CISOs need to speak Managementish in order to be understood. If we cannot translate Risk into Dollars we’re out.
For every practical reason, when we argue we must assume that Risk = present value of future Damage. This implies a thought model: Max(Information Security) = Min(%+$), where % = Risk and $ = Mitigation (=present value of risk mitigating investments incl. operating costs). That's what our work is all about. What if a little extra Security gives huge payback? Well, that happens, because Security is built through Investment. As I just wrote.
Who decides about the road to Max(Information Security)? Not the CISO. The Information Resource Owner does. So go persuade him/her! But who is it in your organization? Is there such a box in the org-chart? No, not often.
There is a "lowest organizational level" for Information Resource Ownership where Accountability is found, and that is just as far from Management that you still have the Ability to manage both the Risk and the relevant Mitigation connected with specific information resources. On and above that level, too little Risk Awareness hurts your wallet severely. Funny enough, this does not count for the CISO – his/her wallet is too small to really get hurt…
The CISO needs open channels to the real Information Resource Owners. This is required, but not sufficient, to enable achievement of your Information Security Objectives.
onsdag 14 december 2011
tisdag 6 december 2011
Sidospår: Kulturrevolutionen - kommunikationsexplosionen
Detta inlägg har inspiererats av @kommunchef, som i sin blogg http://kommunchef.com/2011/12/kulturrevolutionen/ 2011-12-05 skrev "...den kulturrevolution som ett öppet, personligt och medskapande förhållningssätt som integrerar sociala medier kan innebära...".
Någon sa "Jag är inte beroende av Facebook, jag är beroende av mina vänner". Det känns som en revolution att jag kan umgås så okomplicerat med mina vänner över hela världen nu för tiden. Att jag dessutom fått nya vänner som jag aldrig annars skulle ha mött är en bonus med oanade konsekvenser på gott och ont - mest på gott, tror jag.
I den pseudovärld som en organisation är sker liknande förändringar när sociala medier blir en del av kanalvalet. E-post och intranät öppnade dammluckan på glänt. Diverse chattar, Yammer och liknande verktyg spränger dammarna och börjar skapa samma slags flöden internt i organisationer som bloggar, Twitter, Facebook m fl gjort i det offentliga rummet, dvs. öppnar kommunikationsmöjligheter som brev, telefon och möten aldrig kan åstadkomma, på gott och ont - mest på gott, tror jag.
Men sociala media ersätter inte brev, telefon och möten, åtminstone inte på kort sikt. De är nya valbara kanaler för samma gamla kommunikation. Men de kan sänka tröskeln, så att mer kommunikation blir resultatet. Och så verkar det ha blivit, på gott och ont - mest på gott, tror jag.
Självklart kan alla kanaler missbrukas. Glapptrutarna får mer utrymme, och diverse konstigheter dyker upp. Det som borde hållits inom en snäv grupp blir offentligt. Men samtidigt ökar det totala kommunikationsutrymmet så att fler röster får plats vid sidan av de professionella, och fler får del av information som gör att man förstår sammanhang som aldrig förr. Å andra sidan ska de som tar emot flödet ha kapacitet att hantera det och dessutom få andra viktiga uppgifter gjorda. Det finns en inbyggd konflikt mellan ökade kommunikationsmöjligheter och mottagarnas hanteringsförmåga. Förhoppningsvis leder det till att vi lär oss prioritera mellan kommunikation med olika viktigt innehåll, både som avsändare och mottagare, inte mellan kanaler. Då blir resultatet av den pågående kommunikationsutvecklingen mest på gott, tror jag.
Alexander Bard, som vid sidan av sin mera kända musikverksamhet är en analytisk sociolog av rang, sa för något år sedan att informationssamhället tar över, inte genom evolution eller revolution utan genom explosion. Det inser vi inte nu, vi som befinner oss mitt i explosionen, men framtidens historiker kommer att förundras. De kommer att se när vi bytte både fokus och perspektiv från industrialismens syn på utveckling (stenålder – bronsålder – järnålder – industri, eller samla – odla – tillverka – distribuera) till kommunikationssamhällets utvecklingsträd (tal – skrift – tryck – telegraf/telefon – radio/tv – digitalteknik, eller närkommunikation (t ex tal) – meddelandesystem (t ex brev) – massmedia (t ex tidning) – nätverk). Och det vet jag är på gott.
Någon sa "Jag är inte beroende av Facebook, jag är beroende av mina vänner". Det känns som en revolution att jag kan umgås så okomplicerat med mina vänner över hela världen nu för tiden. Att jag dessutom fått nya vänner som jag aldrig annars skulle ha mött är en bonus med oanade konsekvenser på gott och ont - mest på gott, tror jag.
