Verander risico: Bezuinigingen binnen de organisatie

Vandaag gaan we in op het risico: Bezuinigingen binnen de organisatie

Bezuinigingen binnen organisaties zijn op zichzelf al ingewikkelde projecten waarvan de uitkomsten onzeker zijn. Maar deze bezuinigingen kunnen ook invloed hebben op het project. Als de budgetten die we vooraf gevraagd hebben gedurende de uitvoering moeten worden verlaagd met 20% dan komen we ergens in de knoop.

Het budget is niet langer toereikend om het resultaat te bereiken. We kunnen proberen vast te houden aan het toegekende budget maar als dat niet mogelijk is dan moeten we prioriteiten stellen en zullen we een minder goed resultaat kunnen leveren.

Rechercheurs zijn druk met onnodig papierwerk

Gisteren zagen we al dat we nog wel wat geld kunnen bezuinigen als we wat minder burgers onterecht opsluiten. Vandaag zien we dat we nog wel meer geld kunnen bezuinigen bij de politie (en gelijk hun werk nog leuker maken ook…want ze zitten echt niet te wachten op die administratieve lasten).

Bij de politie zijn omgerekend 750 rechercheurs fulltime bezig met overbodig papierwerk. Dit blijkt uit een onderzoek van de Politieacademie. De rechercheurs schatten dat in totaal zeventig procent van hun werktijd opgaat aan administratieve handelingen. Voor bijvoorbeeld een doorsnee moordonderzoek zijn rechercheurs naar eigen zeggen alleen al vijfduizend uur bezig met het aanvragen van bijzondere opsporingsbevoegdheden (bron).

Vijfduizend uur, dat zegt je misschien niet zoveel maar voor de meeste Nederlanders geldt dat ze zo’n 1.600 uur per jaar werken. Dat betekent dus dat er, omgerekend, 3 man een heel jaar bezig om bijzondere opsporingsbevoegdheden te krijgen voor een doorsnee moordonderzoek. Dan wil je niet weten hoeveel uur het kost als het niet om een doorsnee onderzoek gaat.

En 750 rechercheurs die fulltime bezig zijn met papierwerk. Ik kan me niet voorstellen dat die rechercheurs dat het leukste deel van hun werk vinden. Als dat dan ook nog eens 70% van de tijd van een rechercheur uitmaakt dan hoef je niet jaloers te worden. Dat moet toch eenvoudiger kunnen?

Ik heb er zelf geen onderzoek naar gedaan, maar het lijkt me dat je “goedkopere” krachten moet kunnen vinden die dit werk voor de rechercheurs uithanden nemen. Nu wil ik niet gelijk zeggen dat we dit papierwerk naar India uit moeten besteden, maar een onderzoekje kan natuurlijk geen kwaad.

Graag zou ik eens willen onderzoeken hoe dit efficiënter kan en ik heb al wel wat ideeën in mijn hoofd zitten. Natuurlijk lijkt het direct of dat meer geld kost, maar dat hoeft helemaal niet het geval te zijn. We moeten kiezen: willen we er meer geld aan uitgeven dan zou het zomaar zo kunnen zijn dat we flink wat extra misdrijven op kunnen lossen. Willen we er niet meer geld aan uitgeven dan kunnen we (helaas) misschien afscheid nemen van een flink aantal rechercheurs (hopelijk met natuurlijke afvloeiing). De rechercheurs die we overhouden zetten we in voor echte rechercheurstaken en we zorgen ervoor dat er anderen zijn die het papierwerk voor het overgrote deel uit handen nemen.

Het zou zomaar kunnen zijn dat er een mooie business case te maken is. Heel benieuwd of we in tijden van bezuinigingen durven te onderzoeken hoe dit soort zaken efficiënter kunnen. Heel benieuwd ook wie deze business case verder oppakt.

Brandweer bij 1 op de 3 branden te laat

De brandweer is bij 33 procent van de branden te laat. Uit een nog vertrouwelijk onderzoek van de Inspectie Veiligheid en Justitie blijkt dat de brandweer juist bij de branden waar het risico op slachtoffers het grootst is, bijvoorbeeld in woningen en scholen, het vaakst te laat komt. Het duurt te lang voordat de meldkamer aard en adres van een noodsituatie doorgeeft aan de brandweer. Vervolgens duurt het te lang voor de brandweer uit kan rukken (bron).

Nu kunnen we, aan de hand van een dergelijk bericht, natuurlijk een wijzende vinger richten naar de brandweer. Maar wat mij betreft is dit een gevolg van de bezuinigingen die we de afgelopen jaren hebben doorgevoerd en de komende jaren nog door zullen voeren. Het is wachten op het moment dat de brandweer bij de helft van de branden te laat komt of het moment waarop we de tijd waarin ze aan moeten rijden verlengen. De normtijd is zo’n 8 minuten (en de aanrijtijd kan per gemeente verschillen).

