Uitgeverij: CRC Press

PRAGMATIC Security Metrics

admin

Auteurs: W.Krag Brotby en Gary Hinson

Het boek gaat over hoe je security metrieken moet maken, beoordelen, voor wie ze te gebruiken, maar vooral dat het nuttig is ze te gebruiken.

PAGMATIC staat voor

  • Predictive
  • Relevant
  • Actionable
  • Genuine
  • Meaningful
  • Accurate
  • Timely
  • Independent
  • Cheap

En dit zijn de criteria waarop elke indicator moet beoordeeld worden.

Mijn persoonlijke favoriet is de eerste: Predictive. Een indicator moet iets kunnen vertellen over wat er in de nabije toekomst te verwachten valt. De tweede is voor mij Actionable, omdat een indicator moet kunnen een maatregel opleveren die de indicator kan bijsturen. Meaningful is belangrijk, omdat te vaak de eigenaars van de indicatoren teleurgesteld worden erdoor, omdat te gemakkelijke indicatoren gemaakt worden, die snel en gemakkelijk meetbaar zijn, maar weinig zeggen over de security van de organisatie. Meaningful staat volgens mij dan ook lijnrecht tegenover Cheap, dat beter Complex had geweest, omdat Complexere indicatoren meer informatie in zich dragen, maar moeilijker te verkrijgen zijn, ook moeilijker te interpreteren en dus duurder zijn in gebruik.

Accurate doet me dan denken aan het feit dat indicatoren best cijfermateriaal opleveren dat juist is. Er moet hard kunnen gediscuteerd worden, en dat is moeilijk als de indicatoren flou worden gedefinieerd en / of gemeten.

Het zevende kenmerk, Timely, geeft de vanzelfsprekende eigenschap aan dat het management geen boodschap heeft aan indicatoren die reeds hun tijd voorbij zijn. Dit is ook van belang voor het voorspellend karakter van de indicator.

Het boek opent met een office memorandum: de CEO van het bedrijf vraagt kort door de bocht genomen aan de CSO om argumentatie waarom Information Security belangrijk is. Een antwoord dat er morgen moet liggen.

Het boek begint daarna met een hoofdstuk dat onontbeerlijk is: een hoop inspiratie om aan de verschillende doelgroepen in de organisatie duidelijk te maken waarom werken met Security Indicatoren van belang is, naast het feit dat men reeds de gewoonte heeft om met tal van andere indicatoren te werken op voornamelijk financieel vlak.

Daarna volgen hoofdstukken over waarom we Security willen meten. Ook dit kan motiverend werken om de mensen in de organisatie te helpen overtuigen.

Het volgende belangrijke hoofdstuk is Hoofdstuk 6 dat ons een kennismaking geeft met de mnemonic PRAGMATIC. Uiteindelijk staat het de lezer echter vrij om andere criteria te kiezen.

De hoofdbrok wordt echter opgeëist in hoofdstuk 7 door de toepassing van de PRAGMATIC-criteria op een 150-tal indicatoren, met bespreking. Dit om de lezer onder te dompelen in het principe van het denken volgens deze criteria.

Daarna gaat het boek verder over het opzetten van een Information Security Measurement System en wat daarbij gebruikt kan worden. Er wordt een inleiding gegeven in Key Indicatoren, de nadelen van metrieken, en de praktijk wordt belicht in o.a. een hoofdstuk dat de case behandelt van het office memorandum in het begin. Nadien volgt een niet te complexe conclusie. Het boek sluit af met een antwoord van de CSO op de CEO zijn vraag in het begin van het boek.

Risk Management- Concepts and Guidance

admin

Auteur: Carl L. Pritchard

De auteur geeft in dit boek een verzameling weetjes, grofweg opgedeeld in twee delen. In een eerste deel van drie hoofdstukken geeft hij algemene uitleg over risicomanagement. Nadien in een tweede deel van meer dan dertig hoofdstukken geeft hij uitleg over (management)technieken die daarbij kunnen gebruikt worden in projecten.

De meerwaarde van het boek voor de projectmanager is meervoudig:

  • Je krijgt een uitleg over de techniek en haar gebruik
  • Je krijgt de voor- en nadelen van de techniek uitgelegd
  • Je kan technieken combineren naargelang ze elkaar aanvullen, zoals je bijvoorbeeld brainstormtechnieken samen met SWOT, risicoregister en risicomatrix, aangevuld met een urgencyanalyse en een sensitiviteitsanalyse kan combineren.

Het tweede voordeel van het boek is dat het mijns inziens niet enkel hoeft gebruikt te worden bij projecten, maar ook in de business as usual kan gebruikt worden (processen dus), of bij de opmaak van een meerjarenplan voor een grotere organisatie.

Er zijn ook enkele kleinere nadelen aan het boek volgens mij:

Het feit dat de ogen geopend moeten blijven om risico’s te herkennen, te melden en te assessen doorheen de loop van het hele traject van het project wordt pas beklemtoond in een van de laatste hoofdstukken. Eveneens wordt in de druk van 2015 bij deze vijfde editie in een van de hoofdstukken nog steeds gesproken over ISO 17799 waar deze door ISO reeds lang vervangen is door de reeks ISO 2700x.

Maar voor een projectmanager blijft ondanks deze twee gebreken het boek van onschatbare waarde, als aanvulling op ISO 31010 omdat de uitleg voor elke techniek veel vollediger en duidelijker is. Het is voor mij een betere doorstart naar het verkennen van de assessmenttechnieken die nodig zijn om je projecten tot een beter einde te brengen.