Some Thoughts On 'On Demand'

Well, I am not one of those professional keynote speakers that have as a main objective to convince the audience that they are the only expert that matters; I am merely one of those guys that have, for the most part, to make their way through the terms and conditions of service agreements or hard- and software vendor contracts to keep "their" enterprise datacenter running.

And here it is: internal business partners, often referred to as "stakeholders" (whatever that may signify, precisely), ask for more flexible resource allocation - such an "on demand" thing would be nice that you seem to get so easily virtually everywhere. Okay, did it. Here's what I found: current operate lease contracts (that's what is sold as "on demand" in most cases) are unflexible, full stop.
While the customer wants something "cloudish" (like "Storage on Demand" with monthly per-use invoicing and geo-diversity and all that spiffy stuff), the vendors find it obviously hard to hide the complex "leasing" core of their contracts with its co-termination aspect and the "service" piece that they'd like to add for profitability.
So I saw a couple of cases where "on Demand" actually turned into "eventually you can only grow, but that you can do as you like; as to the cost, sorry, but we have to add an allowance for our field technicians; oh and BTW we have to triple the paperwork to make this great thing happen."

Finally you as a customer end up thinking that you could ease your life and do leasing or just purchase the boxes as your grandfathers did.

So beam us up to the cloud - there is no intelligent "on demand" down here.

Ne Passons Pas Pour Des Nigauds

Nous voilà bouleversés par les atrocités du Janvier 2015, connectées à Charlie Hebdo. La France se retrouve à la fois paralysée et déterminée de mettre fin à "toute cette merde". Et voilà que reparaissent les bombardes et mousquets du moyen age de la technologie de sécurité, oubliées déjà mais toujours dans les têtes (hélas!) surtout des gros bonnets comme un Mr. Cameron qui envisage de défendre tout usage de cryptographie où de certaines vedettes allemandes qui rêvent d'une réssuscitation de la conservation de données. Sans compter, bien sûr, les idées brillantes mises en avant par la politique francaise.

Eh bien bonjour les experts, vous avez bien dormi? Il me semble que vous n'avez toujours rien compri.

Au lieu d'interdire la solution, vous ferez mieux de vous ruer sur les causes, comme par exemple la réconciliation entre les religions, les patries même et l'intégration en géneral - ce qui rentre plutôt dans votre domaine d'ailleurs. Je vous prie de ne pas nous raconter que vous ne savez pas à quel problème "très francais" ceci fait allusion... et mettez-vous bien dans la tête que se priver de technolgies de sécurité aide surtout l´ennemi, soit-ce sur le plan informatique ou dans le secteur de défense en géneral... allez, vous le savez, n'est-ce pas?

Alors arrêtez de raconter des sottises.

IT Security Roadshow!

Wie so oft in der Industrie findet sich auch in der IT Sicherheit ein völlig undurchdringliches Dickicht an Fachausdrücken, die tatsächliche oder vorgebliche Experten gegenüber "Normalmenschen" als Deckung nutzen - sei es mit Absicht oder aus sprachlicher Sorglosigkeit. Damit untermauern sie tatkräftig das dritte Clark'sche Gesetz (wikipedia weiß mehr), erweisen ihrem Fach dabei einen Bärendienst.

Seit etwa zehn langen Jahren weisen die brilliantesten Köpfe in der IT Sicherheit darauf hin, daß ihre Disziplin als Geschäftsmotor (statt als Bremse) verstanden werden müsse, aber gehört hat sie nur ein kleiner Bruchteil ihrer Jünger. Könnte man nicht wunderbar das geschaffene (oder eben nicht verlorene) Vertrauen in ein Unternehmen als Beweis dieses positiven Wirken ("business-enabling") der Security-Mannschaft verstehen?
Ja, hier beginnt der schwierige Teil: Diese guten Taten lassen sich erst dann in Zahlen, sprich Geldwerte fassen wenn ihre Unterlassung zu entsprechenden Schäden geführt hat, wie zum Beispiel bei Sony oder Microsoft in ihren Spiele-Sparten.

Was also kann die "Abteilung IT-Security" machen, um ihren Nutzen vor Eintritt des K-Falls und außerhalb staubtrockener Risikoanalysen zu beweisen? Ein guter Anfang wäre es doch, einfach so mit den Kollegen, Anwendern oder Kunden zu sprechen, daß sie verstehen, was man macht und warum... also einfach mal die ganzen DLPs, SHAs oder OCSPs zusammen mit den (sorry, nicht persönlich gemeint!) Herren Diffie und Konsorten in die Waffenkammer sperren (wo sie hingehören), einen VHS-Kurs "Deutsch für IT-Spezialisten" besuchen und - das ist der wichtigste Teil - raus aus dem Elfenbeinturm und mit "denen da draußen" reden.

Hilft garantiert.

What's New

Stories

No new stories

Comments last 2 days

No new comments

Files last 14 days

No new files
No new comments

Links last 2 weeks

No new links

Media Gallery last 7 days

No new media items
SeitTest-Zertifikat