Sunday, November 10, 2013

AGIM en Shell-scenarioplanning

In een AGIM-lezing was er een update over scenarioplanning. AGIM alumni (Amsterdams Genootschap van Informatiemanagers) leerden zo'n 20 jaar geleden in hun strategieblokken over de scenarioplanning van Shell. In de jaren '70 had Shell daarmee baanbrekend succes; later werd het een standaardtool voor allerlei bedrijven en instellingen. Maar binnen Shell is er nog steeds een club, die zich ermee bezig houdt, en het was interessant om te vernemen, hoe het denken binnen Shell verder is geevolueerd. Een vertegenwoordiger van Shell verzorgde een update voor de AGIM-bijeenkomst.
Met scenarioplanning richt men zich op een planningstermijn van 5 tot 10 jaar. Door methodisch te werken elimineer je de bias, die mensen kunnen hebben. De spreker noemde als voorbeeld, dat in 1977 Ken Olsen van DEC stelde, dat hij geen plaats zag voor computers in huishoudens. Hoewel deze man met de ontwikkeling van de mini-computers van Digital een grensverleggende pionier was, had hij geen idee van de PC-revolutie, die een paar jaar later zou aanvangen. En zelf herinnerde ik me daarbij het voorbeeld van de IBM executive, die kort na de tweede wereldoorlog stelde, dat er wereldwijd maximaal behoefte zou zijn aan 3 computers. En dan te bedenken, dat elke smartphone in 2013 krachtiger is dan de computer die hij zich kon voorstellen...
In het scenarioplanningsproces analyseert men de driving forces, die de toekomst bepalen. Met name driving forces, waarvan het onzeker is hoe ze zich ontwikkelen, worden verder meegenomen in de analyse. Daarna kiest men de twee driving forces, die men het belangrijkste vindt. Dat maakt het namelijk mogelijk om straks de scenarioos in een twee-assen diagram te presenteren. In subgroepjes werkten de AGIM'ers daarna scenarioos uit voor de onderwerpen 'Toekomst AGIM', 'toekomst EURO' en de 'toekomst van de wereldvoedselvoorziening'. Met leuke resultaten en exercities die wel degelijk het bewustzijn vergroten en het out-of-the-box denken stimuleren. Dat laatste was in de jaren zeventig al duidelijk de winst die Shell boekte: Toen de oliecrisis uitbrak, waren hun managementteams beter geequipeerd om in hele andere toekomsten te denken dan het business-as-usual tijdperk. De man van Shell bevestigde ook, dat de scenarioplanning duidelijk een tool is voor training en changemanagement in de organisatie. Samenvattend is dus hun aanpak voor scenarioplanning:
1. Definieer de Focal question
2. Driving forces inventariseren
3. Critical uncertainties definieren
4. Bouw het scenario framework
Tot slot nog een paar gegevens over de AGIM-club: In een schoningsactie zijn 120 leden aangeschreven. Circa 80 leden betalen 25 of 50 E. De begroting over 2012 plant daarmee 4 seminars en gaat uit van 80 betalende leden.

Tuesday, October 15, 2013

Kringbijeenkomst over Riskmanagement

De kring Risk Management van het Actuarieel Genootschap organiseerde haar eerste bijeenkomst in de zomer van 2013. Er was een zeer grote opkomst. Ik schat wel over de honderd aanwezigen. Er waren 3 sprekers: drs Gertjan Stoker RA van een riskmanagement adviesbureau, econometrist ir Joeri Potters en dr Estelle Jonkergouw, Riskmanager van Achmea. Vooral de tweede spreker vond ik razend interessant met zijn inzichten vanuit Behavioural Economics.
Joeri Potters is van Carsaro, een bureau dat Pensioenfondsen ondersteunt. Hij werkt vanuit het perspectief van Behavioural Economics (Gedragseconomie). 'Mensen maken altijd dezelfde fouten'. Een aantal van die fouten worden benoemd en toegelicht.
-ambiguity aversion (http://en.wikipedia.org/wiki/Ambiguity_aversion). Mensen hebben voorkeur voor scenario's met zo weinig mogelijk onbekende factoren.
-attribute substitution. Als een probleem te moeilijk is om op te lossen, bedenk je een model, een simpele voorstelling van de werkelijkheid. Er is een bekende actuaris, Jos Berkemeijer, die al langer ageert tegen het geloof in lineaire modellen. Want je maakt een model op basis van wat je weet, maar juist dat kleine deel, dat je mist, kan een totaal andere uitkomst geven. De financiele crisis van 2008 wordt wel aangevoerd als een voorbeeld van een situatie, waar de modellen totaal gefaald hebben. (Value at risk bijvoorbeeld werkt niet in extreme situaties.) Realiseer je dus, dat onze modellen fout zijn. Ken de zwakheden van het model in plaats van te pogen het te verbeteren. De 95 procent die de modellen beschrijven is geen Riskmanagement. Dat is die 5%, die je model buiten beschouwing laat!.
-Meest desastreuze bias: overconfidence. Hij geeft daarvan aansprekende voorbeelden:
Voorbeeld 1 (Svenson, 1981). 93 procent van de mensen schat zichzelf in bij de beste 50 procent van chauffeurs.
Voorbeeld 2-Affect heuristic (Slovic, 2002). Er wordt een shortcut gemaakt in het beslissingsproces, beinvloed door gevoel. Zo kan de beurs onstuitbaar stijgen, als het gevoel heerst, dat het alleen maar omhoog kan gaan. 'Going with your gut'. Bij een positief gevoel worden risico's laag en opbrengsten hoog ingeschat.
-Naast ALM zijn er tegenwoordig ook event scenarioos. Zonder kans erbij. Het aantrekkelijke daarvan lijkt me, dat je uitsluitend mogelijke gebeurtenissen inventariseert. Zonder dat voortijdig geroepen wordt, dat het onvermijdelijk is of onwaarschijnlijk.
Deze benadering vanuit de Behavioural Economics spreekt mij geweldig aan. Teveel laten wij ons momenteel leiden door quasi rationele kwantitatieve benaderingen, die uiteindelijk de wezenlijke problemen niet tackelen.
Ten slotte sprak de Risk Manager van Achmea. Dat vond ik echt een KPMG-aanpak met oneindige factoren en matrixen. Vanuit Visie en Strategie worden Risk Appetite statements afgeleid. En van daaruit weer de KRI's, de kritische risk indicators. Volgens mij is dit weer een aanpak, die juist de bovengenoemde 5% onbekende risico's mist.

