Mittwoch, 30. November 2011

Arguing with an auditor is like wrestling a pig in the mud....

... after a while you realize that the pig enjoys it!

Montag, 15. November 2010

Das geht ja alles viel zu schnell...

Man lernt ja nie aus. Heute hatte ich zum Ersten Mal eine Diskussion mit einem Kunden darüber, dass eine Zertifizierungsvorbereitung zu schnell sei. Und eigentlich doch viel teurer sein müsste.

Es reicht eben nicht mehr, eine ISO27001-Zertifizierung zu bekommen, sie muss auch teuer sein, sonst bringts nichts.

Früher hätte ich mich ja wieder aufgeregt, aber inzwischen.... gut, dann dauerts halt länger....

Sonntag, 30. Mai 2010

Das macht man jetzt so im Internet

Seit es die DAkkS gibt, sind die Richtlinien zur Weiterbildung von Auditoren wohl leicht verschärft worden. Es gibt also jetzt nicht nur ERFA, sondern auch verpflichtende Weiterbildungstage.

Das ist ja erst einmal nichts Schlechtes.

Leider hat allerdings die Zertifizierungsstelle wo ich bin beschlossen, dass alle Auditoren die gleiche Schulung bekommen. So hörte man denn Neues zur ISO9004 und zum Stichprobenverfahen, während um einen herum getuschelt wurde (Ich kann das doch gar nicht anwenden? Ich darf doch gar keine Stichproben machen!). Das waren dann die ganzen Nicht-ISO9000-Auditoren.
Wenn ich einen Insolvenzverwalter zertifizieren will oder medizinische Geräte eine Zulassung brauchen, braucht man das - gottlob! - nicht. Warum sind diese Leute hier?

Das Highlight für mich: Massnahmenpläne brauchen nicht mehr unterschrieben zu werden, der Kunde kann sie einfach per Email zurücksenden.

Cool!

Da diskutieren wir in ISo27001-Audits mit den Leuten darüber, wie sie Mails verschlüsseln und signieren, und sagen Ihnen dann: Ach, die Massnahmenpläne zu den Findings, mailen sie es mir doch einfach so!
Auf meine Rückfrage wurde mir bedeutet:
Das macht man heute so, Sie sind da wohl nicht ganz auf der Höhe der Zeit. Ausserdem sind signierte Mails doch eh nur eingescannte Unterschriften in PDFs, das machts doch gar nicht sicherer.

Ja, das hatte ich natürlich wieder nicht bedacht. Ich dachte, das wäre was mit Zertifikaten und so, ich Dummerchen. Ich bin dankbar, dass die Listen der Abweichungen und Massnahmenpläne nicht in Facebook gesammelt werden.

Mittwoch, 21. April 2010

Zeit ist Geld? Aber nein!

Spam, spam, lovely spam...

Spam ist ja eigentlich etwas, worüber ich mich gar nicht aufregen kann. Dafür gibts Spamfilter, die sehr gut funktionieren - egal ob selbst betrieben oder outgesourced - und wenn einmal im Monat eine Brustvergrösserung durchkommt, dann lösch ich sie halt. Da ich beruflich keine Körperteile verlängere oder vergrössere, ist das ja auch leicht als Spam identifiziert.

Aufregen kann ich mich schon eher über Leute, die sich über Spam aufregen. Nachdem jetzt geschätzte 20 Arbeitstage (davon die Hälfte extern, also keine "eh da" Personen) verbraten sind mit der Diskussion ob man 2700 EUR ausgeben will, muss man mal wieder feststellen: Zeit ist offensichtlich doch kein Geld.

Wahrscheinlich muss man es so sehen:
- Ohne Spam hätte man kaum Mail. Wer keine Mail hat, ist unwichtig.
- Ohne Spam hätte man auch nichts zu lachen.
- Ohne Spam hätte man keine Gesprächsthemen in der Kantine...
- ... und könnte keine Meetings einberufen, wo man sich nicht über Lösungen
unterhält, sondern über den Spam an sich (haben Sie das auch gekriegt?
Also nein! Früher hätte es das nicht gegeben!)
- ... und könnte das Feindbild IT-Betrieb nicht mehr aufrecht erhalten (warum leiten
die diese Mails eigentlich weiter?)

