Mittwoch, 30. November 2011
Arguing with an auditor is like wrestling a pig in the mud....
Montag, 15. November 2010
Das geht ja alles viel zu schnell...
Es reicht eben nicht mehr, eine ISO27001-Zertifizierung zu bekommen, sie muss auch teuer sein, sonst bringts nichts.
Früher hätte ich mich ja wieder aufgeregt, aber inzwischen.... gut, dann dauerts halt länger....
Sonntag, 30. Mai 2010
Das macht man jetzt so im Internet
Das ist ja erst einmal nichts Schlechtes.
Leider hat allerdings die Zertifizierungsstelle wo ich bin beschlossen, dass alle Auditoren die gleiche Schulung bekommen. So hörte man denn Neues zur ISO9004 und zum Stichprobenverfahen, während um einen herum getuschelt wurde (Ich kann das doch gar nicht anwenden? Ich darf doch gar keine Stichproben machen!). Das waren dann die ganzen Nicht-ISO9000-Auditoren.
Wenn ich einen Insolvenzverwalter zertifizieren will oder medizinische Geräte eine Zulassung brauchen, braucht man das - gottlob! - nicht. Warum sind diese Leute hier?
Das Highlight für mich: Massnahmenpläne brauchen nicht mehr unterschrieben zu werden, der Kunde kann sie einfach per Email zurücksenden.
Cool!
Da diskutieren wir in ISo27001-Audits mit den Leuten darüber, wie sie Mails verschlüsseln und signieren, und sagen Ihnen dann: Ach, die Massnahmenpläne zu den Findings, mailen sie es mir doch einfach so!
Auf meine Rückfrage wurde mir bedeutet:
Das macht man heute so, Sie sind da wohl nicht ganz auf der Höhe der Zeit. Ausserdem sind signierte Mails doch eh nur eingescannte Unterschriften in PDFs, das machts doch gar nicht sicherer.
Ja, das hatte ich natürlich wieder nicht bedacht. Ich dachte, das wäre was mit Zertifikaten und so, ich Dummerchen. Ich bin dankbar, dass die Listen der Abweichungen und Massnahmenpläne nicht in Facebook gesammelt werden.
Mittwoch, 21. April 2010
Zeit ist Geld? Aber nein!
Spam ist ja eigentlich etwas, worüber ich mich gar nicht aufregen kann. Dafür gibts Spamfilter, die sehr gut funktionieren - egal ob selbst betrieben oder outgesourced - und wenn einmal im Monat eine Brustvergrösserung durchkommt, dann lösch ich sie halt. Da ich beruflich keine Körperteile verlängere oder vergrössere, ist das ja auch leicht als Spam identifiziert.
Aufregen kann ich mich schon eher über Leute, die sich über Spam aufregen. Nachdem jetzt geschätzte 20 Arbeitstage (davon die Hälfte extern, also keine "eh da" Personen) verbraten sind mit der Diskussion ob man 2700 EUR ausgeben will, muss man mal wieder feststellen: Zeit ist offensichtlich doch kein Geld.
Wahrscheinlich muss man es so sehen:
- Ohne Spam hätte man kaum Mail. Wer keine Mail hat, ist unwichtig.
- Ohne Spam hätte man auch nichts zu lachen.
- Ohne Spam hätte man keine Gesprächsthemen in der Kantine...
- ... und könnte keine Meetings einberufen, wo man sich nicht über Lösungen
unterhält, sondern über den Spam an sich (haben Sie das auch gekriegt?
Also nein! Früher hätte es das nicht gegeben!)
- ... und könnte das Feindbild IT-Betrieb nicht mehr aufrecht erhalten (warum leiten
die diese Mails eigentlich weiter?)
Ich bin jedenfalls bald soweit, dass ich Geld bezahle um nicht mehr mit Kunden über Spam reden zu müssen.
Mittwoch, 28. Oktober 2009
Babelfish lebt.... bei hakin9 magazine
Ein leistungsfähiges Werkzeug für das Säubern der Spinnennetze der unbrauchbaren Informationen Ihr System verstopfend. SBMAV Scheibe Reinigungsmittel sucht nach und löscht temporäre Akten und die Hefte, die Windows und andere Anwendungen hergestellt werden.
