Verander complexiteit: Tijdigheid van levering

Vandaag gaan we in op de complexiteitsfactor: Tijdigheid van levering

Als het goed is, heb je tijd geïnvesteerd in de samenwerking met je leverancier. Jullie zijn opzoek gegaan naar een win-win-situatie waarbij de leverancier een goede prijs (binnen acceptabele betalingstermijnen) krijgt maar waarbij jij tijdig over de middelen kunt beschikken en niet het vel over de neus getrokken krijgt.

Afhankelijk van de capaciteit die je nodig hebt voor de verandering zijn de middelen wel of niet op voorraad. Bij veel voorkomende middelen maak je je minder zorgen, maar als er maatwerk aan te pas komt dan stem je de tijdslijnen tijdig met de leverancier af en bouw je een veiligheidsmarge in.

Het gaat hier om de keten, die inderdaad zo zwak is als de zwakste schakel. Als je leverancier te laat wordt betrokken dan krijg jij te laat geleverd en kun jij aan het management uit leggen waarom het project niet binnen de gestelde tijd is opgeleverd.

Hacken? Dat gebeurt mij toch niet?

Bij hacking is het nog te vaak de gedachte dat het altijd een ander overkomt en mij (of jou in dit geval) niet. Komen er weer eens gegevens op straat dan is dat toch vaak van een site die we zelf nog nooit bezocht hebben.

Daarom vandaag onderstaand bericht die het voor jou misschien allemaal wat dichterbij plaatst.

Gegevens van 84.000 klanten van Bol.com waren toegankelijk na een lek bij een partner van de webwinkel. Het lek is inmiddels gedicht. Het gaat om klanten die hebben meegedaan aan een actie eind vorig jaar met de naam Warm Welkom. De naam, geboortedatum, het e-mailadres en het geslacht van deelnemers werden opgeslagen in een database bij een partner van Bol.com (bron).

Eerlijk is eerlijk. Bol.com is een grote jongen en veel van ons hebben daar wel eens spullen aangeschaft. Zelden horen we slechte berichten en ze leveren netjes wat ze beloofd hebben. Ja, ook ik ben een grote fan van Bol.com en kijk er altijd naar uit als er weer een pakketje bezorgd is. Maar ook een bedrijf als Bol.com ontkomt er niet aan.

En nee, het mag dan zo zijn dat ze zelf niet gehackt zijn maar zijn zij ook niet verantwoordelijk voor hun leveranciers? Sterker nog. Juist een bedrijf als Bol.com, dat met name bestaat bij de gratie van haar leveranciers moet er op toezien dat ook die zich aan de regels houden.

Het imago is een kostbaar goed en Bol.com heeft er jaren hard aan gewerkt om dat imago te krijgen waar het nu is. Het kan niet zo zijn dat een leverancier te makkelijk met de beveiliging omgaat waardoor het imago van Bol.com een deuk oploopt.

Overigens zal dat met dit bericht nog meevallen. Het imago van Bol.com is te goed en het bericht is te klein (en te snel weggemoffeld). Slechts weinig mensen zullen dit bericht hebben gelezen. Laat het daarom een goede waarschuwing zijn voor alle bedrijven die zaken doen met leveranciers (ieder bedrijf) en dat hiervoor gegevens deelt met die leverancier (ook ieder bedrijf).

Je kunt zelf je informatiebeveiliging nog zo goed op orde hebben, als je leveranciers dat niet hebben loop je nog steeds een groot risico. Daarom goede afspraken maken met je leveranciers, ook als het gaat om informatiebeveiliging. Ook periodiek controleren of je leveranciers wel aan jouw standaarden voldoen. En hebben we het over dit soort standaarden dan moet je er als bedrijf natuurlijk zelf ook voor zorgen dat je informatiebeveiliging op orde is.

Het staat nogal knullig als jij het slechter voor elkaar hebt dan je leveranciers. Informatiebeveiliging kunnen we pas goed regelen als we het in de keten aanpakken en daarvoor moet de sterkste schakel in die keten (en dat is in dit geval Bol.com) voorop lopen en het goede voorbeeld geven.

