Need for speed versus risk appetite

 
14 juni 2019

Tekst Marco Gianotten

Voor de meeste organisaties geldt dat zij niet gebouwd zijn voor snelheid. Begrijpelijk dus dat als er vanuit de boardroom wordt gepleit voor vergroting van de wendbaarheid en snelheid, er iemand op de rem trapt. Hoe houd je oog voor de balans tussen snelheid en compliance? Falen is een feestje, totdat blijkt dat je data op straat liggen als gevolg van een openstaande achterdeur. Hoge snelheden vergroten niet alleen je brandstofverbruik, maar zorgen ook voor meer risico’s en verkorten de tijd die overblijft om bij te sturen. In dit hoofdstuk geven we context en tips zodat versnelling bijdraagt aan duurzame resultaten.

De belofte van de digitale transformatie is aantrekkelijk en veelbelovend: onze organisaties worden slimmer, sneller en wendbaarder. Als we de serviceproviders moeten geloven, ligt de basis daarvoor in onze IT-omgeving. Infrastructuur wordt flexibeler en meer schaalbaar, software wordt kneedbaar en eindelijk kunnen we waarde creëren met de gigantische hoeveelheden data die we hebben opgeslagen. Allemaal met als doel gerichter en sneller te kunnen vernieuwen, zodat we onze klanten beter kunnen bedienen.

Dat versnelling een relatief begrip is, kwam naar voren in een gesprek dat Giarte had met Hans Koolen, senior Director Commercial IT en Tech Innovation bij Philips. Koolen vertelde daarin over een presentatie die Adrian Cockroft (voormalig CTO Netflix) aan Philips gaf. Een van de vragen die Cockroft aan het Philips-team voorlegde, was hoe snel Philips nieuwe software kon releasen. “Twaalf keer per jaar was ons antwoord. Trotse gezichten verbleekten snel toen Cockroft aangaf dat zij ook op twaalf releasemomenten zaten, maar dan per uur.”
Koolen laat hiermee zien wat de digitale transformatie werkelijk is: naast enorme tempoverschillen ook enorme versnelling (voor het streamingtijdperk was Netflix een logistiek verhuurbedrijf dat net als elk ander groot bedrijf op SAP draaide en cd-roms verzond) en een volledig overhoopgehaald speelveld (Philips concurreert in digital health met techgiganten als Google en Amazon enerzijds en razendsnel opkomende start-ups anderzijds).

Versnelling heeft direct impact op IT

Voor steeds meer organisaties geldt dat ze nog maar twee à drie jaar vooruit kunnen kijken.
Die tijd is nodig om te kunnen inspelen op nieuwe kansen en bedreigingen. Die nadruk op versnelling en flexibilisering heeft de afgelopen tijd ertoe geleid dat IT-landschappen in rap tempo veranderen in cloudgebaseerde ecosystemen boordevol microservices en API’s. Nieuwe functionaliteit wordt doorlopend ontwikkeld en bovendien steeds vaker op gebruikersniveau gepersonaliseerd. Om te versnellen worden nieuwe ontwikkelmethodieken gelanceerd, die er soms voor zorgen dat oude uitgangspunten voor beveiliging en compliance op de achtergrond raken. Soms passen oude uitgangspunten niet meer vanzelfsprekend in een nieuwe wereld – bijvoorbeeld omdat bij de toepassing van containers (technologie) of gedistribueerde DevOpsteams (werkwijzen) de securityspecialisten gewoonlijk meer op afstand staan, of waarbij principes van hardening (het beperken van onnodige en ongebruikte functies van infrastructurele componenten voor het uitsluiten van beveiligingsrisico’s) verlaten worden. Als oude IT vanwege keuzes binnen grootschalige rationalisatieprogramma’s niet kan worden afgeschaft, wordt het afgestoft. De ballast van een veelheid aan verouderde systemen wordt voor de eindgebruikers dan weggemoffeld via oplossingen zoals API’s, geïntegreerde user interfaces en single sign-on.

