• Save
Van Plank Misslaan Naar Spijker Op De Kop V0.3
Upcoming SlideShare
Loading in...5
×
 

Van Plank Misslaan Naar Spijker Op De Kop V0.3

on

  • 347 views

(In Dutch) over de paradigma\'s die ten einde lopen, en wat we vervolgens moeten qua risicomanagement

(In Dutch) over de paradigma\'s die ten einde lopen, en wat we vervolgens moeten qua risicomanagement

Statistics

Views

Total Views
347
Views on SlideShare
345
Embed Views
2

Actions

Likes
0
Downloads
0
Comments
0

1 Embed 2

http://www.linkedin.com 2

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Had ook kunnen heten: Op het verkeerde paard gewed Een doodlopende straat in Eind zoek, al zoek
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011 Niks is perfect maar weinig is zo gebrekkig en fout als uw modellen. De aannames zijn niet redelijk. En een aap gooit beter dartpijltjes (geen bias). Als ze er niet toe doen, niet doen punt. En ze doen er wel toe, anders hebt u nooit een functioneel model. Conservatief ten opzichte van ..? En waarom niet accuraat boven conservatief (biased). En als ze niet accuraat maar conservatief zijn, hebben odellen dus geen realiteitsgehalte. Conservatisme kan eenvoudig leiden tot onjuiste conclusies. Uw annames worden oneindig eenvoudiger aangetoond verkeerd te zijn dan dat ze juist zijn. Ík heb geen bewijslast, maar u! Geldt ook indien niet ‘bewijs’ maar ‘aannemelijkheid’ wordt gevraagd. Dus als iedereen in het water springt, springt u erachteraan? CYA is niet goed genoeg… Ah, de valse profeet. Is de beslisser beter af als hij wordt mis leid …? Oh jawel dat zijn ze wel want ze misleiden tot u weet welke delen wél zouden werken. Waarom dan de rest niet weggegooid? Of gebruik een horoscoop, die bezweert ook een hoop onzekerheid. Garbage in, garbage out. En je best is wellicht gewoon niet goed genoeg zelfs als de data correct zouden zijn. Volledigheid, iemand? Ja. Maar doe dan wel de juiste aannames en wees rücksichtlos in de beoordeling van hun waarheidsgehalte, én bepaal de variabiliteit in uitkomsten bij variatie van aannames. Doet u dat, ooit? Hoezo? Het zijn geen babies. Het zijn hulpmiddelen. Het kwaad schuilt in de misleiding van uw klanten, in des keizers nieuwe kleren gezet. Vlieg van Schiphol naar O’Hare met brandstof en plattegrond van Eelde!
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
  • The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011

Van Plank Misslaan Naar Spijker Op De Kop V0.3 Van Plank Misslaan Naar Spijker Op De Kop V0.3 Presentation Transcript

