Mätbarhet och verklighet: Från NSA till Hoffa

2013-06-18

Aktuella sammanfattande uppgifter diskuterade givna av G. Alexander i NSA director: Surveillance programs foiled 50 terror plots.


Desto större institutioner likt SVT blir ju mer stake har de i så mycket och ju mer självklart tas ett värde som blir mer abstrakt. Betraktar vi nu NSA tvivlar jag egentligen inte på siffran men ett annat perspektiv är ju att det egentligen inte är så mycket frågan som själva mätbarheten relativt beställarna. Det vill säga möjlighet:


  • Att definiera policy för verktyg och görande. Ner i IT-system på mycket nära enskilda medarbetare finns alla möjligheter i världen för att mappa genomgående även om informationssäkerhetsbranschen har lidit en del av ganska relativt de faktiska systemen mer världsfrånvänd idévärld men också problematiskt ett stort avstånd mellan leverantörer av standardlösningar och kund samtidigt som egen-beställda lösningar och anpassningar ofta varit "lätt" problematiska växande med storlek görande att investeringar i mer generiska lösningsramverk rörande ex. sådant här vanligen är praktiskt helt opraktiskt där nivån mer ligger på att få nya och gamla system att inte ofrivilligt ljuga för varandra och något så när efter bästa förmåga göra ungefär vad de är avsedda för utanför frågor som dessa.
  • Men givet de investeringar befintliga i standardisering bland dessa enorma aktörer de amerikanska myndigheterna representerar. Och givet den faktiska världen globalt i vissa segment tämligen imponerande prestationer inom områden berörda ex. National Institute of Health (om vi nu inte normaliserar budget och kostnader vilket jag aldrig vågat mig på: en grov övergripande skattning rörande deras forskningssatsningar vars långsiktiga optimering mycket kommer ner till representerar de utanför privata företag ungefär 60 - 70 procent-enheter av den totala mängden forskning i medicin över en period av cirka tio till femton år bakåt).
  • NSA har dock också mycket budget.

Här tycker jag att det är rimligt över en period av kanske fem år att man etablerar system för den politiska kontrollen att direkt kunna definiera verkande ner i enskilda operationer i system och nätverk vad som är möjligt från abstrakt policy.


Och självklart för mig är hela konceptet att ett behov av att man här ger information om antalet potentiella problemhändelsen man hindrat illustrationen av ungefär samma problem. Investerar man de summor det handlar om här bör det vara självklart för beställarfunktionerna att man övergripande sammanfattande utan att realisera problem ha fortlöpande tillgång till det vägande värde mot kostnad (och i det kan jag mer konkretiserat än jag hittills sett diskuterat det här året argumentera vem eller vad som helst).


I kostnad är det naturligt att via den politiska kontrollera via de demokratiska valen ge medborgarna möjlighet att via sina representanter väga reducerad risk mot upplevt obehag.


Mitt allmänna intryck etablerat ett antal år för att lämna själva kärnfrågan utanför argumentera lätt-konfliktliknande mot NSA eller argumenterande med uppgifter som borde levereras medborgarna regelbundet för organisationen att:


  • Att reducerad risk terrorism kan kräva dessa lösningar är ganska troligt. Men någon anledning till att det inte ska komma med seriös beställar-uppgföljning och realiserade kravspecifikationer för sådana här långsiktiga satsningar finns inte.
  • Tvärtom är en stark känsla att det ödslas en hel del pengar därför att otydlig konkretiserade krav och uppföljning från ägarna och köparna saknas. Istället fallerar hela den frågan till att här finns mycket möjligt enorma hot som vi implementerat 1000 lösningar för från air marshalls till försöka sig på att göra trafikanalys på exponentiellt växande datamängder genererade av oberoende agenter (d.v.s. telefonerande medborgare från egen smal och optimerad hårdvara)) med centraliserade system. I en värld av nya kommunikationsprotokoll var och varannan månad.
  • Frågan är hur kånga hot man egentligen hade kunnat reducera när tydliga krav och fokusering på resultat motiverar en organisations personer till att tänka karriär i att leverera vad köparna önskar utan distraktion av externa leverantörers idéer, intern-politik, problematik resp. upplevt värde från den eller den andra organisationer i DoD resp. DHS.

