Informazioni personali

Cerca nel blog

Translate

lunedì 31 agosto 2020

Ho deciso da grande faccio il CISO

image from: https://ift.tt/2YSBvdn

Il CISO è una figura mitologica che si associa, nella fantasia aziendale, ad una mitica deità protettrice delle aziende.

Le carattersitiche antropologiche dei CISO sono analoghe agli dei minori protettori delle case, tipo i Lari latini per intenderci.

Lari (dal latino lar(es), “focolare”, derivato dall’etrusco lar, “padre”): figure della religione romana che rappresentano gli spiriti protettori degli antenati defunti che, secondo le tradizioni romane, vegliavano sul buon andamento della famiglia, della proprietà o delle attività in generale .

Come i Lari quindi non sono soggetti da adorare nei pantheon seri, dedicati alle deità maggiori, cosi i CISO generalmente sono considerati ad un livello minore dei ruoli VIP aziendali che iniziano con “C” ed il sospetto che nel caso del CISO la “C” sia per “child” viene.

La funzione principale del CISO è quella di proteggere le aziende ma non da attacchi esterni od interni, come molti pensano ingenuamente, ma dalla incompetenza del resto della azienda quanto si ha a che fare con processi che coinvolgano, in qualche modo, componenti informatizzate.

La protezione fornita è tipicamente in forma di capro espiatorio, il che significa che a fronte di un problema che sia in qualche modo riconducibile all’informatica e, nello specifico, ad un incidente di sicurezza informatica il CISO è, nei fatti, quello a cui dare la colpa.

La funzione ha preso piede prepotentemente con il crescere, negli ultimi anni, degli attacchi informatici nei confronti di aziende che hanno implementato strutture IT deprecabili e che ritengono, giustamente, che progettare sistemi e processi corretti sia uno sforzo inutile se si può utilizzare un capro espiatorio utile all’uopo.

Come si deduce da queste prime righe la figura del CISO quindi riveste un ruolo fondamentale all’interno della azienda.

La attenzione che la azienda indirizza alla sicurezza informatica, in generale, può essere dedotta dal ruolo del CISO e a chi riporta.

Pur ammettendo che queste sono generalizzazioni e quindi suscettibili di eccezioni anche considerevoli (quindi se sei CISO togliti pure l’ansia, ti puoi tiar fuori) si possono fare queste considerazioni:

  1. la azienda non ha un ciso
  2. la azienda ha un ciso

Non ho il CISO

Nel primo caso le ragioni potrebbero essere legate alla dimensione aziendale limitata che non giustifica tale figura per questioni di budget, anche se se si offrono per un DPO 500 euro all’anno, si potrebbe fare medesimo sforzo per un CISO.

Da un altro punto di vista invece la azienda potrebbe fare a meno del CISO perchè:

  1. non ritiene che la sicurezza informatica sia qualcosa di cui preoccuparsi
  2. ha dato tutte le responsabilità ad un player esterno
  3. assume che l’IT sia sufficiente all’uopo.

Essendo la cosa assolutamente comprensibile se proprio si volesserofare le pulci si potrebbe azzardare che:

per il punto 1 o la azienda è priva ed indipendente d qualsivoglia forma di informatizzazione o forse non ha ben chiaro dicosa si stia parlando, ma tantè…

per il punto 2 si potrebbe obiettare che esternalizzare senza avere capacità di indirizzo e di controllo è tanto sano quanto dare i propri risparmi in gestione ad un adolescente in crisi ormonale. Ora magari questa terza parte è anche eticamente corretta e tecnicamente preparata, ma se non hai strumenti di controllo interni come fai a saperlo? E con che leve giudichi o guidi l’approccio di sicurezza sul tuo business? Ammesso che il business tu cerchi di guidarlo, ovvio.

per il punto 3 potrei fare una affermazione forte, IT e security (ancorchè in salsa cyber) sono domini con alcune sovrapposizioni ma non sono la stessa cosa. E, per altro, controllore e controllato non possono assolvere alla stessa funzione.

Ho il CISO

Nel caso invece il CISO ci sia, come al punto 2, non è detto che tutto sia rose e fiori ( mai capito il detto le rose sono fiori o no? se si la frase che senso ha?)

In questo caso una prima norma di controllo è capire come funziona il CISO in termini di chi riporta e che budget ha.

in altre parole la funzione del CISO è dipendente da due variabili

CISO (riporto, budget)

ora il rapporto con il budget è solitamente direttamente porporzionale, che significa che più soldi e strutture ha più riesce a fare il suo mestiere, mentre la relazione con il riporto è di piu difficile comprensione.

Facciamo alcuni esempi

Il CISO riporta al CFO

In questo caso abbiamo il CISO riportare ad un soggetto il cui unico scopo è quello di ottimizzare i flussi di cassa e l’outlook finanziario della azienda, Solitamente un CFO considera un investimento un incidente stradale e visto che gli hanno piazzato il CISO non sa che farsene ne ha tempo di dargli retta. L’unica cosa positiva è se l’azienda in questione dipende dai suoi rating anche in funzione della implementazione della Cyber Security, nel qual caso il rapporto col CFO diventa un rapporto di odio/amore.

Le istanze del CISO verso il CFO e verso l’azienda sono, in mancanza di costrizioni legate al rating, derubricate a seccature di grado minore al motto di “parla con l’IT”.

ovviamente questa è una collocazione sub ottimale della figura del CISO che si può tradurre (fatte le eccezioni di cui sopra) in lo metto perchè serve averlo basta che non rompa.

Il CISO riporta ad CHRO

Se non ha senso il CFO il riporto ad CHR è invece inutile. Chiariamoci non che la sicurezza informatica non ricada anche sui comportamenti degli utenti e quindi, più o meno direttamente, nell’alveo delle attività di un CHRO, ma qui la componente tecnologica viene completamente evaporata, insieme a quella budgetaria. Le possibili interferenze dell’ufficio HR nella vita IT sarebbe tanto intollerabili quanto inascoltate.

Un CISO in questa condizione si ritrova ad essere ne carne ne pesce, e fondamentalmente lontano dalle linee di business, cosa ottima se si vuole che rompa il meno possibile. Ma diverrebbe un capro espiatorio fenomenale in caso di incidenti che riguardano condotte non corrette da parte dei dipendenti (tipo il manager che clicca su un link di una mail di phishing, da le sue credenziali e mette a rischio l’intera struttura aziendale).

Il CISO riporta al CIO

Occorre innanzitutto intendersi su CIO, che non è il Comitato Olimpico Internazionale

Assumiamo che il CIO sia il direttore informatico, il manager responsabile della funzione aziendale tecnologie dell’informazione e della comunicazione (non intesa come marketing). 

Potrebbe apparire che tale dipendenza sia esatta. Ed in effetti e meno peggio delle due precedenti, se non chè CIO e CISO possono entrare in rotta di collisione per quello che concerne le implementazioni ed i controlli da effettuare.

Un altro problema è che in termini di sicurezza il CISO deve poter entrare anche nel merito di processi che usano l’IT, di cui l’IT è solo recettore di esigenze.

