[Terug naar de hoofdpagina]
Zelf schrijven – een goed plan. Maar voor wie; welke toon, welke taal, welke boodschappen …? Allemaal smoesjes wat mij betreft2, want het voornaamste is: Geen tijd, writer’s block, andere prio’s, etc. …
Zowel voor de boeken, in alle richtingen, als voor de artikelen, vooral in zakelijke richting.
Het zijn nogal wat ‘projecten’ van klein (??) naar Groter Dan Groot:
- Dagboek Van Een Dpl, verslag van mijn diensttijd. Het meeste zal toch wel declassified zijn, en/of totaal veranderd. Ja de 20pp. telegramstijl-aantekeningen liggen al zo’n 30 jaar.
- Advisory, een mix van het oude maar nog buitengewoon getrouwe en relevante, juiste stuk waarvan ik de core schreef en pak ‘m beet Maister, maar dan veel vollediger. De eerste 80pp. zijn er dus al ter update en uitbreiding, maar met m’n inhoudplannen en die op dezelfde te-uitgebreide/wijde manier alle toevoegingen, wordt het zó een paar 100… Oh en dan ook wat plaatwerk er nog tussen.
- Quantifying Privacy Loss – hoe een ratio-schaal te koppelen aan het verlies van keuzevrijheid, aan een gevoel van naaktheid, etc. etc. et cetera &. Dit zal wel uitdraaien op financiële bandbreedtes, maar dan specifiek ook gewogen naar omvang van het dataverlies, de veranderbaarheid van de gegevens (wachtwoord = weinig waard, medisch = onveranderbaar), etc. De moeilijkheid zit ‘m erin dat we over gevoels- en kwalitatieve aspecten spreken – hoe ver kan je een emergent kwalitatieve property concreet maken – maar voor de objectiviteit cijfers willen. En dan voorbij een drietal klassen of zo..!
- Een werk als verzameling van onderstaande vaktechnische zaken, in een grote hoofdlijn uiteengezet en aangevuld met wat default theorie. Dus inclusief de plaats en rol en (daardoor vereiste) wijzen van optreden, etc., van Audit bijvoorbeeld.
- Damnable acts create damning information, over hoe acties informatie genereren (zie onder bij Sinful) en die info dus blijft bestaan; ontsnappen aan ‘aansprakelijkheid’ in termen van virtue, deugdzaamheid, is er dus niet bij en eer en schaamte zijn dingetjes, in het universum / voor de pearly gates. Brengt Eer en Schaamte terug als drijvende krachten in de maatschappij!
- Contra saaiheid: Een coffee table book met Alle portieken van Amsterdam. Binnen de ring. Als hier (in opzetje dan!). Een wijk proeffoto’s zijn gemaakt, alsook de gedachte dat we her en der Fraaie voorbeelden van non-portiekdeurgevelconstructies mee zullen nemen. Verkoop onder andere via architectuur-angehauchte boekwinkels, het A’dams Stadsarchief en zeer zeker A’damse makelaars die het boek bij kijkdagen nonchalant open kunnen leggen op betreffende pagina. Tien mille extra voor die bezemkast is dan wel het minste wat ze er voor de verkopers uit kunnen halen – deels retour als Kosten en courtage…
- Een wat nieuwere: Ou est le Fraternité? gegeven dat de wereld tot nu toe heeft gefocust op Liberté dat misloopt tot in de hel van het kapitalisme, versus Egalité dat misliep in communisme (e.v.a.); what about een poging om Mozi eens wat verder uit te werken en operationaliseren? Niet als ‘broeder’schap op zich, want dat is wat eng confucianistisch op de eigen kring eerst betrokken, maar voor heel de mensheid? Want al wat de mens heeft gepresteerd (‘geschiedenis’ genaamd), veerde toch vooral rond (ex-dierlijk) individu/eigengroep-behoud door liberté met OK dan, een scheutje egalité om de groep als bescherming-voor-zeker-ook-eigenbelang, in leven te houden. (De groep, steeds groter wordend qua kring.) Geschiedenis is het almaar zoeken van de balans tussen beide. Waarom stopten de Fransen er een derde bij? Als derde weg, als modererende factor ertussen, of ..? In ieder geval is die derde uit de wereld verdwenen en zou een poging waard zijn, als leidend principe van maatschappij-organisatie. Hoe gaan we om met de kennelijke ‘noodzaak’ of ‘overmijdelijke (?) behoefte’ aan hierarchie ..? #studie! over Liberté en Egalité die wel in orde zijn, in het ourobouros-kapitalisme en zuiver communisme, maar de Fraternité die wordt verdonkeremaand wegens onwelgevallige tegendruk. Zie bijvoorbeeld hier.