Friday, September 6, 2013

Tweede bericht over de Securitybeurs van november 2012

Dit is de tweede posting over de Securitybeurs van november 2012. In deze posting vooral aandacht voor de spreker van Fox IT. Fox IT is een speler, die zich in een paar jaar tijd in Nederland heeft opgewerkt als de specialist als het gaat om onderzoeken van cybercriminaliteit, computerinbraak, computerfraude. Het was geen verrassing, dat zij bijvoorbeeld werden gevraagd om te onderzoeken wat er was gebeurd, bij de inbraak van Iraanse hackers bij Diginotar.
Fox IT introduceert een nieuw motto: If you can't prevent it, detect it.
En: Het is zeker dat je gehacked wordt, de vraag is alleen wanneer. Ze verkopen dus niet de illusie, dat ze je volledig kunnen beschermen. Maar ze gaan er vanuit, dat hackers altijd zullen binnendringen, ondanks je preventieve maatregelen. En dat je dus vooral moet inzetten op snelle detectie en beperken van de schade. Monitoring dus! Waarbij de formule Kans* gevolg weer opkomt. Zij stellen dus, dat de kans 100 procent is, zodat je je volledig kunt richten op de gevolgen. De gevolgen vatten zij samen in de kreet CIA: confidentiality/integrity/availability. Dus de diefstal van gegevens, het onbetrouwbaar worden van je omgeving en het verstoren van de werking van je platformen.
Een paar stellingen:
100% preventie is onmogelijk.
Er komt van alles binnen in je omgeving.Wat is goed en wat is fout?
Als je overal sloten op zet, gaat dat ten koste van produktieverkeer.
Geautomatiseerde oplossingen zijn niet effectief. Kennis en gezond verstand zijn cruciaal.
Dus een inbraak snel ontdekken en na deze 'breach' snel optreden. Zoals elk gerenommeerd adviesbureau hebben zij een aanpak met een pakkende naam: SPICE. ( spullenboel, processen, informatiebronnen, capaciteit, expertise) Met de laatste twee elementen kan een bureau het beste helpen. Dat is voor een bedrijf moeilijker zelf op te bouwen en te onderhouden. Fox IT adviseert om de situatie te doordenken, dat je gehacked wordt. Denk erover na wat er gebeurt en wat je gaat doen. Volgens Fox is het beter om hackers in dienst te hebben dan papieren tijgers met allerlei schitterende gecertificeerde titels. Dat is mij uit het hart gegrepen! Een vraagsteller uit het publiek vraagt welk budget nodig is voor het werken volgens SPICE. Het antwoord luidt “Wat heb je ervoor over?”. Prima antwoord geheel in lijn met de opdracht om ZELF na te denken over gebeurtenissen en gevolgen..
Behalve Fox IT bezocht ik nog de lezing van een Belgische spreker (Johan Loos). Hij geeft een handig overzicht van definities.
Een vulnerability is een bug, fout of misconfiguratie.
Een exploit is een code van de aanvaller om de vulnerability uit te buiten.
Payload is de code die na een exploit op een systeem is geinstalleerd.
Voorbeelden van cybercrime: website concurrent uitschakelen, credit card info stelen, porno verspreiden, identiteitsdiefstal.
En voorbeelden van wat er kan gebeuren bij een hack:
Vulnerabilities kunnen optreden in applicaties (office, adobe), in OS en op de serverside.
Malicious user enters system, creates outbound secure channel, this channel is encrypted and not inspected by firewalls.
Attack vectors: attachment bij mail; server contains executable content; app exploits; downloads; tinyurl; tracking nr bij delivery terwijl je niks besteld hebt.
Acties: retrieve passwords; log keystrokes; install backdoor; install botnet; steal cookies; access data; control webcam; control microfoon.
Client side attack: payload maskeren t.o.v. De antivirusscanner; targets browser, adobe, java, office, mediaplayer.
Uitsmijter:
Tot mijn stomme verbazing lees ik een paar maanden later in Cloudnews een interview met de ex-directeur van Diginotar die bovenstaande statements en methoden nu hanteert om zich te verkopen als beveiligingsadviseur. Dat zo'n Cloudnews dat met droge ogen plaatst, als de hele wereld weet, dat er bij Diginotar niks van klopte en dat de meest elementaire beveiligingsstappen niet waren gedaan (password makkelijk te vinden, geen updates van software uitgevoerd etc.)