 

Versnelling verandert werkwijzen

Eindgebruikers gaan niet alleen anders met IT om, maar werken ook op nieuwe manieren samen. In sommige organisaties worden ‘interne start-ups’ opgetuigd, in andere gevallen wordt gekozen voor open innovatie en ketensamenwerking waarbij bedrijven toegang krijgen tot delen van elkaars ecosysteem. En tot slot dringen consument en bedrijf steeds dieper door in elkaars leven. Energiebedrijven willen graag bij de consument in de woonkamer komen (‘achter de meter’), de medische sector zou onze gezondheid het liefst de hele dag monitoren, online retailers gebruiken machine learning zodat ze in staat zijn een antwoord te geven op een nog niet gestelde vraag, of een nog niet besteld product alvast kunnen klaarzetten voor verzending. Tegelijkertijd is een bedrijf zonder een frictieloze customer experience kansloos: onderdeel daarvan is digitale interactie en selfservice waarbij niet de medewerker, maar de consument zijn eigen CRM-records vult. Dat levert nieuwe risico’s op.

De chief paranoia officer

Haaks op deze versnellende wereld staan beleidsgebieden als security en compliance, in de wandelgangen ook wel aangeduid als ‘the departments of No & Slow’. Daar zijn grondigheid, zorgvuldigheid en volledigheid aan de orde. Want je kunt niet ‘een beetje voldoen’ aan wet- en regelgeving. En als het gaat om het monitoren en mitigeren van bedreigingen, volstaat het niet om eenmaal per week een sprintje te trekken. Terwijl de business aan de slag wil met minimum viable products en pilots – óók in de echte wereld, waar echte klanten rondlopen – checkt de compliance- afdeling of alle vinkjes wel zijn gezet. Hoe ouder een organisatie en hoe meer regulering, des te krachtiger de rol van de chief paranoia officer zal zijn. Bij ieder risico dat – al is het maar in theorie – bekend is, staan de toezichthouders voor de opdracht deze te classificeren: kans maal impact. De uitdaging om de balans tussen ‘snelheid’ en ‘risico’ te bewaken is het grootst in sterk gereguleerde sectoren zoals de luchtvaart, de financiële en de medische sector. De behoefte aan modernisering is immens: denk aan banken en PSD2, verduurzaming in de luchtvaart of aan gepersonaliseerde gezondheidszorg. Juist deze sectoren hebben door hun geschiedenis te maken met uitgebreide wet- en regelgeving die de versnelling afremt

Wet- en regelgeving

Dat de chief paranoia officer op de rem trapt terwijl de DevOps-teams gas geven, is begrijpelijk. Het aantal normenkaders voor de beveiliging en de bescherming van gegevens, infrastructuren en consumentenbelangen rondom digitale diensten waar de chief paranoia officer mee te maken heeft, neemt in omvang toe. De meeste regelgeving is gericht op het beheersen van risico’s en het beschermen van consumenten. Voor financiële bedrijven was er al sinds 2004 de internationale Payment Card Industry (PCI) Data Security Standard. In 2018 is de Algemene Verordening Gegevensbescherming (AVG of GDPR) ingevoerd. Eerder al was er de Wet meldplicht datalekken die geregeld in het nieuws komt. In november 2018 is ook een andere wet ingevoerd: de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze wet is een afgeleide van de Europese NIS Directive, een richtlijn die voorschrijft dat EU-lidstaten hun vitale infrastructuur goed beschermen (zorgplicht) en dat incidenten worden gemeld. Het gaat hierbij dus om de weerbaarheid van organisaties. De Wbni geldt voor aanbieders van vitale diensten (van essentieel belang voor het goed functioneren van de Nederlandse samenleving en economie), denk aan de energiesector, de financiële sector en de vervoerssector. Naast de vitale aanbieders geldt de Wbni ook voor digitale dienstverleners zoals clouddienstverleners, marktplaatsen en zoekmachines met meer dan vijftig medewerkers, meer dan 10 miljoen euro omzet en een Europese hoofdvestiging in Nederland. Daarnaast hebben overheidsorganisaties sinds 2004 te maken met normenkaders voor het ontwikkelen en onderhouden van veilige software: denk aan Secure Software Development (SSD ), opgesteld door het Centrum voor Informatiebeveiliging en Privacybescherming, en de Baseline Informatiebeveiliging Overheid (BIO).

Taakverdeling anders organiseren

In het watervaltijdperk was er binnen het voortbrengingsproces van software alle tijd om in het functioneel ontwerp (FO) en technisch ontwerp (TO) te beoordelen of aan eisen werd voldaan, bijvoorbeeld de wettelijke bewaartermijn voor data. Met de opkomst van DevOps en CI/CD is het voortbrengingsproces drastisch veranderd: nieuw ontwikkelde code wordt constant in productie gebracht. Als auditors nieuwe software achteraf toetsen, kan dat opleveren dat DevOps-teams terug moeten naar de tekentafel. Dat haalt de snelheid uit de versnelling.

