Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Van  Plank misslaan                    naarSpijker op de kop  Roundtable 5 maart 2012 Breukelen                Jurgen van ...
Agenda                                                                              Intro                                 ...
Intro        •    Jurgen = Ir.drs. J. van der Vlugt RE CISA CRISC        •    Maverisk Consultancy, IT-Audit and Advisory ...
JullieEerder gepresenteerd:ISSA Global Conference,Baltimore Oct 20-21maar zeer verbeterd (??);2¾ sheets hetzelfdeNoot: Int...
Wakker wordenVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   5
Agenda                                                                              Intro                                 ...
Infosec; bottom-upVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   7
B2Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen        8
• 5 / 95 pp. überhaupt ‘O’ genoemd• ‘Guidance’ → Hobson’s choice …  … → Catch-22 (zie verderop)• Loss db gedreven• Amateur...
(Pauzeprogramma: landjepik)                               Many small errors; easily undone or insignificantFreq           ...
(Ook nog)Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   11
‘In control’ …?Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   12
‘Risk’ Methodologie• Risico = Kans x Impact (H/M/L, 3/5-schaal)         Initiële auditissues                              ...
Risk ‘methodologie’• 1 Kans         Schande!•  … per? Jaar? Transactie? Nanoseconde?• 1 Impact Schande!•  … Alleen financi...
n:m en feedback, en tijd, continuïteit       Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen  ...
En dan ook nogVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   16
Wacht… er is nog meerIn particular, for any consistent,effectively generated formaltheory that proves certain basicarithme...
‘Turkey before Thanksgiving’Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   18
Over kosten nog maar gezwegenWhat was it astronaut JohnGlenn said went through his mindas he awaited lift-off?"Youre think...
Poging tot functie             ∫   ( Kans × Impact ) ∑( Kosten van tegenmaatregelen )Voor een reeks van functies en parame...
Ja maar …: uw argumenten1.    Ja dat weten we nu wel. Niks is perfect.2.    De aannames zijn redelijk.3.    De aannames do...
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   22
Operational Risk (≡ ..?) ‘Management’Evaluate design &                          Analysis                              Moni...
Agenda                                                                              Intro                                 ...
3LoD quod nonVery, very basically Surprise!             Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 ...
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   26
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   27
(Defense in Depth)                                                            …?Van plank misslaan naar spijker op de kop ...
Not to mention                                                                 1937 ..!Van plank misslaan naar spijker op ...
ResultaatVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   30
De illusie In Control te kúnnen zijnVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   31
(Pauzeprogramma: Verplicht leeswerk)         Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen  ...
Ga zo doorVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   33
Beter weten dan de DakotaVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   34
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   35
Agenda                                                                              Intro                                 ...
Was nun ...? (I)Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   37
Was nun … ? (II)In theorie werkt niks, en                  In de praktijk werkt alles, maariedereen weet waarom.          ...
Was Nun …? (III)• Alternatieve benadering vanuit risico’s  → Véél beter modelleren• Alternatieve benadering vanuit (info)s...
Modelling     in   rk s oW re sprog               =      Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012...
Aanzet; welke quant helpt ons?• (F)actoren  • ‘Threat’-factoren, al of niet tevens  • ‘Control’-factoren, al of niet teven...
Oftewel:• Allerlei continue functies, continu variabel  (tijd, parameters) →  ‘gewone’ Markov-ketens niet mogelijk• Parame...
Kost nog wel wat tijd …• Is al die data al beschikbaar?• Zijn de modellen al ontwikkeld,  en op robuustheid getest …?• Wat...
In de tussentijd• De gewone dingen goed doen• Stress           Van plank misslaan naar spijker op de kop Roundtable 5 maar...
De gewone dingen, goed doenVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   45
Dat is al ingewikkeld genoegVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   46
De nieuwe wereldVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   47
En natuurlijk: StressVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   48
(RNLAF 323sqn vlb Leeuwarden-Zuid)Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   49
Doen ‘we’ dus al, vanuit infosec• Data- en systeemgerichte CIA  Requirements, tests• Defence in Depth: (                  ...
En voor de risk managers in de zaal …         Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen ...
Bruce SchneierVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   52
ResultaatVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   53
Top-down én bottom-up•   En/of middle-out•   Niet koppelen maar all the way continuüm•   Herdenk trust-/control-modellen• ...
Hoge eisenVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   55
Agenda                                                                              Intro                                 ...
Samenvattend• Onze (O)RM-methodes zijn fout  • Enthousiast op een doodlopende weg  • Vals beeld van de werkelijkheid →  • ...
Oplossing: minder, meerVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   58
De methodologie is in                               aanbouwVan plank misslaan naar spijker op de kop Roundtable 5 maart 20...
Dat was alles. Dank u.                   Hope you enjoy(ed) the ride             Van plank misslaan naar spijker op de kop...
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen   61
Contact detailsJurgen van der Vlugt,Maverisk Consultancy, IT-Audit and Advisory services:•   Jvdvlugt åt maverisk døt nl• ...
The End, echt.                   Unintentionally left blank.      Really, this was not the plan. The plan called forlots o...
Upcoming SlideShare
Loading in …5
×

