Vakkig

[Terug naar de hoofdpagina]

Iets meer over mijn ‘vakhobbies’, behoudens wat daarover behoudens… ondergenoemde links allemaal reeds op m’n blog stond:

  • (Kwantitatief Operational) Risk met natuurlijk een stevige -Managementcomponent; over wat Doug Hubbard (hier en hier) te berde bracht, aangevuld met deze, deze en deze bij voorbeeld. Voorbeelden te over…
  • Denken vanuit strategisch perspectief: welke objectives worden bedreigd en hoe kunnen we / de klant [hierna: we] tegen die bedreigingen wat doen – zeker vanaf tactisch niveau nog eens héél goed nadenkend wat we qua informatiebeveiliging willen bereiken en zeker niet zomaar een standaard over de muur moeten gooien [zie ook deze, én het stukje psych van non-c hieronder]. Wél zullen we zeker, de aloude literatuur over Decision Theory en -Support weer van de plank moeten halen. ERM/COSO → ORM → IRM inclusief allerlei zijtakken en herinvlechtingen. RM1 én RM2, voor ingewijden. Daarbij hoort ook een hernieuwde blik op RM: Nu 3LoD passé is (per IIA standards!) en 3L heet, is RM nog steeds een apart iets in de eerste lijn; de oorspronkelijke bedoeling wordt daarmee nog stééds niet gehaald. Misschien, bij nader inzien, niet volledig zoals in deze maar toch. Regulators lopen achter ..? De ECB is gelukkig al wat meer aan het terugkeren naar principle-based werken. Veel bedrijven nog niet. En andere bedrijven doen het wél (al) goed, in principe, bijvoorbeeld zo. I repeat: ERM/COSO → ORM → IRM inclusief allerlei zijtakken en herinvlechtingen. RM1 én RM2, voor ingewijden.
  • I repeat, Strategie, maar dan echt, inclusief het leren van militaire geschiedenis [pak ‘m beet Von Moltke/Guderian, analyses van strijd uit het verdere verleden] en natuurlijk inclusief het ontwikkelen van strategie tot en met de -execution, eruit het lastigste onderdeel. Vanuit échte visie en missie. Mijn indruk is daarbij dat ‘Governance’ zo langzamerhand is afgedaald naar wat vroeger gewoon ‘management’ heette – de gebakken lucht is er wel uitgelopen; degenen die er serieus mee omgaan, doen dat goed dunkt me en degenen die er nog niet goed mee omgaan … dat gaat vanzelf over(names in). En we moeten (sic) weer terug naar gewoon hoe het wél werkt, in Mintzberg’s modellen, Deming en Drucker, e.a. Onder dit kopje hoort natuurlijk ook ‘leren van klanten’ – zien hoe zij managen en daaruit leren voor onszelf. Van grootbedrijf tot kleiner MKB: de verschillen op alle niveaus zijn groot; formaat zegt weinig over managementkwaliteit…
  • Dit betekent dus ook heroverwegen of ‘CIA’ nog wel de juiste weg is [zie deze met name 2e linkje]. Zeker nu “ESG-audits”, “AI Beoordelen” en zo óók de data-inhoud belangrijk maken. Integriteit (niet zo) ook qua betekenis van de datapunten; gericht op ‘geschikt voor de juiste besluitvorming’ (door mensen, dûh; AI bestond nog niet) ook, de oorspronkelijke gold standard in de accountancy, toen dat nog de enige betekenis van auditing was.
  • Laten we dan ook eens werk maken van de integratie van Schwartau’s Time Based Security. Ben sinds 2000 fan, en zie het belang weer toenemen, ook wegens de ‘swing’ na decennia focus op Preventief-omdat-dat-de-eerste-zoveel-procent-opvangt en nu anderhalf decennium JaMaar dat werkt nooit 100% dus laten we het ‘helemaal’ gooien op Detectief/Correctief u weet wel SOC/SIEM enzo, nu weer terug naar het midden van Laten We Preventief Toch Maar weer Flink Bijpuimen. TBS kan helpen om de al te snelle (hoezo; APT, anyone..?) indringers op te vangen tegen beheersbare (prev-)kosten. Beter BCMmen!
  • En dan dus óók de Grote Vier van Treatment [Mitigate, Share, Transfer, Avoid] nog eens tegen het licht houden. Share en Transfer lopen áltijd door elkaar. Avoid – als je dat doet, gaat het uit je overzichten dus bestaat het niet meer, voor je organisatie. Dat is geen Treatment. Share is Outsource is een onder(sic)deel van ‘Avoid’? Transfer – zoals via verzekering (of garanties van derden), dat is alleen schadecompensatie achteraf, nooit volledig en je betaalt er alsnog voor (plus een winstmarge voor de betrokken derden!).
