Showing posts with label clowns. Show all posts
Showing posts with label clowns. Show all posts

Tuesday, July 03, 2012

Not Just Clowns, But Criminals

It turns out my April post Clowns Base Key Financial Rate on Feelings, Not Data was too generous. I cited an Economist story which outlined how LIBOR rates — and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 returns on $360 trillion of financial contracts related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, five times global GDP — are based on best guesses racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than hard data.

I continue to cover this story because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial industry routinely scoffs at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "risk management" practices of non-financials, as I wrote in 2007.

It turns out that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se clowns are actually malicious, as reported in Lies, damn lies, and LIBOR: Barclays, Diamond, and a devalued benchmark:

A pattern of deception extending over a period of years. A flouting of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law to profit at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expense of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs on three different continents. And a belief that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules did not apply to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

No, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest mafia family to be taken down by a special prosecutor. But Barclays PLC, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sprawling British banking group that recently paid a $450 million fine for seeking to rig LIBOR, a benchmark interest rate used to value trillions of dollars of investments...

In simple English, that's an assertion that Barclay's employees on at least three continents spent years lying in order to fix benchmark interest rates that help determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of about $10 trillion of global debt and $350 trillion in derivatives, mostly swap contracts.

For instance "Barclays based its LIBOR submissions for US Dollar... on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requests of Barclay's swaps traders, including former Barclays swaps traders, who were attempting to affect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 official published LIBOR, in order to benefit Barclays' derivatives trading positions."

The daily LIBOR fixing by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BBA is based on self-reporting from major financial institutions on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of short-term unsecured borrowing. Though it's based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 honor system (a regulatory failure if ever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was one) that daily fixing is used as a benchmark that effects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prices of swaps and debt instruments in dollars, pounds, yen, and euros. So if you can fiddle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LIBOR number, you can manipulate markets to your advantage.

I expect more banks to be named in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coming days and weeks.

It's easy to win at "risk management" if you cheat.

Saturday, April 21, 2012

Clowns Base Key Financial Rate on Feelings, Not Data

If you've been reading this blog for a while, you know I don't think very highly of macá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365matical valuations of "risk." I think even less highly of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clowns in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial sector who call security professionals "stupid" because we can't match cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "five digit accuracy" for risk valuation. We all know how well those "five digit" models worked out. (And as you see from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last link, I was calling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir bluff in 2007 before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 markets imploded.)

Catching up on last week's Economist this morning I found anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example of financial buffoonery that boggles cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mind. The article is online: Inter-bank interest rates; Cleaning up LIBOR -- A benchmark which matters to everyone needs fixing:

It is among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important prices in finance. So allegations that LIBOR (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 London inter-bank offered rate) has been manipulated are a serious worry.

LIBOR is meant to be a measure of banks’ own borrowing costs, and is used as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foundation for a host of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r interest rates. Everyone is affected by LIBOR: it influences cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payments made on mortgages and personal loans, and those received on investments and pensions.

Given its importance, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way LIBOR is calculated is astonishingly flimsy. LIBOR rates are needed, every day, for 15 different borrowing maturities in ten different currencies. But hard data on banks’ borrowing costs are not available every day, and this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LIBOR problem.

The British Bankers’ Association (BBA), responsible for LIBOR, gets around it by asking banks, each day, what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y feel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should pay to borrow.

So LIBOR rates—and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 returns on $360 trillion of financial contracts related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, five times global GDP—are based on best guesses racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than hard data.

Let that sink in and forget about what you learned in business school or economics classes. LIBOR isn't based on actual rates; it's based on feelings!

The next part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article talks about suspicions that banks manipulate this broken process to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial sector.

The remainder offers recommendations for improvement:

[T]he BBA should revamp LIBOR to ensure it is simple, transparent and accountable. These principles suggest LIBOR should be based on actual inter-bank lending, with any gaps filled in with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 help of statistical techniques. Banks’ own guesses should be used as a last resort, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first.

And regulators should collect data that could help spot LIBOR cheats: banks should be required to submit information on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r banks’ borrowing costs, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own. Regulators could cross-check submissions against hard data on banking-sector risk, and publicly report LIBOR abusers.

Keep this system in mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time a so-called "master of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 universe" offers a lecture on measuring risk in digital security.

Wednesday, February 10, 2010

Thor vs Clown

It started with this post by M.D.Mufambisi to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pen-list list:

Im designing an SMS baking application but i need to research on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security risks involved first... What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks around this application? How are such applications normally subverted? Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re any case studies someone can point me to?

After a few responses, Craig Wright chimed in:

The solution needs to be based on risk.

