Saturday, June 30, 2012

Druk van security en compliance

In Thinq (een IBM magazine) lezen we begin 2012 in de security blog een column over Security en Compliance. De teneur van die column is, dat er tegenwoordig tools zijn om rapportages over security en compliance te vergemakkelijken. Maar ik wil het thema Security/Compliance hier wat meer achtergrond geven. In de column wordt gesteld, dat dit thema meer en meer een directie-aangelegenheid wordt. De ondergang van Diginotar bijvoorbeeld veroorzaakt dat. De directeur van SRC Secure Solutions schrijft dit in de securityblog, maar de compliancedruk is maar voor een deel het gevolg van beveiliging. Er is gewoon steeds meer toezicht vanuit internationale organisaties en de eigen lokale (semi-) overheden. Interne en externe auditors vragen allerlei rapporten. ICT moet dat allemaal doen naast het gewone werk. Als ICT vraagt om extra budget om te voldoen aan de compliance-eisen, dan is dat budget er niet.
Een aantal drivers achter deze internationale regelgeving:
– De Sarbanes Oxley-wetgeving kwam na het Enronschandaal.
– Basel 2 laat banken in detail rapporteren over hun risico's.
– Solvency 2 laat verzekeraars in detail rapporteren over hun risico's.
– Europese regelgeving drukt op bedrijven en instellingen.
Nu ik dit schrijf, mei 2012, is er de commotie over de Griekenlandcrisis en een eventuele exit uit de Eurozone van dat land. En je moet concluderen, dat sedert de start van de euro in 2002 het fout gegaan is met de schuldenlanden. Ze kregen een lage rente (gelijk aan die van de solide Noordeuropese landen) en hebben hongerig geleend. En daarmee opgeblazen structuren gecreëerd: in Ierland de financiële sector, in Spanje de bouwsector en in Griekenland het overheidsapparaat. Het waarnemen van die foute ontwikkeling is dus 10 jaar tekort geschoten! Is toegenomen controle en regelgeving weer gebaseerd op de foute ontwikkelingen uit het verleden? Terwijl er geen oog is voor de misstanden, die zich op dit moment aan het ontwikkelen zijn? Het blijft overal en altijd het vakmanschap om de kern van de zaak te zien in plaats van je druk te maken over symptomen en uiterlijkheden....
Al jaren verzorg ik bij het Actuarieel Instituut de module AN2, waarin de informatiestromen in de financiële sector worden beschouwd. In een laatste forumles bespreken we dan de trends, die de cursisten in hun bedrijf waarnemen. En de afgelopen 10 jaar neemt compliance in toenemende mate daarin een rol. De meeste cursisten zijn voortdurend bezig om nieuwe wet- en regelgeving te implementeren in hun bedrijf: rapportage over verzekeringen, nieuwe pensioenregels, woekerpolissen en de implementatie van Solvency 2 (het Europese toezichtskader voor verzekeringen).
Terug naar de column in Thinq. Het punt van deze columnist is, dat er tools nodig zijn die allerlei rapportages makkelijk kunnen ophoesten. “Gelukkig bestaan er hulpmiddelen die meerwerk beperken en terugkerend werk structureel wegautomatiseren. Ze werken bijna allemaal met hetzelfde principe, namelijk door de eigen inrichting te vergelijken met de wijze waarop voorbeeldorganisaties hun securitycompliance hebben ingevuld. Door dit regelmatig te doen en de instellingen aan te passen aan nieuwe regels, kan steeds gemakkelijker worden voldaan aan de regels waarop accountants en auditors controleren.”

Tuesday, June 19, 2012

Beyond datawarehousing?

