Abstrakta dimensioner för övergripande större organisation att bedöma informationssäkerhet relativt offensiva och defensiva mål givet större uppgift

2013-06-08

Dessa dimensioner av - eller om vi så vill perspektiv på - är ej vanligen tillämpade i detta område men är ungefär likartat inte ovanligt i teori för vetenskapliga modellsystem i det abstrakta när vi är i mötespunkten bygga för värde framåt och hantera realitet i datakvalitet. Jag illustrerar från perspektiv av diskussion i Det säkra angreppet säkrat?.


Relativt större uppgifter i rubriken därför det intressanta området här är egentligen inte antal incidenter och dylikt utan rör mer organisationens dynamik inverkande på säkerhet från några perspektiv och dimensioner som ofta går bra att ta ut på mycket.


Generaliserbarhet

Hur väl kan samband, förståelse, metod och kunskap återanvändas - generaliseras - när vi praktiskt ska lösa problem. D.v.s. rörande kartläggning, ev. extraherad information o.s.v. möjligt att tillämpa vilka områden, när och hur.


Komplexitet

Definieras syfte, ansvar och målsättning för i det optimerat praktiskt rörande generaliserbarhet (d.v.s. de områden man verkar för att kunna generalisera metoder mot och i) värde troligare snävt kan generaliserade möjligheter både moraliskt problematiska hindras resp. bli för hög risk. Ex. det första när hindrande att man läcker diverse uppgifter vidare till kommersiella företag i landet (för vilket den risk diskuterat föregående inlägg är hög realitet utan enormt ansvarsfylld bedömning ex. relaterat kunskap om IT-system, event-hantering d.v.s. från perspektivet vi rekommenderade där utifrån: om från det resulterande i troligt tydligare problem drabbande person bör livstidsfängelse drivas för ansvarig person).


Fler delar något väsen-skilda vi kan generalisera mot (eller omvänt är del av en annan aktörs generaliserbarhet) gäller att komplexiteten för att bedöma effekt mellan dessa områden ökar. D.v.s. om vi agerar i område A (vi kan återanvända ex. med företagsspioneri) med område B blir svårigheten att se effekt på n stycken andra områden ju fler områden vi agerar i.


Vidare gäller att för varje sådant område finns ett antal förstådda, hanterade och tillämpade dimensioner de bedöms och följs via. Ju fler totalt desto större svårighet. Ju fler dimensioner vi kan skatta eller gissa ej fullt förstås eller förekommer i verksamhetssystemet desto större är risken att komplexiteten indikerad föregående stycke är mycket högre än förstått. Det är i så fall vad som för en stor organisation kan tendera att ge plötsliga realiserade incidenter tillsynes lite över-allt trots att man har folk, kunskap och budget.


Falsability (väljer här den engelska termen)

Kan man bedöma när man bedömt fel? Förutom en mängd situationer högre upp i analys oavsett slagkraft offensivt eller lärande om fienden gäller basalt att när man hackat ett system upplever man sig "smart-nöjd" eller inser man att systemet trots stora svårigheter att komma in i det faktiskt är introducerat som ett offensivt-säkerhetslager för att introducera tidskostnad fiende och ge möjlighet att förgifta deras underrättelseanalys?


D.v.s. man kommer svårligen ifrån att man för varje informationskanal typisk i praktikaliteter bör helst och optimalt en väldigt annorlunda kanal att kunna jämföra stickprov mot. Ex. när mellan-chef Beijing-polisen besöker ett hus för omoral som både hans hustru och dennes far varande viktig för karriären känt skulle ogilla kan vi genom det fråga ut honom kring information vi tappat ut från ett kinesiskt militärt intelligence system? Och om så och vi ej kontrollerar en av dessa kanaler förstår vi komplexitetens tillväxt i ej förstådda risker att dela information med en annan entitet om än del av samma övergripande organisation? Jämför här med idéerna numera tillämpade med jätte-portaler för att optimera samarbete i DHS (byggt bl.a. på Drupal om jag minns rätt från visionsdokument och power-points publikt publicerade).


Predikterbarhet och möjlighet att verifiera via testning

Kan man ex. verifiera att valda mål faktiskt presterar värde i krig? Eller är de t.ex. i delar falska mål introducerade i battlefield information för att energieffektivt enligt ett av kinesiska arméns grundläggande paradigm få deras fiender att slösa energi.