Wednesday, August 7, 2013

Amerikaanse aanpak van cybersecurity

Onderstaand artikel verhaalt, hoe Amerika fors inzet op de bestrijding van cybersecurity. Op internetfora lees ik daarover zeer negatieve en cynische reacties. Die deel ik niet en het valt me op, hoezeer deze internetfora worden beheerst door scheldende, hufterige figuren, die waarschijnlijk nog nooit iets positiefs hebben geproduceerd. Recentelijk is er ook veel ophef over de vermeende spionage-activiteiten van de NSA. De reactie van een Duitse ex-politicus ondersteun ik volledig. Hij merkte op, dat hij de internationale terroristische organisaties als een grotere bedreiging ziet dan de westerse geheime diensten.
Uiteraard moeten politie en geheime diensten zich aan de wet houden, maar we moeten ze niet de handen op de rug binden, terwijl misdadigers het internet ten volle uitbuiten om hun business te runnen.
QUOTE
Pentagon wil cybersecurityteam fors uitbreiden
Door Dimitri Reijerman, maandag 28 januari 2013 14:17, views: 9.322
Het Amerikaanse ministerie van Defensie is van plan om het militaire cybersecurityteam fors uit te breiden. Binnen enkele jaren wordt de personele bezetting van dat Cyber Command namelijk uitgebreid van 900 naar 4000 medewerkers.
Volgens het ministerie van Defensie is uitbreiding van het zogeheten Cyber Command, dat drie jaar geleden is opgericht, hard nodig omdat cyberaanvallen een steeds grotere bedreiging vormen voor de Verenigde Staten en zijn bondgenoten. Het Pentagon erkent echter dat het erg lastig zal worden om de geplande uitbreiding, van 900 naar 4000 personeelsleden in slechts enkele jaren, te laten slagen.
Voor het militaire cybersecurityteam is het Pentagon naar eigen zeggen op zoek naar drie soorten personeel: national mission forces die systemen moeten bewaken die het elektriciteitsnet en andere kritieke infrastructruur beheren, combat mission forces die aanvallen op vijandelijke doelen kunnen uitvoeren - al dan niet in het buitenland - en zogenaamde cyber protection forces die de systemen van het Amerikaanse leger moeten beschermen. De plannen voor de forse uitbreiding moeten nog wel goedgekeurd worden, zo meldt The Washington Post. Ook wordt de vraag gesteld of Cyber Command ooit onder de schaduw van de NSA uit kan komen, een inlichtingenorganisatie met aanzienlijk meer personeel en financiële middelen. De twee organisaties werken al wel nauw met elkaar samen.
Cybersecurity is de laatste jaren in de VS steeds hoger op de politieke en militaire agenda komen te staan. Niet alleen zijn de Verenigde Staten steeds vaker doelwit van hackers en 'cyberlegers', ook voert het land zelf een virtuele strijd. Zo zou de VS betrokken zijn bij het omstreden Stuxnet-virus. Deze malware werd ingezet in een poging het Iraanse kernprogramma te ontregelen. UNQUOTE

Saturday, July 13, 2013

ICT in de Zorg

Bij de beurs Zorg&ICT in maart 2013 blijkt, dat elektronische patientendossiers hun opmars voortzetten. Het is ook ondenkbaar, dat zonder dit fenomeen de zorg in Nederland ooit efficienter en effectiever kan worden. De afgelopen jaren heb ik enige keren geblogged over het EPD. Over het onvermijdelijke voortschrijden van deze ontwikkeling en over emotionele weerstanden die het oproept. Er was zelfs een politica in de Eerste Kamer, die oprecht meent, dat informatie-uitwisseling tussen behandelaars gewoon kan door een telefoontje of een briefje. Iemand die geen flauw benul heeft van de massaliteit en de werkdruk in zorgprocessen.
Ik nam kennis van de nieuwste systemen van marktleider Chipsoft voor de automatisering in ziekenhuizen. De EPD' s van ziekenhuizen hebben intussen een indrukwekkende functionaliteit. Hoe dat zich verhoudt tot LSP, het landelijk uitwisselen van patienteninformatie, is mij niet bekend. Het zou wel eens kunnen, dat ziekenhuizen intern heel goed geequipeerd zijn, maar dat het uitwisselen met zorgverleners buiten een ziekenhuis moeilijker is.
Chipsoft is genomineerd voor de innovatieprijs van de genoemde zorgbeurs: http://www.zorg-en-ict.nl/nl-NL/Exposant/Beursinformatie/Award.aspx
Ik zag op het net, dat zij niet hebben gewonnen, maar dat ze wel de publieksprijs van de beurs hebben gewonnen. Met de zogenaamde Zorgprofielen krijgt een patient een eigen website voor zijn zorgvragen. De gegevens kan er gegevens over zijn aandoening vastleggen en contact zoeken met lotgenoten. De zorgprofielen zijn naadloos geintegreerd in het zorginformatiesysteem van de zorgverlener.
Al langer is er sprake van Personal Health Vaults, zoals aangeboden door onder andere Google en Microsoft. De zorgprofielen lijken daar een beetje op. EPD' s van zorgverleners hebben als 'nadeel', dat de patient het dossier niet controleert en vaak zelfs geen inzage heeft. Personal Health Vaults hebben als nadeel, dat ze niet direct worden gevoed door de informatie die zorgverleners vastleggen. De genoemde zorgprofielen zijn weliswaar geintegreerd met het zorginformatiesysteem van de zorgverlener, maar missen weer de directe voeding van andere zorgverleners.
Ik nam op de beurs kennis van de stand van zaken van HL7, de standaardisatie beweging voor zorginformatie en krijg de indruk, dat de standaardisatie ver is voortgeschreden en ook helpt bij het verbeteren van zorgautomatisering. Sta er wel verstand van, hoe ingewikkeld die standaardisatie-organisaties op zeker moment worden. Het duizelt je van de modellen, die worden ontwikkeld.