Också för NSA liksom diverse annat jag följt lite på avstånd är känslan att där beställarna och ägarna haft tydligt inflytande har mycket räddats upp. Tydligt där är de roller man utsett högt upp där kvaliteten på personer vanligen är väldigt hög. Det innebär inte att man självklart ska dra samma slutsats neråt även om de utanför publikt mätbara events som Irak- och Afganistan-konflikterna är lätt att bedöma. Emellertid skapas menar jag värdet vi kan se i kompetens som ex. G. Alexander - en tämligen ovanlig kombination av hög kompetens inom alla områden från management till alla NSA's teknik-områden - är att den utseende-rollen är något separerad. Vi kommer närmare kärnfrågan om att leverera resultat för pengarna där utseende personer också när närmare valrörelsen.


En lika primär fråga i risk och värde kommer ju också ner till vilken eventuella skada verksamheten orsakar. Enklast att illustrera är det givetvis via den amerikanska utrikespolitiken där man senaste åren kommit allt närmare ett fåtal nära samarbeten med fokus nära UK-US-konceptet och Saudi Arabien men där ingen-dera egentligen är att se som vad som erbjuder just flexibilitet för de amerikanska väljarna. De är båda mycket tydliga aktörer. Att ha en rik mängd utrikespolitiskt samarbete där man inte retar upp och provocerar omvärlden i onödan är stort värde för vem som helst från enskilda företag till stora länder. Har man av och till viss distans från det gäller att man också kan ta och ge smällen men det kostar på och det är inte vad världen behöver just nu för en större aktör som USA. Stora regioner är på väg mot direkt kaos samtidigt som fler folk-resningar mot diktaturer är att förvänta (därmed inte sagt att man ska förvänta att man kan göra parallell från vad jag kommenterar från mina bedömningar till sina).


Vidare är nu frågan vad som gäller när man inte klarar sin egen säkerhet. Läcker man och hur länge? Personen som lämnade för Hong Kong verkar ju vara en ren-välsignelse som antaget oberoende entitet. Han var på NSA en kortare tid. Vad han kan ha orsakat bör ju därför vara väldigt väldefinierat - åtminstone om den spårbarhet och de uppföljningssystem här föreslagna inte är på helt gigantiskt avstånd från verklighet - men samtidigt som jag finner den elegant kommunicerade trovärdigheten associerat personen ej riktigt vad man meningsfullt kan bedöma är också det en icke-fråga. En leverantörs-roll mot en enskilt-inhyrd-resurs är lätt att använda för att gå utanför annars normalt accepterat och utan att det nödvändigtvis inses av personen.


Om de läckt av och till är frågan vilken risk det kan realisera och för vilka. Elegant vore givetvis om realiserad event-information konkretiserad i NSA kan mappas mot realiserad vetskap i andra organisationer i en statistisk-mening. Praktiskt är det nog tämligen svårt. Och det sunda rådet torde vara att oavsett om något konkret alls utanför händelsen finns gå över allt och fortsätta att göra det år efter åt tills man känner stor trygghet i grundläggande verksamhetssystem som realiserade via kontroll-system (d.v.s. alla händelser i nätverk och system trovärdigt till övergripande policy).


Det finns när stora organisationer råkar i problem en förkärlek till att uppmuntra till förenklingar (och jag tror vi alla tar för givet att mellan-chefer inte sitter och okynnes ringer in brottsplatser till FBI slösande bort grova pengar där också med det missriktade målet att skapa alternativa nyhetshändelser apropå Jimmy Hoffa idéerna: om så fallet självklart vad som i sig kan realisera ex. terrorist-dåd därför att resurser slösas på påhittat strunt). Men det är inte enkelt. Sådant här är realiserade events från en fördelning av vad som ske det vad som märks är funktion av personernas mål, de risker de tar, deras kompetens runt miljön de rör sig i och realitet bevakande funktioner o.s.v. Är kontrollsystemet på uppenbart nödvändig nivå realiserad är själva händelsen att en till personer reser iväg till Kina med flera datorer och lagringsenheter med nedladdad information ej praktiskt möjligt.


Man ska dock här vara tydlig med var problemet ligger. Hos beställarna och köparna. Ställer man krav och följer upp detaljer i vad man köper får man mer för pengarna med färre problem.