Questo è legato al fatto che la security e l’IT come si diceva prima sono domini che hanno aree di condivisione ma non si sovrappongono.

immagine tratta da: https://ift.tt/3gFLuZv

In altre parole da un lato il controllore ed il controllato non possono essere gli stessi,e se il controllato controlla il controllore non ci sono le necessarie garanzie di autonomia.

L’unica cosa buona di questa situazione è che entrambi parlano lingue simili.

Ora il fraintendimento sul fatto che il CISO possa essere una parte IT è legata all’idea che la sicurezza sia una faccenda tecnologica, cosa condivisa, purtroppo, anche da molti CISO.

Non di rado gli esperti di sicurezza sono “quelli che sanno configurare un firewall”, sigh.

Per altro se il ruolo del CISO è quello di fare risk management avrebbe più senso far dipendere l’IT da CISO e non viceversa.

Ma anche questa è una soluzione che non sarebbe ottimale, troppo forti le tensioni e sopratutto i conflitti di interesse.

Ma allora a chi deve riportare il CISO?

Siamo seri un CISO dovrebbe poter riportare al board o al CEO (discorso simile si può fare per il DPO) altrimenti vuol dire mettere la sicurezza in secondo piano e, in questo caso, il rischio maggiore è la tendenza a dare alla sicurezza i compiti di pulizia e miracolistica necessaria a coprire sistemi mal disegnati in opere ed omissioni.

Ma ho già parlato di questo.

Un aspetto importante del CISO per altro è che deve fare risk management ed essere in grado di tradurre i concetti in maniera comprensibile ad un board. La lingua del CISO è quindi molto più estesa di quella di un CIO. Tradotto al CISO non dovrebbe interessare come si configura un firewall (competenza IT), ma a cosa serve quel firewall e cosa deve fare per il bene dell’azienda.

E non tutto quello che fa il firewall, certe componenti di configurazione dovrebbero essere in carico all’IT come best practice. Lasciare netbios o SMB o RDP aperti al mondo è qualcosa che ogni IT dovrebbe considerare deleterio, non serve un esperto di sicurezza.

Del resto se non lasciamo la macchina con le chiavi inserite, il motore acceso e incustodita quando parcheggiamo lo facciamo per sicurezza anche senza essere agenti di polizia o esperti di furti… e se lo facciamo o siamo folli, o ce lo possiamo permettere (chi vive in zone di mafia ha capito cosa intendo).

Quindi il CISO ha una ottica diversa da IT ed un linguaggio diverso. Ho scritto sull’argomento in tempi non sospetti in un altro post:

si noti che autocitarmi serve a incrementare la mia autostima :-).

immagine presa da: https://ift.tt/2PyqNqk
Son sicuro ho già deciso 
che da grande faccio il CISO. 
Ma, magari, non lo so 
forse faccio il CSO

E tu che CISO sei?



from WordPress https://ift.tt/2QDWdsO
via IFTTT

Ho deciso da grande faccio il CISO

image from: https://erick.rudiak.com/ciso/the-c-matters/

Il CISO è una figura mitologica che si associa, nella fantasia aziendale, ad una mitica deità protettrice delle aziende.

Le carattersitiche antropologiche dei CISO sono analoghe agli dei minori protettori delle case, tipo i Lari latini per intenderci.

Lari (dal latino lar(es), “focolare”, derivato dall’etrusco lar, “padre”): figure della religione romana che rappresentano gli spiriti protettori degli antenati defunti che, secondo le tradizioni romane, vegliavano sul buon andamento della famiglia, della proprietà o delle attività in generale .

Come i Lari quindi non sono soggetti da adorare nei pantheon seri, dedicati alle deità maggiori, cosi i CISO generalmente sono considerati ad un livello minore dei ruoli VIP aziendali che iniziano con “C” ed il sospetto che nel caso del CISO la “C” sia per “child” viene.

La funzione principale del CISO è quella di proteggere le aziende ma non da attacchi esterni od interni, come molti pensano ingenuamente, ma dalla incompetenza del resto della azienda quanto si ha a che fare con processi che coinvolgano, in qualche modo, componenti informatizzate.

La protezione fornita è tipicamente in forma di capro espiatorio, il che significa che a fronte di un problema che sia in qualche modo riconducibile all’informatica e, nello specifico, ad un incidente di sicurezza informatica il CISO è, nei fatti, quello a cui dare la colpa.

La funzione ha preso piede prepotentemente con il crescere, negli ultimi anni, degli attacchi informatici nei confronti di aziende che hanno implementato strutture IT deprecabili e che ritengono, giustamente, che progettare sistemi e processi corretti sia uno sforzo inutile se si può utilizzare un capro espiatorio utile all’uopo.

Come si deduce da queste prime righe la figura del CISO quindi riveste un ruolo fondamentale all’interno della azienda.

La attenzione che la azienda indirizza alla sicurezza informatica, in generale, può essere dedotta dal ruolo del CISO e a chi riporta.

Pur ammettendo che queste sono generalizzazioni e quindi suscettibili di eccezioni anche considerevoli (quindi se sei CISO togliti pure l’ansia, ti puoi tiar fuori) si possono fare queste considerazioni:

  1. la azienda non ha un ciso
  2. la azienda ha un ciso

Non ho il CISO

Nel primo caso le ragioni potrebbero essere legate alla dimensione aziendale limitata che non giustifica tale figura per questioni di budget, anche se se si offrono per un DPO 500 euro all’anno, si potrebbe fare medesimo sforzo per un CISO.

Da un altro punto di vista invece la azienda potrebbe fare a meno del CISO perchè:

  1. non ritiene che la sicurezza informatica sia qualcosa di cui preoccuparsi
  2. ha dato tutte le responsabilità ad un player esterno
  3. assume che l’IT sia sufficiente all’uopo.

Essendo la cosa assolutamente comprensibile se proprio si volesserofare le pulci si potrebbe azzardare che:

per il punto 1 o la azienda è priva ed indipendente d qualsivoglia forma di informatizzazione o forse non ha ben chiaro dicosa si stia parlando, ma tantè…

per il punto 2 si potrebbe obiettare che esternalizzare senza avere capacità di indirizzo e di controllo è tanto sano quanto dare i propri risparmi in gestione ad un adolescente in crisi ormonale. Ora magari questa terza parte è anche eticamente corretta e tecnicamente preparata, ma se non hai strumenti di controllo interni come fai a saperlo? E con che leve giudichi o guidi l’approccio di sicurezza sul tuo business? Ammesso che il business tu cerchi di guidarlo, ovvio.

per il punto 3 potrei fare una affermazione forte, IT e security (ancorchè in salsa cyber) sono domini con alcune sovrapposizioni ma non sono la stessa cosa. E, per altro, controllore e controllato non possono assolvere alla stessa funzione.

Ho il CISO

Nel caso invece il CISO ci sia, come al punto 2, non è detto che tutto sia rose e fiori ( mai capito il detto le rose sono fiori o no? se si la frase che senso ha?)