Es sucht auch nach unzulässgen Verbindungenzu gelöschten Dokumenten. SBMAV Scheibe Reinigungsmittel auch findet unbrauchbar, Software, disables/enables selten benutzte Schriftkegel, Löschungs-Plätzchen und SUchen nach un-anzubringen und entfernt doppelte Akten. Sie können dieses Werkzeug auch benutzen, um mit Ihren Dokumenten zu arbeiten: Entdeckung und Löschungalte Unterstützungsakten und -duplikate basiert auf verschiedenen Kriterien, die Sie vorwählen können. Das Programm ist einfach, für Erstanwener zu benützen, dennoch hat leistungsfähige Einstellungen für vorgerückte tweakers. Der Scheibe Reinigung Prozess kann durch Befehl-Linie automatisch ausgestossen werden, um Sie Zeit zu speichern.
Na schön. Die Löschung-Plätzchen sind ja wirklich geil. Aber was zur Hölle sind Schriftkegel???
Sonntag, 18. Oktober 2009
Das 5%-Quantil
Risk-Management umfasst mehr als IT, das ist klar. Auch klar ist, dass wir die ganze Chose ja nicht zum Vergnügen machen, sondern weil wir sinnvoll mit den Risiken umgehen wollen - sie verstehen, sie berechnen (Eintrittswahrscheinlichkeit und Schaden), sie minimieren.
Zur Berechnung haben wir den PDCA-Zyklus - das macht uns lernfähig, d.h. wir schauen zurück auf die Dinge die passiert sind, verbessern unser Risikomanagement und extrapolieren daraus in die Zukunft.
Das ist ja auch erstmal sehr vernünftig - andere Daten haben wir nämlich nicht, als die aus der Vergangenheit.
Jetzt gibt es natürlich die Menschen, die das Buch "40 Arten sich quer zu stellen" von Frans Krips gelesen haben - übrigens sehr empfehlenswert, gibt es aber nur noch antiquarisch. Die reisen dann bei Veranstaltungen durch die Gegend und sagen "Ist ja alles Quatsch, dieser Blick in die Vergangenheit, wir wollen doch in die Zukunft sehen!"
Hört sich prima an, ist aber ein klassisches Nullargument. Was da postuliert wird, ist nämlich mathematischer Voodoo:
Normal nehme ich meine geschätzten Eintrittswahrscheinlichkeiten und meine geschätzten minimalen, maximalen und mittleren Risiken dazu. Getreu dem Motto "Garbage in, garbage out" entsteht daraus ein ebenso geschätztes Risiko - die Schätzung wird mit der Zeit besser durch Erfahrungswerte.
Jetzt kommt die herausragende Theorie: ich schätze nur noch mittlere Werte und eine passende Wahrscheinlichkeitsverteilung berechnet mir dann - millimietergenau! - die anderen Werte dazu. Und am Ende haben wir völlig vergessen das das ganze Gebilde auf.... Schätzungen beruht.
Ausserdem kann man ja trefflich und sehr gelehrt darüber streiten, wie die Verteilung aussieht. Bloss keine Gauss-Kurven! Das wissen ja sogar Biologen, wie die aussehen. Nein, Weibull muss her. Und dann streiten wir uns um Quantile und Perzentile, weil Weibull ja nur eine besondere Exponentialverteilung ist, und die Aussage "Weibull" sich ja nur gelehrt anhört, aber in wirklich ja auch nichts aussagt - nichts über das "warum" nämlich.
Anyway, heraus kommt eine Kurve, die man dann prima in die Zukunft strecken kann, und bingo - mathematische Hellseherei.
Liebe Leute, etwas zu schätzen und sich dann von einem Computer die anderen Schätzungen berechnen zu lassen ist wissenschaftlicher und praktischer Bullshit. Hier lohnt ein Blick über den Zaun: Die Mediziner rechnen mit Mortalitätsverteilungen (zu denen auch ein Weibull gehören kann), in denen man Therapieerfolge darstellen kann.
Gegenüber den IT-Riskomanagern haben sie allerdings den Vorteil der Kontrollgruppen. Den haben wir nicht - unsere Geschäftsführer würden uns steinigen wenn wir einen Standort verbessern und einen anderen nicht, nur um einen Vergleich zu haben.
Insofern - back to square one. Risikomanagement ist keine Wissenschaft, sondern eine Erfahrung. Wissenschaftliche Modelle können uns helfen, aber im Zweifelsfall gewinnt die Realität.
Was immer schief geht, und da geben wir den Spinnern recht, ist die Vorhersage von Katastrophen. Egal ob sie durch äußere Anlässe oder systematische Fehler im Risikomanagement passieren - Risikomanagement ist die eine Sache, Katastrophenvorsorge oder Notfallvorsorge die andere.
Wenn man so will: Der gute Risikomanager rechnet auch mit dem Risiko, dass das ganze Riskomanagement versagt.