Where a system uses an SMS response with a separate system (such as a web page), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probability that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 banking user is compromised and a fraud is committed, P(Compromise), can be calculated as:

P(Compromise) = P(C.SMS) x P(C.PIN)

Where: P(C.SMS) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probability of compromising cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SMS function and P(C.PIN) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication method


Craig followed up with a blog post:

Many people feel that it is not feasible to model risk quantitatively. This of course is blatantly false. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 calculations have been computationally infeasible at worst and economically costly at best. This has changed. The large volumes of computational power that is available coupled with novel stochastic methods has resulted in an efficiently viable means of calculating risk quantitatively with a high degree of accuracy. This can be measured as a function of time (as survival time), finance (or monetary value) or any number of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r processes...

Tim Mullen, a guy who I first met in 2002 teaching at Black Hat, responded on full-disclosure:

I'm looping in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FD list because often my replies don't make it to Pen-Test, and this has hit a nerve with me.

I've looked over your post...

Once I was able to get past cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overwhelming egoism and self-substantiating claims of your contributions to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry, I arrived at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusion that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aforementioned page that is not complete drivel and even laughable to anyone who has actually worked towards ascertaining actual risk in production environments, is where you describe your own words as "ravings..."

I'm fine with you sitting back and gloating about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Hero award you got from Northcutt, but when I see that you are actually contributing to ANY level of Critical Infrastructure Protection, it makes me fear for anyone who might be counting on your presumed skillset to actually make intelligent decisions about risk where human safety is at stake.

Your "risk formula" is ridiculous. What number would your formula have yielded 2 weeks before SQL Slammer was released? Where is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variable for unpatched systems? What number do we plug in for malicious employee factorization? More importantly, where is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 calculation for self absorbed snake-oil selling academics with no real experience using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir calculator to come up with magic numbers that represent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of a nuclear power plant being hacked?

Since you are (self-described) as "currently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only GIAC GSE (Compliance) holder globally and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most highly accredited Global Information Security Professional" and thus (presumably, if only in your mind) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greatest security mind in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, how about accepting a challenge to an open debate on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject at Defcon? People like you are dangerous and need to be exposed before someone in a position of power actually believes that you know what you are talking about. Bring your abacus.


Craig cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n responded with some sort of monetary challenge, and Tim and Craig are now debating how to arrange that.

If you want history on why I consider model = clown, please check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 posts on my clown tag.

When I read

"In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 calculations have been computationally infeasible at worst and economically costly at best. This has changed. The large volumes of computational power that is available coupled with novel stochastic methods has resulted in an efficiently viable means of calculating risk quantitatively with a high degree of accuracy."

it is clear to me Craig is pretty well disconnected from reality. Did we not just suffer a global recession exacerbated by clowns who thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could model risk "with a high degree of accuracy"?

Thursday, February 05, 2009

More on Weaknesses of Models

I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Economist;

Edmund Phelps, who won cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Nobel prize for economics in 2006, is highly critical of today’s financial services.

"Risk-assessment and risk-management models were never well founded," he says. "There was a mystique to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that market participants knew cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 price to put on this or that risk.

But it is impossible to imagine that such a complex system could be understood in such detail and with such amazing correctness... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirements for information... have gone beyond our abilities to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it."


This is absolutely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem I mentioned in Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Questions Sound? and Wall Street Clowns and Their Models. Phelps could easily be describing information security models.


Richard Bejtlich is teaching new classes in DC and Europe in 2009. Register by 1 Jan and 1 Feb, respectively, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best rates.

Friday, May 23, 2008

Bankers: Welcome to Our World

Did you know that readers of this blog had a warning that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's financial systems were ready to melt down? If you read my July 2007 (one month before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crisis began) post Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Questions Sound?, you'll remember me disagreeing with a "major Wall Street bank" CISO for calling one of my Three Wise Men (and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security people) "so stupid" for not having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "five digit accuracy" to assess risk. That degree of arrogance was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 warning that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial sector didn't know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were talking about.

The next month I posted Economist on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Peril of Models and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n Wall Street Clowns and Their Models in September. Now I read a fascinating follow-up in last week's Economist titled Professionally Gloomy. I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se excerpts striking:

[R]isk managers are... aware that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are having to base cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir decisions on imperfect information. The crisis has underlined not just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir importance but also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir weaknesses.

Take value-at-risk (VAR), a measure of market risk developed by JPMorgan in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1980s, which puts a number on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maximum amount of money a bank can expect to lose. VAR is a staple of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk-management toolkit and is embedded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Basel 2 regime on capital adequacy. The trouble is that it is well-nigh useless at predicting catastrophe.

VAR typically estimates how bad things could get using data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preceding three or four years, so it gets more sanguine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 longer things go smoothly. Yet common sense suggests that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of a blow-up will increase, not diminish, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 farcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r away one gets from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last one. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, VAR is programmed to instil complacency. Moreover, it acts as yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r amplifier when trouble does hit. Episodes of volatility send VAR spiking upwards, which triggers moves to sell, creating furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r volatility.