Wednesday, June 5, 2013

Overheid en ICT mei 2013

Deze beurs bezoek in nu al een jaar of zeven en ik zie er duidelijk een ontwikkeling. Het aanbieden van bouwstenen om met name de lagere overheden goed te equiperen met de juiste hulpmiddelen is een langjarige worsteling. Initiatieven van individuele gemeenten en leveranciers bleken altijd ten dode opgeschreven, omdat ze te weinig schaalgrootte verwierven en niet de functionaliteit brachten waar veel gebruikers achter konden staan. Latere initiatieven vanuit de centrale overheid om deze ontwikkelingen te faciliteren liepen vast in een te theoretische aanpak (van architecten) en het onvermogen om de ontwikkeling en invoering projectmatig succesvol te managen. Uiteindelijk werd gekozen om via het NUP (was het nou Nieuwe Uitvoerings Plan?) een selecte keuze van bouwstenen landelijk te gaan invoeren. Ik schreef er al eens over, dat het een mooie aanpak leek, maar ik proefde nog steeds, dat het te breed was, met nog steeds te weinig focus. Wat er daar exact achter de schermen gebeurd is, weet ik niet, maar volgens mij dreigde dit NUP ook uit te lopen op het zoveelste vastlopende megaproject, ware het niet, dat Gateway-doorlichtingen tijdig hebben bijgestuurd. Dit is althans wat ik als outsider vermoed. Ik heb op deze blog eerder geschreven over de Gateway-methodiek, die op advies van de Algemene Rekenkamer een paar jaar geleden is ingevoerd.
Volgens mij hebben die reviews naar voren gebracht, dat de theoretische architecten-aanpak voorbij moet zijn en dat het zaak is om praktisch, hands-on de lagere overheden te gaan helpen om keuzes te maken in de bouwstenen en ze te helpen om deze in hun organisatie te implementeren.
In een workshop van Logius, King en ICTU had de programma-manager een vijftal projectleiders voor de zaal gezet, die stuk voor stuk aspecten van implementatie behandelden. En het waren types, die geen verhalen houden, maar concrete vragen oppikten en ook met concrete handreikingen kwamen. Ik concludeerde, dat dit gebeurd moet zijn door bijsturing vanuit de Gateway-reviews. Na googlesearch vind ik daar wel wat over (http://www.bigwobber.nl/wp-content/uploads/2010/02/Rapportage-NUPgateway-def.pdf). Kritisch rapport van Docters van Leeuwen, dat ik zelf niet zo snel zou kunnen operationaliseren.
(Overigens wordt het regelmatig uitvoeren van Gateway-reviews genoemd als één van de oorzaken, dat overheidsautomatiseringsprojecten wat beter onder controle komen. 'Dit blijkt uit de Jaarrapportage Bedrijfsvoering Rijk die minister Blok van Wonen en Rijksdienst aan de Tweede Kamer heeft gezonden.' Zo meldt Computable in mei 2012.)
Maar hoe dan ook in de workshop stonden klantgerichte, oplossingsgedreven jongelingen, die klaar staan om digimelding, digilevering, stelselcatalogus etc te helpen implementeren. Zij propageren de website STOUT voor alle vragen rondom BRS en het Stelselinformatiepunt STIP.
In een andere workshop had iemand een methode te bieden om de vervuiling van de GBA aan te pakken. Ook dit is een initiatief vanuit ICTU. Met steekproeven hadden ze onderzocht welke risicosignalen er zijn om fouten in de GBA op te sporen. Ik noteerde briefadres 50,6%, administratieve leegstand 45,7%, wel ingeschreven/niet woonachtig 32,8%, overbewoning SVB 17,3 %, studiefinanciering/licht verdacht 14,6%, vertrokken 13,3% en eigenaar 5 jaar overleden 4.2%. Fraude met de GBA en spookburgers vormen een steeds weerkerend probleem. Nu, mei 2013, is een staatssecretaris in politieke problemen vanwege toeslagfraude door groepen Bulgaren. Hardnekkige problemen, maar wel goed dat ICTU en anderen concrete handreikingen geven om beetje bij beetje deze praktische problemen weg te ruimen.
Kortom, na 7 jaar observeren van deze overheidsautomatisering zie ik wel vooruitgang. Nuttige basisregistraties en werkende koppelingen gaan de kosten en de fraude in de overheidsprocessen terug dringen.
Gewoon doorgaan met deze processen, ondanks de waan-van-de-dag interventies vanuit de politiek.