Nou, van mij krijgen ze nog het voordeel van de twijfel maar als het vaker gebeurt dan ga ik toch eens kijken wat er nog meer op internet te halen is bij concurrenten van Bol.com.

Beveiligingseisen in de keten

Ja hoor, hier is hij weer: de keten is zo zwak als de zwakste schakel. Hoe vaak hebben we dat inmiddels niet genoemd? Misschien te vaak, maar toch geldt ook voor de eisen de we stellen aan beschikbaarheid, exclusiviteit en integriteit dat we over onze eigen grenzen heen moeten kijken om het goed te regelen.

Daarom de volgende vraag:
Zijn de eisen ten aanzien van de waarborging van de beschikbaarheid, exclusiviteit en integriteit in de systeemketen (IV-keten) afgestemd?

Allemaal erg leuk en aardig als we ons huis op orde hebben, maar wat als de buren er een zooitje van maken? Hoe ziet de straat er dan uit? Juist. Intern mogen we dan hard werken aan verdere professionalisering van onze bedrijfsprocessen en informatiesystemen, maar deze staan veelal niet los van de systemen die leveranciers of andere interne afdelingen aanbieden. Heeft de leverancier zijn zaakje niet op orde dan ondervinden wij daar last van en als wij daar last van ondervinden dan ondervinden onze klanten daar nog meer last van. De vraag is zomaar wie dat wordt aangerekend? Weet de klant eigenlijk wel dat we dat systeem hebben uitbesteed of schaadt het juist ons imago als het fout gaat?

Meestal is het laatste het geval en voor de klant natuurlijk terecht. Die heeft immers helemaal niets te maken met jouw leveranciers. Nee, hij of zij wil gewoon een dienst geleverd krijgen, daarvoor wordt goed geld betaald en jij moet er maar voor zorgen dat de keten werkt.

Stel je koopt een paar gloednieuwe schoenen bij de schoenwinkel. Je kiest voor kwaliteit en die kwaliteit heeft uiteraard een prijs. Na 2 dagen zit er al een gat in je zool en je gaat terug naar de schoenwinkel. De schoenwinkel kan natuurlijk zeggen dat het aan de fabrikant ligt, maar daar heb jij geen boodschap aan. Nee, de schoenwinkel moet gewoon een nieuw paar leveren en gaat maar lekker zelf in conclaaf met de fabrikant of importeur. Zo ook voor informatiesystemen. Als consument koop ik een dienst, daar betaal ik voor en of je leverancier het nu goed doet of niet, ik wil gewoon gebruik maken van die dienst en daar heb jij voor te zorgen.

Leuk dus dat wij allemaal eisen stellen aan de beschikbaarheid, exclusiviteit en integriteit van de informatie. Maar als de keten inderdaad zo zwak is als de zwakste schakel dan zullen we in overleg moeten met die zwakste schakel. Kan hij voldoen aan onze eisen? Moeten we aanvullende maatregelen nemen? Of moeten we accepteren dat we de eisen naar beneden toe bijstellen?

Leuk dat we een eis stellen van 99,9% beschikbaarheid voor een applicatie, maar als die applicatie gebruik maakt van het internet…welke beschikbaarheid is gegarandeerd door onze internetprovider? Als we voor ons netwerk een garantie afgeven van 95%, kunnen we dan voor afzonderlijke applicaties 99,9% garanderen?

Hier is een waarschuwing op zijn plaats. Er worden hoge percentages geroepen naar de klant toe (en daar betaald de klant grof voor), maar wat houdt dat percentage precies in? Of anders gezegd: wat is de scope? Het kan zijn dat er voor een applicatie bijvoorbeeld 99,9% wordt afgegeven maar dat het netwerk buiten de scope valt. Als je niet oplet betaal je kapitalen terwijl de end-to-end beschikbaarheid eigenlijk niet gegarandeerd kan worden. Leuk dat die applicatie gewoon doordraait (in het rekencentrum) als het internet een storing geeft, maar op afstand kunnen wij ons werk niet doen omdat de applicatie niet benaderbaar is, en daar ging het nu toch juist om?