Och gäller att vad vi ex. lär eller förstår konkret ger oss kunskap om framtiden vi annars ej hade? I predikterbarhet är allt som inträffar inkluderat d.v.s. informationskrig mellan USA och Kina behvöver ej inträffa vilket där höjer kraven på andra väger till testning för att förstå begränsning.


I allt annat särskilt när kunskap tas in ges värdet av predikterbarheten. Vidare gäller att kostnaden för fienden att leverera predikterbarhet för att lura dig till att tappa falska system introducerande förgiftad information relaterat är en funktion av deras kompetens, värdet av den falska informationen för dom och självklart ev. kostnad att realisera lite händelser levererande (eller upplevt) korrekta prediktioner från informationen åtminstone på nivå nyhetstitlar och liknande antydande slugt runt-omkring utan att säga falska hemligheter rätt ut. Givetvis är ju en väg för det att faktiskt introducera information som predikterar redan planerade verkliga händelser och också utan kännedom för dom enheterna så att de relaterat ev. prövande reaktion indikerande att informationen läckt beter sig korrekt efter det för ev. där introducerad person som kan åter-berätta det.


Kommunicerbarhet

Här i vad diskuterat väljer vi att begränsa oss just här till att smalare än vad som korrekt och oftare närmare konkreta löpande kostnader för verksamhet bör göras i verkligheten till:


  • Möjlighet att dela modell, slutsatser, värden m.m.
  • Både internt andra grupper eller system.
  • Eller t.ex. med ett allierat land.

Dennings som ju arbetade (och kanske gör det fortfarande) många år i DoD är ju den som publicerat några lätt-tillgängliga introduktioner till hur man kan hantera behovet av att både dela ett praktiskt värde i datat utan att röja annat rå-data direkt eller indirekt (kanske kombinerat annat data) kan berätta (ex. om A är känt och vi lär från annan källa att C är känt innebär det att antalet personer vi tror kan ha läckt minskar från 90 000 till 500 st).


Raison d'être

The claimed reason for the existence of something or someone; the sole or ultimate purpose of something or someone. (literally "reason to be")

Från Wiktionary: Raison d'être

D.v.s. kunskap, tolkning världen, planerade händelser m.m. vi hamnar i är i sig självt normalt aldrig sund motivation i sig självt (men kan ibland för att ex. gynna personlig-karriär hanteras på det sättet). Vi måste vara beredda och etablera kunskap för och realiserade verktyg och rutiner för att verifiera att resurser inte slösas resp. onödiga risker tas som konsekvens av att vi är i ett tillstånd som ej är optimalt, kanske negativt inverkande eller är menigslöst för det faktiska - och förstådda syftet - med varför vi alls gör något.


Exempelvis gäller att en informationsinhämtande aktör oavsett arbetande med publika eller ej-publika källor som ej kan prediktera framtiden relativt risk, möjlighet och andra aktörer avräknande kostnaden felaktiga varningar (eller om inte alls predikterande vettigt rätt i frågor där man faktiskt gör skillnad vi bryr oss i) efter en viss tid bäst läggs ner eller alternativt att man tror att introduktion nya nyckelpersoner ändå förändrande byggande på visst kanske troligt värde i teknik eller kompetens eller organisation kan få det funktionellt.


Här reducerade jag nu ner till cirka hälften av den grupp jag egentligen tänkt ta med alla i. Jag såg emellertid skrivande ner dom att komplexiteten i vad man behöver förklara för att leverera ett sannolikt värde tycks vara sådan att det kändes motiverat att begränsa ner till de mest abstrakta resp. den konkreta mest underskatta (predikterbarhet) med möjlighet till testning mellan de båda grupperna (undersöker kritiskt men bygger ändå på antagande där inverkan ofta finns från just orsakande de problem svårast att undvika).


I avslutande nyckel-idé: Du behöver ett modell-system för att hantera dessa dimensioner grundläggande börjande med kända faktorer oavsett risker, möjligheter, målsättningar m.m. (bara det kanske med grafanalys om komplext för visualiseringar kan nog ofta visa problem man vanligen missat om ej sökt indirekta samband tidigare).