The second problem is that VAR captures how bad things can get 99% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real trouble is caused by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outlying 1%, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “long tail” of risk. “Risk management is about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stuff you don't know that you don't know,” says Till Guldimann, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original architects of VAR. “VAR leads to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 illusion that you can quantify all risks and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore regulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.” The degree of dislocation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDO market has shown how hard it is to quantify risk on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se products.

Models still have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir place: optimists expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to be greatly improved now that a big crisis has helpfully provided loads of new data on stressed markets. Even so, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is now likely to be more emphasis on non-statistical ways of thinking about risk. That means being more rigorous about imagining what could go wrong and thinking through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effects...

However, stress-testing has imperfections of its own. For example, it can lead to lots of pointless discussions about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plausibility of particular scenarios. Miles Kennedy of PricewaterhouseCoopers, a consultancy, thinks it is better to start from a given loss ($1 billion, say) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n work backwards to think about what events might lead to that kind of hit.

Nor is stress-testing fail-safe. The unexpected, by definition, cannot be anticipated...
(emphasis added)

VAR is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 measures I am sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wall Street clown was invoking while dressing down Dan Geer. Too bad it failed. (If you disagree, read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole article, and better yet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole special report... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are just excerpts.)

When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Economist refers to "stress-testing," think "threat modeling," and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 warped sense of that term instead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better phrase "attack modeling." Picture a room full of people imagining what could happen based on assumptions and fantasy instead of spending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time and resources to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ground-truth evidence on assets and historical or ongoing attacks. Sound familiar?

The article continues:

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r big challenge for risk managers lies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 treatment of innovative products. New products do not just lack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 historic data that feed models. They often also sit outside banks' central risk-management machinery, being run by people on individual spreadsheets until demand for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m is proven. That makes it impossible to get an accurate picture of aggregate risk, even if individual risks are being managed well. “We have all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leaves on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tree but not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tree,” is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mournful summary of one risk manager. One solution is to keep new lines of business below certain trading limits until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are fully integrated into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk system.

Keeping risks to a size that does not inflict intolerable damage if things go awry is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r fundamental (some might say banal) lesson...“It is not acceptable [for a division] to have a position that wipes out its own earnings, let alone those of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire firm.”

However, working out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks is less easy than it used to be. For one thing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines between different types of risk have become hopelessly blurred. Risk-management teams at banks have traditionally been divided into watertight compartments, with some people worrying about credit risk (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chances of default on loans, say), ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs about market risk (such as sudden price movements) and yet ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs about operational risks such as IT failures or rogue traders.
(emphasis added)

Ok, stick with me here. References to "innovating products" should be easy enough. Think WLANs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early part of this decade, iPhones now, and so on. Think local groups of users deploying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own gear outside of IT or security influence or knowledge.

For "keeping risks to a size," think about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security principle of isolation. For "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines between different types of risk," think about unexpected or unplanned interactions between new applications. "I didn't think that opening a hole in our firewall to let DMZ servers do backups would allow an intruder to piggyback on that connection, straight into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internal LAN, compromising our entire firm!"

Finally:

There is an even bigger concern. Everyone is ready to listen to risk managers now, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message is harder to transmit when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 going is good. “Come cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next boom we will have traders saying, 'that was eight months ago. Why are you dragging me down with all that?',” sighs one risk chief. To improve risk management through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cycle, deeper change is needed.

Oh, I thought security was a "business enabler" with a "positive ROI." On a directly applicable note, during and right after an incident everyone is very concerned with "security." Eight months later hardly anyone cares.

Bankers, welcome to our world.

Sunday, September 02, 2007

Final Question on FAIR

I'd hoped to not have to say anything else on FAIR, but I've decided to ask one final question. If I can't get a straight answer to this question I'm giving up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion. So, here it is.

In Thoughts on FAIR I walked through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section Analyzing a Simple Scenario. Steps 3, 4, 5, 8, and 9 [Estimate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probable Threat Event Frequency (TEF), Estimate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Threat Capability (TCap), Estimate Control strength (CS), Estimate worst-case loss, and Estimate probable loss, respectively] each require cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to "Estimate."

Do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se Estimates matter to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model?

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer is yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n those answers are important and should be grounded in reality -- not opinions. If FAIR proponents agree with this, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n we have been debating for days for no real reason. That would make me happy.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer is no, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n what is so magical about FAIR that garbage in does not produce garbage out?