- Sinful Time, mijn magnum opus (ooit), proefschrift2, over het element Tijd in de (Kennis die de verboden vrucht leverde bij/zijnde de) zondeval, naar aanleiding van Milton’s Paradise Lost [“En toen beseften ze hun eigen sterfelijkheid en dus (sic tot en met!) werden ze uit het paradijs gegooid”] – is dat terug te vinden in de vroege kerkvaderen ..? Hier hoort heel veel bij; té veel.
Over tijd in de theoretische fysica, zijnde een halve ‘dimensie’ (tijdreizen vooruit is mogelijk, maar terug niet … lees verder bij wormholes als tijdswarp’ers) en als toevallige hulp-variabele om de modellen / berekeningen sluitend te krijgen (“Krijg je je deeltjesmodel niet sluitend? Dan verzin je er toch een deeltje bij‽”) die dus eigenlijk zou moeten worden geëlimineerd uit de Finale Vorm-vergelijkingen, Einstein’s ‘Tijd is dat niet alles tegelijk gebeurt’, én ‘Tijd is gelijk aan Informatie’ – hoewel ik dat betwijfel; informatie is reductie van onzekerheid terwijl de Newtoniaanse (sic) 2e natuurwet blijft gelden dat het universum naar chaos tendeert en Informatie daar dus tegenin zou gaan – vervolgvraag: Wat is de drijvende kracht achter die onzekerheidsreductie?
En over Tijd in (de kosmogenese van) andere religies. En over Kennis in de zondeval in (ook andere) religies; over kenniszoekers als de tovenaarsleerlingen die per definitie tekort schieten (zie ook: gnostici et al., ook mystici uit andere religies).
En ook nog een stuk over de Trickster die Beweging brengt, afwijkt van stilstand/stasis, maar wel ab-so-luut noodzakelijk is om het universum te laten bestáán. Zonder Yin geen Yang en v.v. (en beide zijn incompleet zonder een stukje van de ander in zich!), en in andere culturen is het niet anders. Sterker nog, alle culturen komen op ditzelfde idee. Is Odin/Wodan ver weg van het universum-bestuur, en nog een demente sukkel ook (vaak)? Dan zijn Thor de stabiele en Loki de grillige de leidende krachten. De Trickster is dan wel, soms!!, bedreigend voor de mens op de Great Plains (en ommelanden/continent), maar juist duidelijk een essentieel element in de geesteswereld, óók ten bate van de mens! Midden-Amerika: Panta Rei; alle focus op Tijd Is Verandering. Kijkt verder en ziet – hetzelfde patroon.
Dus is Tijd, het Verandering-mogelijk-makende, essentieel voor het bestaan van universum als zodanig; Ruimte is maar een deel van Zijn (conform e.g., Heidegger – die dus óók niet goed weet hoe Tijd aan te vatten).
Waarbij niet alleen die H het niet goed doet, nota bene in Sein und Zeit. Ook de Oude Grieken en de bekende P, N, en zelfs Kant komen niet verder dan iets ‘a priori synthetisch’ zonder dieper daarop in te gaan. Gesynthetiseerd uit wat ..? want ‘synthese’ veronderstelt voorafgaande begrippen.
En … en …
En de wijninteresse, zie betreffende, gaat binnen afzienbare tijd (= …?) een aantal theoretisch en praktischonderbouwde werken opleveren. Naast de reeds huidige online inhoud… Eerste prio is weer eens verder ‘werken’ aan de Forgotten Four (English here), en over hoogte/druklaagte, et cetera als hier uitgebreid opgesomd.
Nog afgezien van een stuk of twintig onderwerpen voor artikelen voor ons vak, hoe dat dan ook te definiëren of afkaderen is. Easy, 8- tot 10-pp.-stukken. Of columns, daar ben ik nog niet uit.
- Net begonnen, bijvoorbeeld, met het omwerken van Pacemakers voor Control (alhier) en vandat de RPA-editie (alhier), tot een groter stuk of reeks columns. Negative time; dit stukje werd kennelijk niet gepubliceerd wegens … gebrek aan saaiheid, schat ik. Je moet er maar tegen kunnen – nooit wat interessants lezen met een open einde maar meeldroog moet het zijn.
