Mittwoch, 28. Oktober 2009
Babelfish lebt.... bei hakin9 magazine
Ein leistungsfähiges Werkzeug für das Säubern der Spinnennetze der unbrauchbaren Informationen Ihr System verstopfend. SBMAV Scheibe Reinigungsmittel sucht nach und löscht temporäre Akten und die Hefte, die Windows und andere Anwendungen hergestellt werden.
Es sucht auch nach unzulässgen Verbindungenzu gelöschten Dokumenten. SBMAV Scheibe Reinigungsmittel auch findet unbrauchbar, Software, disables/enables selten benutzte Schriftkegel, Löschungs-Plätzchen und SUchen nach un-anzubringen und entfernt doppelte Akten. Sie können dieses Werkzeug auch benutzen, um mit Ihren Dokumenten zu arbeiten: Entdeckung und Löschungalte Unterstützungsakten und -duplikate basiert auf verschiedenen Kriterien, die Sie vorwählen können. Das Programm ist einfach, für Erstanwener zu benützen, dennoch hat leistungsfähige Einstellungen für vorgerückte tweakers. Der Scheibe Reinigung Prozess kann durch Befehl-Linie automatisch ausgestossen werden, um Sie Zeit zu speichern.
Na schön. Die Löschung-Plätzchen sind ja wirklich geil. Aber was zur Hölle sind Schriftkegel???
Sonntag, 18. Oktober 2009
Das 5%-Quantil
Risk-Management umfasst mehr als IT, das ist klar. Auch klar ist, dass wir die ganze Chose ja nicht zum Vergnügen machen, sondern weil wir sinnvoll mit den Risiken umgehen wollen - sie verstehen, sie berechnen (Eintrittswahrscheinlichkeit und Schaden), sie minimieren.
Zur Berechnung haben wir den PDCA-Zyklus - das macht uns lernfähig, d.h. wir schauen zurück auf die Dinge die passiert sind, verbessern unser Risikomanagement und extrapolieren daraus in die Zukunft.
Das ist ja auch erstmal sehr vernünftig - andere Daten haben wir nämlich nicht, als die aus der Vergangenheit.
Jetzt gibt es natürlich die Menschen, die das Buch "40 Arten sich quer zu stellen" von Frans Krips gelesen haben - übrigens sehr empfehlenswert, gibt es aber nur noch antiquarisch. Die reisen dann bei Veranstaltungen durch die Gegend und sagen "Ist ja alles Quatsch, dieser Blick in die Vergangenheit, wir wollen doch in die Zukunft sehen!"
Hört sich prima an, ist aber ein klassisches Nullargument. Was da postuliert wird, ist nämlich mathematischer Voodoo:
Normal nehme ich meine geschätzten Eintrittswahrscheinlichkeiten und meine geschätzten minimalen, maximalen und mittleren Risiken dazu. Getreu dem Motto "Garbage in, garbage out" entsteht daraus ein ebenso geschätztes Risiko - die Schätzung wird mit der Zeit besser durch Erfahrungswerte.
Jetzt kommt die herausragende Theorie: ich schätze nur noch mittlere Werte und eine passende Wahrscheinlichkeitsverteilung berechnet mir dann - millimietergenau! - die anderen Werte dazu. Und am Ende haben wir völlig vergessen das das ganze Gebilde auf.... Schätzungen beruht.
Ausserdem kann man ja trefflich und sehr gelehrt darüber streiten, wie die Verteilung aussieht. Bloss keine Gauss-Kurven! Das wissen ja sogar Biologen, wie die aussehen. Nein, Weibull muss her. Und dann streiten wir uns um Quantile und Perzentile, weil Weibull ja nur eine besondere Exponentialverteilung ist, und die Aussage "Weibull" sich ja nur gelehrt anhört, aber in wirklich ja auch nichts aussagt - nichts über das "warum" nämlich.
Anyway, heraus kommt eine Kurve, die man dann prima in die Zukunft strecken kann, und bingo - mathematische Hellseherei.
Liebe Leute, etwas zu schätzen und sich dann von einem Computer die anderen Schätzungen berechnen zu lassen ist wissenschaftlicher und praktischer Bullshit. Hier lohnt ein Blick über den Zaun: Die Mediziner rechnen mit Mortalitätsverteilungen (zu denen auch ein Weibull gehören kann), in denen man Therapieerfolge darstellen kann.
Gegenüber den IT-Riskomanagern haben sie allerdings den Vorteil der Kontrollgruppen. Den haben wir nicht - unsere Geschäftsführer würden uns steinigen wenn wir einen Standort verbessern und einen anderen nicht, nur um einen Vergleich zu haben.
Insofern - back to square one. Risikomanagement ist keine Wissenschaft, sondern eine Erfahrung. Wissenschaftliche Modelle können uns helfen, aber im Zweifelsfall gewinnt die Realität.
Was immer schief geht, und da geben wir den Spinnern recht, ist die Vorhersage von Katastrophen. Egal ob sie durch äußere Anlässe oder systematische Fehler im Risikomanagement passieren - Risikomanagement ist die eine Sache, Katastrophenvorsorge oder Notfallvorsorge die andere.
Wenn man so will: Der gute Risikomanager rechnet auch mit dem Risiko, dass das ganze Riskomanagement versagt.