Saturday, May 11, 2013

November-beurs over Security in de Jaarbeurs

Deze beurs bezoek ik elk jaar. Aanvankelijk (2008) voor open source en Linux. Maar daarna steeds meer vanwege de groeiende aandacht voor security. De beurs omvat drie gebieden: Storage, Tooling en Security/ open source. Volgens mij is in toenemende mate Security het belangrijkste onderwerp geworden. Er waren door de jaren altijd uitstekende sprekers, die de achtergronden van de bedreiging diepgaand analyseerden. Ik heb daarvan op deze weblog regelmatig verslag gedaan.
Trends die ik dit jaar waarnam: Het bezoekersaantal blijft explosief stijgen. Diverse lezingen, ook in de grote congreszalen, moesten vóór aanvang de deuren sluiten wegens te grote toeloop. Verder zijn er grote groepen jongeren ( mbo- en hbo-scholieren, schat ik in). Daardoor zie je langzamerhand ook een steeds grotere aanwezigheid van allochtone jongeren. Tenslotte zag ik ook diverse Belgische sprekers. Al eerder nam ik op beurzen over The Cloud waar, dat Belgen heel actief zijn op de technische gebieden van internet en cloud.
Als eerste luisterde ik naar de Belgische spreker Jan Guldentops. Hij had als titel van zijn verhaal 'nihil novi sub solem'. Aangenaam verrast concludeer ik daaruit, dat we te maken hebben met een collega-gymnasiast. Ik vind die mannen altijd uitblinken in analytisch vermogen en brede reflectie, altijd een verademing naast de hypegedreven hijgers. Hij is een historicus, die in de ICT verzeild is geraakt (in zijn eigen woorden “in de ICT aan lager wal is geraakt”.) Hij ontwikkelde zich als ICT- security onderzoeker, nadat hij in 1996 enorme kwetsbaarheden in het eerste Belgische internet-banking systeem ontdekte. Uit nieuwsgierigheid probeerde hij het systeem binnen te komen en tot zijn verbazing ging dat heel gemakkelijk, waarbij alle systeemvariabelen en toegangssleutels leesbaar te vinden waren.
Zijn betoog komt erop neer, dat vanaf 1997 tot op heden eigenlijk niets is veranderd. Er zijn veel bedreigingen aangetoond en ook allerlei beveiligingstechnieken ontwikkeld, maar de toepassing daarvan wordt schromelijk verwaarloosd. Zijn opsomming:
-Single sign on en het managen van rollen wordt nog nergens doorgevoerd.
-Ontwikkelaars zetten nog steeds passwords in cleartext in hun toepassingen. (De volgende stap is toepassen van een hasher. De volgende dan een centraal systeem voor beveiliging.)
-E-mail is voor velen het belangrijkste communicatiemiddel, maar nog weinigen gebruiken encryptie.
-SMTP wordt veel gebruikt, maar hij vindt dat oud en simpel. Volgens hem is de ondertekening van mail de oplossing voor spam. -Ipv6 en encryptie blijven achter.
-De Diginotar-case is van dit alles een bevestiging. Notabene bij een instantie die beveiligingscertificaten uitgeeft voor Nederlandse overheidsdiensten.
-Risk assessment wordt niet gedaan.
-Stomme no-brainers worden niet gedaan.
Daar komt bij dat door de wet van Moore hackers steeds meer potentieel hebben, bijvoorbeeld om codes te breken en om DDOS aanvallen uit te voeren. Hij stelt, dat het killerproduct voor beveiliging het gezonde verstand is. Standaarden moet je niet laten verworden tot papieren tijgers en je moet voortdurend investeren in Awareness. Vraag voor de cloud om 'legal, real guarantees'. Maar ik vraag me af, of je die kunt krijgen. (In een andere sessie zie ik iemand de patriotact aanhalen. Volgens hem heeft de Amerikaanse overheid niks te maken met allerlei afgegeven garanties en kan zij alle bestanden inzien, die zich op haar grondgebied bevinden en zelfs bestanden die elders zijn, maar die beheerd worden door een Amerikaans bedrijf.)