Saturday, September 01, 2007

Wall Street Clowns and Their Models

Recently I cited an Economist article in Economist on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Peril of Models. While walking through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 airport this Businessweek cover story, Not So Smart, caught my eye. I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following excerpts to be interesting.

The titans of home loans announced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had perfected software that could spit out interest rates and fee structures for even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least reliable of borrowers. The algorithms, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y claimed, couldn't fail...

It was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assumptions and guidelines that lenders used in deploying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology that frequently led to trouble, notes industry veteran Jones. "It's garbage in, garbage out," he says. Mortgage companies argued cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir algorithms provided near-perfect precision. "We have a wealth of information we didn't have before," Joe Anderson, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n a senior Countrywide executive, said in a 2005 interview with BusinessWeek. "We understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data and can price that risk."

But in fact, says Jones, "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wasn't enough historical performance" related to exotic adjustable-rate loans to allow for reasonable predictions. Lenders "are seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of not having that info now..."


At this point in probably sounds like I am seriously anti-model. That isn't really cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case. The points I cited from Businessweek involve inserting arbitrary values into models. Non-arbitrary data is based on some reality, such as "historical performance" for an appropriate past period, looking forward into an appropriate future period.

Incidentally, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 articles I read cited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intangible Asset Finance Society, which is "dedicated to capturing maximum value from intellectual properties and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r intangible assets such as quality, safety, security; and brand equity." That sounds like something to review.

Friday, August 31, 2007

Economist on Models

I intended to stay quiet on risk models for a while, but I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following Economist articles and wanted to note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m here for future reference.

From "Statistics and climatology: Gambling on tomorrow":

Climate models have lots of parameters that are represented by numbers... The particular range of values chosen for a parameter is an example of a Bayesian prior assumption, since it is derived from actual experience of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 climate behaves — and may thus be modified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 light of experience. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way you pick cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual values to plug into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model can cause trouble...

Climate models have hundreds of parameters that might somehow be related in this sort of way. To be sure you are seeing valid results racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than artefacts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 models, you need to take account of all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ways that can happen.

That logistical nightmare is only now being addressed, and its practical consequences have yet to be worked out. But because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir philosophical training in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rigours of Pascal's method, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bayesian bolt-on does not come easily to scientists. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old saw has it, garbage in, garbage out. The difficulty comes when you do not know what garbage looks like.
(emphasis added)

This is only a subset of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article. Note that this piece includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line "derived from actual experience of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 climate behaves." I do not see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Bayesian prior assumption[s]" so often cited elsewhere to even be derived from experience, if you take experience to mean something grounded in recent historical evidence instead of opinion. This willingness to rely on arbitrary inputs only aggravates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems cited by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Economist.

The accompanying piece "Modelling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 climate: Tomorrow and tomorrow" furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r explains some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems I've been describing previously.

While some argue about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 finer philosophical points of how to improve models of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 climate (see article), ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs just get on with it. Doug Smith and his colleagues at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hadley Centre, in Exeter, England, are in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second camp and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y seem to have stumbled on to what seems, in retrospect, a surprisingly obvious way of doing so. This is to start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model from observed reality.

Until now, when climate modellers began to run one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir models on a computer, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would “seed” it by feeding in a plausible, but invented, set of values for its parameters. Which sets of invented parameter-values to use is a matter of debate. But Dr Smith thought it might not be a bad idea to start, for a change, with sets that had really happened...

[T]he use of such real starting data made a huge improvement to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accuracy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results. It reproduced what had happened over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 courses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decades in question as much as 50% more accurately than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of runs based on arbitrary starting conditions.

Hindcasting, as this technique is known, is a recognised way of testing models. The proof of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pudding, though, is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forecasting, so Dr Smith plugged in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data from two ten-day periods in 2005 (one in March and one in June), pressed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start button and crossed his fingers.
(emphasis added)

This is exactly what I've been saying. Use "observed reality" and not "plausible, but invented" opinions or "arbitrary starting conditions" and I'll be happy to see what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model produces.

Thursday, August 30, 2007

More Thoughts on FAIR

My post Thoughts on FAIR has attracted some attention, but as often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case some readers choose to obscure my point by overlaying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own assumptions. In this post I will try to explain my problems with FAIR in as simplistic a manner as possible.

Imagine if someone proposed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following model for assessing force: F=ma

(Yes, this is Newton's Second Law, and yes, I am using words like "model" and "assess" to reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk assessment modeling problem.)

I could see two problems with using this model to assess force.

  1. Reality check: The model does not reflect reality. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, an accurate measurement of mass times an accurate measurement of acceleration does not result in an accurate measurement of force.

  2. Input check: To accurately measure force, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values for m and a must not be arbitrary. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value for F is arbitrary.


With respect to FAIR, I make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following judgments.