In questo caso una prima norma di controllo è capire come funziona il CISO in termini di chi riporta e che budget ha.

in altre parole la funzione del CISO è dipendente da due variabili

CISO (riporto, budget)

ora il rapporto con il budget è solitamente direttamente porporzionale, che significa che più soldi e strutture ha più riesce a fare il suo mestiere, mentre la relazione con il riporto è di piu difficile comprensione.

Facciamo alcuni esempi

Il CISO riporta al CFO

In questo caso abbiamo il CISO riportare ad un soggetto il cui unico scopo è quello di ottimizzare i flussi di cassa e l’outlook finanziario della azienda, Solitamente un CFO considera un investimento un incidente stradale e visto che gli hanno piazzato il CISO non sa che farsene ne ha tempo di dargli retta. L’unica cosa positiva è se l’azienda in questione dipende dai suoi rating anche in funzione della implementazione della Cyber Security, nel qual caso il rapporto col CFO diventa un rapporto di odio/amore.

Le istanze del CISO verso il CFO e verso l’azienda sono, in mancanza di costrizioni legate al rating, derubricate a seccature di grado minore al motto di “parla con l’IT”.

ovviamente questa è una collocazione sub ottimale della figura del CISO che si può tradurre (fatte le eccezioni di cui sopra) in lo metto perchè serve averlo basta che non rompa.

Il CISO riporta ad CHRO

Se non ha senso il CFO il riporto ad CHR è invece inutile. Chiariamoci non che la sicurezza informatica non ricada anche sui comportamenti degli utenti e quindi, più o meno direttamente, nell’alveo delle attività di un CHRO, ma qui la componente tecnologica viene completamente evaporata, insieme a quella budgetaria. Le possibili interferenze dell’ufficio HR nella vita IT sarebbe tanto intollerabili quanto inascoltate.

Un CISO in questa condizione si ritrova ad essere ne carne ne pesce, e fondamentalmente lontano dalle linee di business, cosa ottima se si vuole che rompa il meno possibile. Ma diverrebbe un capro espiatorio fenomenale in caso di incidenti che riguardano condotte non corrette da parte dei dipendenti (tipo il manager che clicca su un link di una mail di phishing, da le sue credenziali e mette a rischio l’intera struttura aziendale).

Il CISO riporta al CIO

Occorre innanzitutto intendersi su CIO, che non è il Comitato Olimpico Internazionale

Assumiamo che il CIO sia il direttore informatico, il manager responsabile della funzione aziendale tecnologie dell’informazione e della comunicazione (non intesa come marketing). 

Potrebbe apparire che tale dipendenza sia esatta. Ed in effetti e meno peggio delle due precedenti, se non chè CIO e CISO possono entrare in rotta di collisione per quello che concerne le implementazioni ed i controlli da effettuare.

Un altro problema è che in termini di sicurezza il CISO deve poter entrare anche nel merito di processi che usano l’IT, di cui l’IT è solo recettore di esigenze.

Questo è legato al fatto che la security e l’IT come si diceva prima sono domini che hanno aree di condivisione ma non si sovrappongono.

immagine tratta da: https://medium.com/thirty-degrees/cyber-security-vs-information-security-575ba3762f62

In altre parole da un lato il controllore ed il controllato non possono essere gli stessi,e se il controllato controlla il controllore non ci sono le necessarie garanzie di autonomia.

L’unica cosa buona di questa situazione è che entrambi parlano lingue simili.

Ora il fraintendimento sul fatto che il CISO possa essere una parte IT è legata all’idea che la sicurezza sia una faccenda tecnologica, cosa condivisa, purtroppo, anche da molti CISO.

Non di rado gli esperti di sicurezza sono “quelli che sanno configurare un firewall”, sigh.

Per altro se il ruolo del CISO è quello di fare risk management avrebbe più senso far dipendere l’IT da CISO e non viceversa.

Ma anche questa è una soluzione che non sarebbe ottimale, troppo forti le tensioni e sopratutto i conflitti di interesse.

Ma allora a chi deve riportare il CISO?

Siamo seri un CISO dovrebbe poter riportare al board o al CEO (discorso simile si può fare per il DPO) altrimenti vuol dire mettere la sicurezza in secondo piano e, in questo caso, il rischio maggiore è la tendenza a dare alla sicurezza i compiti di pulizia e miracolistica necessaria a coprire sistemi mal disegnati in opere ed omissioni.

Ma ho già parlato di questo.

Un aspetto importante del CISO per altro è che deve fare risk management ed essere in grado di tradurre i concetti in maniera comprensibile ad un board. La lingua del CISO è quindi molto più estesa di quella di un CIO. Tradotto al CISO non dovrebbe interessare come si configura un firewall (competenza IT), ma a cosa serve quel firewall e cosa deve fare per il bene dell’azienda.

E non tutto quello che fa il firewall, certe componenti di configurazione dovrebbero essere in carico all’IT come best practice. Lasciare netbios o SMB o RDP aperti al mondo è qualcosa che ogni IT dovrebbe considerare deleterio, non serve un esperto di sicurezza.

Del resto se non lasciamo la macchina con le chiavi inserite, il motore acceso e incustodita quando parcheggiamo lo facciamo per sicurezza anche senza essere agenti di polizia o esperti di furti… e se lo facciamo o siamo folli, o ce lo possiamo permettere (chi vive in zone di mafia ha capito cosa intendo).

Quindi il CISO ha una ottica diversa da IT ed un linguaggio diverso. Ho scritto sull’argomento in tempi non sospetti in un altro post:

si noti che autocitarmi serve a incrementare la mia autostima :-).

E se siete interessati a chi riportano CSO e\o CISO ecco un bel grafico 🙂

immagine presa da: https://www.csoonline.com/article/3332026/what-is-a-ciso-responsibilities-and-requirements-for-this-vital-leadership-role.html
Son sicuro ho già deciso che da grande faccio il CISO. Ma, magari, non lo so forse faccio il CSO

E tu che CISO sei?

Ho deciso da grande faccio il CISO

image from: https://erick.rudiak.com/ciso/the-c-matters/

Il CISO è una figura mitologica che si associa, nella fantasia aziendale, ad una mitica deità protettrice delle aziende.

Le carattersitiche antropologiche dei CISO sono analoghe agli dei minori protettori delle case, tipo i Lari latini per intenderci.

Lari (dal latino lar(es), “focolare”, derivato dall’etrusco lar, “padre”): figure della religione romana che rappresentano gli spiriti protettori degli antenati defunti che, secondo le tradizioni romane, vegliavano sul buon andamento della famiglia, della proprietà o delle attività in generale .

Come i Lari quindi non sono soggetti da adorare nei pantheon seri, dedicati alle deità maggiori, cosi i CISO generalmente sono considerati ad un livello minore dei ruoli VIP aziendali che iniziano con “C” ed il sospetto che nel caso del CISO la “C” sia per “child” viene.

La funzione principale del CISO è quella di proteggere le aziende ma non da attacchi esterni od interni, come molti pensano ingenuamente, ma dalla incompetenza del resto della azienda quanto si ha a che fare con processi che coinvolgano, in qualche modo, componenti informatizzate.

