Het securityteam groeide. De problemen ook.

Een verhaal over waarom méér mensen niet altijd helpt

Op papier zag het er goed uit.

De organisatie groeide. Nieuwe klanten, meer systemen, hogere eisen vanuit partners en auditors. Security kreeg meer aandacht. Er kwam budget. En er werd geïnvesteerd in mensen.

Het team groeide van één naar vier mensen in anderhalf jaar tijd.

Een CISO. Een ISO en twee security engineers.

Voor het eerst voelde het alsof er echt een securityfunctie stond.

Totdat het druk werd

Het begon subtiel.

Een audit die dichterbij kwam dan verwacht. Een aantal openstaande bevindingen die toch complexer bleken. Tegelijkertijd moest er een nieuw project starten waar security moest aansluiten. Niets ongewoons. Maar de werkdruk begon weer te schuiven.

De engineer die normaal bezig was met verbeteringen werd steeds vaker betrokken bij incidenten. De Information Security Officer was meer tijd kwijt aan het verzamelen van bewijs dan aan het verbeteren van processen. De CISO zat steeds vaker in operationele overleggen in plaats van strategische sessies.

Iedereen werkte hard. Maar er ontstond geen ruimte. En kwam het security team in de problemen.

Dus werd er opgeschaald

Er werd een externe specialist ingehuurd om te helpen met de auditvoorbereiding.

Dat hielp. Even. De druk ging omlaag. Taken werden opgepakt. Er kwam weer beweging.

Maar tegelijkertijd ontstond er iets anders. De externe specialist had context nodig. Toegang tot systemen. Uitleg over hoe dingen waren ingericht. Documentatie die er soms wel, maar vaak ook niet was.

De mensen in het team moesten hem op weg helpen. Dus terwijl er capaciteit werd toegevoegd, verschoof de belasting. Niet weg. Maar anders.

En toen kwam het volgende project

Een nieuw systeem. Belangrijk voor de business. Strakke deadline.

Security moest meekijken.

Maar het team zat nog midden in de nasleep van de audit. Openstaande bevindingen moesten worden opgepakt, bewijs moest worden aangevuld en verschillende verbeteracties stonden nog open.

De engineer die inhoudelijk het meeste van het nieuwe systeem wist, werd ondertussen op meerdere plekken tegelijk nodig geacht. De externe specialist kende de omgeving nog niet goed genoeg om zelfstandig beslissingen te nemen. Dus schoof de CISO zelf maar aan om het project niet te vertragen.

Beslissingen werden genomen op basis van beperkte informatie. Niet omdat iemand het verkeerd deed, maar omdat er simpelweg geen tijd was om het goed te doen.

Het team draaide.

Maar bouwde niet verder.

Wat niemand echt zag gebeuren

Langzaam ontstond er een patroon.

Werk werd opgepakt, maar niet afgerond zoals bedoeld. Verbeteringen werden gestart, maar niet geborgd. Documentatie werd geschreven voor de audit, maar niet gebruikt in de praktijk.

Alles werkte.

Maar alleen zolang iedereen bleef rennen.

En dat werd zichtbaar op de momenten dat het er echt toe deed.

Het moment dat het misging

Een incident.

Geen groot datalek. Geen headline.

Maar wel impact.

Een combinatie van een configuratie die ooit snel was ingericht, een proces dat niet goed was vastgelegd en monitoring die niet aansloot op wat er daadwerkelijk gebeurde.

Het probleem zelf was oplosbaar.

Maar het kostte tijd.

Te veel tijd.

Omdat niemand precies wist hoe het geheel in elkaar zat. Omdat kennis verdeeld was over meerdere mensen. Omdat er geen eenduidige manier van werken was.

En omdat iedereen op dat moment al vol zat.

De realisatie (een security team in de problemen)

Het lag niet aan individuen.

Niet aan hun kennis. Niet aan hun inzet.

Het lag aan hoe het werk was ingericht.

Werk kwam vanuit alle kanten tegelijk. Verantwoordelijkheden waren niet altijd scherp. Processen waren deels aanwezig, maar niet leidend. Systemen ondersteunden sommige dingen, maar maakten andere juist complexer.

Er was capaciteit.

Maar geen schaalbaarheid.

Wat er daarna veranderde

Niet meteen meer mensen.

Eerst werd gekeken naar het werk zelf.

Wat doen we eigenlijk? Wat komt structureel terug? Waar zitten de pieken? Wat blijft liggen?

Daarna naar verantwoordelijkheid.

Wie is eigenaar van wat — niet alleen op papier, maar in de praktijk?

En pas daarna naar hoe het werk werd uitgevoerd.

Processen werden eenvoudiger gemaakt. Herhaalbaar. Minder afhankelijk van individuen. Systemen werden opnieuw bekeken: wat helpt echt en wat voegt alleen maar complexiteit toe?

Sommige dingen werden intern opgepakt. Andere bewust extern belegd. Niet als noodoplossing, maar als onderdeel van de inrichting.

Wat dat opleverde

Niet meteen rust.

Maar wel overzicht.

En vanuit overzicht ontstond grip.

Werk werd voorspelbaarder. Besluitvorming sneller. De afhankelijkheid van individuen nam af. Externe inzet werd gerichter en effectiever.

Het team groeide nog steeds.

Maar nu groeide de organisatie mee.

Tot slot

Veel organisaties herkennen delen van dit verhaal.

Niet omdat ze het verkeerd doen.

Maar omdat security zelden vanaf het begin schaalbaar is ingericht.

De reflex is logisch: meer mensen toevoegen.

Maar de vraag die vaak te laat wordt gesteld, is een andere:

Kan het werk, zoals het nu is ingericht, eigenlijk wel schalen?