  1. Reality check: The jury is out on whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r FAIR reflects reality. It certainly might. It might not.

  2. Input check: I have not seen any evidence that FAIR expects or requires anything ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than arbitrary inputs. Arbitrary inputs to a model that passes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality check does not produce anything valuable as far as I am concerned.

    If you personally like feeding your own opinions into a model to see what comes out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r end, have at it. It's nice to play around by making assumptions, seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n altering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inputs to suit whatever output you really wanted to see.


One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous post commenters mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book Uncertainty, which looks fascinating. If you read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 excerpt you'll notice this line:

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early 1970s what was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Atomic Energy Commission (AEC) asked Norman C. Rasmussen, a professor of nuclear engineering at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Massachusetts Institute of Technology, to undertake a quantitative study of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 safety of light-water reactors...

Rasmussen assembled a team of roughly sixty people, who undertook to identify and formally describe, in terms of event trees, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various scenarios cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y believed might lead to major accidents in each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two reactors studied. Fault trees were developed to estimate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probabilities of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various events.

A combination of historical evidence from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nuclear and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r industries, togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with expert judgment, were used to construct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probability estimates, most of which were taken to be log-normally distributed.
(emphasis added)

I've seen no commitment to including real evidence in FAIR, and I submit that those who lack evidence will have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir so-called "expert judgment" fail due to soccer-goal security. Therefore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y possess neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r historical evidence nor really expert judgment. So, even if FAIR meets my reality check, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results are only a feel-good exercise.

So how can I defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of this model?

Risk = Vulnerability X Threat X Impact (or Cost)

As I've said before, it is useful for showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effects on Risk if you change one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 factors, ceteris paribus. This assumes that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model passes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality check, which I believe it does.

I am not trying to calculate absolute values for Risk when I cite this equation. I am trying to conceptually show how Risk decreases when Threat decreases (ceteris paribus), or how Risk increases as Vulnerability increases (ceteris paribus), and so on.

You could take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same approach with F=ma if you were trying to explain to someone how it would hurt more to be struck by an object whose mass is larger than anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r object, assuming constant acceleration for each event. I am not trying to calculate F in such a case; I'm only using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model to describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 components.

Sunday, August 26, 2007

Thoughts on FAIR

You knew I had risk on my mind given my recent post Economist on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Peril of Models. The fact is I just flew to Chicago to teach my last Network Security Operations class, so I took some time to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Risk Management Insight white paper An Introduction to Factor Analysis of Information Risk (FAIR). I needed to respond to Risk Assessment Is Not Guesswork, so I figured reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole FAIR document was a good start. I said in Brocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs in Risk that I liked RMI's attempts to bring standardized terms to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profession, so I hope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y approach this post with an open mind.

I have some macro issues with FAIR as well as some micro issues. Let me start with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 macro issue by asking you a question:

Does breaking down a large problem into small problems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solutions to which rely upon making guesses, result in solving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 large problem more accurately?

If you answer yes, you will like FAIR. If you answer no, you will not like FAIR.

FAIR defines risk as

Risk - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probable frequency and probable magnitude of future loss

That reminded me of

Annual Loss Expectancy (ALE) = Annualized Rate of Occurrence (ARO) X Single Loss Expectancy (SLE)

If you don't agree remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "annual" terms from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second definition or add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FAIR definition.

I have always preferred this equation

Risk = Vulnerability X Threat X Impact (or Cost)

because it is useful for showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effects on risk if you change one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 factors, ceteris paribus. (Ok, I threw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Latin in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re as homage to one of my economics instructors.)

If you consider frequency when estimating threat activity and include countermeasures as a component of vulnerability, you'll notice that Threat X Vulnerability starts looking like ARO. Impact (or Cost) is practically cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as SLE, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two equations are similar.

FAIR turns its definition into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following.



If you care to click on that diagram, you'll see many small elements that need to be estimated. Specifically, you can follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Basic Risk Assessment Guide to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps.

  • Stage 1. Identify scenario components


    • 1. Identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset at risk

    • 2. Identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat community under consideration


  • Stage 2. Evaluate Loss Event Frequency (LEF)


    • 3. Estimate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probable Threat Event Frequency (TEF)

    • 4. Estimate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Threat Capability (TCap)

    • 5. Estimate Control strength (CS)

    • 6. Derive Vulnerability (Vuln)

    • 7. Derive Loss Event Frequency (LEF)


  • Stage 3. Evaluate Probable Loss Magnitude (PLM)


    • 8. Estimate worst-case loss

    • 9. Estimate probable loss


  • Stage 4. Derive and articulate Risk


    • 10. Derive and articulate Risk



The problem with FAIR is that in every place you see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "Estimate" you can substitute "Make a guess that's not backed by any objective measurement and which could be challenged by anyone with a different agenda." Because all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 derived values are based on those estimates, your assessment of FAIR depends on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question I asked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start of this post.