La protezione fornita è tipicamente in forma di capro espiatorio, il che significa che a fronte di un problema che sia in qualche modo riconducibile all’informatica e, nello specifico, ad un incidente di sicurezza informatica il CISO è, nei fatti, quello a cui dare la colpa.

La funzione ha preso piede prepotentemente con il crescere, negli ultimi anni, degli attacchi informatici nei confronti di aziende che hanno implementato strutture IT deprecabili e che ritengono, giustamente, che progettare sistemi e processi corretti sia uno sforzo inutile se si può utilizzare un capro espiatorio utile all’uopo.

Come si deduce da queste prime righe la figura del CISO quindi riveste un ruolo fondamentale all’interno della azienda.

La attenzione che la azienda indirizza alla sicurezza informatica, in generale, può essere dedotta dal ruolo del CISO e a chi riporta.

Pur ammettendo che queste sono generalizzazioni e quindi suscettibili di eccezioni anche considerevoli (quindi se sei CISO togliti pure l’ansia, ti puoi tiar fuori) si possono fare queste considerazioni:

  1. la azienda non ha un ciso
  2. la azienda ha un ciso

Non ho il CISO

Nel primo caso le ragioni potrebbero essere legate alla dimensione aziendale limitata che non giustifica tale figura per questioni di budget, anche se se si offrono per un DPO 500 euro all’anno, si potrebbe fare medesimo sforzo per un CISO.

Da un altro punto di vista invece la azienda potrebbe fare a meno del CISO perchè:

  1. non ritiene che la sicurezza informatica sia qualcosa di cui preoccuparsi
  2. ha dato tutte le responsabilità ad un player esterno
  3. assume che l’IT sia sufficiente all’uopo.

Essendo la cosa assolutamente comprensibile se proprio si volesserofare le pulci si potrebbe azzardare che:

per il punto 1 o la azienda è priva ed indipendente d qualsivoglia forma di informatizzazione o forse non ha ben chiaro dicosa si stia parlando, ma tantè…

per il punto 2 si potrebbe obiettare che esternalizzare senza avere capacità di indirizzo e di controllo è tanto sano quanto dare i propri risparmi in gestione ad un adolescente in crisi ormonale. Ora magari questa terza parte è anche eticamente corretta e tecnicamente preparata, ma se non hai strumenti di controllo interni come fai a saperlo? E con che leve giudichi o guidi l’approccio di sicurezza sul tuo business? Ammesso che il business tu cerchi di guidarlo, ovvio.

per il punto 3 potrei fare una affermazione forte, IT e security (ancorchè in salsa cyber) sono domini con alcune sovrapposizioni ma non sono la stessa cosa. E, per altro, controllore e controllato non possono assolvere alla stessa funzione.

Ho il CISO

Nel caso invece il CISO ci sia, come al punto 2, non è detto che tutto sia rose e fiori ( mai capito il detto le rose sono fiori o no? se si la frase che senso ha?)

In questo caso una prima norma di controllo è capire come funziona il CISO in termini di chi riporta e che budget ha.

in altre parole la funzione del CISO è dipendente da due variabili

CISO (riporto, budget)

ora il rapporto con il budget è solitamente direttamente porporzionale, che significa che più soldi e strutture ha più riesce a fare il suo mestiere, mentre la relazione con il riporto è di piu difficile comprensione.

Facciamo alcuni esempi

Il CISO riporta al CFO

In questo caso abbiamo il CISO riportare ad un soggetto il cui unico scopo è quello di ottimizzare i flussi di cassa e l’outlook finanziario della azienda, Solitamente un CFO considera un investimento un incidente stradale e visto che gli hanno piazzato il CISO non sa che farsene ne ha tempo di dargli retta. L’unica cosa positiva è se l’azienda in questione dipende dai suoi rating anche in funzione della implementazione della Cyber Security, nel qual caso il rapporto col CFO diventa un rapporto di odio/amore.

Le istanze del CISO verso il CFO e verso l’azienda sono, in mancanza di costrizioni legate al rating, derubricate a seccature di grado minore al motto di “parla con l’IT”.

ovviamente questa è una collocazione sub ottimale della figura del CISO che si può tradurre (fatte le eccezioni di cui sopra) in lo metto perchè serve averlo basta che non rompa.

Il CISO riporta ad CHRO

Se non ha senso il CFO il riporto ad CHR è invece inutile. Chiariamoci non che la sicurezza informatica non ricada anche sui comportamenti degli utenti e quindi, più o meno direttamente, nell’alveo delle attività di un CHRO, ma qui la componente tecnologica viene completamente evaporata, insieme a quella budgetaria. Le possibili interferenze dell’ufficio HR nella vita IT sarebbe tanto intollerabili quanto inascoltate.

Un CISO in questa condizione si ritrova ad essere ne carne ne pesce, e fondamentalmente lontano dalle linee di business, cosa ottima se si vuole che rompa il meno possibile. Ma diverrebbe un capro espiatorio fenomenale in caso di incidenti che riguardano condotte non corrette da parte dei dipendenti (tipo il manager che clicca su un link di una mail di phishing, da le sue credenziali e mette a rischio l’intera struttura aziendale).

Il CISO riporta al CIO

Occorre innanzitutto intendersi su CIO, che non è il Comitato Olimpico Internazionale

Assumiamo che il CIO sia il direttore informatico, il manager responsabile della funzione aziendale tecnologie dell’informazione e della comunicazione (non intesa come marketing). 

Potrebbe apparire che tale dipendenza sia esatta. Ed in effetti e meno peggio delle due precedenti, se non chè CIO e CISO possono entrare in rotta di collisione per quello che concerne le implementazioni ed i controlli da effettuare.

Un altro problema è che in termini di sicurezza il CISO deve poter entrare anche nel merito di processi che usano l’IT, di cui l’IT è solo recettore di esigenze.

Questo è legato al fatto che la security e l’IT come si diceva prima sono domini che hanno aree di condivisione ma non si sovrappongono.

immagine tratta da: https://medium.com/thirty-degrees/cyber-security-vs-information-security-575ba3762f62

In altre parole da un lato il controllore ed il controllato non possono essere gli stessi,e se il controllato controlla il controllore non ci sono le necessarie garanzie di autonomia.

L’unica cosa buona di questa situazione è che entrambi parlano lingue simili.

Ora il fraintendimento sul fatto che il CISO possa essere una parte IT è legata all’idea che la sicurezza sia una faccenda tecnologica, cosa condivisa, purtroppo, anche da molti CISO.

Non di rado gli esperti di sicurezza sono “quelli che sanno configurare un firewall”, sigh.

Per altro se il ruolo del CISO è quello di fare risk management avrebbe più senso far dipendere l’IT da CISO e non viceversa.

Ma anche questa è una soluzione che non sarebbe ottimale, troppo forti le tensioni e sopratutto i conflitti di interesse.

Ma allora a chi deve riportare il CISO?

Siamo seri un CISO dovrebbe poter riportare al board o al CEO (discorso simile si può fare per il DPO) altrimenti vuol dire mettere la sicurezza in secondo piano e, in questo caso, il rischio maggiore è la tendenza a dare alla sicurezza i compiti di pulizia e miracolistica necessaria a coprire sistemi mal disegnati in opere ed omissioni.