November 2011 was het weer tijd voor de beurs Security/Storage/Tooling event. Er stond een spreker van IBM op de rol, een global strategist vanuit Amerika. Hoewel het onderwerp niet lokte ('technieken voor massa-opslag van data' of zo), kozen we de lezing omdat een IBM-kanon altijd kwaliteit garandeert, En dat was een goede keuze; de zaal zat maar voor een kwart vol, maar de lezing was zeer goed. (Daarentegen bezochten we ook een lezing over de cloud, waarbij de zaal stampvol zat maar de lezing eigenlijk heel matig was. Zo zie je maar, dat je beter kunt kiezen voor kwaliteitsorganisaties dan voor opgeklopte onderwerpen.)
Marc Teerlink, global strategist IBM, vertelde over onvoorstelbare computerkracht. IBM heeft een intelligente computer, Watson; volgens mij is deze genoemd naar de oprichter van IBM. Watson weet alles, kent alle feiten en raadpleegt een onnoemelijk aantal bronnen: kranten, tijdschriften, databanken, bedenk het maar. En Watson kan daarmee ook aan de slag door te rekenen en te analyseren. 3000 algoritmen binnen de computer gaan de ruwe data te lijf.
Ik vond het interessant, dat er dus geen ETL-mechanisme is, maar dat Watson direct werkt op de 'raw data'. (ETL is het mechanisme waarmee datawarehouses data extraheren en standaardiseren om het geschikt te maken voor laden in het datawarehouse.) Tussen 2005 en 2008 werd er bij UWV gewerkt aan een datawarehouse om de gegevens uit de loonaangifte te gebruiken voor analyses. In 2008 viel die activiteit onder mijn verantwoordelijkheid en in die tijd kwam er een leverancier binnen die beweerde, dat het hele datawarehouse overbodig was en alleen maar gigantische opslagkosten veroorzaakte. Ik moet nu terugdenken aan deze expert; misschien had hij gelijk maar was hij in zijn denken zijn tijd te ver vooruit. Hij wilde namelijk ook analyses uitvoeren op de enorme massa van 'raw-data' van de loonaangiftes.
IBM's Watson heeft naam gemaakt door de quiz Jeopardy te winnen. Dat is een Amerikaanse quiz, waarin je alles moet weten over elk denkbaar onderwerp. Watson weet in principe alles en kan dus van elke menselijke speler winnen. Maar het bleek, dat spelers ook de tactiek hebben om al op de knop te drukken, als de quizmaster nog niet klaar is met het stellen van de vraag. Ze denken tijdens het stellen van de vraag al te weten, wat de uiteindelijke vraag gaat worden. De computer Watson wachtte in eerste instantie netjes totdat de vraag gesteld was en begon dan pas te processen. Uiteindelijk hebben de ontwerpers van Watson een factor bepaald, waarmee Watson ook te vroeg ging drukken. Bij het zoeken naar antwoorden raadpleegt Watson dus vele bronnen. Waarbij de gegevens ook worden gewaardeerd, zodat gegevens uit wetenschappelijke publicaties een hoog cijfer krijgen, Wikipedia wat minder en sensatiekranten weer minder.
Teerlink legt uit, dat bij de redeneringen bepaalde valkuilen vermeden moeten worden. Zo is er een verschil tussen correlatie en causation. De dolfijnen die altijd voorop zwemmen in de school hebben meer spieren en sterkere vinnen en ook meer beschadigingen aan de vinnen. De eerste twee zaken zijn causaal en de laatste gecorreleerd.
Er schijnen al interessante toepassingen te zijn voor Watson. Zo kan het artsen helpen bij diagnose. Dat kan ik mij goed voorstellen, want artsen moeten bij het beoordelen van verschijnselen en meetresultaten een enorme beslisboom van mogelijkheden langs en zo'n computer kan daar natuurlijk zeer behulpzaam bij zijn. Watson kan met zijn enorme feitenkennis ook expertsystemen ondersteunen. En helpdesken kunnen met deze technologie doe-het-zelf worden. (Hoewel ik pas te maken had met een doe-het-zelf assistent bij de helpdesk van Tele2, die er echt nog helemaal niks van bakte, zodat je na een paar minuten rommelen toch werd door verwezen naar een helpdeskmedewerker.)
Interessant feit: Watson gebruikt nu nog een vermogen van 85 kW, terwijl het menselijk brein 20w gebruikt. Teerlink concludeert dan, dat de de footprint nog omlaag kan. Zelf concludeer ik, dat het menselijk brein toch een ongelooflijk knap fenomeen is, dat met zo weinig inspanning nog steeds elke computer overtreft in prestatie.

