10 oorzaken waardoor een project kan mislukken

In onze zoektocht naar redenen waarom projecten mislukken, stuitten we op de volgende oorzaken:

  1. Een project zonder duidelijke business case opstarten
  2. Een medewerker aanstellen als projectmanager die geen specifieke projectkennis heeft
  3. Geen risico inventarisatie en evaluatie houden
  4. Het telkens opnieuw formuleren en bijstellen van de business requirements
  5. Niet voldoende materiële en personele inzet aan het project toewijzen
  6. Geen draagkracht voor het project of de uitkomsten ervan binnen de organisatie
  7. Een incorrect of helemaal geen plan van aanpak
  8. Wel een plan van aanpak, maar geen of onjuiste project en activiteitenplanning
  9. Geen of te weinig support van het hoogste bestuur in de organisatie
  10. Niet de juiste vakgebieden en belanghebbende voor het project geselecteerd

Met CORE kijken we naar punt 3. Geen risico inventarisatie. Maar de oorzaak waarbij de complexiteit wordt onderschat komt niet in bovenstaand lijstje voor. Toch is het een van de redenen waarom projecten mislukken.

Naast de business case, waarin met name de positieve opbrengsten in kaart worden gebracht, moeten we bij het besluit om een project wel of niet op te starten juist ook kijken naar de complexiteit van dat project.

Hoogleraar: ‘Bedrijven denken te licht over beveiliging’

NIJMEGEN – Veel bedrijven denken te licht over het online beveiligen van klantgegevens. Dat zei hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit in Nijmegen dinsdag. Volgens Jacobs moeten bedrijven bij het opzetten van een ICT-project er rekening mee houden dat een kwart van het budget moet worden geïnvesteerd in het beveiligen van de website en daarbij de klantgegevens. (bron)

Als een hoogleraar het zegt dan zal het wel waar zijn, toch? En deze hoogleraar kan ik natuurlijk alleen maar bijvallen. Er wordt inderdaad te licht gedacht over beveiliging en daar moet vanaf heden verandering in komen. Tenminste als het aan mij ligt, maar dat roep ik natuurlijk al jaren en dat blijf ik ook roepen. Op een gegeven moment moeten anderen dat dan toch overnemen?

Veelal zien we trouwens dat beveiliging nog steeds niet begrepen wordt. De gevolgen uiten zich dan inderdaad in een beveiligingsincident, maar de oorzaken liggen meestal buiten het vakgebied. Incidenten worden bijvoorbeeld veroorzaakt door onbekendheid met beveiliging, door gebrek aan patchmanagement, door bezuinigingen op de verkeerde gebieden en ga zo nog maar even door.

Natuurlijk moeten we niet de hele beveiliging in 1x volledig dicht willen timmeren. Dat is ook helemaal niet nodig (en enorm kostbaar). Wat we wel kunnen doen is ervoor zorgen dat we bij alle nieuwe ontwikkelingen beveiliging ook meenemen. Dat doen we niet door uit te gaan van de beveiligingsmaatregelen, maar door de risico’s die we af willen dekken. Doen we dat op de juiste manier dan zullen we minder en minder risico’s lopen (nieuwe zaken zijn immers al redelijk beveiligd).

Vervolgens kijken we naar alle zaken die we nu al in beheer hebben. Daarbij kijken we goed naar de meest kritische bedrijfsprocessen en de daarbij behorende kritische informatiesystemen (uiteraard in termen van: beschikbaarheid, exclusiviteit en integriteit). Op basis daarvan kunnen we dan ook de grootste risico’s in de operatien wegnemen.

Zo werken we het “achterstallig” onderhoud weg en voorkomen we dat onveilige systemen in productie gaan. De komende jaren zorgen we er steeds voor dat er meer en meer bestaande systemen beter beveiligd worden en over een aantal jaar hoeven we ons al een stuk minder zorgen te maken.

Maar, zoals gezegd, zijn de oorzaken voor de beveiligingsincidenten vaak gelegen buiten het vakgebied. We moeten dus zorgen voor zogenaamd “goed huisvaderschap”. Daar profiteert niet alleen de beveiliging van maar het zorgt er ook voor dat we op andere gebieden “in control” raken. Sterker nog, het zou zomaar zo kunnen zijn dat hierdoor ook de efficiëntie binnen de organisatie toeneemt.

Vergezocht? Nou, dat valt volgens mij wel mee. Kijk nog even naar patchmanagement. Dat zorgt er niet alleen voor dat de systemen voorzien zijn van de laatste patches, maar zorgt er ook nog eens voor dat nieuwe functionaliteiten in de systemen worden doorgevoerd. Je werkt toch ook niet meer met wordPerfect 6.1? Nee, je bent inmiddels gewend geraakt aan de nieuwst Office versie van Microsoft en die heeft het voor een berg mensen makkelijker gemaakt om brieven te typen, toch?

Nou dan, waarom zorgen we er dan niet voor dat we voor andere systemen ook over de laatste patches beschikken? Komt het omdat we het niet weten of omdat we het niet willen? Zo zie je maar, de gevolgen uiten zich als beveiligingsincident maar de oorzaken liggen ergens anders.

5 oorzaken van een falende beveiliging

Stonden we gisteren nog in de top 5 van best beveiligde landen, dan kunnen we hier zien wat de 5 oorzaken van een falende beveiliging zijn.

1 De zwakste schakel
2 Proprietary versus open standaarden
3 Goede oplossingen voor het verkeerde probleem
4 De mens is per definitie kwetsbaar
5 Gebruiksvriendelijkheid vergeten

Kortom: nog genoeg uitdagingen voor 2010 lijkt me.