Let's see how this process stands up to some simple scrutiny by reviewing FAIR's Analyzing a Simple Scenario.

A Human Resources (HR) executive within a large bank has his username and password written on a sticky-note stuck to his computer monitor. These aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication credentials allow him to log onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network and access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HR applications he’s entitled to use...

1. Identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Asset at Risk: In this case, however, we’ll focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credentials, recognizing that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir value is inherited from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re intended to protect.


We start with a physical security risk case. This simplifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process considerably and actually gives FAIR cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best chance it has to reflect reality. Why is that? The answer is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical world changes more slowly than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world. We don't have to worry about having solid walls being penetrated by a mutant from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 X-Men movies or from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credentials suddenly being altered by a patch or configuration change.

Identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Threat Community: If we examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization (e.g., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry it’s in, etc.), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conditions surrounding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset (e.g., an HR executive’s office), we can begin to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall threat population into communities that might reasonably apply... For this example, let’s focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cleaning crew.

That's convenient. The document lists six potential threat communities but decides to only analyze one. Simplification sure makes it easier to proceed with this analysis. It also means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result is so narrowly targeted to be almost worthless, unless we decide to repeat this process for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat communities. And this is still only looking at a sticky note.

3. Estimate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probable Threat Event Frequency (TEF): Many people demand reams of hard data before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re comfortable estimating attack frequency. Unfortunately, because we don’t have much (if any) really useful or credible data for many scenarios, TEF is often ignored altogecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. So, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absence of hard data, what’s left? One answer is to use a qualitative scale, such as Low, Medium, or High.

And, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re’s nothing inherently wrong with a qualitative approach in many circumstances, a quantitative approach provides better clarity and is more useful to most decision-makers – even if it’s imprecise.

For example, I may not have years of empirical data documenting how frequently cleaning crew employees abuse usernames and passwords on sticky-notes, but I can make a reasonable estimate within a set of ranges.

Recognizing that cleaning crews are generally comprised of honest people, that an HR executive’s credentials typically would not be viewed or recognized as especially valuable to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perceived risk associated with illicit use might be high, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it seems reasonable to estimate a Low TEF using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table below...

Is it possible for a cleaning crew to have an employee with motive, sufficient computing experience to recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se credentials, and with a high enough risk tolerance to try cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir hand at illicit use? Absolutely! Does it happen? Undoubtedly. Might such a person be on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crew that cleans this office? Sure – it’s possible. Nonecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probable frequency is relatively low.
(emphasis added)

Says who? Has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person making this assessment done any research to determine if inflitrating cleaning crews is a technique used by economic adversaries? If yes, how often does that happen? What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crew cleaning this office? Do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y perform background checks? Have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y been infiltrated before? Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y owned by a competitor? Figuring all of that out is too hard. Let's just supply guess #1: "low."

4. Estimate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Threat Capability (Tcap): Tcap refers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat agent’s skill (knowledge & experience) and resources (time & materials) that can be brought to bear against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset... In this case, all we’re talking about is estimating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skill (in this case, reading ability) and resources (time) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average member of this threat community can use against a password written on a sticky note. It’s reasonable to rate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cleaning crew Tcap as Medium, as compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall threat population.

Why is that? Why not "low" again? These are janitors we're discussing. Guess #2.

5. Estimate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Control Strength (CS): Control strength has to do with an asset’s ability to resist compromise. In our scenario, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credentials are in plain sight and in plain text, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CS is Very Low. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were written down, but encrypted, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CS would be different – probably much higher.

It is easy to accept guess #3 because we are dealing with a physical security scenario. It's simple for any person to understand that a sticky note in plain site has zero controls applied against it, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 (nonexistent) "controls" are worthless. But what about that new Web application firewall? Or you anti-virus software? Or any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r technical control? Good luck assessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir effectiveness in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of attacks that evolve on a weekly basis.

6. Derive Vulnerability (Vuln)

This value is derived using a chart that balances Tcap vs Control Strength. Since it is based on two guesses, one could decide if it is more or less accurate than estimated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability directly.

7. Derive Loss Event Frequency (LEF)

This value is derived using a chart that balances TEF vs Vulnerability. We derived vulnerability in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous step and estimated TEF in step 3.

8. Estimate worst-case loss: Within this scenario, three potential threat actions stand out as having significant loss potential – misuse, disclosure, and destruction... For this exercise, we’ll select disclosure as our worst-case threat action.

This step considers Productivity, Response, Replacement, Fine/Judgments, Competitve Advantage, and Reputation, with Threat Actions including Access, Modification, Disclosure, and Denial of Access. Enter guess #4.