Ma ho già parlato di questo.

Un aspetto importante del CISO per altro è che deve fare risk management ed essere in grado di tradurre i concetti in maniera comprensibile ad un board. La lingua del CISO è quindi molto più estesa di quella di un CIO. Tradotto al CISO non dovrebbe interessare come si configura un firewall (competenza IT), ma a cosa serve quel firewall e cosa deve fare per il bene dell’azienda.

E non tutto quello che fa il firewall, certe componenti di configurazione dovrebbero essere in carico all’IT come best practice. Lasciare netbios o SMB o RDP aperti al mondo è qualcosa che ogni IT dovrebbe considerare deleterio, non serve un esperto di sicurezza.

Del resto se non lasciamo la macchina con le chiavi inserite, il motore acceso e incustodita quando parcheggiamo lo facciamo per sicurezza anche senza essere agenti di polizia o esperti di furti… e se lo facciamo o siamo folli, o ce lo possiamo permettere (chi vive in zone di mafia ha capito cosa intendo).

Quindi il CISO ha una ottica diversa da IT ed un linguaggio diverso. Ho scritto sull’argomento in tempi non sospetti in un altro post:

si noti che autocitarmi serve a incrementare la mia autostima :-).

E se siete interessati a chi riportano CSO e\o CISO ecco un bel grafico 🙂

immagine presa da: https://www.csoonline.com/article/3332026/what-is-a-ciso-responsibilities-and-requirements-for-this-vital-leadership-role.html
Son sicuro ho già deciso che da grande faccio il CISO. Ma, magari, non lo so forse faccio il CSO

E tu che CISO sei?

sabato 29 agosto 2020

La mia tolleranza è in calo

Oggi è successo una cosa che non succedeva da un po. Ho bloccato uno su linkedin, Non mi capitava da un po, ma mi rendo conto che la mia tolleranza stà scemando, o divento sempre più sensibile.

L’antefatto:

Uno scrive un post basato su di un documento riportato in maniera inesatta da, tanto per cambiare, libero. documento su cui anche su twitter si sono sprecati fiumi di sciocchezze.

il documento in questione qui riportato per intero era tagliato nel post (e nell’articolo di libero) prima della tabella.

Il messaggio era, ecco hanno messo come morti di covid anche quelli indeterminati. basta fake news, basta notizie false, etc etc etc.

riportando il documento per interi io osservo che

  1. il documento giustamente riporta che una salma che è in uno stato incerto va trattata come infetta, per la sicurezza di sanitari e pubblico. è una norma di sicurezza ovvia in caso di epidemie. serve a minimizzare i rischi.
  2. anche se fosse stato usato come metodo il riportare anche i casi indeterminati, di per se non è un problema se gestito correttamente dal punto di vista statistico. I morti di covid sono comunque soggetti ad una dose di arbitrarietà (il covid come concausa di morte come deve essere considerato?), il punto è che i numeri devono essere normalizzati in statistica e gestiti in maniera omogenea. Il punto quindi non è tanto se il documento (cosa da dimostrare e non dimostrata nel post) fosse usato per registrare anche una salma indeterminata come morte per covid, ma che di per se il documento così presentato non dice nulla in merito al conteggio e come il conteggio viene gestito.
  3. che prima di usare una tesi per sostenere le proprie idee un minimo di fact check dovrebbe essere il minimo indispensabile.

Oltre tutto l’indeterminato risulta, secondo il documento, una salma cui non è stata fatta anlisi o tampone ma aveva sintomi suscettibili di infezione. senza vedere questo pezzo del documento non si può capire cosa significhi quell”indeterminato.

quanto poi alla conclusione che i numeri vanno letti correttamente posso persino essere d’accordo col soggetto, ma se obietti una cosa con una cosa falsa non stai facendo un buon lavoro. ho scritto in passato sui numeri dati ad cazzum e raccolti in maniera questionabile riguardo al covid, e capisco che il soggetto no lo sappia, ma ancora una volta da giudizi senza sapere di cosa parla…e visto il precedente non depone a favore del suo rigore.

A fronte delle mie obiezioni, di cui ammetto potrebbe essere non stato compreso il punto 3 che era generico e, onestamente, faceva riferimento alla sorgente (il quotidiano libero) che non è un esempio luminoso di fact checking se serve alla battaglia politica, e non è il solo per altro, il soggetto la butta sul morale, dandomi, in poche parole, dell’arrogante.

nel dettaglio scrive:

” …Antonio Ieranò mi fa piacere che lei si ponga al di sopra degli altri e giudichi. Io non ho certezze ed accetto sempre il confronto ( ed anche gli errori , senza giudizi assoluti) ma sembra che Lei invece ne abbia molte . Mi hanno insegnato a diffidare da chi ha troppe certezze e chi si crede superiore agli altri . Di solito non lo sono .”

analizziamo quindi la risposta:

“mi fa piacere” ecco l’inizio sarcastico che serve a dare un tono ed a settare le aspettative del resto della frase

“che lei si ponga al di sopra degli altri” il momento della trasformazione morale della risposta, l’implicito significato è che si da un giudizio che esula dal tecnico ma trascende al bene ed il male

“e giudichi.” e qui la trasformazione morale volge al segno di colpevolezza, non si tratta di commento tecnico ma “giudizio” morale e quindi arrogante

“Io non ho certezze ed accetto sempre il confronto ( ed anche gli errori , senza giudizi assoluti)” ecco la parte morale della giustizia in cui il soggetto si mette nella parte del “saggio” faro del bene, contro l”arrogante malvagio in malafede.

“ma sembra che Lei invece ne abbia molte” curiosa conclusione in un post dove non davo in merito nessuna indicazione sulle conclusioni ma solo sui metodi e per altro abbastanza banalotte. si tratta della conferma alla tesi che giustifica l’offesa maiestatis subita (e permette di non rispondere nel merito)

“Mi hanno insegnato a diffidare da chi ha troppe certezze e chi si crede superiore agli altri” la conclusione morale dove il bene da la strada per combattere il male. L’implicita affermazione è che io avrei tante certezze perchè mi credo superiore mentre lui, aperto e buono, non lo fa. Il fatto che posti una notizia falsa, o quantomeno inesatta, quindi esula dalle regole morali di responsabilità perchè lui non ha verità assolute (tranne essere assolutista nei giudizi)

“di solito non lo sono” l’ultimo elemento è una dichiarazione aperta di superiorità morale, sta letteralmente dicendo, non mi sento superiore in genere ma a lei si perchè mi ha giudicato moralmente, da supporre ritenga la cosa fatta in malafede altrimenti no ha senso l’intero costrutto.

In poche righe usa: sarcasmo, giudizio morale, evita il merito delle obiezioni, fornisce la giustificazione della sua superiorità (che quindi non richiede giustificazioni nei miei confronti.