Of we breiden dit een heel klen stukje verder uit, tot een enorm Proefschrift…: Multidimensional Measurements of Materiality; Mining and Modeling Made Meaningful on Significant Scales. Of zo. - [Als tussendoortje, het moet van het hart maar is tegen de bierkaai] Wie haalt het in z’n hoofd om ‘volwassenheids’niveaus (quod non) alleen te vergeven in hele cijfers, en alles naar beneden af te ronden‽ Dan kan alle effort om vrijwel een geheel niveau hoger te komen, voor niks zijn ..? Dan kan je beter he-le-maal niks doen tot je absoluut zeker bent dat je een niveau hoger ruimschoots haalt (of dus veel te veel inspanning doen (krom liggen) en heel veel geld te veel uitgeven voor ‘niks’!). Belangrijker is dat de niveaus niet expliciet zijn gekoppeld aan ‘operating effecitiveness’ van de operationeel-niveau controls. Onbewust geniaal-bekwaam is niveau nul, te-idioot-om-voor-de-duvel-te-dansen-maar perfect procedure’tjes volgen is niveau drie, of vier ..?? Verder weg van Commander’s Intent / Mission Command kan je niet wezen… Dat die tweede term apart moet worden gedefinieerd en niet volkomen vanzelfsprekend uit de eerste volgt, is tell-tale voor je inschatting van de intellectuele capaciteit van je ondergeschikten – die veel waarschijnlijker een reflectie is van de eigen capaciteit terzake. Het sturen op ‘volwassenheid'(sniveaus), quod non dus par excellence – huh, zo dom ermee omgaan is dus Excel-lance… sorry ik kon ‘m niet zo op de stip voor open doel laten liggen – komt dus neer op uiterste poging tot
. Maar ja, dat krijg je als Prozedur Muss Sein in plaats van effectiviteit wordt gesteld. Als beheersingsmaatregel wegens eigen totale nul-inzicht op de hogere niveaus die ‘volwassenheid’ willen ..? Het stuit me tegen de borst als ik daaraan een bijdrage zou moeten leveren. En ja, op niveau vier, eigenlijk pas vijf komt effectiviteit wel om de hoek – terwijl dat kan impliceren dat (“pas dan”!!) fors omlaag moet worden gegaan in volwassenheid (jawel) omdat een hele berg maatregelen om de kat … des keizers baard zullen we maar netjes uitdrukken, wordt gedaan en dus moet worden geschrapt. Jawel, in een (global maar interne) benchmark meegemaakt: Een Business Unit CEO werd verdacht van onvolwassenheid; non-compliance, omdat ‘ie niet de niet-werkende controls van het hoofdkantoor gebruikte zoals de rest van de BUs (die dus, in dit geval niks hadden want het werkte niet en dat leidde dus tot een onbewust onvolkomen dus on-beveiligde omgeving..!!), maar een eigen oplossing had bedacht die volledig-plus-een-beetje voldeed aan de control objectives (dus helemaal Effectief was) én een stuk goedkoper was én praktisch eenvoudig hanteerbaar. Maar ja, dat was raar, dat iets eenvoudig werkt dus verdacht dus daar (iets wél goeds) kunnen we niet aan beginnen hoor. Tsja, als je niet snapt waarom, of niet snapt waarmee/waarom je bezig bent… Etc. - “Controls? Hier?? Ik merk er niks van.“, over hoe controls onzichtbare, onmerkbare vangrails zouden moeten zijn, die nudgen naar veilig gedrag omdat dat het gemakkelijkst is in de werkuitvoering. Non-compliance kost moeite. – Nu bezig met deze. Aansluitend, enigszins, qua toon op vorige bovenstaande; zo wordt het alsnog een serie over Controls.
- Een vers idee: Auditors praten over Interne Beheersing. RvBs en RvCs, laat stáán echte entrepeneurs, absoluut niet. Die willen vol gas en teken nou maar de jaarrekening dan zijn we klaar. Dit loopt uit richting risk management: Dat wil ook niemand, als kunstje op zich, aansluitend bij hieronder nummer 6: GRC, 3L enzo is wel héél erg Calimero aan het worden. De muis en de olifant liepen over de brug. Zei de muis: “Wat kunnen wij hard stampen, hè?” – en dan hebben wij nog te maken met Dunning-Kruger muisjes1.