Als de brandweer bij 1 op de 3 branden te laat komt, dan passen we de normtijd toch gewoon aan naar 12 minuten? Grote kans dat ze de norm dan wel halen en we er geen extra geld in hoeven te stoppen. Ook een grote kans trouwens dat we veel meer gevolgschade en meer slachtoffers hebben, maar ja, als je je kop in het zand steekt dan merk je daar weinig van.

De komende jaren zullen we meer en meer moeten bezuinigen en ook de hulpdiensten zullen hun steentje bij moeten dragen. Dat zal zijn gevolgen hebben. De aanrijtijden van Ambulance, Brandweer en Politie zullen niet meer gehaald worden en de kwaliteit van hun dienstverlening zal verlagen. Geen prettig vooruitzicht, als je het mij vraagt.

Genoeg is genoeg, zou ik zeggen en als ik onderdeel uitmaakte van dergelijke hulpdiensten dan zou ik toch een noodkreet laten horen voordat er vanuit een ivorentoren wordt opgelegd dat er nog meer bezuinigd moet worden.

Negeren Windows updates nekt CheapTickets.nl

Gisteren hadden we het nog over de FBI-topman die graag een tweede internet wil omdat daar dan de kritieke systemen onderling veilig kunnen communiceren. Daarbij gaf ik ook al aan dat er naast zware technische aanvallen ook de simpelere aanvallen en fouten zorgen voor beveiligingslekken. Nu wil ik niet direct beweren dat CheapTickets tot de kritieke systemen moet worden gerekend, maar het onderbouwd wel het idee dat er nogal wat schort aan de basis van beveiliging bij bedrijven.

Door een niet gepatchte test-webserver lagen de gegevens van 715.000 klanten van CheapTickets.nl voor het grijpen, waaronder wachtwoorden en paspoortnummers. De Windows Server 2003 omgeving was niet up-to-date, waardoor een aanvaller via een lek uit 2009 toegang kreeg tot een back-up, met daarin de eerder genoemde gegevens, maar ook zaken als volledige naam, adres, woonplaats, maaltijdvoorkeur en telefoonnummer.

In een verklaring laat CheapTickets weten dat het om een testomgeving ging met consumentengegevens die gedurende de periode 2008 tot 2009 werden verzameld. De gegevens zouden inmiddels offline zijn gehaald. (bron)

Voor al die organisaties die besluiten om nog maar een dure firewall aan te schaffen moeten we natuurlijk eerst even op de rem gaan staan. Voordat je investeert in nog een technische maatregel moeten we eerst eens goed kijken naar de organisatorische en procedurele maatregelen.

De vragen die gesteld moeten worden zijn bijvoorbeeld:

  • Waarom was de Windows server niet up-to-date?
  • Waarom was de test omgeving gekoppeld aan het internet?
  • Waarom werd er gebruik gemaakt van echte gegevens en niet van fictieve gegevens?

Beantwoorden we die vragen dan zijn we op weg om de echte oorzaken van een dergelijk incident te achterhalen. De gevolgen mogen zich dan uitten in een security incident, de oorzaken liggen (zoals bij veel incidenten) buiten dit vakgebied.

Het betreft hier onder andere tekortkomingen in ontwikkeling en beheer. Misschien goed om toch nog eens te duiken in standaarden als de ITIL-processen en als we nog eens Googlen op best practices voor ontwikkeling en beheer dan vinden we ongetwijfeld ook nog wel wat slimme tips.

De lessen die wij zelf natuurlijk trekken is dat we updates sneller testen en doorvoeren, dat we de OTAP-omgevingen scheiden van de productie omgevingen en van het internet, dat we persoonsgegevens niet langer bewaren dan strikt noodzakelijk en dat als we dan toch willen testen we gebruik maken van fictieve gegevens. Doen we dat, dan zijn we al weer een aardig stuk op weg en had in ieder geval dit incident voorkomen kunnen worden.

Maar ja, misschien ook een goede les voor al die klanten. Beveiliging is een kwaliteitsaspect. Dan moet je niet gek opkijken dat je bij een prijsvechter een minder goede beveiliging kunt verwachten. Ze moeten het geld toch ergens vandaan halen en dat doen ze onder andere door weinig te investeren in informatiebeveiliging.

Helaas geldt dat niet alleen voor CheapTickets maar ook voor andere organisaties. De basis van beveiliging is (nog lang) niet op orde, maar met de huidige bezuinigingen en met de concurrentiestrategie die veel organisaties op dit moment voeren, wordt er niet geïnvesteerd in informatiebeveiliging en kunnen we dergelijke incidenten meer en meer verwachten.