Dienstag, 7. Juli 2009
Die Gipskrise, Teil II
Und wieder mal Erfa-Tag der ISo27000-Auditoren. Immer wieder ein Erlebnis, weil dort sehr unterschiedliche Hintergründe aufeinander treffen und die Egos aufeinanderprallen.
Das Ego-Problem ist so ähnlich wie bei einer Lehrer-Konferenz. Auch dort reden Leute miteinander, die gewohnt sind recht zu haben (Ich kann die Controls alle auswendig!) und Autoritätsperson zu sein (Wenn die die Empfehlungen nicht umsetzen drück ich denen eine Abweichung rein! Ha!).
Das Ganze führt dann immer dazu, dass alle durcheinanderreden, während der Sitzungsleiter verzweifelt, und einzelne Personen ausgiebige Schwanzlängenmessung betreiben.
-Ich kann Ihnen das aus dem Standard belegen. Das steht in 27001, Annex A, ...
- Nein, das steht in 27002, und die ist in diesem Fall nicht bindend.
- (Blätter) Also 27004 legt schon fest, dass....
-Nein nein, das war anders gemeint, ich kann Ihnen das aus meiner Arbeit in der WG42 sagen, wir diskutieren da ganz andere Vorgehensweisen.
- Also, ich habe das neulich mit Herrn Dr. XY von der ISO durchgesprochen, und er ist auch meiner Ansicht.
- Ja, aber in der Praxis ist das ja so nicht umsetzbar. Ich war neulich mit dem CISO von (DAX-Konzern) Abendessen ,und er sagt.....
Oder, wie Freund Hermann immer zu sagen pflegt: Meiner ist nicht nur länger, sondern auch dicker.
.... besondere Erheiterung: Halbstündig Sätze fallen lassen wie:
- Ich könnte das nachher noch weiter ausführen, aber ich muss zu einer internationalen Konferenz.
- Ich schicke Ihnen gerne nachher per Mail den Link - erinnern Sie mich bitte noch einmal dran, weil ich gleich zum Flughafen muss wegen einer internationalen Konferenz.
- Ich kann das Thema zur Klärung gerne mitnehmen, weil ich ja gleich zu einer internationalen Konferenz fahre.
Zum Glück hörts ja immer früh auf, bevor der Kopf explodiert oder man sich einen Kugelschreiber in die Brust gestossen hat.
Sonntag, 19. April 2009
Can I have a certificate with that?
In particular, I have yet to see a bank that really understands what PCI-DSS is about (which is probably due to my limited exposure to banks, but hey, I know at least two now that are candidates for the "clueless in Bavaria" prize).
Blackhat EU 2009
http://www.blackhat.com/html/bh-europe-09/bh-eu-09-archives.html
I am not truly excited. I have not been there, but from what I am told it was fun, but nothing really new - some xploits for weaknesses known but not exploited before, some things better explained than before, but nothing new, weird and wonderful. Anyway, read for yourselves.
Dienstag, 3. Februar 2009
Saving money by abbreviations
A large Swiss bank, lately in the news because of 2 billion bonuses for the management while needing state help to the tune of 20 billion, actually had a good example of how stupidity scales: There was an improvement drive to "abbreviate more and only write department names in the short form, thus about 10 bytes per email and 100 bytes per memo. At (I do not really know how many people work there) lets say 20.000 employees and a lots of memos and mails per day, this saves Gigabytes of NAS and SAN storage and frees up at least one FTE in the IT department".
Yay. Can you spot the mistake?
The chinese worker problem, a process view
And the answer of course is: forever, because they form a union and start fighting among each other.
But I digress.
We see much the same problem when modern consulting companies want to push something through management. Implementing workflow solution A will save everybody 10 minutes per day! At an estimated 220 working days/year, that is a whopping 4.5 working days per year!
Wheee... this means for every 220 / 4.5 = 49 staff you have, you can fire one -
if you have your average medium size mobile operator, you can now lay off 100 people and save millions. Bonuses go up everywhere, hearty handshakes for the consultants. Since the savings scale the bigger the company is, at Siemens or General Electric you could fire thousands and save billions.
Where it all falls down of course is that the numbers are bullshit. For one thing, they are impossible to measure. I can claim any number of minutes I could save...
- hey, if I have my own coffee machine on my desk I need not go to the kitchen any more, this saves at least 10 minutes per day
- we could increase reading speed for internal memos if we left out peoples first names. We could also use a lot of abbreviations.
- we can save about 10 seconds per person and meeting if we just say "hey, you" instead of peoples names. With an average meeting size of 10 people and 2 meetings per day, we can save even more than with a workflow program! and up with meetings of just 9 people!
You can see where this is going.
Economy of scale did not work as a business model in the Internet hype in 2000. It does not work in all processes, either - consultants beware, you need to look closer.
Furthermore, you need to be able to aggregate the time saved between people of similar skillsets, if you want to really cut down staff. Saving 10 minutes per day for widely divergent people and then randomly firing one is hurtful to the company.
Dienstag, 6. Januar 2009
Unintentional humour
Anyway, lots of fun. There are German and English flyers; the German flyers have obviously been translated by a professional, and then there were last minute add-ins by technical people who do not really speak the language. One is reminded of chinese manuals.
The highlight for me is a customer testimonial that reads
Icelandic society is the society which comes closest to being called a cashless society.
Guys, you are SO right. I mean, what do you mean "come closest"? YOU HAVE NO CASH, we all read that in the papers a couple of weeks ago.
ROTFL.