1. Van
Plank misslaan
naar
Spijker op de kop
Roundtable 5 maart 2012 Breukelen
Jurgen van der Vlugt
2. Agenda
Intro
ORM
De Totalitaire Dictatuur van de
Volmaakte Bureaucratie
Was Nun?
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 2
3. Intro
• Jurgen = Ir.drs. J. van der Vlugt RE CISA CRISC
• Maverisk Consultancy, IT-Audit and Advisory services
(KPMG, ABN AMRO, Noordbeek, Achmea,
322 (F16) sqn, RNLAF Vlb Leeuwarden-Noord)
• (IS) Audit, (Info)Security, Y2k, BCM, ERM/ORM
• NOREA, ISSA: Diverse committees
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 3
4. Jullie
Eerder gepresenteerd:
ISSA Global Conference,
Baltimore Oct 20-21
maar zeer verbeterd (??);
2¾ sheets hetzelfde
Noot: Interrupties gewenst
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 4
6. Agenda
Intro
→ ORM
De Totalitaire Dictatuur van de
Volmaakte Bureaucratie
Was Nun?
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 6
9. • 5 / 95 pp. überhaupt ‘O’ genoemd
• ‘Guidance’ → Hobson’s choice …
… → Catch-22 (zie verderop)
• Loss db gedreven
• Amateuristische fouten:
• Event = 1 Cause, 1 Effect … At best: ± n:1:m
• Niet-orthogonale categorieën, zwakke definities
• Geen tijdsaspect, geen feedback loops
• Modelling: Zoek het maar uit
• Verkeerde model
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 9
10. (Pauzeprogramma: landjepik)
Many small errors; easily undone or insignificant
Freq
Material (significant) damage; will occur frequently
Ops (but is not ‘routine’)
Los
ses
Break-the-business incidents;
organization will not survive the hit
Security
Incidents
Threats to continuity
Impact
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 10
11. (Ook nog)
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 11
12. ‘In control’ …?
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 12
13. ‘Risk’ Methodologie
• Risico = Kans x Impact (H/M/L, 3/5-schaal)
Initiële auditissues Forecast ultimo 2011
1 2
3 4 4 3
5
9
7 8 6
9
Kans
Kans
6
2
7
1
Impact Impact
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 13
14. Risk ‘methodologie’
• 1 Kans Schande!
• … per? Jaar? Transactie? Nanoseconde?
• 1 Impact Schande!
• … Alleen financieel? Reputatie, etc.?
• H x H = 25 Schande!
• 3xM=H Schande!
• ’16’ > ’12’ Schande!
• Wie schat ‘H’;
hoe en met welke onderbouwing?
• Niemand corrigeert dat?
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 14
15. n:m en feedback, en tijd, continuïteit
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 15
16. En dan ook nog
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 16
17. Wacht… er is nog meer
In particular, for any consistent,
effectively generated formal
theory that proves certain basic
arithmetic truths, there is an
arithmetical statement that is
true, but not provable in the theory.
Kurt Gödel
No matter how perfect you try to
protect, infosec incidents will
happen
Yours Truly Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 17
19. Over kosten nog maar gezwegen
What was it astronaut John
Glenn said went through his mind
as he awaited lift-off?
"You're thinking you're sitting on
top of the most complex machine
ever built by man, with a million
separate components, all
supplied by the lowest bidder."
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 19
20. Poging tot functie
∫ ( Kans × Impact )
∑( Kosten van tegenmaatregelen )
Voor een reeks van functies en parameters, impactschatting-
bereiken (…), variabele sets tegenmaatregelen
Inclusief variabele mates van effectiviteit, met vage noties van
risk appetites in sommigen hun achterhoofd
Kom ik zo op terug
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 20
22. Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 22
23. Operational Risk (≡ ..?) ‘Management’
Evaluate design & Analysis Monitor & react
set-up
Operational Risk Problem
Management Mgt
Incidents
ORAP Inherent
Controls Risk indicators for analysis
risks (Problems)
R(S)A (K)ORC KRI Incident
(+Audit) (Mgt) (Mgt) Mgt Insu-
Designed, Tuning,
Near rance
Selected for Mandatory
misses CLD Mgt
efficiency Corrective
KRI actions
values Incidents Indemnities
Process
Breach
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 23
24. Agenda
Intro
ORM
→ De Totalitaire
Dictatuur van de Volmaakte
Bureaucratie
Was Nun?
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 24
25. 3LoD quod non
Very, very basically
Surprise!
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 25
26. Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 26
27. Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 27
28. (Defense in Depth)
…?
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 28
29. Not to mention
1937 ..!
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 29
33. Ga zo door
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 33
34. Beter weten dan de Dakota
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 34
35. Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 35
36. Agenda
Intro
ORM
De Totalitaire Dictatuur van de
Volmaakte Bureaucratie
→ Was Nun?
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 36
37. Was nun ...? (I)
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 37
38. Was nun … ? (II)
In theorie werkt niks, en In de praktijk werkt alles, maar
iedereen weet waarom. niemand weet waarom.
Wij streven naar een ideale
combinatie van theorie en praktijk.
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 38
39. Was Nun …? (III)
• Alternatieve benadering vanuit risico’s
→ Véél beter modelleren
• Alternatieve benadering vanuit (info)sec
→ Véél beter doen wat er moet gebeuren
• Alternatieve benaderingen vanuit vertrouwen
→ Ieks!