Tuesday, April 23, 2013

Over softwarehuizen

Een oude Cap Gemini theoreticus (Rijsenbrij) schrijft op LinkedIn oktober 2012, dat softwarehuizen niet willen investeren. En dat daarom in systeemonwikkeling alles maar fout blijft gaan. Hierbij een quote van zijn verhalen, gevolgd door een reactie daarop en mijn eigen ervaring daarin.
http://www.blogit.nl/de-opkomst-en-ondergang-van-softwarehuizen
QUOTE
Veel softwarehuizen noemen zich tegenwoordig informaticabureaus, klinkt chiquer. Op zoek naar omzetvergroting en klantenbinding zijn zij tevens consultancywerkzaamheden gaan verrichten. Dat zogenaamde meedenken is vaak een teken dat er niet concurrerend software kan worden geleverd. In feite probeert het softwarehuis dat te compenseren met iets dat de klant niet echt nodig heeft, althans niet van een softwarehuis. Sommige softwarehuizen maken het zo ‘knus’ dat ze spreken over een gezamenlijke businessomgeving. Het is tegenwoordig modern om alles samen te doen. Van vroeger herinner ik mij nog de melodieuze mantra: ‘De NMB denkt met u mee’. Bij een bank leek dat wellicht nuttig, maar bij een softwarehuis zou ik zeggen: ‘laat maar zien wat je echt kunt en meedenken op mijn kosten stel ik niet echt op prijs’. Veel grote softwarehuizen lijken op dinosaurussen die door te veel managementlagen en te veel stafafdelingen, niet meer lenig genoeg zijn om moderne ondernemingen adequaat te dienen op IT-gebied. In een slanke onderneming heb je maar een zeer beperkt aantal businessconsultants, architecten en projectleider(s) nodig om de IT te regelen, de rest kan worden geoutsourced. Dat geldt in feite ook voor softwarehuizen. Er is nog steeds een structureel tekort aan vakbekwame IT’ers, daar helpt geen enkele offshoring iets aan. Het feit dat IT een zeer moeilijk vak is, waarvoor niet iedereen in de wieg is gelegd, wordt helaas nog steeds niet onderkend. In feite heeft de wereld nog steeds behoefte aan vakbekwame IT’ers, niet aan softwarehuizen. IT’ers kunnen zich tegenwoordig zelf aanbieden via websites tegen tarieven die interessanter zijn voor klanten en waarvan zij zelf veel meer kunnen overhouden. Kunnen softwarehuizen zich nog op tijd heruitvinden? Ik ben bang dat het voor de meeste softwarehuizen al te laat is. In de vette jaren vonden zij het zonde van hun geld om zich te professionaliseren; nu in de magere jaren hebben zij het geld niet meer om volwassen te worden.
UNQUOTE
Tolido reageert als vertegenwoordiger van Cap Gemini en stelt o.a., dat klanten ook niet bereid zijn om te investeren in een theoretisch verantwoorde benadering met grote investering in architectuur, maar dat klanten vooral bezig zijn om de tarieven van de leveranciers maximaal uit te knijpen. Inderdaad vind ik Rijsenbrij ook het prototype van de studeerkamergeleerde, de architect die los van de hectiek en dynamiek van business en economie zijn plaatjes tekent. Maar ik ben het met hem eens, dat softwarehuizen vooral geld willen verdienen en dat de echte vakmensen ondersneeuwen onder commercianten, die meer geinteresseerd zijn in omzet dan in goede oplossingen voor de klant. Althans heb ik dat in mijn 9 jaar bij Cap Gemini en rechtsvoorgangers zo ervaren. In een softwarehuis is er een balans tussen de naar binnen gerichte mensen, die de interne hierarchie organiseren en die klanten kunnen beschouwen als melkkoe, en de vakmensen, die buiten spelen en vol overgave proberen om ICT en bedrijfsvoering bij klanten te verbeteren. Die balans is noodzakelijk, maar als de macht doorslaat naar de eerste groep gaat de klant dat merken en afscheid nemen, zeker in een markt waar andere leveranciers en kwalitatief hoogstaande zzp' ers goed werk leveren bij de klant.