- Daarbij: In de hele ‘control’-wereld (zonder kapitalen; ominously) heerst nog steeds verwarring over wat nou precies Beleid is. We weten van Visie, Missie, Doelstellingen/Objectives, Programma’s en Projecten (hoewel; waar is de XOR ..?), en een klein beetje van Strategie en RisicoManagement, maar net als bij 6-onder is er grote verwarring over, om iets te noemen, Informatiebeveiligingsbeleid. Dat een onderdeel is van Informatiebeleid? of van (“Integrale-“)Beveiligingsbeleid? Wat zijn die twee dan? En waar hoort Wachtwoordlengtebeleid? Waar gaat überhaupt Strategie over naar Beleid, en is dat de bedoeling? Waar laat dat Objectives, en Control Objectives? Is Informatiebeveiligingsbeleid “Wij zorgen te allen tijde voor …” of is het “Wij hobbelen achter de bijlage van ISO27001:20xy aan”? Horen besluiten tot uitrol van nieuwe(re) technologie in het Beleid, à la inzet van MFA? Is beleid een lijstje taken en/of is het een lijstje randvoorwaarden c.q. bandbreedtes? Hierbij kunnen we eenvoudig het Aansprakelijk/Verantwoordelijk/Uitvoerende van RACI-tabellen koppelen, overigens. Voor nog meer
verwarringverheldering van structuren. En laten we dan nummer 6 hieronder ook eens doorlopen tot in (Von) Moltke’s ideeën, en die van ‘Clausz’ en Eisenhower overslaan (kwadrant te veel op het persoonlijke betrokken, en dat werkt uitsluitend voor iemand die eindeloos veel uiterst-gedisciplineerde delegeerstaff heeft). De méésten die hierop denken een antwoord te geven, struikelen over hun eigen tegenspraken (meervoud)…
Een artikeltje waard, dus… - En met het idee van een stuk over de verwording van het managementvak tot post-decadente onzin als 3Lines (of nofence ← zeker daar), terwijl een juiste combi van oorspronkelijke Theory of Firm, Drucker, Deming (jawel!), Boyd(+) en vooral veel Mintzberg (hier en daar) veel inzicht kan brengen over Hoe Nu Verder in de mix die Private Sectorland is. Uitharken, uitstofkammen, en opnieuw invullen, schat ik. Het dode en veels te weinig gesnoeide zowat-rijshout ertussen uit, in ieder geval. Robuuster maken, met lucht voor wat stevig is. Opgeblazen heksenbezems eruit, wellicht houden we dan wat kaals over maar dat is wel (verder)groeikrachtig.
- En over het elders al genoemde mushroomen van (de scope van) de ‘eigen’ organisatie bij outsourcing of inhuur van services. De scope qua aansprakelijkheid en verantwoordelijkheid breidt zich uit naar én nog steeds onze eigen spullen die elders staan, én de leveranciersorganisatie, direct waar die met de tengels aan onze spullen zitten, indirect de rest van de leveranciersorganisatie (die toch vervlochten is met ‘onze’ scope, onvermijdelijk) en dubbel (??) indirect met andere-klant-diensten en -omgevingen want isolatie door netwerksegmentatie/zonering van top- tot en met fysiek niveau: leuk idee en knetterhard nodig (andere controls zijn nooit voldoende dicht), maar dat gaat nooit lukken. Dus de control balloont enorm, tot ver buiten (goed) zicht. Way to go, met vermindering van de toezichtdruk/noodzaak … Hieraan vastknopen we (ipse dixit) een stukje over de onzin van de ‘Eisenhower matrix’. Handig, op een aantal voorwaarden die nergens meer haalbaar zijn na dan. Voorbeeldje: Wie wil delegeren, heeft wel mensen nodig om aan te delegeren, en die moeten dat ook doen met de gewenste kwaliteit (incl tijd), i.e., op ten minste het eigen kwaliteitsniveau anders heb je er niks aan, én autorisatie en niet meer dan dat anders verschuif je alleen het conflict of interest/time.
- En Causaliteit als Emergent Property, als toevoeging aan deze maar dan zelfstandig – ik vraag me af of het wel voor de average cyber security auditor begrijpelijk gaat zijn dus hoe en waar ..?
- Elders reeds genoemd: What about een stuk over de megatrends in informatiebeveiliging (i.e., het beschermen van de informatiestromen tegen misbruik, manipulatie en onbeschikbaarheid door acts of Man en acts of Nature); ooit begonnen met een zware focus op preventieve Vertrouwelijkheid, waarna reactieve Alles-SOC opkwam, waarna preventie te veel was blijven liggen in de publiciteit en we weer met z’n allen naar Preventie … van (On)Beschikbaarheid zijn gegaan. Met enige hoop mijnerzijds dat dit uitstroomt richting Risk Management. Management! Dealen met de facts of life zijnde het is ook nooit goed ..! En/dus de CIA tegen het licht; voldoen die termen (nog/ooit)? Gekoppeld aan de discussie over de Grote Vier, et al al daar, en het idee van Pacemaker controls, én bovenstaande Control Hier Ik Merk Er Niks Van. Wordt een aardig omvangrijk geheel…
- Starreveldse AO 3.0, ook al elders uitgelegd.
