�ݺ�ߣ

Van
Plank misslaan
naar
Spijker op de kop
Roundtable 5 maart 2012 Breukelen
Jurgen van der Vlugt

Agenda

Intro

ORM

De Totalitaire Dictatuur van de
Volmaakte Bureaucratie

Was Nun?

Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 2

Intro

• Jurgen = Ir.drs. J. van der Vlugt RE CISA CRISC
• Maverisk Consultancy, IT-Audit and Advisory services
(KPMG, ABN AMRO, Noordbeek, Achmea,
322 (F16) sqn, RNLAF Vlb Leeuwarden-Noord)
• (IS) Audit, (Info)Security, Y2k, BCM, ERM/ORM
• NOREA, ISSA: Diverse committees


Jullie

Eerder gepresenteerd:
ISSA Global Conference,
Baltimore Oct 20-21
maar zeer verbeterd (??);
2¾ sheets hetzelfde

Noot: Interrupties gewenst

Wakker worden


Agenda

Intro

→ ORM


Was Nun?


Infosec; bottom-up


B2


• 5 / 95 pp. überhaupt ‘O’ genoemd
• ‘Guidance’ → Hobson’s choice …
… → Catch-22 (zie verderop)
• Loss db gedreven
• Amateuristische fouten:
• Event = 1 Cause, 1 Effect … At best: ± n:1:m
• Niet-orthogonale categorieën, zwakke definities
• Geen tijdsaspect, geen feedback loops
• Modelling: Zoek het maar uit
• Verkeerde model


(Pauzeprogramma: landjepik)

Many small errors; easily undone or insignificant

Freq
Material (significant) damage; will occur frequently
Ops (but is not ‘routine’)
Los
ses

Break-the-business incidents;
organization will not survive the hit

Security
Incidents
Threats to continuity

Impact


(Ook nog)


‘In control’ …?


‘Risk’ Methodologie

• Risico = Kans x Impact (H/M/L, 3/5-schaal)
Initiële auditissues Forecast ultimo 2011

1 2

3 4 4 3

5
9

7 8 6
9
Kans

Kans
6

2
7
1

Impact Impact


Risk ‘methodologie’
• 1 Kans Schande!
• … per? Jaar? Transactie? Nanoseconde?
• 1 Impact Schande!
• … Alleen financieel? Reputatie, etc.?
• H x H = 25 Schande!
• 3xM=H Schande!
• ’16’ > ’12’ Schande!
• Wie schat ‘H’;
hoe en met welke onderbouwing?
• Niemand corrigeert dat?


n:m en feedback, en tijd, continuïteit


En dan ook nog


Wacht… er is nog meer

In particular, for any consistent,
effectively generated formal
theory��that proves certain basic
arithmetic truths, there is an
arithmetical statement that is
true,��but not provable in the theory.
Kurt Gödel

No matter how perfect you try to
protect, infosec incidents will
happen
Yours Truly Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 17

‘Turkey before Thanksgiving’


Over kosten nog maar gezwegen

What was it astronaut John
Glenn said went through his mind
as he awaited lift-off?
"You're thinking you're sitting on
top of the most complex machine
ever built by man, with a million
separate components, all
supplied by the lowest bidder."


Poging tot functie

∫ ( Kans × Impact )

∑( Kosten van tegenmaatregelen )
Voor een reeks van functies en parameters, impactschatting-
bereiken (…), variabele sets tegenmaatregelen
Inclusief variabele mates van effectiviteit, met vage noties van
risk appetites in sommigen hun achterhoofd

Kom ik zo op terug


Ja maar …: uw argumenten

1. Ja dat weten we nu wel. Niks is perfect.
2. De aannames zijn redelijk.
3. De aannames doen er niet zo toe.
4. De aannames zijn nog voorzichtig.
5. Je kan niet bewijzen dat de aannames fout zijn.
6. We doen alleen maar wat iedereen doet.
7. De beslisser is beter af met, dan zonder ons.
8. De modellen niet helemaal waardeloos.
9. Met de data die je hebt moet je er maar het beste van maken.
10. Je moet nu eenmaal aannames doen om vooruit te komen.
11. De modellen verdienen het voordeel van de twijfel.
12. Wat kan het nou voor kwaad …?

© David Freedman (in Nassim Taleb’s Black Swan)


Operational Risk (≡ ..?) ‘Management’
Evaluate design & Analysis Monitor & react
set-up

Operational Risk Problem
Management Mgt
Incidents
ORAP Inherent
Controls Risk indicators for analysis
risks (Problems)

R(S)A (K)ORC KRI Incident
(+Audit) (Mgt) (Mgt) Mgt Insu-
Designed, Tuning,
Near rance
Selected for Mandatory
misses CLD Mgt
efficiency Corrective
KRI actions
values Incidents Indemnities

Process
Breach

Agenda

Intro

ORM

→ De Totalitaire
Dictatuur van de Volmaakte
Bureaucratie

Was Nun?

