Staying ahead: over veilig vliegen en het belang van 'vooruit denken en werken'

De IT-industrie kan nog veel leren van de luchtvaartsector. Zo’n honderd jaar geleden was een rondje vliegen rond de kerktoren nog ‘waaghalzerij’. Tegenwoordig pakken we een vliegtuig om ons geroutineerd naar de andere kant van de wereld te laten brengen, met veel vertrouwen in techniek en professionals. Daarom dit keer een stukje over de (vlieg)lessen die ik in mijn dagelijkse praktijk als Chief Security Officer toepas.

Trainen voor een vliegbrevet is heel leerzaam. Net als het echte vliegen en de bijbehorende theorie in uiteenlopende vakken zoals communicatie, planning, meteorologie, aerodynamica, motortechniek, procedures en zelfs de beperkingen van het menselijk lichaam.

Reuze boeiend, maar tijdens de vele uren met een instructeur in de cockpit heb ik toch het meest geleerd, ook over mezelf. En dat heeft nog steeds veel impact op mijn dagelijkse, professionele acteren als Chief Security Officer.

De instructeur heeft een uitdaging. Hij moet je helpen bij de transitie van 2-dimensionaal denken en plannen naar 3-dimensionaal. Behalve dat, ook nog in een omgeving waar snelheden veel hoger liggen dan je gewend bent en wegen alleen op je vliegkaart en navigatie apparatuur bestaan. Het aantal factoren waarmee je rekening moet houden bij het nemen van beslissingen is ook nog eens veel groter dan je gewend bent en dan ben je uiteindelijk ook nog volledig op jezelf aangewezen als ‘captain’.  

Als Chief Security Officer heb je regelmatig momenten waarop veel en onverwachte zaken tegelijk je aandacht vragen. Dat is met vliegen niet anders. Tijdens starts en landingen ben je echt extreem druk terwijl je dan juist rust uit moet stralen, want je passagiers vinden dat toch wel spannende momenten.      

Onvermijdelijke drukte? Deels wel, maar een goede instructeur leert je ‘staying ahead of the airplane’. Als je weet dat er momenten komen waarop je het heel erg druk krijgt, ga je ieder beschikbaar moment gebruiken om alles al te doen wat je vooraf kunt doen. Daar koop je enorm veel tijd mee en verminder je de werklast op momenten waarop je veel te doen hebt. Mede door die benadering is vliegen een hele veilige activiteit geworden. 

OK, ‘staying ahead of the airplane’, wat is de parallel met IT en specifiek IT-veiligheid? 

In het IT-domein gaan de ontwikkelingen ook razendsnel. Behalve dat hebben we ook regelmatig te maken met verassingen. Vaak zijn we ook als Security Officers nog erg incident-gedreven. Daar hebben we het dan ook heel druk mee. Spectaculair en zeker leuk eindelijk al die - tijdelijke - belangstelling van de directie en business. Maar er zijn momenten waarop je toch wel minder druk en reactief aan het werk wilt zijn. We hebben de laatste tijd veel voorbeelden gezien van korte periodes met enorme aandacht en drukte zoals WannaCry en (not)Petya. Security in de schijnwerpers!

Als je eerlijk bent, was veel drukte toch wel vermijdbaar door vooraf te zorgen dat je minder kwetsbaar bent. Organisaties die hun security patches & fixes goed bijhouden, hadden in diezelfde periode ‘Nachtrust as a Service’ en konden aandacht blijven geven aan de uitvoering van hun gewone vliegplan…    

Klinkt simpel, maar blijkbaar is dat toch niet zo. Hierover meer in mijn volgende blog, ‘Staying ahead’ deel 2!