9. Estimate probable loss magnitude (PLM): The first step in estimating PLM is to determine which threat action is most likely. Remember; actions are driven by motive, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most common motive for illicit action is financial gain. Given this threat community, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type of asset (personal information), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available threat actions, it’s reasonable to select Misuse as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most likely action – e.g., for identity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft. Our next step is to estimate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most likely loss magnitude resulting from Misuse for each loss form.

Again, says who? Was identity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft chosen because it's popular in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news? My choice for guess #5 could be something completely different.

10. Derive and Articulate Risk: [R]isk is simply derived from LEF and PLM. The question is whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to articulate risk qualitatively using a matrix like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one below, or articulate risk as LEF, PLM, and worst-case.

The final risk rating is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r derived value, based on previous estimates.

The FAIR author tries to head off critiques like this blog with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following section:

It’s natural, though, for people to accept change at different speeds. Some of us hold our beliefs very firmly, and it can be difficult and uncomfortable to adopt a new approach. Ultimately, not everyone is going to agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 principles or methods that underlie FAIR. A few have called it nonsense. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs appear to feel threatened by it.

Apparently I'm resistant to "change" and "threatened" because I firmly hold on to "beliefs." I'm afraid that is what I will have to do when frameworks like this are founded upon someone's opinion at each stage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision-making process.

The FAIR document continues:

Their concerns tend to revolve around one or more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following issues:

The absence of hard data. There’s no question that an abundance of good data would be useful. Unfortunately, that’s not our current reality. Consequently, we need to find anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to approach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem, and FAIR is one solution.


I think I just read that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author admits FAIR is not based on "good data," and since we don't have data, we should just "find anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way," like FAIR.

The lack of precision. Here again, precision is nice when it’s achievable, but it’s not realistic within this problem space. Reality is just too complex... FAIR represents an attempt to gain far better accuracy, while recognizing that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fundamental nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem doesn’t allow for a high degree of precision.

The author admits that FAIR is not precise. How can it even be accurate when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 derived values are all based on subjective estimates anyway?

Some people just don’t like change – particularly change as profound as this represents.

I fail to see why FAIR is considered profound. Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process has been broken into five estimates, from which several ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r values are derived? Why is this any better than articles like How to Conduct a Risk Analysis or Risk Analysis Tools: A Primer or Risk Assessment and Threat Identification?

I'm sure this isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last word on this issue, but I need to rest before teaching tomorrow. Thank you for staying with me if you read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole post. Obviously if I'm not a fan of FAIR I should propose an alternative. In Risk-Based Security is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Emperor's New Clocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365s I cited Donn Parker, who is probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 devil to FAIR advocates. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question is how to make security decisions by assessing digital risk, I will put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thoughts on that for a post (hopefully this week).

Incidentally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that I am not a fan of FAIR doesn't mean I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors have wasted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir time. I appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir attempt to bring rigor to this process. I also think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y ask and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elements cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y consider are important. However, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to insert whatever value one likes into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five estimations fatally wounds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom line for me: FAIR advocates claim cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir output is superior due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir framework. How can a framework that relies on arbitrary inputs produce non-arbitrary output? And what makes FAIR so valuable anyway -- has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result been tested against any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r methods?

Economist on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Peril of Models

Anyone who has been watching financial television stations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US has seen commentary on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of our markets with respect to subprime mortgages. I'd like to cite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 21 July 2007 issue of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Economist to make a point that resonates with digital security.

Both [Bear Stearns] funds had invested heavily in securities backed by subprime mortgages... On July 17th it admitted that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re “is effectively no value left” in one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 funds, and “very little value left” in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

Such brutal clarity is, however, a rarity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world of complex derivatives. Investors may now know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two Bear Stearns funds are worth. But accountants are still unsure how to put a value on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instruments that got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into trouble.


This reminds me of a data breach -- instant clarity.

Traditionally, a company's accounts would record cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of an asset at its historic cost (ie, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 price cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company paid for it). Under so-called “fair value” accounting, however, book-keepers can now record cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of an asset at its market price (ie, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 price cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company could get for it).

But many complex derivatives, such as mortgage-backed securities, do not trade smoothly and frequently in arm's length markets. This makes it impossible for book-keepers to “mark” cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to market. Instead cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y resort to “mark-to-model” accounting, entering values based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of a computer.


Note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reference to "complex"[ity] and book-keepers basing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir decisions on models created by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people who make assumptions. Is this starting to sound like risk analysis to you, too?

Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market does not always resemble cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model... Models are supposed to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 price an asset would fetch in a sale. But in an illiquid market, a big sale can itself drive down prices. This can sometimes create a sizeable difference between “mark-to-model” valuations and true market prices.