Devo dire un lavoro linguisticamente ben fatto, da qualcuno che è uso a queste tecniche (che data la tempistica ridotta delle risposte) il soggetto ha usato altre volte.

ecco, un commento del genere nasce da 3 elementi fondamentali:

  1. chi lo scrive non ha idea di chi io sia e cosa sia la mia storia anche in termini di commenti, legittimo non sono famoso od importante.
  2. buttare sul personale e non sullo specifico le obiezioni giusto per darsi una paccata all’ego
  3. dicendosi umile dimostra invece una arroganza mascherata da cordialità dando giudizi morali invece che tecnici o puntuali. Tipico atteggiamento di superiorità

Spostare la discussione sul personale quando le obiezioni non lo sono è SEMPRE indice di sentimento di superiorità mal represso. ed anche indice di tipo di umanità che non mi interessa frequentare.

Grazie al cielo gli amici e i conoscenti si possono scegliere.

E dovessi essere in rotta di contatto per lavoro, chiederò ai miei colleghi di essere sostituito. La professionalità sta anche nel evitare di incontrare chi ritieni essere umanamente esecrabile se possibile.

Non ci perdo il sonno 🙂 ma questa volta ho bloccato. Conoscendomi avrei continuato a stuzzicare fino a farlo arrivare all’insulto.

Certa gente se la eviti non ti uccide. e poi la mia tolleranza è in calo

Trovo comunque interessante come un sacco di gente non si prende la responsabilità di quello che posta, commenta o dice. E se in difficoltà, o per pura malefede, la butta subito sul personale con commenti con valenza morale.

Per intenderci morale significa dare del buono o cattivo, buonafede o malafede, così invece di andare sul punto (si lo ammetto ho scritto che quel post era una fake news, a lo era oggettivamente non avendo passato il fact check) si fa l’offeso e ribalta la frittata. Un processo di ribaltamente di causa ed effetti abbastanza normale.

E quasi sempre sono dotati di titoli altisonanti come CEO o cose del genere. Proprio vero che certi ruoli sono affini a sociopatici e psicopatici, lol 🙂

Non ne faccio il nome, ma alla fine dovrei ringraziarlo, non sapevo di che scrivere oggi.



from WordPress https://ift.tt/2YNwenj
via IFTTT

La mia tolleranza è in calo

Oggi è successo una cosa che non succedeva da un po. Ho bloccato uno su linkedin, Non mi capitava da un po, ma mi rendo conto che la mia tolleranza stà scemando, o divento sempre più sensibile.

L’antefatto:

Uno scrive un post basato su di un documento riportato in maniera inesatta da, tanto per cambiare, libero. documento su cui anche su twitter si sono sprecati fiumi di sciocchezze.

il documento in questione qui riportato per intero era tagliato nel post (e nell’articolo di libero) prima della tabella.

Il messaggio era, ecco hanno messo come morti di covid anche quelli indeterminati. basta fake news, basta notizie false, etc etc etc.

riportando il documento per interi io osservo che

  1. il documento giustamente riporta che una salma che è in uno stato incerto va trattata come infetta, per la sicurezza di sanitari e pubblico. è una norma di sicurezza ovvia in caso di epidemie. serve a minimizzare i rischi.
  2. anche se fosse stato usato come metodo il riportare anche i casi indeterminati, di per se non è un problema se gestito correttamente dal punto di vista statistico. I morti di covid sono comunque soggetti ad una dose di arbitrarietà (il covid come concausa di morte come deve essere considerato?), il punto è che i numeri devono essere normalizzati in statistica e gestiti in maniera omogenea. Il punto quindi non è tanto se il documento (cosa da dimostrare e non dimostrata nel post) fosse usato per registrare anche una salma indeterminata come morte per covid, ma che di per se il documento così presentato non dice nulla in merito al conteggio e come il conteggio viene gestito.
  3. che prima di usare una tesi per sostenere le proprie idee un minimo di fact check dovrebbe essere il minimo indispensabile.

Oltre tutto l’indeterminato risulta, secondo il documento, una salma cui non è stata fatta anlisi o tampone ma aveva sintomi suscettibili di infezione. senza vedere questo pezzo del documento non si può capire cosa significhi quell”indeterminato.

quanto poi alla conclusione che i numeri vanno letti correttamente posso persino essere d’accordo col soggetto, ma se obietti una cosa con una cosa falsa non stai facendo un buon lavoro. ho scritto in passato sui numeri dati ad cazzum e raccolti in maniera questionabile riguardo al covid, e capisco che il soggetto no lo sappia, ma ancora una volta da giudizi senza sapere di cosa parla…e visto il precedente non depone a favore del suo rigore.

A fronte delle mie obiezioni, di cui ammetto potrebbe essere non stato compreso il punto 3 che era generico e, onestamente, faceva riferimento alla sorgente (il quotidiano libero) che non è un esempio luminoso di fact checking se serve alla battaglia politica, e non è il solo per altro, il soggetto la butta sul morale, dandomi, in poche parole, dell’arrogante.

nel dettaglio scrive:

” …Antonio Ieranò mi fa piacere che lei si ponga al di sopra degli altri e giudichi. Io non ho certezze ed accetto sempre il confronto ( ed anche gli errori , senza giudizi assoluti) ma sembra che Lei invece ne abbia molte . Mi hanno insegnato a diffidare da chi ha troppe certezze e chi si crede superiore agli altri . Di solito non lo sono .”

analizziamo quindi la risposta:

“mi fa piacere” ecco l’inizio sarcastico che serve a dare un tono ed a settare le aspettative del resto della frase

“che lei si ponga al di sopra degli altri” il momento della trasformazione morale della risposta, l’implicito significato è che si da un giudizio che esula dal tecnico ma trascende al bene ed il male

“e giudichi.” e qui la trasformazione morale volge al segno di colpevolezza, non si tratta di commento tecnico ma “giudizio” morale e quindi arrogante

“Io non ho certezze ed accetto sempre il confronto ( ed anche gli errori , senza giudizi assoluti)” ecco la parte morale della giustizia in cui il soggetto si mette nella parte del “saggio” faro del bene, contro l”arrogante malvagio in malafede.

“ma sembra che Lei invece ne abbia molte” curiosa conclusione in un post dove non davo in merito nessuna indicazione sulle conclusioni ma solo sui metodi e per altro abbastanza banalotte. si tratta della conferma alla tesi che giustifica l’offesa maiestatis subita (e permette di non rispondere nel merito)

“Mi hanno insegnato a diffidare da chi ha troppe certezze e chi si crede superiore agli altri” la conclusione morale dove il bene da la strada per combattere il male. L’implicita affermazione è che io avrei tante certezze perchè mi credo superiore mentre lui, aperto e buono, non lo fa. Il fatto che posti una notizia falsa, o quantomeno inesatta, quindi esula dalle regole morali di responsabilità perchè lui non ha verità assolute (tranne essere assolutista nei giudizi)

“di solito non lo sono” l’ultimo elemento è una dichiarazione aperta di superiorità morale, sta letteralmente dicendo, non mi sento superiore in genere ma a lei si perchè mi ha giudicato moralmente, da supporre ritenga la cosa fatta in malafede altrimenti no ha senso l’intero costrutto.

In poche righe usa: sarcasmo, giudizio morale, evita il merito delle obiezioni, fornisce la giustificazione della sua superiorità (che quindi non richiede giustificazioni nei miei confronti.