- En Reverse Honeypotting, over hoe een aanvaller door uitlokking de behavioural patterns van SOC-staff kan analyseren inclusief kennelijk(e) zwakke procedurestappen om die te misbruiken – of zelfs
- in een drone-swarm(pje) van ‘verdachte’ patronen die alle SOC-staff bezighouden (soort-van DoSsen dus), hiding in plain sight met een onopvallend MO binnen kan sluipen.
- Auditnummer 40/62 gaat over consequentie- en aansprakelijkheidsvrij adviseren door auditors en hoe dat tot zanikend Calimero-gedreins leidt.
- Audit Als Interventie als kleiner stukje over hoe the mere fact dat er een auditor rondloopt, de boel beïnvloedt en dus geen zuivere meting mogelijk is (en wel al hinder optreedt!).
Daar hoort ook een stuk bij over de idiotie van het verwachten dat een mega-lijst ‘PBCs’ wel even Prepared By Client zal zijn vóór het auditwerk begint. Nee! De auditor moet zijn (veelal) normen kader met control objectives eerst afstemmen met de auditee, die namelijk volstrekt gerechtigd is eigen invulling te geven (‘compensating’ controls hoeven helemaal niks te ‘compenseren’ maar mogen gewoon een eigen invulling geven!) aan achievement van die objectives met zelfgekozen maatregelen – zoals vastgelegd in de SoA (in breder perspectief dan alleen een scope-in-engere-zinbepaling). De Statement of Applicability is wat de auditor mag toetsen, niet minder maar vooral ook niet meer dan dat. Als het goed is, zal de auditee zélf alle docu daarbij hebben – of niet (reeds) in control zijn ja, maar dan nog heeft he-le-maal niemand een verplichting om een heel dossier met ‘evidence’ (quod non) al te hebben verzameld voor de auditor; die vraagt er ter plekke maar om – dat is de absolute kern van het werk – en dan heeft de auditee alle (sic) ruimte om zelf te bepalen waar de gevraagde ‘evidence’ (quod non) te vinden is. Als het niet goed is … moet de auditee bergen tijd (extra) spenderen aan het ophoesten (maken van docu waar niemand wat aan heeft of mee doet maar de auditor vraagt erom. Ja, dan wordt het dus ook ‘PBC’ oftewel bij elkaar gefantaseerd. Staat niet in het arbeidscontract of job description van de auditee en is dus een extracontractuele belasting, en de auditor heeft er nul aan. #belachelijkcircus #waarisdemeestbasalevaktechniek? Het lijkt wel alsof auditors het verschil tussen ‘normen’ en ‘maatregelen’ niet meer kennen. Het oceaanbrede verschil! - Quo Vadis GITC gaat over nieuwe blikken op(entrekken over) General IT Controls (GITC’s, “ITGC’s” zijn niet-bestaande dingen !!) inclusief het feit dat ‘alle’ IT-gerichte controls én IT-Auditing vooral procesgericht zijn, dus in de interim thuishoren maar niet meer dan dat zijn, terwijl bijvoorbeeld een accountant meer heeft aan pentesten juist ook in de interim omdatdat substansive testing is en dus hopelijk ver gaat en dus risicogebaseerd door- en nog eens dieperdoor-prikken is, geen scanscriptjeklaar.
- Ook Biep! en dus Nieuwbiep! verdienen verdere uitwerking.
- 1 Sinds dertig jaar weten we uit onderzoek dat accountants, anders dan advocaten en notarissen, zwaar ondergemiddeld zichzelf ontwikkelen, qua o.a. humaniora. Dat is er in de loop der tijd niet beter op geworden; wellicht zijn de andere beroepsgroepen ook afgezakt maar dat maakt het er dubbel niet beter op. Over de schromelijke zelfoverschatting qua Notabele zijn, schreef ik reeds elders. De velen die zich bezighouden met GRC arme mensjes dat je dat, vooral jezelf erin, belangrijk vindt. En qua Algemene Ontwikkeling is het ook droevig gesteld met post-boomer generaties – ikzelf hoor niet bij die ervoor, op de grens maar aan de andere kant, maar hoor hoe dan ook niet in een vakje nee niet zeuren alsof je de diversiteit in iedere jaargang (sic) niet eens ziet.