3LoD quod non

Very, very basically

Surprise!


(Defense in Depth)

…?


Not to mention
1937 ..!


Resultaat


De illusie In Control te kúnnen zijn


(Pauzeprogramma: Verplicht leeswerk)


Ga zo door


Beter weten dan de Dakota


Agenda

Intro

ORM


→ Was Nun?


Was nun ...? (I)


Was nun … ? (II)

In theorie werkt niks, en In de praktijk werkt alles, maar
iedereen weet waarom. niemand weet waarom.

Wij streven naar een ideale
combinatie van theorie en praktijk.


Was Nun …? (III)

• Alternatieve benadering vanuit risico’s
→ Véél beter modelleren
• Alternatieve benadering vanuit (info)sec
→ Véél beter doen wat er moet gebeuren
• Alternatieve benaderingen vanuit vertrouwen
→ Ieks!


Modelling
in
rk s
o
W re s
prog
=


Aanzet; welke quant helpt ons?
• (F)actoren
• ‘Threat’-factoren, al of niet tevens
• ‘Control’-factoren, al of niet tevens
• ‘Vulnerability’-factoren
• Continu (! in de tijd) variabel qua
• Kans
• Ernst/omvang
• Impacts (mv.) op (variabel aantal) andere factoren
• Feedback (var. aantal, impact, vertraging) op
andere factoren


Oftewel:

• Allerlei continue functies, continu variabel
(tijd, parameters) →
‘gewone’ Markov-ketens niet mogelijk
• Parameterschattingen bootstrappen →
zeer veel data nodig
• Denk aan de unk unk’s


Kost nog wel wat tijd …
• Is al die data al beschikbaar?
• Zijn de modellen al ontwikkeld,
en op robuustheid getest …?
• Wat als blijkt dat de werkelijkheid niet beheersbaar is ..?
(Koot&Bie, 1977)

• Nog even niks doen en afwachten …?

• En als we ‘het’ niet rondkrijgen:
Inzicht, doorzicht en op tijd een banaan.
Management ≡ Beslissen onder onzekerheid!


In de tussentijd

• De gewone dingen goed doen
• Stress


De gewone dingen, goed doen


Dat is al ingewikkeld genoeg


De nieuwe wereld


En natuurlijk: Stress


(RNLAF 323sqn vlb Leeuwarden-Zuid)


Doen ‘we’ dus al, vanuit infosec

• Data- en systeemgerichte CIA
Requirements, tests
• Defence in Depth:

( )
• Monitoren, pentesten, uitwijktesten, etc.


En voor de risk managers in de zaal …


Bruce Schneier


Resultaat


Top-down én bottom-up

• En/of middle-out
• Niet koppelen maar all the way continuüm
• Herdenk trust-/control-modellen
• Do The Right Thing
• Reken op defectors

• Tegen diffusie van verantwoordelijkheid,
• Pas op Coase’s plafond


Hoge eisen


Agenda

Intro

ORM


Was Nun?
→

Samenvattend
• Onze (O)RM-methodes zijn fout
• Enthousiast op een doodlopende weg
• Vals beeld van de werkelijkheid →
• Verkeerd risicobeheer. Ziende blind!
• Totalitaire dictatuur van de volmaakte
bureaucratie helpt nergens tegen &
geeft (ook) vals gevoel van In Control
• Doet u daaraan mee ..?


Oplossing: minder, meer


De methodologie is in
aanbouw


Dat was alles. Dank u.

Hope you enjoy(ed) the ride

Contact details

Jurgen van der Vlugt,
Maverisk Consultancy, IT-Audit and Advisory services:

• Jvdvlugt åt maverisk døt nl
• LinkedIn: http://linkd.in/yQVjeS (etc.etc.)
• Tel +31-(0)6-206.648.23

• www.maverisk.nl / https://jvdvlugt.jux.com

Motiveer uzelve! www.despair.com/viewall.html


The End, echt.

Unintentionally left blank.
Really, this was not the plan. The plan called for
lots of stuff here. But noooo, it had to turn out blank. Darn.


�ݺ�ߣ

Van Plank Misslaan Naar Spijker Op De Kop V0.3

Recommended

More Related Content

More from Jurgen van der Vlugt (12)

Van Plank Misslaan Naar Spijker Op De Kop V0.3

Editor's Notes