Devo dire un lavoro linguisticamente ben fatto, da qualcuno che è uso a queste tecniche (che data la tempistica ridotta delle risposte) il soggetto ha usato altre volte.

ecco, un commento del genere nasce da 3 elementi fondamentali:

  1. chi lo scrive non ha idea di chi io sia e cosa sia la mia storia anche in termini di commenti, legittimo non sono famoso od importante.
  2. buttare sul personale e non sullo specifico le obiezioni giusto per darsi una paccata all’ego
  3. dicendosi umile dimostra invece una arroganza mascherata da cordialità dando giudizi morali invece che tecnici o puntuali. Tipico atteggiamento di superiorità

Spostare la discussione sul personale quando le obiezioni non lo sono è SEMPRE indice di sentimento di superiorità mal represso. ed anche indice di tipo di umanità che non mi interessa frequentare.

Grazie al cielo gli amici e i conoscenti si possono scegliere.

E dovessi essere in rotta di contatto per lavoro, chiederò ai miei colleghi di essere sostituito. La professionalità sta anche nel evitare di incontrare chi ritieni essere umanamente esecrabile se possibile.

Non ci perdo il sonno 🙂 ma questa volta ho bloccato. Conoscendomi avrei continuato a stuzzicare fino a farlo arrivare all’insulto.

Certa gente se la eviti non ti uccide. e poi la mia tolleranza è in calo

Trovo comunque interessante come un sacco di gente non si prende la responsabilità di quello che posta, commenta o dice. E se in difficoltà, o per pura malefede, la butta subito sul personale con commenti con valenza morale.

Per intenderci morale significa dare del buono o cattivo, buonafede o malafede, così invece di andare sul punto (si lo ammetto ho scritto che quel post era una fake news, a lo era oggettivamente non avendo passato il fact check) si fa l’offeso e ribalta la frittata. Un processo di ribaltamente di causa ed effetti abbastanza normale.

E quasi sempre sono dotati di titoli altisonanti come CEO o cose del genere. Proprio vero che certi ruoli sono affini a sociopatici e psicopatici, lol 🙂

Non ne faccio il nome, ma alla fine dovrei ringraziarlo, non sapevo di che scrivere oggi.

La mia tolleranza è in calo

Oggi è successo una cosa che non succedeva da un po. Ho bloccato uno su linkedin, Non mi capitava da un po, ma mi rendo conto che la mia tolleranza stà scemando, o divento sempre più sensibile.

L’antefatto:

Uno scrive un post basato su di un documento riportato in maniera inesatta da, tanto per cambiare, libero. documento su cui anche su twitter si sono sprecati fiumi di sciocchezze.

il documento in questione qui riportato per intero era tagliato nel post (e nell’articolo di libero) prima della tabella.

Il messaggio era, ecco hanno messo come morti di covid anche quelli indeterminati. basta fake news, basta notizie false, etc etc etc.

riportando il documento per interi io osservo che

  1. il documento giustamente riporta che una salma che è in uno stato incerto va trattata come infetta, per la sicurezza di sanitari e pubblico. è una norma di sicurezza ovvia in caso di epidemie. serve a minimizzare i rischi.
  2. anche se fosse stato usato come metodo il riportare anche i casi indeterminati, di per se non è un problema se gestito correttamente dal punto di vista statistico. I morti di covid sono comunque soggetti ad una dose di arbitrarietà (il covid come concausa di morte come deve essere considerato?), il punto è che i numeri devono essere normalizzati in statistica e gestiti in maniera omogenea. Il punto quindi non è tanto se il documento (cosa da dimostrare e non dimostrata nel post) fosse usato per registrare anche una salma indeterminata come morte per covid, ma che di per se il documento così presentato non dice nulla in merito al conteggio e come il conteggio viene gestito.
  3. che prima di usare una tesi per sostenere le proprie idee un minimo di fact check dovrebbe essere il minimo indispensabile.

Oltre tutto l’indeterminato risulta, secondo il documento, una salma cui non è stata fatta anlisi o tampone ma aveva sintomi suscettibili di infezione. senza vedere questo pezzo del documento non si può capire cosa significhi quell”indeterminato.

quanto poi alla conclusione che i numeri vanno letti correttamente posso persino essere d’accordo col soggetto, ma se obietti una cosa con una cosa falsa non stai facendo un buon lavoro. ho scritto in passato sui numeri dati ad cazzum e raccolti in maniera questionabile riguardo al covid, e capisco che il soggetto no lo sappia, ma ancora una volta da giudizi senza sapere di cosa parla…e visto il precedente non depone a favore del suo rigore.

A fronte delle mie obiezioni, di cui ammetto potrebbe essere non stato compreso il punto 3 che era generico e, onestamente, faceva riferimento alla sorgente (il quotidiano libero) che non è un esempio luminoso di fact checking se serve alla battaglia politica, e non è il solo per altro, il soggetto la butta sul morale, dandomi, in poche parole, dell’arrogante.

nel dettaglio scrive:

” …Antonio Ieranò mi fa piacere che lei si ponga al di sopra degli altri e giudichi. Io non ho certezze ed accetto sempre il confronto ( ed anche gli errori , senza giudizi assoluti) ma sembra che Lei invece ne abbia molte . Mi hanno insegnato a diffidare da chi ha troppe certezze e chi si crede superiore agli altri . Di solito non lo sono .”

analizziamo quindi la risposta:

“mi fa piacere” ecco l’inizio sarcastico che serve a dare un tono ed a settare le aspettative del resto della frase

“che lei si ponga al di sopra degli altri” il momento della trasformazione morale della risposta, l’implicito significato è che si da un giudizio che esula dal tecnico ma trascende al bene ed il male

“e giudichi.” e qui la trasformazione morale volge al segno di colpevolezza, non si tratta di commento tecnico ma “giudizio” morale e quindi arrogante

“Io non ho certezze ed accetto sempre il confronto ( ed anche gli errori , senza giudizi assoluti)” ecco la parte morale della giustizia in cui il soggetto si mette nella parte del “saggio” faro del bene, contro l”arrogante malvagio in malafede.

“ma sembra che Lei invece ne abbia molte” curiosa conclusione in un post dove non davo in merito nessuna indicazione sulle conclusioni ma solo sui metodi e per altro abbastanza banalotte. si tratta della conferma alla tesi che giustifica l’offesa maiestatis subita (e permette di non rispondere nel merito)

“Mi hanno insegnato a diffidare da chi ha troppe certezze e chi si crede superiore agli altri” la conclusione morale dove il bene da la strada per combattere il male. L’implicita affermazione è che io avrei tante certezze perchè mi credo superiore mentre lui, aperto e buono, non lo fa. Il fatto che posti una notizia falsa, o quantomeno inesatta, quindi esula dalle regole morali di responsabilità perchè lui non ha verità assolute (tranne essere assolutista nei giudizi)

“di solito non lo sono” l’ultimo elemento è una dichiarazione aperta di superiorità morale, sta letteralmente dicendo, non mi sento superiore in genere ma a lei si perchè mi ha giudicato moralmente, da supporre ritenga la cosa fatta in malafede altrimenti no ha senso l’intero costrutto.