Ich bin jedenfalls bald soweit, dass ich Geld bezahle um nicht mehr mit Kunden über Spam reden zu müssen.

Mittwoch, 28. Oktober 2009

Babelfish lebt.... bei hakin9 magazine

Aus Ausgabe 4/2009 von hakin9:

Ein leistungsfähiges Werkzeug für das Säubern der Spinnennetze der unbrauchbaren Informationen Ihr System verstopfend. SBMAV Scheibe Reinigungsmittel sucht nach und löscht temporäre Akten und die Hefte, die Windows und andere Anwendungen hergestellt werden.
Es sucht auch nach unzulässgen Verbindungenzu gelöschten Dokumenten. SBMAV Scheibe Reinigungsmittel auch findet unbrauchbar, Software, disables/enables selten benutzte Schriftkegel, Löschungs-Plätzchen und SUchen nach un-anzubringen und entfernt doppelte Akten. Sie können dieses Werkzeug auch benutzen, um mit Ihren Dokumenten zu arbeiten: Entdeckung und Löschungalte Unterstützungsakten und -duplikate basiert auf verschiedenen Kriterien, die Sie vorwählen können. Das Programm ist einfach, für Erstanwener zu benützen, dennoch hat leistungsfähige Einstellungen für vorgerückte tweakers. Der Scheibe Reinigung Prozess kann durch Befehl-Linie automatisch ausgestossen werden, um Sie Zeit zu speichern.


Na schön. Die Löschung-Plätzchen sind ja wirklich geil. Aber was zur Hölle sind Schriftkegel???

Sonntag, 18. Oktober 2009

Das 5%-Quantil

Risikomanagement für Theoretiker, Teil 1.

Risk-Management umfasst mehr als IT, das ist klar. Auch klar ist, dass wir die ganze Chose ja nicht zum Vergnügen machen, sondern weil wir sinnvoll mit den Risiken umgehen wollen - sie verstehen, sie berechnen (Eintrittswahrscheinlichkeit und Schaden), sie minimieren.

Zur Berechnung haben wir den PDCA-Zyklus - das macht uns lernfähig, d.h. wir schauen zurück auf die Dinge die passiert sind, verbessern unser Risikomanagement und extrapolieren daraus in die Zukunft.

Das ist ja auch erstmal sehr vernünftig - andere Daten haben wir nämlich nicht, als die aus der Vergangenheit.

Jetzt gibt es natürlich die Menschen, die das Buch "40 Arten sich quer zu stellen" von Frans Krips gelesen haben - übrigens sehr empfehlenswert, gibt es aber nur noch antiquarisch. Die reisen dann bei Veranstaltungen durch die Gegend und sagen "Ist ja alles Quatsch, dieser Blick in die Vergangenheit, wir wollen doch in die Zukunft sehen!"
Hört sich prima an, ist aber ein klassisches Nullargument. Was da postuliert wird, ist nämlich mathematischer Voodoo:

Normal nehme ich meine geschätzten Eintrittswahrscheinlichkeiten und meine geschätzten minimalen, maximalen und mittleren Risiken dazu. Getreu dem Motto "Garbage in, garbage out" entsteht daraus ein ebenso geschätztes Risiko - die Schätzung wird mit der Zeit besser durch Erfahrungswerte.

Jetzt kommt die herausragende Theorie: ich schätze nur noch mittlere Werte und eine passende Wahrscheinlichkeitsverteilung berechnet mir dann - millimietergenau! - die anderen Werte dazu. Und am Ende haben wir völlig vergessen das das ganze Gebilde auf.... Schätzungen beruht.
Ausserdem kann man ja trefflich und sehr gelehrt darüber streiten, wie die Verteilung aussieht. Bloss keine Gauss-Kurven! Das wissen ja sogar Biologen, wie die aussehen. Nein, Weibull muss her. Und dann streiten wir uns um Quantile und Perzentile, weil Weibull ja nur eine besondere Exponentialverteilung ist, und die Aussage "Weibull" sich ja nur gelehrt anhört, aber in wirklich ja auch nichts aussagt - nichts über das "warum" nämlich.