    Dan is het terug tot: [Mitigate, SomethingElse, Accept]?
    En Mitigate – Al-tijd deels, 100% mitigeren kan niet. Een perfecte hedge betekent no guts, no glory; no risk, no reward. Wel transactiekosten… (negative sum). Accept: Is inclusief terugbetalen van bonussen. Skin in the game! [Reputatie is complete onzin]
    En Outsource daar weer doorheen. Is dat wel een keuze, of leidt Avoid tot Outsource? Dat levert niks komma nul op, in tijden van transparante verantwoordelijkheid voor het geheel van complexe netwerken-ketens. In plaats van scope-verkleining hebben we méér-dan-dezelfde scope (want de leveranciersorganisatie plus waarschijnlijk (sic!) wat ze voor andere klanten doen; netwerksegmentering tot op fysiek niveau is een aardig idee maar wordt altijd (sic2) zwak gedaan) komen wel binnen scope maar blijven buiten juridische zeggenschap ..? De ‘eigen’ organisatie/scope balloont tot buiten-zicht-proporties.
  • En tot slot een en ander ook toepassen op Project (Risk) Management – de voorwaarden scheppen waaronder de positieve dingen [lees: drie riem papier vol met Motivatie, bijvoorbeeld] vanzelf goed gaan en de negatieve risico’s worden bestreden, weg worden gehouden. Een simpele is deze. De lenge / tijdsduur van ‘projecten’ [waaronder programma’s uiteraard, op dit punt niks verschillend] kan variëren van de prozaïsche tot decennia durende – dat lijkt al bijna op de levensduur van een organisatie … en dat klopt. In dat licht wordt iedere organisatie een project, en risk management wordt ook gewoon management in het algemeen…
  • Dat biedt ook een kans om weg te komen van al te simpel denken over lines of defense. Swiss Cheese werkt niet meer. Het is alles, of niet veel. Zie hier voor een idee dat nog verder moet worden uitgewerkt…
  • Deze blijft ook maar zeuren in m’n hoofd. Daar zouden we toch iets méér mee moeten‽
  • AI / Machine Learning: Over de hele,
    • Dus inclusief de ‘ethische’ kant (als hier en hier, en absoluut ook hier en hier).
    • En hoe bepalen we nu wat de ‘software’kwaliteit is van dat spul; hoe audit je die ..? Wat is Kwaliteit, op ethisch, bedrijfseffectief en software-vlakken?
    • En what about data-kwaliteit? Training set poisoning, al of niet bewust, biased of niet? Zie de Google-site over de zes verschillende ‘ethische’ betekenissen van (un)baising…
    • Hoe optimale inzet ten behoeve van grondig-gereengineerde bedrijfsprocessen te verkrijgen? Een PoC is niks, inzet als tool voor deels groterschalig straight-through processen en anderzijds de Mens te ondersteunen, dat kan (sic) ‘m wel worden.
    • Met natuurlijk ook operationele dagelijkse issues als deze [qua taal ongekuist…].
    • Hierin ligt dus (ook) het linkje naar de accountants: als die van systeemgericht teruggaan naar volledig-gegevensgericht controleren, hoe weet je dan hoe goed dat gaat? En hoe weet zometeen een ‘ongetrainde’/onervaren accountant nog waarop te letten?
    • Afgezien van Process Mining waarin ik wel mogelijkheden zie om risk management te verbeteren.
    • En afgezien van dat er eigenlijk weinig nieuws is onder de zon. Mijn afstudeeronderwerp van 1994 was al data mining vanuit neurale-netwerkperspectief. Qua technologie is er niets wat nu hot is wat we toen ook al niet deden, alleen was toen a. de data te beperkt in omvang, b. de compute capacity veel te laag, c. de toepasbaarheid laag door gebrek aan acceptatie. Maar verder…
    • En er is ook nog het lijntje richting adversarial examples, deep fakes / fake news en de ontwaarding van álle mogelijke evidence in court, AI voor of tegen security, et al.