  • Van Plank misslaan naarSpijker op de kop Roundtable 5 maart 2012 Breukelen Jurgen van der Vlugt
  • Agenda Intro ORM De Totalitaire Dictatuur van de Volmaakte Bureaucratie Was Nun?Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 2
  • Intro • Jurgen = Ir.drs. J. van der Vlugt RE CISA CRISC • Maverisk Consultancy, IT-Audit and Advisory services (KPMG, ABN AMRO, Noordbeek, Achmea, 322 (F16) sqn, RNLAF Vlb Leeuwarden-Noord) • (IS) Audit, (Info)Security, Y2k, BCM, ERM/ORM • NOREA, ISSA: Diverse committeesVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 3
  • JullieEerder gepresenteerd:ISSA Global Conference,Baltimore Oct 20-21maar zeer verbeterd (??);2¾ sheets hetzelfdeNoot: Interrupties gewenst Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 4
  • Wakker wordenVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 5
  • Agenda Intro → ORM De Totalitaire Dictatuur van de Volmaakte Bureaucratie Was Nun?Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 6
  • Infosec; bottom-upVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 7
  • B2Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 8
  • • 5 / 95 pp. überhaupt ‘O’ genoemd• ‘Guidance’ → Hobson’s choice … … → Catch-22 (zie verderop)• Loss db gedreven• Amateuristische fouten: • Event = 1 Cause, 1 Effect … At best: ± n:1:m • Niet-orthogonale categorieën, zwakke definities • Geen tijdsaspect, geen feedback loops• Modelling: Zoek het maar uit• Verkeerde model Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 9
  • (Pauzeprogramma: landjepik) Many small errors; easily undone or insignificantFreq Material (significant) damage; will occur frequently Ops (but is not ‘routine’) Los ses Break-the-business incidents; organization will not survive the hit Security Incidents Threats to continuity Impact Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 10
  • (Ook nog)Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 11
  • ‘In control’ …?Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 12
  • ‘Risk’ Methodologie• Risico = Kans x Impact (H/M/L, 3/5-schaal) Initiële auditissues Forecast ultimo 2011 1 2 3 4 4 3 5 9 7 8 6 9 Kans Kans 6 2 7 1 Impact Impact Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 13
  • Risk ‘methodologie’• 1 Kans Schande!• … per? Jaar? Transactie? Nanoseconde?• 1 Impact Schande!• … Alleen financieel? Reputatie, etc.?• H x H = 25 Schande!• 3xM=H Schande!• ’16’ > ’12’ Schande!• Wie schat ‘H’; hoe en met welke onderbouwing?• Niemand corrigeert dat? Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 14
  • n:m en feedback, en tijd, continuïteit Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 15
  • En dan ook nogVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 16
  • Wacht… er is nog meerIn particular, for any consistent,effectively generated formaltheory that proves certain basicarithmetic truths, there is anarithmetical statement that istrue, but not provable in the theory.Kurt GödelNo matter how perfect you try toprotect, infosec incidents willhappenYours Truly Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 17
  • ‘Turkey before Thanksgiving’Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 18
  • Over kosten nog maar gezwegenWhat was it astronaut JohnGlenn said went through his mindas he awaited lift-off?"Youre thinking youre sitting ontop of the most complex machineever built by man, with a millionseparate components, allsupplied by the lowest bidder." Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 19
  • Poging tot functie ∫ ( Kans × Impact ) ∑( Kosten van tegenmaatregelen )Voor een reeks van functies en parameters, impactschatting-bereiken (…), variabele sets tegenmaatregelenInclusief variabele mates van effectiviteit, met vage noties vanrisk appetites in sommigen hun achterhoofdKom ik zo op terug Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 20
  • Ja maar …: uw argumenten1. Ja dat weten we nu wel. Niks is perfect.2. De aannames zijn redelijk.3. De aannames doen er niet zo toe.4. De aannames zijn nog voorzichtig.5. Je kan niet bewijzen dat de aannames fout zijn.6. We doen alleen maar wat iedereen doet.7. De beslisser is beter af met, dan zonder ons.8. De modellen niet helemaal waardeloos.9. Met de data die je hebt moet je er maar het beste van maken.10. Je moet nu eenmaal aannames doen om vooruit te komen.11. De modellen verdienen het voordeel van de twijfel.12. Wat kan het nou voor kwaad …?© David Freedman (in Nassim Taleb’s Black Swan) Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 21
  • Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 22
  • Operational Risk (≡ ..?) ‘Management’Evaluate design & Analysis Monitor & react set-up Operational Risk Problem Management Mgt Incidents ORAP Inherent Controls Risk indicators for analysis risks (Problems) R(S)A (K)ORC KRI Incident (+Audit) (Mgt) (Mgt) Mgt Insu- Designed, Tuning, Near rance Selected for Mandatory misses CLD Mgt efficiency Corrective KRI actions values Incidents Indemnities Process Breach Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 23
  • Agenda Intro ORM → De Totalitaire Dictatuur van de Volmaakte Bureaucratie Was Nun?Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 24
  • 3LoD quod nonVery, very basically Surprise! Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 25
  • Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 26
  • Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 27
  • (Defense in Depth) …?Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 28
  • Not to mention 1937 ..!Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 29
  • ResultaatVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 30
  • De illusie In Control te kúnnen zijnVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 31
  • (Pauzeprogramma: Verplicht leeswerk) Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 32
  • Ga zo doorVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 33
  • Beter weten dan de DakotaVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 34
  • Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 35
  • Agenda Intro ORM De Totalitaire Dictatuur van de Volmaakte Bureaucratie → Was Nun?Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 36
  • Was nun ...? (I)Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 37
  • Was nun … ? (II)In theorie werkt niks, en In de praktijk werkt alles, maariedereen weet waarom. niemand weet waarom. Wij streven naar een ideale combinatie van theorie en praktijk. Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 38
  • Was Nun …? (III)• Alternatieve benadering vanuit risico’s → Véél beter modelleren• Alternatieve benadering vanuit (info)sec → Véél beter doen wat er moet gebeuren• Alternatieve benaderingen vanuit vertrouwen → Ieks! Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 39
  • Modelling in rk s oW re sprog = Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 40
  • Aanzet; welke quant helpt ons?• (F)actoren • ‘Threat’-factoren, al of niet tevens • ‘Control’-factoren, al of niet tevens • ‘Vulnerability’-factoren• Continu (! in de tijd) variabel qua • Kans • Ernst/omvang • Impacts (mv.) op (variabel aantal) andere factoren • Feedback (var. aantal, impact, vertraging) op andere factoren Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 41
  • Oftewel:• Allerlei continue functies, continu variabel (tijd, parameters) → ‘gewone’ Markov-ketens niet mogelijk• Parameterschattingen bootstrappen → zeer veel data nodig• Denk aan de unk unk’s Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 42
  • Kost nog wel wat tijd …• Is al die data al beschikbaar?• Zijn de modellen al ontwikkeld, en op robuustheid getest …?• Wat als blijkt dat de werkelijkheid niet beheersbaar is ..? (Koot&Bie, 1977)• Nog even niks doen en afwachten …?• En als we ‘het’ niet rondkrijgen: Inzicht, doorzicht en op tijd een banaan. Management ≡ Beslissen onder onzekerheid! Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 43
  • In de tussentijd• De gewone dingen goed doen• Stress Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 44
  • De gewone dingen, goed doenVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 45
  • Dat is al ingewikkeld genoegVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 46
  • De nieuwe wereldVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 47
  • En natuurlijk: StressVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 48
  • (RNLAF 323sqn vlb Leeuwarden-Zuid)Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 49
  • Doen ‘we’ dus al, vanuit infosec• Data- en systeemgerichte CIA Requirements, tests• Defence in Depth: ( )• Monitoren, pentesten, uitwijktesten, etc. Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 50
  • En voor de risk managers in de zaal … Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 51
  • Bruce SchneierVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 52
  • ResultaatVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 53
  • Top-down én bottom-up• En/of middle-out• Niet koppelen maar all the way continuüm• Herdenk trust-/control-modellen• Do The Right Thing• Reken op defectors• Tegen diffusie van verantwoordelijkheid,• Pas op Coase’s plafond Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 54
  • Hoge eisenVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 55
  • Agenda Intro ORM De Totalitaire Dictatuur van de Volmaakte Bureaucratie Was Nun? →Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 56
  • Samenvattend• Onze (O)RM-methodes zijn fout • Enthousiast op een doodlopende weg • Vals beeld van de werkelijkheid → • Verkeerd risicobeheer. Ziende blind!• Totalitaire dictatuur van de volmaakte bureaucratie helpt nergens tegen & geeft (ook) vals gevoel van In Control• Doet u daaraan mee ..? Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 57
  • Oplossing: minder, meerVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 58
  • De methodologie is in aanbouwVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 59
  • Dat was alles. Dank u. Hope you enjoy(ed) the ride Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 60
  • Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 61
  • Contact detailsJurgen van der Vlugt,Maverisk Consultancy, IT-Audit and Advisory services:• Jvdvlugt åt maverisk døt nl• LinkedIn: http://linkd.in/yQVjeS (etc.etc.)• Tel +31-(0)6-206.648.23• www.maverisk.nl / https://jvdvlugt.jux.comMotiveer uzelve! www.despair.com/viewall.html Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 62
  • The End, echt. Unintentionally left blank. Really, this was not the plan. The plan called forlots of stuff here. But noooo, it had to turn out blank. Darn. Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 63