Anyway, heraus kommt eine Kurve, die man dann prima in die Zukunft strecken kann, und bingo - mathematische Hellseherei.

Liebe Leute, etwas zu schätzen und sich dann von einem Computer die anderen Schätzungen berechnen zu lassen ist wissenschaftlicher und praktischer Bullshit. Hier lohnt ein Blick über den Zaun: Die Mediziner rechnen mit Mortalitätsverteilungen (zu denen auch ein Weibull gehören kann), in denen man Therapieerfolge darstellen kann.
Gegenüber den IT-Riskomanagern haben sie allerdings den Vorteil der Kontrollgruppen. Den haben wir nicht - unsere Geschäftsführer würden uns steinigen wenn wir einen Standort verbessern und einen anderen nicht, nur um einen Vergleich zu haben.

Insofern - back to square one. Risikomanagement ist keine Wissenschaft, sondern eine Erfahrung. Wissenschaftliche Modelle können uns helfen, aber im Zweifelsfall gewinnt die Realität.

Was immer schief geht, und da geben wir den Spinnern recht, ist die Vorhersage von Katastrophen. Egal ob sie durch äußere Anlässe oder systematische Fehler im Risikomanagement passieren - Risikomanagement ist die eine Sache, Katastrophenvorsorge oder Notfallvorsorge die andere.

Wenn man so will: Der gute Risikomanager rechnet auch mit dem Risiko, dass das ganze Riskomanagement versagt.

Dienstag, 7. Juli 2009

Die Gipskrise, Teil II

Und wieder mal Erfa-Tag der ISo27000-Auditoren. Immer wieder ein Erlebnis, weil dort sehr unterschiedliche Hintergründe aufeinander treffen und die Egos aufeinanderprallen.

Das Ego-Problem ist so ähnlich wie bei einer Lehrer-Konferenz. Auch dort reden Leute miteinander, die gewohnt sind recht zu haben (Ich kann die Controls alle auswendig!) und Autoritätsperson zu sein (Wenn die die Empfehlungen nicht umsetzen drück ich denen eine Abweichung rein! Ha!).
Das Ganze führt dann immer dazu, dass alle durcheinanderreden, während der Sitzungsleiter verzweifelt, und einzelne Personen ausgiebige Schwanzlängenmessung betreiben.

-Ich kann Ihnen das aus dem Standard belegen. Das steht in 27001, Annex A, ...
- Nein, das steht in 27002, und die ist in diesem Fall nicht bindend.
- (Blätter) Also 27004 legt schon fest, dass....
-Nein nein, das war anders gemeint, ich kann Ihnen das aus meiner Arbeit in der WG42 sagen, wir diskutieren da ganz andere Vorgehensweisen.
- Also, ich habe das neulich mit Herrn Dr. XY von der ISO durchgesprochen, und er ist auch meiner Ansicht.
- Ja, aber in der Praxis ist das ja so nicht umsetzbar. Ich war neulich mit dem CISO von (DAX-Konzern) Abendessen ,und er sagt.....

Oder, wie Freund Hermann immer zu sagen pflegt: Meiner ist nicht nur länger, sondern auch dicker.

.... besondere Erheiterung: Halbstündig Sätze fallen lassen wie:


- Ich könnte das nachher noch weiter ausführen, aber ich muss zu einer internationalen Konferenz.
- Ich schicke Ihnen gerne nachher per Mail den Link - erinnern Sie mich bitte noch einmal dran, weil ich gleich zum Flughafen muss wegen einer internationalen Konferenz.
- Ich kann das Thema zur Klärung gerne mitnehmen, weil ich ja gleich zu einer internationalen Konferenz fahre.

Zum Glück hörts ja immer früh auf, bevor der Kopf explodiert oder man sich einen Kugelschreiber in die Brust gestossen hat.

