Science of stupid este titlul unei emisuni grozave de pe National Geographic. Emisiunea ar putea fi completată și cu „The Corporate Bullshit Generator„

1. Avem nevoie de o strategie de securitate.

O afirmație corectă dacă se pornește de la realitatea existentă în momentul conceperii strategiei. Altfel spus, fără minciuni, ci cu acceptarea realității indiferent care ar fi aceasta. Strategia trebuie continuată cu o „planificare„/plan pentru că trebuie atinse niște obiective. De aici lucrurile se complică foarte mult. Nimeni nu mai crede în planificarea strategică. Nici măcar Henry Mintzberg unul dintre creatorii săi (Vezi  „Ascensiunea și declinul planificării strategice„).

De 2000 de ani și mai bine, strategiile sînt aceleași. S-au modificat tacticile, actorii, decorul, dar strategiile sînt aceleași! Obiectivele, identice: profit sau putere/control.

2. Investițiile în securitate trebuie recuperate

100% fals. Securitatea informațiilor înseamnă mecanisme de reducere a riscurilor iar acestea presupun costuri. Asigurarea de sănătate este o investiție? Cum se face „recuperarea„ sa? Asigurarea facultativă a autoturismului este o investiție? Cum se face recuperarea sa?

Nu există, economic vorbind, nici o posibilitate de recuperare a „investiției„ în securitate! Există doar COSTURI! Formulele ROSI – Return on Security Investment sînt o mare minciună academică și comercială! Dar sînt teribil de bune în vînzări :).

3. Securitatea informațiilor se bazează pe managementul riscurilor.

Corect, dar ce înseamnă „riscuri„? Ce înseamnă „managementul riscurilor„?

Stim cu certitudine ca un cub/zar are 6 fețe. Indiferent ce simboluri vor fi pe cele 6 fețe, atunci cînd aruncăm zarul, cu certitudine vom obține un simbol. Care? Aici intervin probabilitățile. Acest lucru înseamnă managementul riscurilor: să știi că un lucru se va întîmpla și să poți asocia un grad de încredere asupra „viitorului„. Risk assessment = cît de mari sînt riscurile (impact). Risk management = ce/cum facem să diminuăm impactul.

Ori de cîte ori nu vom putea folosi probabilitatea matematică, nu ne confruntăm cu riscuri ci cu incertitudini. Cine are altă opinie, ar trebui să o poată proba fără nici un fel de dubiu: matematic! În cazul securității, în cîte cazuri putem discuta despre riscuri și în cîte despre incertitudini? În cîte situații putem asocia „numere„ de o manieră obiectivă și nu subiectivă/personală?

Bunul simț nu ar trebui înlocuit de nici o formulă/model matematic.

4. Politici, proceduri și tehnologie.

Oare politicile și procedurile de astăzi sînt mai bune/eficiente decît cele de acum 10 ani?

Cine spune? Cum s-a făcut determinarea?În baza unui „studiu„/chestionar în rîndul companiilor? Adică statistic…..Statistica însă este ca o fustă mini: arată unele lucruri dar pe altele nu….Și să nu uităm de copy-paste….