Het heeft even geduurd, maar langzaamaan begint het toch tot ons door te dringen. Bij het onderwerp kwaliteit duurde het ettelijke decennia voordat de westerse industrie inzag dat een aparte kwaliteitsafdeling – die pas aan het eind van de lijn controleerde welke producten de norm niet gehaald hadden – een kostbare en heilloze weg was. En hetzelfde zien we nu rondom het nadenken over cyber en cloud security.
Er worden weliswaar nog geen bussen met managers naar vandaag’s equivalent van Japanse autofabrieken gevlogen, om ter plekke te ervaren dat kwaliteit ieders verantwoordelijkheid is en dat iedereen het recht (en de morele plicht) heeft om de lijn stil te zetten als men ziet dat er iets mis gaat. Maar dat is alleen omdat we nog niet zeker weten wat het hedendaagse equivalent van dergelijke security georiënteerde bedrijfsbezoeken zou moeten zijn. Is het een bezoek aan de hyperscale datacenters van Google of Amazon (als we daar al binnen mochten), of aan de burelen van diverse security start-up’s in Silicon Valley of Israël, of aan de cyber control rooms van een van de grote telco of accounting agencies met risk management practices? Of is een trektocht door China en Rusland voor het zelf ondergaan van cyber treath’s in the wild een meer realistisch scenario voor de moderne best practice zoeker?
Ik ben geen security expert maar voor mij zijn overeenkomsten tussen total quality en total security management wel heel opvallend. Het mantra ‘Zero Defects’ wordt ingeruild voor het even aantrekkelijk klinkende ‘Zero Breaches’ en ‘Design for Manufacturing’ wordt het net zo lekker bekkende ‘Design voor Security’. Met betrekking tot kwaliteit waren het goeroes als Demming die de weg wezen van (dure) kwaliteitscontrole op het eind van de productielijn naar kwaliteit continu en iteratief opgenomen in het ontwerp en het proces. Voor security wees het Jericho forum al sinds 2004 op het gevaar van louter focussen op perimeter security. In 2013 hief dit forum zichzelf op ‘op basis van bewezen succes’, maar toch is het vaak eng wat je allemaal kunt doen als je eenmaal binnen de firewall van menig onderneming of organisatie bent. Bij complete de-perimeterisatie heb je eigenlijk geen VPN meer nodig. Iedere applicatie beschermt zichzelf en bepaalt per gebruiker wat deze wel of niet mag. Maar naast e-mail en soms wat SaaS applicaties zijn er bij de meeste bedrijven nog niet echt veel bedrijfsapplicaties die op die manier bereikbaar zijn.
De komst van micro-services is een mooi moment om het security beleid eens onder de loep te nemen. Niet alleen omdat de security uitdagingen met microservices eerder groter dan kleiner worden, maar ook omdat met de komst van het Internet of Things beveiliging aan de bron steeds meer een vereiste wordt. Idealiter zal iedere micro-service zelf bepalen wie wel en wie niet toegang krijgt tot haar services. Daarnaast dienen deze micro-services afdoende beveiligd te zijn tegen pogingen van kwaadwillende krachten van buitenaf. Als al die beveiliging echter achteraf als after-thought aan deze microservices moet worden toegevoegd, dan wordt het geheel al snel onbetaalbaar. Externe security-oplossingen zijn namelijk even kostbaar als kwaliteitscontrole achteraf.
In Total Quality is er met betrekking tot het denken over kosten geen ‘optimaal’ defecten percentage. Geen punt waar het verder verminderen van defecten meer kost dan dat economisch verantwoord is. Uiteindelijk is het namelijk altijd goedkoper om dingen in een keer goed te doen, dan om 5% of 0.5% of zelfs 0.05% terug te moeten sturen voor reparatie, of erger, om klanten te moeten compenseren voor (vaak veel hogere) gevolgschade. En in manufacturing meten we daardoor defecten inmiddels al lang niet meer in percentages maar in (steeds vaker single digit) PPM ofwel parts per million.
Nu is security wel net iets als gezondheid. Het maakt niet uit hoe gezond je leeft, je kunt toch door – statistisch onverwachte maar desalniettemin heel vervelende – pech ernstig ziek worden. Vandaar dat security zich steeds meer uitbreidt van het preventief buitenhouden van bad guys, naar het monitoren of er wellicht al iets onbedoelds aan de hand is (denk aan het actief zoeken naar ziektesymptomen in een zogenaamde pre-scan) en naar het verminderen van de uiteindelijke impact van zo’n breach, door adequaat en snel ingrijpen op het moment dat er iets aan de hand is. En ook hiervoor is het nodig dat de hele organisatie zich steeds meer met security bezighoudt.
Total Madness was het verzamelalbum van de Engelse Ska revival band Madness. In het nummer ‘Our House’ bezingen ze hoe de familieleden initieel een beetje langs elkaar leven maar steeds meer samenwerken. Als het intro bekend voorkomt dan is dat door het gebruik als thema voor de inmiddels afgelopen RTL serie Divorce.