Dienstag, 7. Juli 2009
Die Gipskrise, Teil II
Und wieder mal Erfa-Tag der ISo27000-Auditoren. Immer wieder ein Erlebnis, weil dort sehr unterschiedliche Hintergründe aufeinander treffen und die Egos aufeinanderprallen.
Das Ego-Problem ist so ähnlich wie bei einer Lehrer-Konferenz. Auch dort reden Leute miteinander, die gewohnt sind recht zu haben (Ich kann die Controls alle auswendig!) und Autoritätsperson zu sein (Wenn die die Empfehlungen nicht umsetzen drück ich denen eine Abweichung rein! Ha!).
Das Ganze führt dann immer dazu, dass alle durcheinanderreden, während der Sitzungsleiter verzweifelt, und einzelne Personen ausgiebige Schwanzlängenmessung betreiben.
-Ich kann Ihnen das aus dem Standard belegen. Das steht in 27001, Annex A, ...
- Nein, das steht in 27002, und die ist in diesem Fall nicht bindend.
- (Blätter) Also 27004 legt schon fest, dass....
-Nein nein, das war anders gemeint, ich kann Ihnen das aus meiner Arbeit in der WG42 sagen, wir diskutieren da ganz andere Vorgehensweisen.
- Also, ich habe das neulich mit Herrn Dr. XY von der ISO durchgesprochen, und er ist auch meiner Ansicht.
- Ja, aber in der Praxis ist das ja so nicht umsetzbar. Ich war neulich mit dem CISO von (DAX-Konzern) Abendessen ,und er sagt.....
Oder, wie Freund Hermann immer zu sagen pflegt: Meiner ist nicht nur länger, sondern auch dicker.
.... besondere Erheiterung: Halbstündig Sätze fallen lassen wie:
- Ich könnte das nachher noch weiter ausführen, aber ich muss zu einer internationalen Konferenz.
- Ich schicke Ihnen gerne nachher per Mail den Link - erinnern Sie mich bitte noch einmal dran, weil ich gleich zum Flughafen muss wegen einer internationalen Konferenz.
- Ich kann das Thema zur Klärung gerne mitnehmen, weil ich ja gleich zu einer internationalen Konferenz fahre.
Zum Glück hörts ja immer früh auf, bevor der Kopf explodiert oder man sich einen Kugelschreiber in die Brust gestossen hat.
Sonntag, 19. April 2009
Can I have a certificate with that?
In particular, I have yet to see a bank that really understands what PCI-DSS is about (which is probably due to my limited exposure to banks, but hey, I know at least two now that are candidates for the "clueless in Bavaria" prize).
Blackhat EU 2009
http://www.blackhat.com/html/bh-europe-09/bh-eu-09-archives.html
I am not truly excited. I have not been there, but from what I am told it was fun, but nothing really new - some xploits for weaknesses known but not exploited before, some things better explained than before, but nothing new, weird and wonderful. Anyway, read for yourselves.
Dienstag, 3. Februar 2009
Saving money by abbreviations
A large Swiss bank, lately in the news because of 2 billion bonuses for the management while needing state help to the tune of 20 billion, actually had a good example of how stupidity scales: There was an improvement drive to "abbreviate more and only write department names in the short form, thus about 10 bytes per email and 100 bytes per memo. At (I do not really know how many people work there) lets say 20.000 employees and a lots of memos and mails per day, this saves Gigabytes of NAS and SAN storage and frees up at least one FTE in the IT department".
Yay. Can you spot the mistake?
The chinese worker problem, a process view
And the answer of course is: forever, because they form a union and start fighting among each other.
But I digress.
We see much the same problem when modern consulting companies want to push something through management. Implementing workflow solution A will save everybody 10 minutes per day! At an estimated 220 working days/year, that is a whopping 4.5 working days per year!
Wheee... this means for every 220 / 4.5 = 49 staff you have, you can fire one -
if you have your average medium size mobile operator, you can now lay off 100 people and save millions. Bonuses go up everywhere, hearty handshakes for the consultants. Since the savings scale the bigger the company is, at Siemens or General Electric you could fire thousands and save billions.
Where it all falls down of course is that the numbers are bullshit. For one thing, they are impossible to measure. I can claim any number of minutes I could save...
- hey, if I have my own coffee machine on my desk I need not go to the kitchen any more, this saves at least 10 minutes per day
- we could increase reading speed for internal memos if we left out peoples first names. We could also use a lot of abbreviations.
- we can save about 10 seconds per person and meeting if we just say "hey, you" instead of peoples names. With an average meeting size of 10 people and 2 meetings per day, we can save even more than with a workflow program! and up with meetings of just 9 people!