Tuesday, March 12, 2013

Security in de vitale infrastructuur

In november 2012 was weer de beurs Information Security/ Tooling Event/ Storage Expo. Ik nam een aantal periodieken mee van het Platform voor Informatiebeveiliging. Daarin las ik een artikel van consultant Luijf van de afdeling Bescherming Vitale Infrastructuur bij TNO.
Er komt steeds meer aandacht voor de Procesindustrie: Energie- en drinkwatervoorziening, wissels en seinen van metro en trein, raffinaderijen, containeroverslag, bagageafhandeling, nucleaire centrales, haveninstallaties, chemische fabrieken. Minder gauw wordt gedacht aan zaken die niet worden gezien als kernprocessen: besturing van riolering, straatverlichting, pompen/ sluizen/ bruggen, gebouwbeheersing, luchtbehandeling, liften en toegangsbeveiliging.
In mijn eigen ervaring herinner ik mij, dat het Facilitair Bedrijf als ondergeschikt wordt gezien aan de automatisering van de primaire processen in financiele instellingen en andere bedrijven en instellingen. De schrijver van het artikel stelt, dat de bewustwording nog steeds uitermate laag is. De verhalen zijn bekend, dat outsiders bijvoorbeeld de besturing van pompen en sluizen van lagere overheden konden overnemen. En met de overname van vitale infrastructuur van bedrijven en landen kan natuurlijk wel het functioneren daarvan worden lamgelegd. In Amerika werd er al over geschreven hoe het land via deze cyberwar (oorlogsvoering via het internet) ernstig kan worden bedreigd.
Aanvankelijk waren er proprietary systemen voor procesbesturing; bedrijven als Siemens ontwikkelden daarvoor specifieke hardware en software. Dat kan kosten-ineffectief worden genoemd, maar het voordeel is, dat de drempel voor inbraak hoger is. Echter wordt er steeds meer generiek gewerkt, windows, gsm en internet. Efficient en effectief, maar door het generieke karakter ook blootgesteld aan risico. Incidenten die zijn gemeld van inbraken: regeling verwarming Leger des Heils, systemen gemeente Veere, pompen van een zwemparadijs. De toegang was heel simpel, omdat er simpele passwords waren (password 'Veere').
De genoemde auteur en ook andere auteurs in Platform Informatiebeveiliging stellen, dat bewustwording de eerste prioriteit is. De bewustwording van cybercriminaliteit is al gegroeid bij specialistische ICT-afdelingen, maar helaas hebben deze geen notie van kleppen, pompen, motoren, 24/7 operaties. Het beheer daarvan zit bij het Facilitair bedrijf en bij een ver weggestopte technische dienst. Vaak is het beheer uitbesteed bij een externe technische onderhoudsfirma.
Ik citeer een treffende observatie van John Grüter: Awareness is geen rationele maar een emotionele toestand. IT systemen hebben nog steeds een grote afstand tot ons gevoel. Het vervelende is, dat ze wel grote gevolgen kunnen hebben. Deze afstand tussen gevoel en gevolgen is typisch voor veel van de techniek en de organisaties in onze hoog ontwikkelde samenleving. Het is duidelijk dat je lang haar in een knotje moet doen, als je met een cirkelzaag werkt, maar dat je regelmatig je password moet veranderen, is minder logisch voor ons gevoel.

Monday, February 4, 2013

Het falen van grote projecten

Momenteel staat het nieuws bol van de berichten over problemen met de hogesnelheidstrein Fyra. Een voorbeeld van falende grote projecten zoals we vaker hebben gezien in de ICT en bij grote infrastructuurprojecten (Betuwelijn, tunnels). Het falen van grote projecten in de ICT wordt volgens mij in de loop der jaren minder. Want klanten en leveranciers leren en worden steeds meer competent om dergelijke grote initiatieven te beheersen.
Wat mij opvalt bij de case Fyra zijn de volgende herkenbare zaken:
-Journalisten en politici storten zich massaal op de problematiek. Op televisie zie je elke dag woordvoerders van zo'n 6 partijen hun mening verkondigen en eisen stellen.
-Uiteraard zijn het atechnische figuren, die geen enkel benul hebben van de complexiteit van grote technische uitdagingen. Zij eisen, dat het probleem binnen een week moet worden opgelost, terwijl ze zouden moeten weten, dat andere hogesnelheidstreinen als Thalys en ICE ook jaren nodig hebben gehad om stabiel te worden.
-Sommigen eisen ook doodleuk, dat gestopt moet worden met Fyra en dat er maar een andere trein moet worden gekocht. Een Belgische journalist merkte terecht op, dat je niet zo makkelijk van trein kan wisselen als dat je van auto wisselt. (Belgen zijn toch vaak bedachtzamer dat hun schreeuwende noorderburen.)
-Uiteraard wordt er geëist, dat er een parlementaire enquete moet komen. Gelukkig is de meerderheid in de kamer daar niet voor, want ze kunnen hun tijd beter gebruiken.
-Een arme staatssecretaris die net een maand is aangetreden, mag al deze onbenullen te woord staan. Ze schreeuwen om directe actie die ze natuurlijk niet kan toezeggen: Het enige dat moet gebeuren is, dat competente techneuten zich erop storten, de problemen analyseren en oplossen.
-Ik zag een Italiaanse directeur vertellen, dat ze momenteel bij hun testen geen problemen vinden en dat de trein mechanisch en elektrisch in orde is. Ik denk, dat hij gelijk heeft, maar als techneut onderschat, dat het tijd kost en dat er nog andere zaken zijn die het functioneren verhinderen. De competente techneuten moeten dus ter plekke op het traject naar Brussel uitzoeken wat er dan mis gaat: weersinvloeden of andere factoren op het traject.
Hopelijk wordt de ruimte gecreëerd voor ter zake kundige lieden om hun werk te doen en de problemen op te lossen. Zelf heb ik bij grote projecten ervaren, dat bij grote problemen atechnische bedrijfsdirecties gemakkelijk prooi worden van gladpraters, die indrukwekkende stappenplannen schetsen om het probleem in kaart te brengen en op te lossen. 'Plateauplanning' noemde een groot managementconsultancy-bureau dat. Meestal slepen zij er veel geld uit voor zichzelf zonder het probleem op te lossen. Maar zij verstaan de kunst om directies, journalisten en politici een rad voor ogen te draaien.
In mei 2010 schreef ik over de Gateway-methode om grote projecten vooraf en tijdens de uitvoering te monitoren. De methode komt uit Engeland en is op advies van de Algemene Rekenkamer ingevoerd bij de rijksoverheid in Den Haag. Volgens mij wordt die daar succesvol toegepast, want de Gateway-review op het NUP-programma (beschreven in mijn blog van mei 2010) heeft dat programma in beheersbare banen gehouden. Ik wed, dat zo'n instrument niet is ingepland in het al jaren lopende Fyra-project. Waarschijnlijk is men daar gewoon op de ouderwetse optimistische manier begonnen, want in het begin met alleen grote lijnen ziet alles er prachtig uit. Maar “the devil is in the details” en bij de uiteindelijke implementatie ontmoet je dan de problemen, die daarvoor gemakshalve waren genegeerd.
Laatste nieuws is, dat ook in Denemarken de Fyra-leverancier AnsaldoBreda grote problemen had (jaren vertraging en mankementen in de treinen). De Denen stopten na 40 treinen de verdere levering, maar intussen zijn deze 40 treinen storingsvrij gemaakt. De Nederlandse politici en journalisten hebben intussen hun aandacht verlegd naar het jongste debakel van de SNS-bank.