That is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only problem with fair-value accounting. According to Richard Herring, a finance professor at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wharton School, “models are easy to manipulate”...

Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alternatives to fair-value accounting can be worse. Historic cost may be harder to manipulate than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of a model. But as Bob Herz, chairman of America's Financial Accounting Standards Board, points out, it too is “replete with all sorts of guesses”, such as depreciation rates...


"Models are easy to manipulate" and alternatives are also "replete with all sorts of guesses." This sounds exactly like risk analysis now.

Fair value is perhaps most worrying for auditors, who are often blamed for faulty accounts. Faced with murky models, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can do is examine assumptions and ensure disclosure.

This means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditor becomes that of an outside expert who makes a new set of subjective decisions, perhaps challenging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assumptions of those who made subjective decisions when creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir model. The auditor's advantage, however, is that he/she has insight into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workings of many similar companies, and could compare "best practices" against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific company being audited.

Incidentally, I would love to know how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "CISO of a major Wall Street bank" who criticized Dan Geer as mentioned in Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Questions Sound? feels now about his precious financial models. Somehow I doubt his bonus will be as big as it was last year, if his company is even solvent by year's end.

Wednesday, July 11, 2007

Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Questions Sound?


Dan Geer, second of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three wise men, was kind enough to share slides from his Measuring Security USENIX class. If I were not teaching at USENIX I would be in Dan's class.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red me -- not for what Dan said, but for what was said to him. The slide is reproduced above, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notes below:

These are precisely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions that any CFO would want to know and we are not in a good position to answer. The present author was confronted with this list, exactly as it is, by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO of a major Wall Street bank with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preface “Are you security people so stupid that you cannot tell me....”

This particular CISO came from management audit and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore was also saying that were he in any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bank, bond portfolios, dervative pricing, equity trading strategies, etc., he would be able to answer such questions to five digit accuracy. The questions are sound.


I think Dan is giving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO too much credit. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions are "semi-sound," and I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stupid one for using such a negative word to describe one of my Three Wise Men.

I'd like to mention several factors which make comparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world of finance different from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world of digital security. I am recording cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are more likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel for future developed ideas, but I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are legitimate points.

  • Business: Digital security is not a line of business. No one practices security to make money. Security is not a productive endeavor; security risk is essentially a tax instantiated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evil capabilities and intentions of threats. Because security is not a line of business, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 performance incentives are not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as a line of business. Security has no ROI; proper business initiatives do. Only security vendors make money from security.

  • Accumulation: Digital security, as defined by preserving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 confidentiality, integrity, and availability of information, cannot be accumulated. One cannot tap a reserve of security and later replenish it. Data that is exposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public Internet can seldom be quashed; data that has been corrupted at time of critical use cannot be changed later, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby changing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past; and data that was not available at a critical time cannot be made available later, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby changing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past.

    This is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same with capital (i.e., money). Financial institutions are regulated and operated according to capitalization standards that dictate certain amounts of money to cover potential adverse events. Therefore, money can be stored as a counter to riskier behavior or decreased when pursuing less risky activities. Money at a single point in time is also homogenous; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first dollar of $100 is equally valuable as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hundreth dollar of $100. Information resources are not homogenous.

  • Assumptions: Assumptions make financial "five digit accuracy" possible. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assumptions made by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Black-Scholes model, courtesy of Wikipedia, used to price options:



    dS_t = \mu S_t\,dt + \sigma S_t\,dW_t \,



    • It is possible to short sell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underlying stock.

    • There are no arbitrage opportunities.

    • Trading in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stock is continuous.


    • There are no transaction costs or taxes.

    • All securities are perfectly divisible (e.g. it is possible to buy 1/100th of a share).

    • It is possible to borrow and lend cash at a constant risk-free interest rate.

    • The stock does not pay a dividend (see below for extensions to handle dividend payments).


    The specifics of this equation are not important for this discussion, although those of you who also studied some economics may find plenty of ways to criticize it. (Remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors won cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Nobel Prize for this equation and paper!) Consider what you could define if digital security practitioners were able to make such assumptions.

  • Accuracy: I just said "assumptions make five digit accuracy possible." This isn't really true. If financial five digit accuracy were possible, no markets could be sustained. Simply put, markets exist because two sides agree to a trade. One side sees cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world in one way, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sees it differently. (This is why market-makers exist on trading floors. When too many traders see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same, market-makers provide liquidity to permit trading.) If trading houses all figure out how to make money with five digit accuracy, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir advantage is not going to be sustained because no one will want to trade with anyone else -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're all want to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same positions.


These are a few thoughts. It would be nice to hear from people with digital security and financial trading experience to provide commentary. Thank you.