Recentelijk las ik het boek Toeval is geen goede strategie, van Clayton Christensen. De ‘jobs to be done’ theorie staat hierin centraal. Op basis van dit framework wordt uitgelegd dat innovatie die niet goed is afgestemd op de ‘taak’ waarvoor een consument (of een onderneming) je inhuurt, gedoemd is te mislukken. Zelf innovaties die eerst een schot in de roos lijken omdat de klantvraag goed wordt ingeschat, ontsporen zodra ze ‘corporate’ worden en primair gestuurd worden door data en winstmodellen. Vaak wordt dan de oorspronkelijke taak vergeten en verliest men uiteindelijk de klant en de markt.
Wat opvalt aan dit framework is dat, ongeacht of iemand een dienst afneemt of iets koopt, het model altijd de term “inhuren” hanteert. En dat is best een logische definitie, want hoe vaak is het niet zo dat je een apparaat koopt met een bepaald doel in gedachte (de taak), en het vervolgens na verloop van tijd afdankt (de huur opzegt) als het niet meer aan die taak voldoet. Vaak is er dan betere versie of alternatieve oplossing.
Binnen Interstellar zijn we constant bezig om met alle ondernemingen in de collectie de juiste innovaties te creëren die in feite ook passen in dit framework. Als het gaat om IT-security en de huidige dynamiek rondom dit thema, zie ik dat de markt voor de ‘consument’ eigenlijk een bijna onmogelijk model heeft gecreëerd. IT-Security is een enorm complexe keten van consultants, integrators, leveranciers, operators en response teams. Geen van de partijen in de keten lijkt het volledige antwoord op de “job to be done” te hebben. Het resultaat is dat er allemaal deelvragen zijn die door afzonderlijke partijen worden ingevuld. De kern van het probleem is echter dat niemand ECHT innoveert door de feitelijke ‘job to be done’ te achterhalen en in te vullen.
Even dacht men dat door de risico’s gewoon te verzekeren het niet zoveel uitmaakt hoe je IT-security aanvliegt. Zolang je maar kan aantonen dat je marktconforme maatregelen hebt genomen. Op zich lijkt dat logisch, zo werkt het immers ook bij brandverzekeringen of autoverzekeringen. De mogelijkheid en haalbaarheid van verzekeren valt of staat echter bij een gezonde en voorspelbare balans tussen premie en schade. Dit principe staat echter ter discussie: de schade per incident stijgt zo snel (400+% vorig jaar, bron Hiscox Cyber Readiness Report 2020) dat we mogelijk al snel in een onverzekerbare markt terecht komen.
Natuurlijk kunnen we (en moeten sommigen) het security budget verhogen en nog meer investeren in awareness, risk assessments en een legio aan preventieve maatregelen. Maar ik denk dat het beter is om de “jobs to be done” vragen eens goed te formuleren en te zorgen dat we ECHT goed snappen waarvoor we als security sector worden ingehuurd. Deze vraag staat voor ons in ieder geval bovenaan de agenda en dwingt ons om op het terrein van IT-security als collectie van security specialisten en servicegerichte generalisten gebaande paden los te laten en ons maximaal te richten op onze ‘job to be done’!
Deel artikel