No More One-Man-Rule

I gamle dage, når man gik i banken og prøvede at lave en transaktion større end en plovmand, skulle personen i skranken altid lige om bagved og have en kollegas signatur på papiret.

Det kaldes på udendansk "Two-man-rule" og tjener som et minimum tre formål.

For det første fanger det rigtig mange trivielle fejl inden de bliver til ikketrivielle fejl, vi skriver alle forkert engang i mellem, og fire øjne er meget bedre end to til at fange den slags.

For det andet beskytter det mod mange former for triviel svindel, både begået af folk udenfor og indenfor.

For det tredje og måske vigtigst, beskytter det effektivt medarbejderne imod falske mistanker og anklager om inkompetence, sabotage og svindel.

I denne uge har vi lært at man kan ftz'e Cloudflares core-routere - helt alene.

Man kan også skifte email adressen på Bill Gates twitter-konto - helt alene.

Hvorfor accepterer ledelser og aktionærer en så lemfældig forretningspraksis ?

Hvorfor accepterer medarbejderne så risikofyldt et arbejdsmiljø ?

Jeg fatter det ikke...

phk

Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Maciej Szeliga

...alle tror på at teknik løser problemer bedre end mennesker. Det er et "problem" som har vokset sig stor og stærk over de sidste ca. 20 år. Problemet er ikke i teknikken men i folks opfattelse af den og det resulterer i middelmådige løsninger for ingen gider høre på skeptikerne.

  • 17
  • 0
#2 Morten W. Jørgensen

Alle gode tiltag i retning mod two-men rules undermineres vel af en bruger med root-adgang tænker jeg. Nu er jeg på ingen måde specielt begavet eller erfaren ud i den slags, men vil en bruger med root adgang ikke altid kunne omgå stort set alle mekanismer?

At sige "Du må ikke!" viser sig jo ikke som en specielt gangbar vej jvf. twitterhændelsen. Så hvis ikke en bestemmelse eller en straf er nyttig, må der vel en teknisk løsning til - en løsning på operativsystemniveau.

Under antagelse af at jeg har ret i dét, hvordan bør det så løses?

  • 0
  • 1
#5 Christian Münster

Du var selv inde på det og er det overskyggende problem, for mange IT fabrikker; holdning kommer oppe fra; imho.

Lad mig bruge et eksempel fra mit daglige virke: Det forventes IT har styr på alle løse ender, restriktioner, forhold og selv tager kontakt til leverandøreren, i de tilfælde der mangler noget.

Den ellers meget skrapede opgave beskrivelse med den sædvanlige tekst: Du ringer bare hvis du er i tvivl er bare ikke godt nok. Når jeg så konfronterer disse opgavestillere, kommer der typisk et svar der klinger således:

vi er jo ikke nørder, vi forstår os ikke på den teknik - den slags er under mit over-jeg

For dem er sikkerhed, skalerbar, fremtidsikret og automatiske tests enten begreber IT bruger for at trække tiden eller også bare et flueben på en projekt plan.

Så; når man så står der, bagefter og det brænder, er man jo bare en sur IT medarbejder der ikke ved hvordan man fører forretning og ikke tænkte på det hele.

  • Resultat: Ingen tager ansvar for løsningen (de er jo bare sælgere :) ) og alle fejl bliver opdaget på bagkant af kunden selv.

For dem der mærker bitterheden. Velkommen til en tilfældig IT afdeling i Danmark.

  • 15
  • 0
#6 Henrik Mohr

Så godt du luftede samme hypotese på Twitter. Men hvordan ved du at det var én mand alene som lavede en fejl uden at andre havde kontrolleret den change han skulle lave?

Kan ikke se det i Cloudflares (som altid) meget transparente post incident blog: https://blog.cloudflare.com/cloudflare-outage-on-july-17-2020/

Har i mange år arbejdet organisationer som lavede rigtigt mange changes om dagen, og som alle havde solide principper for peer-review af disse (standard ITIL). Endda med risikovurdering, så de "farligste" fik et ekstra kik af flere øjne end 4.

Selv to mand kan lave en fejl sammen. Rækkefølgen af ændringer (som dette eksempel viser) kan nemt overses. Begge ændringer giver måske fin mening, men det glemmes at tjekke den del. Det kan også være en ip-adresse som er forkert, men drukner i der er mange subnets i den change man laver. 1000 muligheder for fejl som kan overses.