Van Plank Misslaan Naar Spijker Op De Kop V0.3

712 views

Published on

(In Dutch) over de paradigma\'s die ten einde lopen, en wat we vervolgens moeten qua risicomanagement

  • Be the first to comment

  • Be the first to like this

Van Plank Misslaan Naar Spijker Op De Kop V0.3

  1. 1. Van Plank misslaan naarSpijker op de kop Roundtable 5 maart 2012 Breukelen Jurgen van der Vlugt
  2. 2. Agenda Intro ORM De Totalitaire Dictatuur van de Volmaakte Bureaucratie Was Nun?Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 2
  3. 3. Intro • Jurgen = Ir.drs. J. van der Vlugt RE CISA CRISC • Maverisk Consultancy, IT-Audit and Advisory services (KPMG, ABN AMRO, Noordbeek, Achmea, 322 (F16) sqn, RNLAF Vlb Leeuwarden-Noord) • (IS) Audit, (Info)Security, Y2k, BCM, ERM/ORM • NOREA, ISSA: Diverse committeesVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 3
  4. 4. JullieEerder gepresenteerd:ISSA Global Conference,Baltimore Oct 20-21maar zeer verbeterd (??);2¾ sheets hetzelfdeNoot: Interrupties gewenst Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 4
  5. 5. Wakker wordenVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 5
  6. 6. Agenda Intro → ORM De Totalitaire Dictatuur van de Volmaakte Bureaucratie Was Nun?Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 6
  7. 7. Infosec; bottom-upVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 7
  8. 8. B2Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 8
  9. 9. • 5 / 95 pp. überhaupt ‘O’ genoemd• ‘Guidance’ → Hobson’s choice … … → Catch-22 (zie verderop)• Loss db gedreven• Amateuristische fouten: • Event = 1 Cause, 1 Effect … At best: ± n:1:m • Niet-orthogonale categorieën, zwakke definities • Geen tijdsaspect, geen feedback loops• Modelling: Zoek het maar uit• Verkeerde model Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 9
  10. 10. (Pauzeprogramma: landjepik) Many small errors; easily undone or insignificantFreq Material (significant) damage; will occur frequently Ops (but is not ‘routine’) Los ses Break-the-business incidents; organization will not survive the hit Security Incidents Threats to continuity Impact Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 10
  11. 11. (Ook nog)Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 11
  12. 12. ‘In control’ …?Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 12
  13. 13. ‘Risk’ Methodologie• Risico = Kans x Impact (H/M/L, 3/5-schaal) Initiële auditissues Forecast ultimo 2011 1 2 3 4 4 3 5 9 7 8 6 9 Kans Kans 6 2 7 1 Impact Impact Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 13
  14. 14. Risk ‘methodologie’• 1 Kans Schande!• … per? Jaar? Transactie? Nanoseconde?• 1 Impact Schande!• … Alleen financieel? Reputatie, etc.?• H x H = 25 Schande!• 3xM=H Schande!• ’16’ > ’12’ Schande!• Wie schat ‘H’; hoe en met welke onderbouwing?• Niemand corrigeert dat? Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 14
  15. 15. n:m en feedback, en tijd, continuïteit Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 15
  16. 16. En dan ook nogVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 16
  17. 17. Wacht… er is nog meerIn particular, for any consistent,effectively generated formaltheory that proves certain basicarithmetic truths, there is anarithmetical statement that istrue, but not provable in the theory.Kurt GödelNo matter how perfect you try toprotect, infosec incidents willhappenYours Truly Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 17
  18. 18. ‘Turkey before Thanksgiving’Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 18
  19. 19. Over kosten nog maar gezwegenWhat was it astronaut JohnGlenn said went through his mindas he awaited lift-off?"Youre thinking youre sitting ontop of the most complex machineever built by man, with a millionseparate components, allsupplied by the lowest bidder." Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 19