Nee, ook bij het stellen van eisen aan de beschikbaarheid, exclusiviteit en integriteit moeten we goed kijken dat het geen wassen neus wordt en dat we niet teveel betalen. Als de zwakste schakel “slechts” 90% kan garanderen dan moeten we geen 99,9% aan de klant verkopen…tenminste als we integer willen zijn. Bij het stellen van de eisen moeten we dus een goede analyse loslaten op de keten, willen we de eisen naar boven toe bijstellen dan zal dat doorgevoerd moeten worden in die gehele keten. De dooddoener blijkt maar weer eens waar te zijn: de keten is zo zwak als de zwakste schakel.

Beveiligingseisen in contracten

De keten is zo zwak als de zwakste schakel, een mooi gezegde en misschien een dooddoener, maar toch waarheid als een koe als je het mij vraagt. Ok, vaak horen we dat de zwakste schakel in het geheel van informatiebeveiliging het personeel is. Misschien waar, misschien niet. We moeten er zeker alles aan doen om de medewerkers mee te krijgen in onze beveiligingsaanpak, want een belangrijke rol spelen ze zeker.

Vandaag gaan we niet in op de medewerkers maar juist op de keten. Als organisatie staan we niet los van de wereld maar we maken onderdeel uit van een bedrijfskolom. Toeleveranciers en afnemers en ergens in het midden staan wij (of aan het begin of eind natuurlijk). Als de keten zo zwak is als de zwakste schakel moeten we dus ook goed kijken naar hoe onze leveranciers en afnemers hun beveiliging hebben ingericht. Wij willen zelf niet de zwakste schakel zijn, maar willen ook zeker niet dat de anderen er een potje van maken. Juist daarom de volgende vraag:

Wordt in contracten met derden ingegaan op de beveiligingseisen die over en weer gesteld mogen worden?

Zo, dat is nogal een vraag en gelukkig hebben we allerlei Service Level Agreements afgesloten. Juist, hartstikke goed zeker een eerste stap. Maar hebben we in die SLA ook afgesproken hoe we omgaan met de beveiliging? Hoe we de beschikbaarheid, integriteit en exclusiviteit geborgd hebben? Dat we audits uit mogen voeren bij onze leveranciers (en doen we dat dan ook)? Weet je dat zeker? Misschien zijn we op een mooi punt aangeland om nog eens kritisch naar onze SLA’s te kijken.

Een beveiligingsparagraaf nemen we voortaan op in onze SLA’s. Hoe die er exact uit moet zien hangt heel erg van de diensten af die we afnemen. Maar als we eisen gaan stellen aan onze leveranciers en onze afnemers dan mogen we zelf niet de zwakste schakel zijn, zelf blijven we dus ook kritisch op onze aanpak.

Ok, de bezwaren zijn me bekend. Die leverancier moet dat maar lekker zelf regelen en als het misgaat dan kan hij een claim verwachten. Op zich prima, maar misschien wat kortzichtig. De claim is altijd gemaximaliseerd en inzicht ontbreekt vaak in hoe goed of slecht de leverancier het voor elkaar heeft.

Maar stel nou dat je een autofabrikant bent…laten we Toyota als voorbeeld nemen. Jij krijgt je remmen aangeleverd door een leverancier. Schroeft ze op de auto en hop, naar het dealerkanaal. Na verloop van tijd kom je er achter dat de remmen toch niet helemaal functioneren zoals je wilt en je roept voor de zekerheid alle auto’s van een bepaald type terug voor herstelwerkzaamheden. Gelukkig kun je een claim neerleggen bij de remmen leverancier die de kosten dan maar moet vergoeden. Nog los van het feit of je remmen leverancier over de middelen beschikt om al die kosten voor zijn rekening te nemen (bij faillissement geldt: van een kale kip valt niet te plukken…en je bent een leverancier kwijt), maar denk je nu echt dat al die Toyota rijders zich bedenken dat het de schuld is van de leverancier? Nee, Toyota loopt in dit voorbeeld imagoschade op…en die is vele malen hoger dan de claim die neergelegd kan worden bij de leverancier.