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 39
40. Modelling
in
rk s
o
W re s
prog
=
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 40
41. Aanzet; welke quant helpt ons?
• (F)actoren
• ‘Threat’-factoren, al of niet tevens
• ‘Control’-factoren, al of niet tevens
• ‘Vulnerability’-factoren
• Continu (! in de tijd) variabel qua
• Kans
• Ernst/omvang
• Impacts (mv.) op (variabel aantal) andere factoren
• Feedback (var. aantal, impact, vertraging) op
andere factoren
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 41
42. Oftewel:
• Allerlei continue functies, continu variabel
(tijd, parameters) →
‘gewone’ Markov-ketens niet mogelijk
• Parameterschattingen bootstrappen →
zeer veel data nodig
• Denk aan de unk unk’s
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 42
43. Kost nog wel wat tijd …
• Is al die data al beschikbaar?
• Zijn de modellen al ontwikkeld,
en op robuustheid getest …?
• Wat als blijkt dat de werkelijkheid niet beheersbaar is ..?
(Koot&Bie, 1977)
• Nog even niks doen en afwachten …?
• En als we ‘het’ niet rondkrijgen:
Inzicht, doorzicht en op tijd een banaan.
Management ≡ Beslissen onder onzekerheid!
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 43
44. In de tussentijd
• De gewone dingen goed doen
• Stress
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 44
45. De gewone dingen, goed doen
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 45
46. Dat is al ingewikkeld genoeg
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 46
47. De nieuwe wereld
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 47
48. En natuurlijk: Stress
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 48
49. (RNLAF 323sqn vlb Leeuwarden-Zuid)
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 49
50. Doen ‘we’ dus al, vanuit infosec
• Data- en systeemgerichte CIA
Requirements, tests
• Defence in Depth:
( )
• Monitoren, pentesten, uitwijktesten, etc.
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 50
51. En voor de risk managers in de zaal …
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 51
54. Top-down én bottom-up
• En/of middle-out
• Niet koppelen maar all the way continuüm
• Herdenk trust-/control-modellen
• Do The Right Thing
• Reken op defectors
• Tegen diffusie van verantwoordelijkheid,
• Pas op Coase’s plafond
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 54
55. Hoge eisen
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 55
56. Agenda
Intro
ORM
De Totalitaire Dictatuur van de
Volmaakte Bureaucratie
Was Nun?
→
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 56
57. Samenvattend
• Onze (O)RM-methodes zijn fout
• Enthousiast op een doodlopende weg
• Vals beeld van de werkelijkheid →
• Verkeerd risicobeheer. Ziende blind!
• Totalitaire dictatuur van de volmaakte
bureaucratie helpt nergens tegen &
geeft (ook) vals gevoel van In Control
• Doet u daaraan mee ..?
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 57
59. De methodologie is in
aanbouw
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 59
60. Dat was alles. Dank u.
Hope you enjoy(ed) the ride
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 60
61. Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 61
62. Contact details
Jurgen van der Vlugt,
Maverisk Consultancy, IT-Audit and Advisory services:
• Jvdvlugt åt maverisk døt nl
• LinkedIn: http://linkd.in/yQVjeS (etc.etc.)
• Tel +31-(0)6-206.648.23
• www.maverisk.nl / https://jvdvlugt.jux.com
Motiveer uzelve! www.despair.com/viewall.html
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 62
63. The End, echt.
Unintentionally left blank.
Really, this was not the plan. The plan called for
lots of stuff here. But noooo, it had to turn out blank. Darn.
Van plank misslaan naar spijker op de kop Roundtable 5 maart 2012 Breukelen 63
Hinweis der Redaktion
Had ook kunnen heten: Op het verkeerde paard gewed Een doodlopende straat in Eind zoek, al zoek
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011 Niks is perfect maar weinig is zo gebrekkig en fout als uw modellen. De aannames zijn niet redelijk. En een aap gooit beter dartpijltjes (geen bias). Als ze er niet toe doen, niet doen punt. En ze doen er wel toe, anders hebt u nooit een functioneel model. Conservatief ten opzichte van ..? En waarom niet accuraat boven conservatief (biased). En als ze niet accuraat maar conservatief zijn, hebben odellen dus geen realiteitsgehalte. Conservatisme kan eenvoudig leiden tot onjuiste conclusies. Uw annames worden oneindig eenvoudiger aangetoond verkeerd te zijn dan dat ze juist zijn. Ík heb geen bewijslast, maar u! Geldt ook indien niet ‘bewijs’ maar ‘aannemelijkheid’ wordt gevraagd. Dus als iedereen in het water springt, springt u erachteraan? CYA is niet goed genoeg… Ah, de valse profeet. Is de beslisser beter af als hij wordt mis leid …? Oh jawel dat zijn ze wel want ze misleiden tot u weet welke delen wél zouden werken. Waarom dan de rest niet weggegooid? Of gebruik een horoscoop, die bezweert ook een hoop onzekerheid. Garbage in, garbage out. En je best is wellicht gewoon niet goed genoeg zelfs als de data correct zouden zijn. Volledigheid, iemand? Ja. Maar doe dan wel de juiste aannames en wees rücksichtlos in de beoordeling van hun waarheidsgehalte, én bepaal de variabiliteit in uitkomsten bij variatie van aannames. Doet u dat, ooit? Hoezo? Het zijn geen babies. Het zijn hulpmiddelen. Het kwaad schuilt in de misleiding van uw klanten, in des keizers nieuwe kleren gezet. Vlieg van Schiphol naar O’Hare met brandstof en plattegrond van Eelde!
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011
The Future of Risk Management / Where Will Risk Management Go ..? ISSA Interntional Conference Baltimore October 2011