You can see where this is going.
Economy of scale did not work as a business model in the Internet hype in 2000. It does not work in all processes, either - consultants beware, you need to look closer.
Furthermore, you need to be able to aggregate the time saved between people of similar skillsets, if you want to really cut down staff. Saving 10 minutes per day for widely divergent people and then randomly firing one is hurtful to the company.
Dienstag, 6. Januar 2009
Unintentional humour
Anyway, lots of fun. There are German and English flyers; the German flyers have obviously been translated by a professional, and then there were last minute add-ins by technical people who do not really speak the language. One is reminded of chinese manuals.
The highlight for me is a customer testimonial that reads
Icelandic society is the society which comes closest to being called a cashless society.
Guys, you are SO right. I mean, what do you mean "come closest"? YOU HAVE NO CASH, we all read that in the papers a couple of weeks ago.
ROTFL.
Freitag, 19. Dezember 2008
Real life is better than TV
Sometimes, I am really happy I am (hopefully) out of the rat race.
This weeks highlights were
- a site manager whose site was closed down, without him
being told until after the fact (hey, they just did not want to trouble you) - the strangenesses of paying seperation pay correctly (following
this story, you'd think some people are just unable to do things the
easy way. That's a management attitude, not the fault of the guys) - an org chart with the site managers name labeled as "that guy in fishtown" (we are a people company!)
- a press release lauding the president elect (never hurts, does it?)
- telling customers there are no Christmas presents and then sending lavish presents to the managers (neat move, really helps!)
I really wonder what happens next.
Mittwoch, 19. November 2008
Xing / OpenBC Privacy Issues
It is kinda funny if you see a managing director of a company you know join the "managing low performers" group. Yes, we all have them, but it sheds a funny light on the company. More Dilbert comics!
Donnerstag, 13. November 2008
Wtf?
Sheesh. I will see a couple of presentations at a conference in Berlin 1st and 2nd of December about ISO27001, and if anyone spells the name wrong in their slides I will yell and throw things.
Be warned :-)
Aber natürlich!
>der Fehler steckt in eine Zeile der Datei
>
>XXX.properties
>
>
>in die dritte Zeile steht
>XXX.resource=XXXner300Res346ACF778E90BE56E39392227B4ACD7C915A484F052FAF8255AA2536CFD5D841.jar
>
>es sollte aber sein
>XXX.resource=XXXner300Res94022746370B2BE306091D2F94F38791E9C36933D4515BB5D429694633E6A285.jar
Hat mir nicht irgendein Professor mal erklärt, JAVA sei selbstdokumentierend?
Sonntag, 9. November 2008
Glendronach und die WiPrüs
a) Glendronach wirklich nicht trinkbar ist
b) Bunnahabhain cottages vermietet (!) - Islay ist sowieso eine Reise wert, mal wieder hinfahren!
c) Eine gewisse gelbe Firma ihre Wirtschaftsprüfer zum Socialising bei Radrennen verschleisst. Zur Frage des Dopings denken wir an b).
d) Tennant's Super anscheinend nur in Schottland seine ungeheure Wirkung entfaltet.
Wenn die Billigflüge nach Edinburgh über den Winter nicht eingestellt wären, wüsste ich wo ich jetzt bin.
Freitag, 7. November 2008
Manager-Sprüche 1
Merken sie sich, was sie mir sagen wollten, und schicken sie mir ein FAX.
Donnerstag, 6. November 2008
Die Gipskrise kommt!
Thema: ISMS nach ISO27001
Nachdem das Thema zu GreenIT abgedriftet ist, erklärt ein Teilnehmer was das ist: Es geht ja gar nicht ums Energiesparen, ne? Green IT ist Ressourcen sparen, ne? Aus 100 Liter Wasse mehr Papier machen! Oder Gips, wenn ich in der Kalkgrube bei uns sehe wie die Gips wegschaffen wegen der Rauchgasentschwefelung, da kommt das Gips bald schneller aus der Grube als die Lastwagen fahren können! Da muss man doch sparsamer mit umgehen!
Und wir sehen: Nach der Energiekrise und der Finanzkrise kommt die Gipskrise. Bald wird es auf der ganzen Welt kein Gips mehr geben, nur noch wenige Bröckchen werden von den Königen der Gruben gehütet wie ihre Augäpfel, und die Organisation Gips-Exportierender Staaten wird von den USA zur terroristischen Vereinigung erklärt.
Erster Gedanke am Morgen
Preisfrage: In welcher Stadt ist er?