Kortom: we zorgen er eerst zelf voor dat we de informatiebeveiliging goed op orde hebben maar direct daarna gaan we ook in op de beveiliging bij onze leveranciers en afnemers. Zo versterken we de gehele keten en zorgen we voor echte continuïteit. We willen juist de claims voorkomen en willen onze leveranciers en afnemers graag helpen. Doen we het op deze wijze dan wordt de band tussen onze organisatie en alle andere partijen alleen maar versterkt.

De put dempen als het kalf verdronken is

E-mailaanbieder en marketingbureau Epsilon is na de recente diefstal van miljoenen e-mailadressen weer begonnen met het versturen van marketing e-mails. Aanvallers wisten toegang tot de gegevens van meer dan 50 bedrijven te krijgen die bij Epsilon klant zijn…In een nieuwe verklaring laat Epsilon weten dat er alleen e-mailadressen en namen zijn gestolen, en er geen persoonlijke identificeerbare informatie, zoals social security nummers of creditcards, zijn buitgemaakt…Wel maakt het bedrijf zich zorgen dat vanwege het incident “grote klanten” zullen vertrekken. Het terugwinnen van het vertrouwen van de klanten heeft dan ook op zowel korte als lange termijn de hoogste prioriteit. Daarnaast maakt Epsilon nogmaals excuses voor het datalek (bron).

Excuses niet aanvaard…en nu? Als klant heb je natuurlijk niet zoveel keuze. Je kunt best weglopen bij het bedrijf, maar het leed is al geschied. De e-mailadressen en namen liggen op straat.

Natuurlijk kan ik je hier nogmaals vertellen dat het bij informatiebeveiliging eigenlijk maar om drie zaken gaat: omzet, kosten en imago. Maar dat gaan we niet doen, omdat Epsilon inmiddels ook wel weet dat, dat het echte probleem is.

Nee, laten we nu maar eens de keten aanhalen. Zoals we weten (althans, we zeggen dat we dat weten) is de keten zo zwak als de zwakste schakel. Dat is niet alleen zo in een ketting, maar bijvoorbeeld ook in een logistiek proces. Als de grondstofleverancier niet kan leveren, dan komt mijn eindproduct nooit bij de consument.

Maar trek nu eens de parallel naar informatiebeveiliging? Meer en meer organisaties beschikken over elkaars gegevens of kunnen bij elkaar in de systemen. Hartstikke prettig dat ik als organisatie dan ISO-gecertificeerd ben, maar hoe zit het met mijn leverancier en afnemers? Zijn die wel net zo bezorgd om beveiliging van de gegevens als dat wij dat zijn?

Uiteraard sluiten veel organisaties SLA’s af om zeker te kunnen zijn van een bepaalde mate van dienstverlening. Daarin nemen we ook graag de optie op om de leverancier te mogen auditen. Een goede beveiligingsparagraaf ontbreekt echter nog vaak in de SLA en controleren van de beveiliging doen we al helemaal niet, stel je voor.

Zolang de ketens steeds meer van elkaars systemen gebruik gaan maken is een eenzijdige aanpak van informatiebeveiliging niet voldoende meer. Nee, willen we de risico’s echt afdekken dan zullen we toch echt naar de hele keten moeten kijken.

Is dat dan zo makkelijk? Nee, natuurlijk niet maar het oplossen van je eerste Sudoku puzzel was dat ook niet, nu los je die puzzeltjes in een paar minuten op. Was je er toen nooit mee begonnen dan was het nu nog steeds zo ingewikkeld. Dat zelfde geldt net zo hard voor de controle van de keten: natuurlijk is het niet makkelijk, maar bedenk dat het over een jaar nog net zo ingewikkeld is als we niet nu al beginnen.

Wat ik voor je kan betekenen? Dat leg ik je graag uit, maar laten we eerst beginnen met het op orde brengen van de informatiebeveiliging binnen jouw organisatie voordat we naar de keten kijken…je wilt immers niet tot de conclusie komen dat jij de zwakste schakel bent.