De oplossing zit in het anders organiseren van de taakverdeling in het voortbrengingsproces van software. Naast technische kwaliteit moet ook compliance onderdeel gaan uitmaken van het DevOps-proces. Dat kan door teams die code ontwikkelen en zelf in productie brengen ook zelf verantwoordelijk te maken voor het risicomanagement en de afstand tot auditors ingrijpend te verkleinen. Auditors kunnen bij teams door middel van een pull list aangeven over welke control objectives en controleprocedures zij informatie willen hebben vanuit de teams.
De teams analyseren vervolgens welke bedrijfsrisico’s er zijn (risico’s zoals het verlies aan omzet door outages, fraude, datalekken, integriteit van financiële data en ongeautoriseerde toegang tot klantdata).
Elk valide bedrijfsrisico vergt controlemaatregelen om het risico te minimaliseren en te mitigeren (denk aan maatregelen zoals peer reviews van code, traceerbaarheid van alle production deployment met tickets, predefinitie van inbound en outbound dataconnecties). Deze bedrijfsrisico’s worden vaak per cluster in kaart gebracht: denk aan e-commerce, finance en supply chain. Het zijn interne risico’s – ze staan los van bedreigingen van buitenaf zoals cyberaanvallen. Het is aan de teams om de control strategy te documenteren en te volgen. Deze aanpak vereist ook dat bedrijven investeren in het borgen van kennis binnen teams, bij architecten en businessanalisten, bijvoorbeeld via de registeropleiding tot Certified Integrity Specialist (CIS).

Iedereen gaat coderen

Steeds meer zullen ook businessanalisten, online marketeers en data scientists zelf rapportages, updates, integratie van interfacetabellen verzorgen en configuratieopties aanmaken en implementeren. Tussen het definiëren van de eisen vooraf en het valideren achteraf zat vroeger een ontwikkelaar. Tegenwoordig worden deze changes steeds meer standard changes waarbij de Change Advisory Board wordt overgeslagen. Dat betekent dat er een sluitende change control procedure nodig is om een wijziging vooraf goed te keuren als standard change. Change control beschrijft onder meer de componenten van het systeem waarop de change impact heeft, het type change, de persoon die de change aanmaakt en het gevolgde peer-review proces. Dat laatste zorgt ervoor dat er een separation of duties (SoD) is in de vorm van een four-eyes principle.

Tot besluit

Tot slot het volgende. Falen wordt in IT geregeld gepresenteerd als een manier om te leren. Agile en DevOps hebben hun oorsprong in development; een nieuw kantoorpand bouwen op een agile wijze is misschien niet zo’n goed idee. Agile werken is een van de vele instrumenten in een toolbox, waarbij het tool geen doel is maar een middel dat moet aansluiten op een context. Onbezonnen falen heeft bovendien vaak een prijs – in de vorm van stagnatie, reputatieschade of zelfs financiële schade, bijvoorbeeld als een datalek leidt tot een boete. In de nieuwe wereld gaan autonomie, professionaliteit, vrijheid en bevoegdheden samen met verantwoordelijkheid.

Hoe kun je de twee werelden risk & speed beter laten samenwerken?

1. Wat is het gemeenschappelijk doel?

Probeer de uitdaging te herformuleren als businessprobleem dat snel en veilig moet worden opgelost. Het gaat daarbij niet om het realiseren van de output (het probleem is weggewerkt), maar om de outcome (de purpose wordt gediend).

2. Zet alle stakeholders die dit doel nastreven bij elkaar
Neem ook de risk officer op in het productteam. Hierdoor wordt de risk officer volop voorzien van context en wordt hij/zij onderdeel van het doel dat je wilt bereiken. Dat is de beste uitgangspositie om risico’s juist te kunnen benoemen – zodat andere teamleden of beslissers onderbouwde afwegingen kunnen maken.

3. Veilige versnelling vraagt om een risk officer die kan denken in alternatieven
De Chief Risk Officer is in de meeste bedrijven overwegend reactief. Iemand die risico’s moet bewaken, denkt in termen van bedreigingen en beperkingen. De CRO of CISO wordt afgerekend op KPI’s die met de realisatie van veiligheid te maken hebben. Zet de risk officer niet in een staffunctie, waardoor hij of zij als enige verantwoordelijk wordt voor veiligheid en compliance en waardoor de functie het karakter van een loket krijgt: hoe komen we er langs, hoe verkrijgen we ons vinkje?