Den vigtigste lære som Cloudflares direktør gør, er den som tjener ham til ære. Han påtager sig ansvaret istedet for at skælde ud på sine teknikere. For det er nemlig ganske rigtigt ham som er ansvarlig for sikre omstændigheder, og tilstrækkelige kontroller af væsentlige ændringer.

https://twitter.com/eastdakota/status/1284310766011600896

  • 5
  • 0
#8 Henrik Hansen

Two-man-rule, four-eyes-principle, etc.

Gode eksempler på at ordet: "bureaukrati" faktisk er et neutralt ord, selv om en del politikere og journalister prøver at give det en negativ slagside.

Bureaukrati på den rigtige måde, kan både være godt for retssamfundet og en hjælp til individet. Håber man stadigvæk kan lære den slags i folkeskolen i dagens Danmark.

  • 2
  • 1
#10 Rune Hansen

I tidernes morgen før e-mail for alvor var noget allemandseje. Blev det bebudet af alle “kloge” hoveder, at folk i fremtiden ville skulle bruge meget mindre tid på at åbne, læse og afsende post (så sekretæren i virksomheden ikke længer skulle bruge 40 minutter dagligt på at ordne breve). Og idag bruger hver medarbejder nok i omegnen af 10% af sin arbejdstid på post.

  • 2
  • 0
#11 Magnus Jørgensen

Hvorfor accepterer ledelser og aktionærer en så lemfældig forretningspraksis ?

Hvorfor accepterer medarbejderne så risikofyldt et arbejdsmiljø ?

Jeg fatter det ikke...

Du har egentlig påpeget det før mange gange. Du har også givet nogle løsninger:

link

Jeg tror du har helt ret i at software industrien er lidt af en wild west. Jeg mener også at jeg pointerede i en kommentar engang for længe siden, at ingeniør industrien brugte mange år på at udvikle sikre standarder som ASME o.lign.

Jeg tror egentlig at vi kan lære meget af de andre discipliner.

  • 2
  • 0
#12 Magnus Jørgensen

Damp maskiner var en stor del af ASME til at starte med. Lokomotiver er basalt set en trykbærende maskine der bevæger sig i rum tæt på mennesker. Dermed var de en risiko for den almene befolkning. Der skete mange uheld i starten af industrialiseringen, med dampmaskiner.

Det er egentlig ikke så forskelligt fra IT. Skaden og dens omfang ved et havari af et damplokomotiv er måske anderledes end ved et IT havari, men den er bestemt ikke nødvændigvis mindre. De sociale konsekvenser og de afledte begivenheder kan være meget større, end et mekanisk uheld på et tryk apparat.

ASME er efterhånden et meget stort værk der indeholder regler for materiale fremstilling, design koncepter og kvalitetskrav. Der er også et ret stort kapitel der handler om kvalitets sikring ved inspektion og anden kontrol.

Der er vi i IT industrien meget langt fra at have noget lignende.

Det vigtige er at ASME ikke definere specifikt hvilken teknologi der skal bruges. Den definerer blot i generelle termer, hvordan mindste kravet skal være.

  • 2
  • 0
#14 Martin Dahl

Man kan også skifte email adressen på Bill Gates twitter-konto - helt alene.

Der er vel en indbygget afvejning mellem f.eks. at eksponere et API med funktionalitet:

api.set_email(id, new_email)

Og at afkræve fire øjne for enhver ændring af en email adresse i et givent system.

Jeg kan godt se at Twitter nok burde flagge VIP konti, så de ikke lige kan opdateres uden fire øjne på. Dvs. VIP svarer til 500kr grænsen i banken.

Men i sidste ende vil der næsten altid være en håndfuld root users, medmindre vi taler flernøgle-affyringsplatform for nukleare interkontinentale ballistiske missiler.

  • 0
  • 0
#15 Kjeld Flarup Christensen

Two-man-rule har intet med bureaukrati at gøre ?

Ikke?

For det tredje og måske vigtigst, beskytter det effektivt medarbejderne imod falske mistanker og anklager om inkompetence, sabotage og svindel.

Det er blandt andet det bureaukrati er til for, at sikre systemet mod fejl - der peger imod systemet.

Bureaukrati er selvfølgelig også mere end det, men i bund og grund er bureaukrati at sikre kontrol med hele processen.

"Two man rule" er blot dyrt. Og spørgsmålet er hvor meget det hjælper.

I gamle dage kunne man gå ned i banken og indløse en falsk check - helt alene!

  • 2
  • 0
Log ind eller Opret konto for at kommentere