Svaret ligger i DO 178 og DO 254 standarderne for luftbåren software og hardware.
https://en.wikipedia.org/wiki/DO-178B
Det er relativt enkle ting de 2 standarder beskriver - styr på processerne og kvaliteten - og klar beskrivelse af hvordan man skal arbejde for at sikre et givent niveau af funktionalitet, kvalitet og sikkerhed.
Jeg vil argumentere for at en tilsvarende tilgang nemt kan anvendes på andre slags projekter - uden væsentlig fordyring - til at levere bedre resultater på kortere tid end idag.
Uanset om man bruger V-model, waterfall eller agile metoder - så er DO-178 fuld af inspiration.
Mvh
Jens Jakob
Janus,
Tak for uddybningen.
Men - hvor mange virksomheder udenfor EU's rækkevidde, vil bruge ressourcer på reelt at overholde GDPR (Udover Google/MS/FB osv der er tvunget til det)?
Jeg skriver som privatperson. Een ting er GDPR og beskyttelsen. Men en anden ting er omkostningen - og den pris jeg betaler som forbruger for et lovtiltag.
- Er GDPR den mest omkostningseffektive måde at lave persondatalovgivning på?
- Er GDPR lavet så den er nem og billig at implementere - og dermed ikke fordyrer forbrugernes priser?
- Giver GDPR reel beskyttelse til mig som forbruger - set i.ft. omkostningen?
Det er den slags spørgsmål jeg savner i debatten - min vinkel er at GDPR er en kolos på lerfødder, et monster at lovtekst og vejledning - som ikke samlet set hjælper forbrugerne.
De eneste der får glæde af GDPR, er konsulentvirksomheder der hjælper md at implementer GDPR - og har kronede dage med at skrive tykke politikker, processer og instrukser - som ingen værdi har udover den faktura som konsulenterne skriver.
Og - jeg savner den åbne og ærlige debat om det omkostningsdrivende og konkurrenceforvridende i GDPR.
Det er selvfølgelig altid et godt debatkneb, at afkræve folk et standpunkt, for at tvinge dem ind i debatten.
Men jeg går ikke ind i den. Det er ikke en nødvendighed at kunne præsentere noget bedre end GDPR, for at kunne pege på at der er grumme uhensigtsmæsdigheder i GDPR, som ikke bliver debatteret.
Jeg holder gerne fast i at GDPR er en værdiløs (nej, faktisk omkostningsdrivende skadelig) lovgivning.
Tanken er fin.
Men - i virkelighedens verden vil GDPR kun gøre skade, ved at "gode" virksomheder, der investerer i GDPR overholdelse, vil blive dyrere for kunderne, den virksomheder der hopper lavest over gærdet.
Jeg kender ikke een eneste, der vil betale ekstra for et produkt fordi det er "GDPR" compliant.
Så - jeg savner debatten om det skadelige i GDPR - og hvad der burde gøres istedetfor.
Interessant artikel.
Men - er GDPR omkostningsdrivende værdiløs lovgivning, der kun ødelægger konkurrence-evnen for EU baserede virksomheder?
a) Hvis man ønsker at drive et shady dating-bureau, er sælger folks præferencer ud af bagdøren - så lægger man hjemmesiden (og virksomheden) udenfor EU. Ingen GDPR omkostninger :-)
b) Hvis man ønsker at spare GDPR omkostningerne, laver man enten ikke noget GDPR arbejde, eller en hurtig facade+makeup. GDPR compliance på papiret, uden omkostningerne - og man kan overhale konkurrenterne.
c) Hvis man allerede tager persondata alvorligt, så har man styr på det. Og laver selvfølgelig GDPR forarbejdet (og vælter omkostningen over på kunderne)
Jeg savner at der bliver taget hul på omkostningen ved GDPR (som der kun er kunderne til at betale) - op imod fordelene - og alle måderne at omgå GDPR på.
Jeg tror at den debat vil vise at GDPR på mange måder er et omkostningsdrivende konkurrenceforringende lovgivningsiniativ, drevet af paragrafglade embedsmænd - som kun gør skade i virkelighedens verden?
Lad os få taget hul på den debat.
Mvh
Jens Jakob
Det var tankevækkende at se kritikken mod KNA, der gik på at han "som offentligt ansat professor, udtalte sig uden faglig soliditet",
Jeg kan stadig ikke finde ud af om det var et slet skjult personangreb/berufsverbot - eller om det var en fair måde at adressere KNA på.
Hvad tænker i andre?
Alternate facts?
Hvor er Datatilsynet i denne sag? De burde jo om nogen, se at komme med en udtalelse om hvad ændringen betyder.
