100 Tage bei Xebia Quality

Bei vielen Positionen in der Industrie und in der Regierung ist es üblich, nach dem Antritt einer neuen Stelle eine 100-Vision zu erstellen. Ich hatte zwar keinen klaren und detaillierten Plan, als ich im Juni von Xebia Security zu Xebia Quality wechselte, aber ich dachte, es wäre nett, einen 100-Tage-Rückblick zu schreiben.

Für diejenigen, die mit meinem Hintergrund nicht vertraut sind, werde ich versuchen, eine kurze Zusammenfassung zu geben. Als ich mein Chemiestudium beendete, hatte sich die Welt im Vergleich zu dem Zeitpunkt, als ich anfing, stark verändert. Die Informationstechnologie boomte plötzlich und die Zukunft für die klassischen Industrien sah viel düsterer aus. Wie viele andere Betatypen beschloss ich damals, in die vom Internet angeheizte Welt der IT einzusteigen und zu sehen, was passieren würde. Mein erster Job war der eines Funktionstesters, der mir viele Jahre lang Spaß machte. Irgendwann brauchte ich eine neue Herausforderung und beschloss, mich auf das Testen der Anwendungssicherheit zu spezialisieren. Sobald Sie über ein gewisses Maß an Erfahrung in diesem Bereich verfügen, beginnen Sie mit so genannten Penetrationstests, und ich merkte bald, dass das nicht mein Ding war. Es handelt sich dabei um typische Endstufentests, und vor allem in einer Zeit, in der agiles Arbeiten noch weitgehend ein Experiment war, würden die meisten Ihrer Erkenntnisse nie gelöst werden. Also beschloss ich recht bald, dass ich, um mehr Einfluss zu haben, einen Weg finden sollte, den Entwicklern dabei zu helfen, die Probleme zu vermeiden, nach denen Pentester normalerweise suchen. Heutzutage nennen wir das 'shift left', aber damals war es bekannt als 'die nervige Sicherheitsperson zu sein, die die Entwickler nicht mit technischem Blabla überlisten konnten'. Vor sechs Jahren kam ich zu Xebia, um zusammen mit Jeroen Willemsen und Nanne Baars den Aufbau von Xebia Security zu unterstützen. Wir drei sahen, dass sich die Entwicklung vollständig auf Agile, Devops und Cloud umstellte, während sich die Informationssicherheit immer noch in den Schlössern aus den 80er Jahren versteckte. Wir gingen davon aus, dass diese Lücke bald zu Problemen führen würde. Also beschlossen wir, eine eigene Abteilung aufzubauen, die Kunden bei Fragen zu Sicherheit, Datenschutz und Compliance in agilen und Devops-Umgebungen hilft.

Obwohl die Herausforderungen, auf die sich Xebia Security konzentriert, nach wie vor relevant sind und sogar täglich zunehmen, habe ich mich wieder einmal unterfordert gefühlt. Seit dem Tag, an dem ich begann, in den Bereich der Informationssicherheit einzusteigen, habe ich immer gesagt: 'Sicherheit ist nur ein Qualitätsmerkmal', und ich dachte, ich sollte meinen Aufgabenbereich wieder erweitern, wenn ich wirklich etwas bewirken wollte. Außerdem wurde mir klar, dass die meisten sicherheitsrelevanten Probleme ihren Ursprung in einer dysfunktionalen Organisation haben, so dass ich mich darauf konzentrieren sollte, wie man das beheben kann. Xebia Quality war der logische Ort, um diese Reise zu beginnen, denn das Unternehmen konzentriert sich darauf, seinen Kunden dabei zu helfen, "Qualitätssoftware effizienter zu liefern", und das ist genau das, wonach ich gesucht habe.

In den letzten 3 Monaten habe ich viel darüber gelernt, wie man Einblicke in die Effizienz einer Organisation erhält, wie man Abhängigkeiten visualisiert und diese in einen strategischen Plan umwandelt und wie man einen soziotechnischen Ansatz auf komplexe Situationen anwendet. Ich habe viel über Wardley Mapping, Cynefin, Kausalschleifendiagramme, Domain Driven Design, Systemdenken und viele weitere Themen gelesen, die für die Beantwortung der Frage "Wie kann man eine komplexe Situation entwirren und lösen" relevant sind. Ich fühle mich zwar immer noch am wohlsten, wenn es um Herausforderungen im Zusammenhang mit Sicherheit, Risiko und Compliance geht, aber meine Sichtweise darauf hat sich bereits geändert. Sicherheit ist nicht nur ein Qualitätsmerkmal, Compliance ist nur ein Qualitätsprozess, Risiko ist nur ein Geschäftsfaktor und GRC ist nur ein begrenzter Kontext.

Mir ist zwar klar, dass meine Reise gerade erst begonnen hat und ich noch viel lernen muss, aber ich habe bereits eine Wardley-Karte für mich erstellt, um meine Position in einer sich ständig verändernden Landschaft im Auge zu behalten und die wichtigsten Wege zu identifizieren, die vor mir liegen. Bei meinen Kunden werde ich mich auf die effiziente Bereitstellung von Software konzentrieren, indem ich die Komplexität und Unübersichtlichkeit (die oft durch Risiko- und Compliance-Prozesse verursacht wird) reduziere.