Verander risico: Niet of te late levering (externe) leveranciers

Vandaag gaan we in op het risico: Niet of te late levering (externe) leveranciers

Ook komen de tijdslijnen in gevaar als (externe) leveranciers niet tijdig kunnen leveren. Stel dat je een bepaalde boutje of moertje nodig hebt om je prototype in elkaar te zetten maar de leverancier heeft het niet op de plank liggen, dan kun je niet verder met je project.

Je zult dus goed moeten kijken of je leveranciers tijdig kunnen leveren. Bij de levering van interne afdelingen kun je niet zomaar overstappen, maar als het gaat om externe leveranciers dan kun je misschien meerdere leveranciers achter de hand houden voor als dat nodig is.

Verander complexiteit: De beschikbaarheid en de bereidheid van leveranciers

Vandaag gaan we in op de complexiteitsfactor: De beschikbaarheid en de bereidheid van leveranciers

Je kunt niet alles vooraf overzien en de kans bestaat dat je tijdens de uitvoering (extra) inkopen zult moeten doen. Dan is het goed om een relatie met leveranciers op te bouwen en daadwerkelijk op zoek te gaan naar samenwerking.

In de praktijk zien we veelal dat de mate van samenwerking afhangt van de grote van de klant of de leverancier. Degene die de meeste macht heeft maakt daar nogal eens misbruik van. Van echte samenwerking is dan geen sprake meer. Hier liggen allerlei aspecten aan ten grondslag maar het gaat te ver om er hier verder op in te gaan.

Bedenk welke leveranciers je nodig hebt, informeer hen op tijd, zoek naar echte samenwerking en bepaal waar de leveranciers zich op het kritieke pad bevinden. Zo voorkom je dat de verandering uit de tijdslijnen loopt of je straks extra budget moet gaan vragen omdat de inkopen hoger uitvallen dan vooraf afgesproken.

Netwerkscheiding

De organisatie beschikt over allerlei soorten systemen en netwerken om de processen goed uit te kunnen voeren. Voor een buitenstaander lijkt het misschien of de hele informatiestroom uit een groot netwerk bestaat maar toch zitten er grenzen aan die netwerken die we moeten bewaken. Denk alleen maar aan het verschil tussen ons interne netwerk en het internet. Twee netwerken met grensbewaking er tussen. We moeten deze netwerken gescheiden houden om de vertrouwelijke informatie te beschermen.

De vraag die hier bij hoort is:
Zijn er beperkingen voor gebruikers tot delen van de vertrouwelijke informatie (netwerkscheiding)?

Zonder in te gaan op allerlei netwerk typologieën kunnen we onderscheid maken in het interne netwerk en het internet, ons eigen netwerk en het netwerk van onze leveranciers en afnemers en ons operationele en test netwerk. De termen zijn hier overigens wat vereenvoudigd, maar we willen het niet moeilijker maken dan nodig en het gaat om de basis ideeën.

Uiteraard is er een firewall geïnstalleerd die de grens tussen ons netwerk en het internet beveiligd. Het gaat hier te ver om op de details in te gaan, maar over het inrichten van een dergelijke grens (die vele malen verder gaat dan die firewall alleen) zijn hele studies te voeren. Voor het gemak gaan we er vanuit dat er een veilige grens is ingericht.

Vervolgens zien we dat meer en meer in de keten gewerkt wordt. Leveranciers en afnemers maken gebruik van de informatie die in onze systemen is opgeslagen. Zij zitten dus al op ons netwerk, maar we willen zeker niet dat ze bij al onze informatie kunnen. Heb jij er goed zicht op wie bij welke informatie kan en wat daarvoor nodig is? Zetten we alle informatie zomaar open voor leveranciers en afnemers of voeren we goede analyses uit en geven we ze alleen die informatie die ze echt nodig hebben? Uiteraard evalueren we geregeld of ze deze informatie nog nodig hebben…want de wereld verandert continu.

Als laatste gaan we hier in op het verschil tussen het operationele netwerk en de testomgeving. Deze mogen niet door elkaar lopen omdat ze elkaar kunnen beïnvloeden. Je moet er bijvoorbeeld niet aandenken dat we vergeten een patch te testen waardoor onze productieomgeving uit de lucht gaat. Het medicijn (de patch) is in dat geval misschien wel erger dan de kwaal.

Maar ook de gegevens op onze testomgeving moeten we selecteren. Willen we met (een kopie van onze) productiegegevens werken in de testomgeving of maken we fictieve gegevens aan? Als we besluiten om met kopieën van de echte omgeving te werken, zitten hier dan ook de vertrouwelijke gegevens tussen? De financiële gegevens, de privacygevoelige gegevens..willen we die in onze testomgeving terug zien?