Især hvis Datatilsynet har fingeren på pulsen (og tager datasikkerhed alvorligt,)
Hov for syv sytten da - det er en ret interessant vinkel
Ironi er altid velkomment.
Men. Dybt alvorligt. Jeg mener det jeg skriver om optimering gennem processer der har fokus på at skabe fremdrift.
Fx kan man også vende CAB og standard-changes på hovedet og effektivisere.
Obligatorisk CAB er en udgift. Væk med den. Lad alt være standardchanges, med mindre change initiator markerer der er behov for CAB.
En heftig forenkling af processen - og frigivelse af dyre ressourcer.
Hvad så hvis brugerne "glemmer' at markere at en RFC skal forbi CAB?
Lad det være åbent for alle i processen at kunne sætte CAB flaget hvis de vurderer der er behov for det.
Giver det så ikke anarki?
Nej - det gør det muligt kun at anvende dyre CAB møder hvor der virkelig er brug for dem.
Men - er der ikke andre end os 3 der interesserer os for processer? Hvor er de andre debattører?
Helt enig. Hvorfor skal servermanden stoppe sit arbejde, kaste sagen tilbage over hegnet til netværk, sætte det hele i stå og waste tid?
Det er meget bedre at servermanden har hurtig adgang til at skaffe de manglende oplysninger, og kan fortsætte med at skabe flow i sagen.
Det ville være meget interessant at læse en rapport om hvor meget tid/penge der går spildt i DK, fordi der er alt meget ineffektivitet i change-processerne.
Jeg tror det er store summer der bliver wastet hver dag - fordi processerne er opbygget omkring ITIL's ide om at "sende sagerne tilbage i kæden."
a) Processer må max fylde 2 sider. b) Processer SKAL have fokus på at fremme produktiviteten. c) Processer SKAL forbedres mindst hver 6 måned. d) Alle trin i en proces skal have fokus på fremdrift.
Den seneste ITIL Change Management proces jeg skrev - havde indbygget at INGEN aktører måtte afvise deres input. Hvis de mente der var mangler i et input - så var det DERES opgave at bruge deres viden, til at udfylde det manglende - og sikre fremdrift til næste trin i processen.
Så - processer kan bruges til at skabe fremdrift og effektivitet - hvis man husker på at tænke forretning ind i alle trin.
Hvornår har DU sidst set en ITIL proces - hvor aktørerne blev målt på at skabe fremdrift - og det var FORBUDT at bruge processen til at bremse aktivitet?
Hvad blev der af B103 og ønsket om at bruge mere open source i det offentlige - og nedbringe licensbyrden?
Mange private virksomheder bruger open source i stor stil.
Så hvis argumentet er at uddanne børn til fremtidens arbejdsmarked, så skal opensource på skemaet.
Når man taler om solen:
https://www.version2.dk/artikel/center-cybersikkerhed-advarer-mod-zero-day-saarbarheder-947208
Gad vide hvornår de servere sidsts har været patchet? Hvis man ikke sørger for at patche sine web-vendte systemer - enten ved at gøre det selv, eller sikre sig at udbyderen gør det - samt løbende overvåger loggen for anomaliteter - så står dørene piv-åbne.
Se fx på listen over huller i Joomla, Wordpress, osv - der er et utal af åbninger.
De 4 råd fra Cyberforsvar der virker - skal gælde for både klienter - og servere...https://fe-ddis.dk/cfcs/CFCSDocuments/Cyberforsvar%20der%20virker.pdf
Det interessante er vel at den vejledning er fra 2013 - og har man nogensinde undersøgt hvor bredt den er implementeret?
Ved nogen hvad der egentlig er blevet lavet af innovativ offentlig digitalisering de sidste 5 år?
Konsolidering og budget fokus er fint og nødvendigt.
Men er offentlig innovation død?
Og hvis den er - er budgettet så slanket tilsvarende?
Korrekt. Research er altid vigtig.
Min pointe var dog at opdeling i siloer altid er forsvarerens svaghed og angriberens fordel.
Husk nu på at organisationsdiagrammer, private/public opdelinger osv. kun findes på target-siden.
Det er faktisk så ufatteligt pudsigt, at hackerne aldrig starter med at læse organisationsdiagrammet, og så angribe i myndighed XYZ's afdeling DEF...
Opdeling og afgrænsning er sjovt nok kun noget der eksisterer i målenes (targets) egne organisationer og diagrammer.
Hacker-angreb rammer der hvor der er mulighed og potentiale.
Jens Jakob Andersen