsen waar de gestolen gegevens worden verhandeld. Dat betekent, dat er een 'value chain' van computercriminaliteit is, waarin diverse specialisten het stokje aan elkaar doorgeven.

Volgens PWC zijn de belangrijkste zwaktes bij bedrijven van organisatorische aard. Een bedrijf is zich er niet van bewust wáár de gevoelige gegevens zich bevinden. Men gebruikt geen geschikte gereedschappen voor monitoring, waardoor verdachte situaties niet worden opgemerkt. Reeds bekende kwetsbaarheden in de omgeving worden niet aangepakt. Dat zijn allemaal drempels die je kunt opwerpen. Vergelijk het met het afsluiten van je huisdeur. Het is niet afdoende, maar wel drempelverhogend.

Case 1 laat een attack diagram zien. Schade was 10 miljoen dollar, gecoördineerd onttrokken aan ATM's wereldwijd binnen 24 uur. De aanval was bewust beperkt en de ingebrachte code heeft ook aan het einde van de aanval alle sporen uitgewist. Toevallig was het bedrijf bezig met een test van logging software; deze zat op een ander systeem waar de aanvaller niet binnen was. Langs die weg kon de aanval worden gereconstrueerd. De reconstructie levert het volgende beeld:
Stap1 was reconnaissance door 1 persoon gedurende 13 dagen. SQL werd geinjecteerd. Hij was binnen in de infrastructuur en heeft databases gelezen (om de bruikbare data te vinden). Hij heeft administratieve rechten verworven om applicaties binnen te gaan.
Stap2 duurde 12 dagen. Analyseren van databases, push in more tools, administratieve passwords verwerven, plaats gevonden waar ID's van creditcards en andere zaken bewaard werden.
Stap3 omvatte 3 dagen. Drie personen 'push more software into environment, capturing all the traffic'. Gestolen data in kleine pakketje naar buiten gebracht.
Stap4. Initiate transactions. Controle nemen over de financiele systemen, die bijvoorbeeld de rekeninglimieten beheren.

De clou is dus dat ze binnenkomen, code naar binnen kunnen brengen, gegevens vinden en naar buiten smokkelen. En ten slotte nog alle sporen weer uitwissen. (Vaak worden de inbraken bij toeval ontdekt. Wellicht zijn deze ontdekkingen maar het topje van de ijsberg.)

Case 2. Deze case ging over bedrijfsspionage. Het bedrijf wist van de inbraak, omdat de FBI de externe effecten ervan waarnam en het bedrijf waarschuwde. Ze mikten op een M&A afdeling. (Merger & Acquisition. Waar dus bedrijfsovernamen worden voorbereid.) Ze wisten wie de belangrijke functionarissen waren en mikten op de email van deze mensen. Konden zo voorspellen waar overnametargets waren en deden daar hun voordeel mee.

De maatregelen die PWC voorstelt weerspiegelen de bovengenoemde organizatorische zwaktes. 'Monitor logs en monitor outbound traffic. Know your baseline en compare to that.' Dan kan het bedrijf signaleren, dat er verkeer is dat niet past in de normale patronen. Voer audits uit en let vooral op sleutelfunctionarissen. En tenslotte: Automatiseer deze maatregelen.

Later las ik in infosecurity een artikel over APT's (Advanced Persistent Threats). Stuxnet is daar een voorbeeld van. Deze nemen makkelijk 2 jaar om zich langzaam, stap voor stap te installeren. Eerst binnen; dan software binnen halen; dan de binnenkant van het systeem inventariseren etc. De traditionele verdedigingsstrategie monitort, maar de APT blijft onder de radar. Niet te veel actie, niet te veel verdachte zaken, geen volume. Het wordt zaak om overall te monitoren en de samenhang te zien.

Er wordt veel geschreven en gesproken over computerinbraak. Het was interessant om eens een slag dieper te horen, hoe zo'n inbraak dan in zijn werk gaat. Er was nóg zo'n presentatie, van Deloitte, waarover ik later nog schrijf.