  20. 20. Poging tot functie ∫ ( Kans × Impact ) ∑( Kosten van tegenmaatregelen )Voor een reeks van functies en parameters, impactschatting-bereiken (…), variabele sets tegenmaatregelenInclusief variabele mates van effectiviteit, met vage noties vanrisk appetites in sommigen hun achterhoofdKom ik zo op terug Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 20
  21. 21. Ja maar …: uw argumenten1. Ja dat weten we nu wel. Niks is perfect.2. De aannames zijn redelijk.3. De aannames doen er niet zo toe.4. De aannames zijn nog voorzichtig.5. Je kan niet bewijzen dat de aannames fout zijn.6. We doen alleen maar wat iedereen doet.7. De beslisser is beter af met, dan zonder ons.8. De modellen niet helemaal waardeloos.9. Met de data die je hebt moet je er maar het beste van maken.10. Je moet nu eenmaal aannames doen om vooruit te komen.11. De modellen verdienen het voordeel van de twijfel.12. Wat kan het nou voor kwaad …?© David Freedman (in Nassim Taleb’s Black Swan) Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 21
  22. 22. Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 22
  23. 23. Operational Risk (≡ ..?) ‘Management’Evaluate design & Analysis Monitor & react set-up Operational Risk Problem Management Mgt Incidents ORAP Inherent Controls Risk indicators for analysis risks (Problems) R(S)A (K)ORC KRI Incident (+Audit) (Mgt) (Mgt) Mgt Insu- Designed, Tuning, Near rance Selected for Mandatory misses CLD Mgt efficiency Corrective KRI actions values Incidents Indemnities Process Breach Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 23
  24. 24. Agenda Intro ORM → De Totalitaire Dictatuur van de Volmaakte Bureaucratie Was Nun?Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 24
  25. 25. 3LoD quod nonVery, very basically Surprise! Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 25
  26. 26. Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 26
  27. 27. Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 27
  28. 28. (Defense in Depth) …?Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 28
  29. 29. Not to mention 1937 ..!Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 29
  30. 30. ResultaatVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 30
  31. 31. De illusie In Control te kúnnen zijnVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 31
  32. 32. (Pauzeprogramma: Verplicht leeswerk) Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 32
  33. 33. Ga zo doorVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 33
  34. 34. Beter weten dan de DakotaVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 34
  35. 35. Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 35
  36. 36. Agenda Intro ORM De Totalitaire Dictatuur van de Volmaakte Bureaucratie → Was Nun?Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 36
  37. 37. Was nun ...? (I)Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 37
  38. 38. Was nun … ? (II)In theorie werkt niks, en In de praktijk werkt alles, maariedereen weet waarom. niemand weet waarom. Wij streven naar een ideale combinatie van theorie en praktijk. Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 38
  39. 39. Was Nun …? (III)• Alternatieve benadering vanuit risico’s → Véél beter modelleren• Alternatieve benadering vanuit (info)sec → Véél beter doen wat er moet gebeuren• Alternatieve benaderingen vanuit vertrouwen → Ieks! Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 39
  40. 40. Modelling in rk s oW re sprog = Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 40
