Nu sunt eu vocea care ar putea revoluționa domeniul. Mă frământ însă ori de câte ori, ajuns în fața amfiteatrului trebuie să transmit auditoriului ce se întâmplă în acest domeniu. Pe blog mi-am exprimat de mai multe ori opinia cu privire la matematizarea greșită, sau mai bine spus incorect aplicată domeniului securității sistemelor informaționale. Aceleași opinii am încercat să mi le exprim și prin ceva jurnale academice.

Cu ani în urmă am citit opinia lui Donn B. Parker, CISSP (Certified Information Systems Security Professional), care spunea că securitatea bazată pe riscuri și mangementul riscurilor intangibile trebuie înlocuite cu ceva „mai practic”, cu „alte obiective”: „due diligence, compliance consistency, and enablement”.

În ultimul număr din ISACA Journal, Steven J. Ross publică un articol („Keynes, Shelley, Taleb and Watts”) în care critică şi el probabilităţile şi formula folosită în ISO 27005:

„Thus, the standard formula, evoked in ISO 27005 as the „process to assign values to the probability and consequences of a risk,”  is sure to fail. Is it any wonder that the multiplication of the unknown and the unknowable does not produce reliable results?”.

Cunoașterea despre viitor este limitată. Pentru a demonstra, la suprafață măcar, aceste limite vă propun modelul epistemologic al lui Karl Popper: „The Three Worlds of Knowledge” :

Conform acestui model, cunoașterea aparține Lumii 1, devine parte a Lumii 2 și este în final depozitată în Lumea 3 sub formă de artifacte.

Putem identifica limita dintre știință – modelele de evaluare a riscurilor, și validarea practică a acesteia? Este teoria din acest domeniu consistentă? Este teoria capabilă să rezolve cea mai mare parte a problemelor practice cu care ne confruntăm?

Până în acest moment nu am identificat nici o teorie și nici un model matematic care să ofere o explicație corectă asupra „conştientizării” şi „judecăţii”, aspecte pe care eu le consider definitorii pentru managementul riscurilor.