Sonntag, 19. April 2009

Can I have a certificate with that?

I will be holding some talks on the sense and nonsense of security certifications (ISO 27001, Common Criteria, PCI-DSS, whatever) in the next couple of weeks, and I am really curious what the public will say. My past forays into public appearances were less than exciting - people are nodding, people are saying "yes, we need", people do not really understand what this is about.

In particular, I have yet to see a bank that really understands what PCI-DSS is about (which is probably due to my limited exposure to banks, but hey, I know at least two now that are candidates for the "clueless in Bavaria" prize).

Blackhat EU 2009

Here is the download secition for the past EU 2009 session:
http://www.blackhat.com/html/bh-europe-09/bh-eu-09-archives.html

I am not truly excited. I have not been there, but from what I am told it was fun, but nothing really new - some xploits for weaknesses known but not exploited before, some things better explained than before, but nothing new, weird and wonderful. Anyway, read for yourselves.

Dienstag, 3. Februar 2009

Saving money by abbreviations

Case in point for the last post:
A large Swiss bank, lately in the news because of 2 billion bonuses for the management while needing state help to the tune of 20 billion, actually had a good example of how stupidity scales: There was an improvement drive to "abbreviate more and only write department names in the short form, thus about 10 bytes per email and 100 bytes per memo. At (I do not really know how many people work there) lets say 20.000 employees and a lots of memos and mails per day, this saves Gigabytes of NAS and SAN storage and frees up at least one FTE in the IT department".

Yay. Can you spot the mistake?

The chinese worker problem, a process view

We all had these math quizzes when we went to elementary school - if 2 workers take one year to build a house, how long does it take 1000 workers to build a house?
And the answer of course is: forever, because they form a union and start fighting among each other.

But I digress.

We see much the same problem when modern consulting companies want to push something through management. Implementing workflow solution A will save everybody 10 minutes per day! At an estimated 220 working days/year, that is a whopping 4.5 working days per year!
Wheee... this means for every 220 / 4.5 = 49 staff you have, you can fire one -
if you have your average medium size mobile operator, you can now lay off 100 people and save millions. Bonuses go up everywhere, hearty handshakes for the consultants. Since the savings scale the bigger the company is, at Siemens or General Electric you could fire thousands and save billions.

Where it all falls down of course is that the numbers are bullshit. For one thing, they are impossible to measure. I can claim any number of minutes I could save...
  1. hey, if I have my own coffee machine on my desk I need not go to the kitchen any more, this saves at least 10 minutes per day
  2. we could increase reading speed for internal memos if we left out peoples first names. We could also use a lot of abbreviations.
  3. we can save about 10 seconds per person and meeting if we just say "hey, you" instead of peoples names. With an average meeting size of 10 people and 2 meetings per day, we can save even more than with a workflow program! and up with meetings of just 9 people!

You can see where this is going.

Economy of scale did not work as a business model in the Internet hype in 2000. It does not work in all processes, either - consultants beware, you need to look closer.

Furthermore, you need to be able to aggregate the time saved between people of similar skillsets, if you want to really cut down staff. Saving 10 minutes per day for widely divergent people and then randomly firing one is hurtful to the company.

Dienstag, 6. Januar 2009

Unintentional humour

Yesterday's mail included a flyer from an icelandic company who sell a risk management program - one of many on the market, from my perspective, and one of many that are just glorified spreadsheets. Oh well.

Anyway, lots of fun. There are German and English flyers; the German flyers have obviously been translated by a professional, and then there were last minute add-ins by technical people who do not really speak the language. One is reminded of chinese manuals.

The highlight for me is a customer testimonial that reads

Icelandic society is the society which comes closest to being called a cashless society.

Guys, you are SO right. I mean, what do you mean "come closest"? YOU HAVE NO CASH, we all read that in the papers a couple of weeks ago.

ROTFL.

Freitag, 19. Dezember 2008

Real life is better than TV

Sometimes, I am really happy I am (hopefully) out of the rat race.