  41. 41. Aanzet; welke quant helpt ons?• (F)actoren • ‘Threat’-factoren, al of niet tevens • ‘Control’-factoren, al of niet tevens • ‘Vulnerability’-factoren• Continu (! in de tijd) variabel qua • Kans • Ernst/omvang • Impacts (mv.) op (variabel aantal) andere factoren • Feedback (var. aantal, impact, vertraging) op andere factoren Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 41
  42. 42. Oftewel:• Allerlei continue functies, continu variabel (tijd, parameters) → ‘gewone’ Markov-ketens niet mogelijk• Parameterschattingen bootstrappen → zeer veel data nodig• Denk aan de unk unk’s Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 42
  43. 43. Kost nog wel wat tijd …• Is al die data al beschikbaar?• Zijn de modellen al ontwikkeld, en op robuustheid getest …?• Wat als blijkt dat de werkelijkheid niet beheersbaar is ..? (Koot&Bie, 1977)• Nog even niks doen en afwachten …?• En als we ‘het’ niet rondkrijgen: Inzicht, doorzicht en op tijd een banaan. Management ≡ Beslissen onder onzekerheid! Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 43
  44. 44. In de tussentijd• De gewone dingen goed doen• Stress Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 44
  45. 45. De gewone dingen, goed doenVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 45
  46. 46. Dat is al ingewikkeld genoegVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 46
  47. 47. De nieuwe wereldVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 47
  48. 48. En natuurlijk: StressVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 48
  49. 49. (RNLAF 323sqn vlb Leeuwarden-Zuid)Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 49
  50. 50. Doen ‘we’ dus al, vanuit infosec• Data- en systeemgerichte CIA Requirements, tests• Defence in Depth: ( )• Monitoren, pentesten, uitwijktesten, etc. Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 50
  51. 51. En voor de risk managers in de zaal … Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 51
  52. 52. Bruce SchneierVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 52
  53. 53. ResultaatVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 53
  54. 54. Top-down én bottom-up• En/of middle-out• Niet koppelen maar all the way continuüm• Herdenk trust-/control-modellen• Do The Right Thing• Reken op defectors• Tegen diffusie van verantwoordelijkheid,• Pas op Coase’s plafond Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 54
  55. 55. Hoge eisenVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 55
  56. 56. Agenda Intro ORM De Totalitaire Dictatuur van de Volmaakte Bureaucratie Was Nun? →Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 56
  57. 57. Samenvattend• Onze (O)RM-methodes zijn fout • Enthousiast op een doodlopende weg • Vals beeld van de werkelijkheid → • Verkeerd risicobeheer. Ziende blind!• Totalitaire dictatuur van de volmaakte bureaucratie helpt nergens tegen & geeft (ook) vals gevoel van In Control• Doet u daaraan mee ..? Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 57
  58. 58. Oplossing: minder, meerVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 58
  59. 59. De methodologie is in aanbouwVan plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 59
  60. 60. Dat was alles. Dank u. Hope you enjoy(ed) the ride Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 60
  61. 61. Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 61
  62. 62. Contact detailsJurgen van der Vlugt,Maverisk Consultancy, IT-Audit and Advisory services:• Jvdvlugt åt maverisk døt nl• LinkedIn: http://linkd.in/yQVjeS (etc.etc.)• Tel +31-(0)6-206.648.23• www.maverisk.nl / https://jvdvlugt.jux.comMotiveer uzelve! www.despair.com/viewall.html Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 62
  63. 63. The End, echt. Unintentionally left blank. Really, this was not the plan. The plan called forlots of stuff here. But noooo, it had to turn out blank. Darn. Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 63

×