4. Post-mortem wordt pre-mortem: vooraf al inzichten vergaren die bijdragen aan succes
Moet je leren van je fouten of moet je Proberen vooraf fouten te vermijden? Door je vooraf af te vragen wat er allemaal zou kunnen misgaan (pre-mortem), verklein je de kans op falen. Bij post-mortems vragen we vooral naar het verleden en naar het waarom; bij pre-mortems kijken we naar de toekomst en zijn we geneigd naar het ‘wat’ te kijken. Met een pre-mortem ga je uit van het ergste wat er kan gebeuren; je verzamelt vooraf faalfactoren en verzint daar tegelijkertijd alvast oplossingen bij. Welke risico’s accepteer je wel en niet? Wat zijn de mitigatiekosten en wat is de mogelijke schade als je niets doet? Vaak hebben business owners een relatief zwak ontwikkeld overzicht en inschattingsvermogen van risicofactoren zoals kans en impact. Het is ook het beste vertrekpunt om te kunnen meedenken over alternatieve mogelijkheden in plaats van ‘kan niet’.

5. Creëer ruimte om te falen
Wanneer bedrijven bij versnelling gaan werken met pilots en minimum viable products, zullen ze primair de impact van risico’s laag moeten houden. Dat kan op verschillende manieren: door risico’s te verkleinen, door de kans te verkleinen of door de impact te reduceren. Met sprints vermijd je het risico dat je acht of negen maanden voor niks werkt. We maken de wereld als het ware steeds kleiner: ontwikkelprocessen worden in steeds kleinere stappen opgedeeld. Die doorlopende verkleining vergroot wel de complexiteit. Er is meer managementaandacht nodig; er moeten meer beslissingen genomen worden. Ook geautomatiseerd testen draagt bij aan het verder reduceren van risico’s. Daarnaast kun je data die worden gebruikt anonimiseren of versleutelen. Ook kan functionaliteit of connectiviteit beperkt worden, bijvoorbeeld door containerized te werken.

6. Design for speed
Een Porsche heeft andere eigenschappen (een andere constructie, andere veiligheidssystemen) dan een Fiat Panda. Een Porsche is gebouwd voor snelheid, is beter wendbaar en beschikt over remmen die zwaarder belast kunnen worden. Iemand die 250 kilometer per uur wil rijden, kan dat dus beter in een Porsche doen dan in een Fiat Panda. Bedrijven zullen hun IT moeten afstemmen op de wens om meer snelheid te maken. Cruciaal is de beoogde outcome van die versnelling. Moet de gehele organisatie versnellen of is het vooral belangrijk dat specifieke onderdelen binnen IT tempo gaan maken? Gaat het – vanuit het perspectief van een financiële dienstverlener – om het verkorten van het gehele hypotheekverstrekkingstraject of gaat het vooral om het zo snel mogelijk kunnen uitbrengen en laten accepteren van een offerte? Het antwoord op deze vraag is bepalend voor de wijze waarop je de scope van je project afbakent. En dat is weer het vertrekpunt om de impact van en de kans op eventuele problemen te verkleinen. Bijvoorbeeld door bij API’s de business rules zo streng te maken dat alleen de hoogstnoodzakelijke gegevens worden uitgevraagd richting een andere applicatie.

7. Denk na over het ‘energieverbruik’ in de organisatie
Omgevingsbewust zijn, snel reageren, flexibel inspelen op verandering: ‘fail fast’ en ‘fail often’ is iets voor de uitvind- en laboratoriumhoek en de start-upwereld. Maar met het in de lucht houden van honderd experimenten per week is het de vraag wat er overblijft van ‘de versnelling’. Zoals gezegd vergt dat veel aandacht van managers en coaches: alle activiteiten moeten worden gemonitord en geadministreerd. Het risico is hierbij niet alleen dat we doorslaan in het omarmen van één manier van werken, maar ook dat we te weinig focus aanbrengen. Van die honderd experimenten per week haalt maar een klein deel de eindstreep. Vandaar ook de relatie met tip 4: in een wereld van toenemende complexiteit wordt pre-mortem steeds interessanter als benadering voor het tegengaan van kapitaalvernietiging. First time right is duurzamer. Kleine start-ups hebben minder te verliezen en kunnen volop veel en vaak falen, de impact is laag. Maar het overgrote deel van de organisaties is geen start-up.