Over netwerken en netwerkscheidingen kun je boeken vol schrijven en je kunt er vele studies naar doen. Dat gaat hier te ver (en eerlijk gezegd is het ook niet mijn specialisme). Nee, willen we het echt goed aanpakken dan halen we er een specialist bij. Iemand die weet hoe je de grensbewaking in moet richten, iemand die weet hoe je de gegevens op de testomgeving beveiligd en iemand die analyseert bij welke gegevens onze leveranciers en afnemers moeten kunnen. De kans dat je zo’n expert vindt is klein, waarschijnlijk heb je meerdere mensen nodig om de technische en procedurele maatregelen goed in te richten…een project…en daar heb je dan ook nog een goede projectmanager voor nodig.

Beveiliging en externe verbindingen

Bij de volgende vraag wordt al snel gedacht aan de internetverbinding waardoor we al die mooie flashy internetsites lekker snel kunnen bekijken. Natuurlijk valt dat onder de volgende vraag:

Zijn alle externe verbindingen inzichtelijk?

Maar bedenk dat er tegenwoordig vele externe verbindingen zijn waardoor we als organisatie risico’s lopen op ongeautoriseerde toegang tot ons netwerk, onze systemen en onze informatie.

De firewall en de verbindingen die via die firewall lopen kunnen we nog wel managen (toch?). Maar hoe zit het met al die draadloze verbindingen die via een simpel routertje met de buitenwereld verbonden zijn? Hoe zit het met de koffiezetautomaten, kopieerapparaten en toegangsbeveiligingssystemen die tegenwoordig ook al snel een externe verbinding in zich hebben? Hebben we die ook allemaal inzichtelijk en managen we die?

Je bent het inmiddels waarschijnlijk wel van me gewend, ik ga niet in op de wijze waarop je deze verbindingen technisch dicht kunt zetten of met technische maatregelen zo goed mogelijk kunt beveiligen. Nee, we gaan in op andere risico’s. Namelijk die van de informatie die via die verbindingen benaderd kan worden, zonder daarbij volledig te willen zijn.

Vele leveranciers (en afnemers misschien ook) maken gebruik van de informatie in onze systemen. Deels weten we dat omdat die leverancier nu eenmaal onderdeel is van de keten en willen we de keten goed kunnen besturen dan is dat gewoon noodzakelijk. We sluiten daarvoor allerlei SLA’s af en zorgen dat er geheimhoudingsverklaringen getekend zijn. Hoewel hier natuurlijk ook vele risico’s en vele kanten aan zitten, geloof ik wel dat we hier nog redelijk inzicht in kunnen krijgen.

Maar juist die systemen waarvan je het niet verwacht: de koffiezetapparaten en kopieerapparaten bijvoorbeeld. Onder het mom van het beter kunnen onderhouden van die systemen communiceren ze met de leverancier. Na zoveel kopjes koffie of na zoveel kopietjes moet er onderhoud gepleegd worden. Maar wie zegt me dat deze gegevens betrouwbaar zijn? Wie zegt me dat de meters geijkt zijn…dat willen we in een taxi toch ook graag, want teveel willen we zeker niet betalen.

Natuurlijk wil ik niet alle leveranciers van dergelijke apparaten over dezelfde kam scheren. Het merendeel zal trouwens betrouwbaar en integer zijn (hoewel ze nog steeds veel gegevens verzamelen waarvan we ons nog te weinig bewust zijn). Nee, het gaat juist om die leveranciers die we toch wat minder kunnen vertrouwen. Die de metertjes net wat sneller laten draaien waardoor er eerder onderhoud nodig is of die de kopietjes uitlezen en aan je concurrent doorverkopen (want, ja ze worden opgeslagen op de harde schijf in het apparaat).

Kortom, stel jezelf nog maar een keer de vraag: Zijn alle, echt alle, externe verbindingen inzichtelijk? En zo ja, weten we ook welke echte risico’s we met die verbindingen lopen?

Oh, even voor de duidelijkheid. Ik ben helemaal niet tegen dit soort verbindingen en veel leveranciers kun je gewoon vertrouwen. Nee, als het bijdraagt aan reductie van (onderhouds)kosten en we meer zekerheid hebben dat we iedere morgen een “vers” bakje koffie kunnen drinken, dan ben ik er alleen maar voor…mits we de risico’s onderkennen, natuurlijk.