Saturday, June 9, 2012

Masterclass E-herkenning

Samen met een oude collega bezocht ik in januari 2012 de masterclass E-herkenning in de Jaarbeurs van Utrecht. Frappant om te zien, hoe dit onderwerp in verloop van een jaar of vijf is ontwikkeld. Er lag een jaar of vijf geleden een rapport van CG in opdracht van min van EZ.
Men heeft heel goed gezien dat het ondoenlijk is, dat iedere instelling/bedrijf zelf zijn toegangsprocedure inricht. Dan moet dus een klant/ burger voor elk bedrijf een 'sleutel' bewaren. Toen al werd duidelijk, dat een grote digitale sleutelbos geen doen is. Heden ten dage nog hebben mensen passwords/userids/ tokens voor diverse sites waar ze komen (banken, verzekeraars, online winkels).
Een goed initiatief van de overheid was DigiD. Op de eerste plaats voor de belastingaangifte, maar ik merkte op zeker moment, dat ook de site Mijn Pensioen Overzicht zo toegang geeft. En vele (semi)-overheidsinstellingen zetten intussen DigiD in voor hun toegangsproces.
E-herkenning is theoretisch ingewikkeld, omdat je 4 betrouwbaarheidsniveaus hebt die elk eisen stellen aan de beveiligingsmiddelen. Verder is het aantal betrokken partijen groter dan twee (de bezoeker en de gastheer). In een studie van Innopay werd op zeker moment de 'derde partij' geintroduceerd. Dus niet de 1 op 1 beveiligingsovereenkomst (bijv burger met belastingdienst), maar een derde partij gaat er tussen zitten (burger, belastingdienst, DigiD). Op die manier wordt het beveiligingsmechanisme 'uitgenormaliseerd' om maar een term uit gegevensanalyse te gebruiken. Want die derde partij kan dus ook makkelijk tussen de burger en andere instellingen gaan zitten, zodat niet voor elke relatie tussen een burger en een instelling nieuwe mechanismen moeten worden gebouwd.
Waarom wordt het aanvankelijk ingewikkelder? Omdat de derde partij de componenten van zijn activiteiten in de markt bij verschillende aanbieders kan beleggen. In Nederland is daarvoor een fraai model ontwikkeld, waarin de markt een belangrijke plaats inneemt. Hopelijk kan Nederland daarin Europees of zelfs mondiaal een voortrekkersrol spelen.
Voordelen: 1. Bedrijven en klanten hoeven niet voor elke relatie speciale veiligheidsmechanismen te bouwen. Dat bespaart veel tijd en geld. 2. Omdat de markt erin springt, kunnen leveranciers in concurrentie laten zien, wie de beste oplossingen heeft. Voor afnemers is dat een goede situatie. 3. Doordat er verschillende lagen zijn gedefinieerd qua soliditeit en betrouwbaarheid, kunnen vele verschillende varianten worden aangeboden, waardoor heel precies maatwerk mogelijk is per klantsituatie. 4. Nieuwe ontwikkelingen (middelen, procedures) kunnen worden geabsorbeerd door de markt. Dus allerlei pasjes, mobiele telefoons en andere apparaatjes kunnen binnen het systeem een plaats verdienen.
Volgens mij loopt Nederland in deze ontwikkeling voorop. Ik ben benieuwd of bedrijven ook de mogelijkheid hebben om daarmee internationaal een positie te verwerven als leverancier van toegangsoplossingen. Het kan natuurlijk ook zijn, dat het gedachtengoed gemakkelijk te kopiëren en te implementeren is, zodat buitenlandse partijen er in hun land voordeel mee kunnen doen. Dat geldt bijvoorbeeld ook voor Ideal, een betalingsmogelijkheid waarmee je internetaankopen kunt betalen, waarbij je automatisch doorgeleid wordt naar je eigen e-banking-applicatie.