I den pseudovärld som en organisation är sker liknande förändringar när sociala medier blir en del av kanalvalet. E-post och intranät öppnade dammluckan på glänt. Diverse chattar, Yammer och liknande verktyg spränger dammarna och börjar skapa samma slags flöden internt i organisationer som bloggar, Twitter, Facebook m fl gjort i det offentliga rummet, dvs. öppnar kommunikationsmöjligheter som brev, telefon och möten aldrig kan åstadkomma, på gott och ont - mest på gott, tror jag.
Men sociala media ersätter inte brev, telefon och möten, åtminstone inte på kort sikt. De är nya valbara kanaler för samma gamla kommunikation. Men de kan sänka tröskeln, så att mer kommunikation blir resultatet. Och så verkar det ha blivit, på gott och ont - mest på gott, tror jag.
Självklart kan alla kanaler missbrukas. Glapptrutarna får mer utrymme, och diverse konstigheter dyker upp. Det som borde hållits inom en snäv grupp blir offentligt. Men samtidigt ökar det totala kommunikationsutrymmet så att fler röster får plats vid sidan av de professionella, och fler får del av information som gör att man förstår sammanhang som aldrig förr. Å andra sidan ska de som tar emot flödet ha kapacitet att hantera det och dessutom få andra viktiga uppgifter gjorda. Det finns en inbyggd konflikt mellan ökade kommunikationsmöjligheter och mottagarnas hanteringsförmåga. Förhoppningsvis leder det till att vi lär oss prioritera mellan kommunikation med olika viktigt innehåll, både som avsändare och mottagare, inte mellan kanaler. Då blir resultatet av den pågående kommunikationsutvecklingen mest på gott, tror jag.
Alexander Bard, som vid sidan av sin mera kända musikverksamhet är en analytisk sociolog av rang, sa för något år sedan att informationssamhället tar över, inte genom evolution eller revolution utan genom explosion. Det inser vi inte nu, vi som befinner oss mitt i explosionen, men framtidens historiker kommer att förundras. De kommer att se när vi bytte både fokus och perspektiv från industrialismens syn på utveckling (stenålder – bronsålder – järnålder – industri, eller samla – odla – tillverka – distribuera) till kommunikationssamhällets utvecklingsträd (tal – skrift – tryck – telegraf/telefon – radio/tv – digitalteknik, eller närkommunikation (t ex tal) – meddelandesystem (t ex brev) – massmedia (t ex tidning) – nätverk). Och det vet jag är på gott.
torsdag 1 december 2011
Operational Risk Assessment and Mitigation
Risk is defined in ISO 31000 as “the effect of uncertainty on objectives”. Risk is usually measured as “likelihood times consequences”. Operational Risk is all Risk besides Business Risk. Operational Risk Assessments aim at identifying all risks and proposing proper Mitigation. Easy, right? Well, no. It is challenging and time consuming. But it is worth it, because it is profitable.
I have this rather operational view on Operational Risk Assessment and Mitigation:
I have this rather operational view on Operational Risk Assessment and Mitigation:
- Threats "use" one or more Vulnerabilities to create one or more Damages on your people, assets, information, processes, or reputation. Every such Threat-Vulnerability pair is more or less likely, i.e. is connected to a Likelihood value. Multiply with the value of the related Damages, and you have a Risk value. To be useful for analysis and mitigation, Risk should be quantified in measurable & verifiable units (when possible), i.e. do not use those low-to-high relative scales.
- You need to do these calculations from three different points of view. I recommend you to calculate the Risk connected which each individual identified Threat, Vulnerability and type of Damage. Just don’t sum up all the Risks so calculated – they are not independent. In fact, you look at the same Total Risk from three perspectives, so adding Risk over any individual of the three dimensions – Threats, Vulnerabilities or Damage types – should give the same resulting Total Risk.
- Now you will have a brilliant base for the real security work – first select the Threat, Vulnerability or Damage type giving the highest Risk value and work on with Risk Mitigation proposals down the list, Risk by Risk:
- How much may Risk be reduced by any Risk mitigating activity, e.g.:
- Eliminating or reducing Threats?
- Reducing Vulnerabilities?
- Planning for Reducing Damage (preparedness)?
- Which costs and other effects are associated with each Risk mitigating activity (investment & ongoing)?
- How profitable is each activity, i.e. how much does it reduce the total value of Damage and protection?
- Does any Risk mitigating activity reduce more than one Risk? How does that affect its profitability?
- Knowing all this, propose to your peers what combination of Risk Mitigating activities you find most profitable (within affordable limits – your purse is restricted), compared to doing nothing (nothing new, that is).
Prenumerera på:
Inlägg (Atom)