Friday, January 18, 2013

Verkiezing actuaris van het jaar

Op 28 september 2012 organiseerde bureau FTE in de Blokhoeve te Nieuwegein de eerste verkiezing van de actuaris van het jaar. In de jury zat o.a. Anno Bousema. De keuze ging tussen twee genomineerde kandidaten. 1 won met 75% van de stemmen. Het was Jan Tamerus van PGGM, die recentelijk aan de weg timmerde met zijn proefschrift Defined Ambition. Een realistische variant van Defined Benefit en Defined Contribution.
De dag werd met aantrekkelijke inhoudelijke sessies aangekleed: In de ochtend waren er twee workshops en in de middag twee lezingen. Voor de workshops koos ik de onderwerpen, die gingen over de rol van de actuaris en het gedrag van de actuaris. De andere onderwerpen waren actuarieel technisch en voor mij minder interessant.
Spreker Rajaram belichtte de supply chain of de waardeketen in de financiële dienstverlening. Zijn stelling is, dat in bedrijven vaak geen overzicht is over de gehele keten (met hem eens) en dat de actuaris bij uitstek geschikt is om als ketenregisseur op te treden (heb ik mijn twijfels over). Voor zo'n rol moet je inhoudelijke kennis combineren met management- en communicatieskills, waar de meeste actuarissen vooral drijven op inhoudelijkheid. Zijn onderscheid tussen supplychain en waardeketen was nieuw voor mij; ik zie het meer als synonieme begrippen. Hij legde uit, dat supply chain meer een logistieke benadering is en dat de waardeketen een visie vanuit de aandeelhouder is. Interessant onderscheid! De actuaris zou dus regisseur moeten zijn. Hij ziet bij verzekeraars vaak weerstand bij implementeren van solvency. Omdat niet overal wordt begrepen wat het belang is. De actuaris kan dat dus begeleiden. Hij peilt de stemming in de zaal over solvency. Ook in de zaal is er weerstand tegen (te) veel en te vergaande regelgeving. Iemand vraagt daarop wat de reden is van deze regelgeving. (Antwoord: De verzekeraars hebben er zo'n puinhoop van gemaakt!) Ik gaf de vraagsteller een thumbs up; een prima vraag naar de mensen die in de weerstand schieten.
Tweede workshop (Boon) ging over soft skills. Hij hanteert de kleuren van DISC. Ik kwam weer met 1 dominant en 2 blauw. (Geel en groen scoorden minder. Geen verrassing want ik deed die testen al vele malen.) Ik heb ooit, zomer 2010, een posting geschreven over het profiel van actuarissen: Dat ze enerzijds ambiëren om een invloedrijke en sturende rol te nemen in bedrijven, maar dat ze anderzijds qua karakter en optreden daar ver vandaan lijken te staan. Daarom is het goed, dat de veelal inhoudelijk gedreven actuarissen zich bewust zijn van deze soft skills en zich daarin eventueel verder ontwikkelen.
In de middag was de eerste spreker George Möller: “cijfers moet je niet vertrouwen. Formules zijn populair geworden, omdat je de uitkomst kon beinvloeden. Economie moet weer een morele wetenschap worden, zoals Smith had bedoeld.” Hij promoot zijn boek 'Banking on ethics'. De ethische problemen in de financiele wereld voert hij terug op een aantal oorzaken:
-de afstand tussen produkt en klanten
-de abstractheid; men spreekt over abstractheid van markten, het is niet zo concreet als het vinden van een portemonnee
-de leverage: fracties van liborpunten leveren enorme winsten op.
Anderzijds stelt hij, dat de financiele sector niet overal de schuld van mag krijgen. Griekenland bijvoorbeeld is geen financiële crisis maar een maatschappelijke crisis. Er wordt ook te snel gesproken over een financiële crisis. Zo is ook het fenomeen Witwassen is op de eerste plaats een maatschappelijk probleem. En de financiële markten hebben ook verdiensten. Alleen zij hebben Berlusconi weggekregen. En alleen zij hebben het probleem Griekenland op tafel gekregen. Hij wijst op bedenkelijk rol van overheden. Volgens hem is 40% van de Olympische Spelen in Londen betaald door de Bank of England. Hij stelt dat deze spelen zijn betaald via inflatie, niet door democratische beslissingen maar door inflatie.
Interessante dag. Als dit een jaarlijkse weerkerend fenomeen wordt, zal ik graag van de partij blijven.