This weeks highlights were

  • a site manager whose site was closed down, without him
    being told until after the fact (hey, they just did not want to trouble you)
  • the strangenesses of paying seperation pay correctly (following
    this story, you'd think some people are just unable to do things the
    easy way. That's a management attitude, not the fault of the guys)
  • an org chart with the site managers name labeled as "that guy in fishtown" (we are a people company!)
  • a press release lauding the president elect (never hurts, does it?)
  • telling customers there are no Christmas presents and then sending lavish presents to the managers (neat move, really helps!)

I really wonder what happens next.

Mittwoch, 19. November 2008

Xing / OpenBC Privacy Issues

Guys, you do have the chance to set privacy options in Xing, and I do recommend you use them.

It is kinda funny if you see a managing director of a company you know join the "managing low performers" group. Yes, we all have them, but it sheds a funny light on the company. More Dilbert comics!

Donnerstag, 13. November 2008

Wtf?

Dear information security consultants all over the world, the guy who invented the PDCA cycle is called Deming. William Edwards Deming. One "m" in Deming. He is not called Walter and not Demming.

Sheesh. I will see a couple of presentations at a conference in Berlin 1st and 2nd of December about ISO27001, and if anyone spells the name wrong in their slides I will yell and throw things.

Be warned :-)

Aber natürlich!

Wie konnte man das nur übersehen :-)

>der Fehler steckt in eine Zeile der Datei
>
>XXX.properties
>
>
>in die dritte Zeile steht
>XXX.resource=XXXner300Res346ACF778E90BE56E39392227B4ACD7C915A484F052FAF8255AA2536CFD5D841.jar
>
>es sollte aber sein
>XXX.resource=XXXner300Res94022746370B2BE306091D2F94F38791E9C36933D4515BB5D429694633E6A285.jar


Hat mir nicht irgendein Professor mal erklärt, JAVA sei selbstdokumentierend?

Map of the Internet

http://xkcd.com/195. In case you wondered.

Sonntag, 9. November 2008

Glendronach und die WiPrüs

Gestern durften wir festellen, dass
a) Glendronach wirklich nicht trinkbar ist
b) Bunnahabhain cottages vermietet (!) - Islay ist sowieso eine Reise wert, mal wieder hinfahren!
c) Eine gewisse gelbe Firma ihre Wirtschaftsprüfer zum Socialising bei Radrennen verschleisst. Zur Frage des Dopings denken wir an b).
d) Tennant's Super anscheinend nur in Schottland seine ungeheure Wirkung entfaltet.

Wenn die Billigflüge nach Edinburgh über den Winter nicht eingestellt wären, wüsste ich wo ich jetzt bin.

Freitag, 7. November 2008

Manager-Sprüche 1

Aus der Abteilung: du-unwichtig-ich-wichtig:

Merken sie sich, was sie mir sagen wollten, und schicken sie mir ein FAX.

Donnerstag, 6. November 2008

Die Gipskrise kommt!

Ort: ERFA-Tagung einer grossen Auditorengesellschaft.
Thema: ISMS nach ISO27001

Nachdem das Thema zu GreenIT abgedriftet ist, erklärt ein Teilnehmer was das ist: Es geht ja gar nicht ums Energiesparen, ne? Green IT ist Ressourcen sparen, ne? Aus 100 Liter Wasse mehr Papier machen! Oder Gips, wenn ich in der Kalkgrube bei uns sehe wie die Gips wegschaffen wegen der Rauchgasentschwefelung, da kommt das Gips bald schneller aus der Grube als die Lastwagen fahren können! Da muss man doch sparsamer mit umgehen!

Und wir sehen: Nach der Energiekrise und der Finanzkrise kommt die Gipskrise. Bald wird es auf der ganzen Welt kein Gips mehr geben, nur noch wenige Bröckchen werden von den Königen der Gruben gehütet wie ihre Augäpfel, und die Organisation Gips-Exportierender Staaten wird von den USA zur terroristischen Vereinigung erklärt.

Erster Gedanke am Morgen

Das erste Wort, was Chris in den Kopf kommt im Hotel: Netzwerk-Zonen-Konzept.
Preisfrage: In welcher Stadt ist er?