  • Beveiliging van Operational Technology: Hoe dat te integreren met de ‘kantoor’automatisering. Met zo afwijkende uitgangspunten. OT was er eerst al… Met duidelijke, kwantitatieve risicoberekeningen en -toleratie. Denk ook eens aan sluizen en dijken. Al die ervaring was in de begintijd van de KA nog wel aanwezig maar is verloren gegaan ..? Nu gaan we dus verschillende denkbeelden over safety, security, kansen etc. proberen op een hoop te vegen; ‘interessant’…!
  • De psychologie van (non)compliance: Hoe komt het toch dat ‘mensen’ oftewel collega’s telkens zo zwak blijken qua compliance met uitgevaardigde beveiligingsmaatregelen, en er telkens omheen proberen te werken ..? Misschien omdat ze wel wat belangrijkers te doen hebben dan te voldoen aan al die hinderende maatregelen. Water stroomt naar het laagste punt, via de laagste bedding, zo moeten we ook gaan (sic) zorgen dat we de beveiligingsmaatregelen zó maken dat ze als vanzelf worden gevolgd, omdat dat de handigste, snelste manier is om het werk gedaan te krijgen. Zie punt 4 van deze [overigens een overigens ook interessant zijspoor].
    Aan de andere kant moesten we ook eens zien of een combi van Cialdini met Nudging én de tactieken als in deze [warning: deprimerend zeker in deze tijd] en deze [warning: ook effectief voor persoonlijke change…] wellicht een ethisch verantwoorde (sic!) aanpak mogelijk maakt, gebruik makend van voornoemde punt over ‘ethiek’.
  • Ontwikkelingen in de Accountancy. Zie hierboven voor process mining en de inzet van AI. Robotic Process Mining: Het kan wel hot zijn maar ik twijfel sterk of het meer is dan slechts een nieuwe slag ‘straight-through processing‘. Misschien nu, à la AI, met een doorbraakje qua inzetmogelijkheden, maar toch.
    En dus het idee dat een accountant moet kunnen snappen wat haar/zijn systeem doet, qua gegevensgericht controleren. Hoe verder we komen, hoe groter en blacker de box wordt, ook doordat de accountant niet (genoeg) met de voeten in de klei zal hebben gestaan.
    Daarnaast zijn accountants ook bezig met de grondslagen van hun vak. Laten we in de gaten houden wat ‘daar’ gebeurt zodat we kunnen overnemen en bijhouden wat voor ons (ook) van toepassing is. Ik ben niet voor niets nog steeds een klein beetje aangesloten bij de ontwikkelingen in Accountancy (uitgenodigd bij de NBA kennisgroep Accountech), ‘uiteraard’.
  • En vele andere. Klaut, Blockchain en Dogecoin: Not so much. Done deal, gewone technology, methodologisch nog niet zo veel anders dat we echt moeten omdenken of zo. Quantum Computing: Meh, laten we nog een jaar of vijf wachten. Er is immers al crypto die daar tegenop kan. Mijn nichtje studeert natuurkunde én wiskunde en hoort ook al om haar heen: Quantum duurt beslist nog even áls het ooit wat wordt.
    Supply Chain Management en -Security: Ah, daar is er een die direct relevant is, en waar nog wat over moet worden na- en uitgedacht. Plots is het een issue, maar vergeet de markt niet de benadering vanuit risk management?
    Standaarden, zei u? Ja graag, drie kilo! Ben bezig met een mapping van ‘alle’ inforisk-standaarden, van CObIT tot en met CSF, ISF en IEC62443, door naar MITRE ATT&CK/D3FEND en terug. Zodat snel afleesbaar is welke (compliance!)dekking reeds is bereikt op standaard Y als voldaan wordt aan standaard X. Of als de klant een selectie maakt uit standaard X op basis van toepasbaarheid, direct inzichtelijk is wat dat oplevert voor dekking in standaard Y. Ja, er bestaan al mappings, maar die gaan altijd maar 1 kant heen; 1:n – en nooit n:m laat staan dat de inhoud vanzelfsprekend zou kloppen..!
    Oh en allerlei zaken die met drones te maken hebben. Ook vooral voor wijngaardbeheer met AI… Aerial scans op zich-ontwikkelende ziektes (AI/spectraalanalyses) en dan gekoppelde ground bots die per plant kunnen spuiten. (Lutte rationelle)2. Maar goed, da’s de wijnhobby hè?

Ik stop nu. Nutteloos om maar door te gaan met (mijn)blog posts te pluggen. Dat zijn er tegen de 1500 dus… Maar Gaarne Overleg!

[Terug naar de hoofdpagina]

Maverisk / Étoiles du Nord