In poche righe usa: sarcasmo, giudizio morale, evita il merito delle obiezioni, fornisce la giustificazione della sua superiorità (che quindi non richiede giustificazioni nei miei confronti.

Devo dire un lavoro linguisticamente ben fatto, da qualcuno che è uso a queste tecniche (che data la tempistica ridotta delle risposte) il soggetto ha usato altre volte.

ecco, un commento del genere nasce da 3 elementi fondamentali:

  1. chi lo scrive non ha idea di chi io sia e cosa sia la mia storia anche in termini di commenti, legittimo non sono famoso od importante.
  2. buttare sul personale e non sullo specifico le obiezioni giusto per darsi una paccata all’ego
  3. dicendosi umile dimostra invece una arroganza mascherata da cordialità dando giudizi morali invece che tecnici o puntuali. Tipico atteggiamento di superiorità

Spostare la discussione sul personale quando le obiezioni non lo sono è SEMPRE indice di sentimento di superiorità mal represso. ed anche indice di tipo di umanità che non mi interessa frequentare.

Grazie al cielo gli amici e i conoscenti si possono scegliere.

E dovessi essere in rotta di contatto per lavoro, chiederò ai miei colleghi di essere sostituito. La professionalità sta anche nel evitare di incontrare chi ritieni essere umanamente esecrabile se possibile.

Non ci perdo il sonno 🙂 ma questa volta ho bloccato. Conoscendomi avrei continuato a stuzzicare fino a farlo arrivare all’insulto.

Certa gente se la eviti non ti uccide. e poi la mia tolleranza è in calo

Trovo comunque interessante come un sacco di gente non si prende la responsabilità di quello che posta, commenta o dice. E se in difficoltà, o per pura malefede, la butta subito sul personale con commenti con valenza morale.

Per intenderci morale significa dare del buono o cattivo, buonafede o malafede, così invece di andare sul punto (si lo ammetto ho scritto che quel post era una fake news, a lo era oggettivamente non avendo passato il fact check) si fa l’offeso e ribalta la frittata. Un processo di ribaltamente di causa ed effetti abbastanza normale.

E quasi sempre sono dotati di titoli altisonanti come CEO o cose del genere. Proprio vero che certi ruoli sono affini a sociopatici e psicopatici, lol 🙂

Non ne faccio il nome, ma alla fine dovrei ringraziarlo, non sapevo di che scrivere oggi.

venerdì 28 agosto 2020

The cult of personality

Now let us imagine for a moment a politician who makes the cult of his personality the fulcrum of his communication.
That call to himself all that is good and leave all that is bad to others.
That he presents his whole family (at least the part aligned with his image of greatness) on the podium and in key or important parts of his administration.
That publicly declares that he is never wrong.
That says it all and the opposite of everything by refusing any fact check.
Who calls anyone who criticizes him false, betrayer, or worse.
Who refuses to declare that he would accept an election result that did not see him as the winner.
Who uses the nation’s symbolic places (as let’s say the white house) for his campaign and image.

No, I’m not talking about Kim Yong Un and the North Korean Communist Party Convention

A view of a joint meeting of the Central Committee of the Workers’ Party of Korea (WPK) and the Korean People’s Army (KPA) Committee of the WPK in Pyongyang in this undated photo released by North Korea’s Korean Central News Agency (KCNA) on February 4, 2016. REUTERS/KCNA ATTENTION EDITORS – THIS PICTURE WAS PROVIDED BY A THIRD PARTY. REUTERS IS UNABLE TO INDEPENDENTLY VERIFY THE AUTHENTICITY, CONTENT, LOCATION OR DATE OF THIS IMAGE. FOR EDITORIAL USE ONLY. NOT FOR SALE FOR MARKETING OR ADVERTISING CAMPAIGNS. THIS PICTURE IS DISTRIBUTED EXACTLY AS RECEIVED BY REUTERS, AS A SERVICE TO CLIENTS. NO THIRD PARTY SALES. SOUTH KOREA OUT. NO COMMERCIAL OR EDITORIAL SALES IN SOUTH KOREA

but the Republican convention that just ended.

The real question I ask myself, how many people realize that certain scenes are exactly the opposite of what the Republican Party in the United States should represent?

That the cult of personality, the denial of reality, nepotism are the opposite of a democracy?

The Democratic convention was anything but exciting, indeed I would say boring, the only things of value were probably the interventions of real Republicans who could not share the Trumpist drift.

But the Republican one was terrifying.

And I am not talking about the demonization with fake assumptions or claims over Baiden positions, I heard from not only Trump but also Pence and Trump Son, the other Trump Son, the trump Son’s wife, The Trump preferred daughter, the other Trump daughters (any nepotism suspect here?) false allegations on Biden that are normal in a political campaign where the truth is just a, not a welcomed companion. But mostly I heard praise and glory on the one and only Donald J Trump, nothing on actual fact or serious analysis on the future. But the form and the content were not on GOP but on him. For them, he is the source and the aim. And anyone who disagrees is morally deprecable. because he is the truth, the light, the good.

Obviously the electoral base Trump relies on has no eyes but for him, after all, the cult of personality serves this purpose, to give a miraculous subject to which to place one’s hopes uncritically also because in return one receives exactly what one wants to hear.

After this show, I am even more convinced that the possibility of violent drift after the US elections is a solid possibility.
Whether Trump wins or Trump loses the open wound in the US democratic institutions or the Great Old Party (GOP) will not heal quickly.

Some elections are scarier than others

Imagine a modern western country where the president in the wake of elections starts to say that

  • will not recognise the victory of the antagonist
  • questions the possible result well in advance if the election is based on a mechanism that would make the other party’s voters more likely to vote
  • despite the uncontrolled development of the pandemic continues to say that everything is fine
  • against millions of infected people, he takes it out on internet apps as TikTok
  • blame everything on either an eastern country or the president who preceded it.
  • He declares publicly that he will never apologize even if in error because it is not his negotiating technique…
  • robbing popular protests and tensions as an activity of thugs and criminals
  • ….

What country is it? You will tell me clearly the Belarus of Lucashenko … the last European dictator.

No, it is the president of the most armed and economically powerful state in the world, Donald J Trump.

The forthcoming presidential elections are already distorting the democratic tradition of the United States, which will be difficult to repair in the short term, and the damage caused to the country’s image and the international rule of law will remain for a long time to come.

Although they are not elections in my country, I am afraid of the possible global repercussions, and the tensions that will explode shortly.

The spasmodic search for a tactical approach that masks the obvious failings of the American administration, at least on the covid front, has led the United States to seek a narrative in which China is the source of all evil.

The American political dynamic has always needed the villain on duty since the USSR was no longer available, Cuba was used over time, and then the Middle East and the Islamic fundamentalist movements moved to the chessboard, so as not to miss Iran and, of course, China. All this was often seasoned, for the appetite of public opinion, with quite imaginative assumptions. Think of the long-standing accusations against Iran (Shiite) of fomenting and financing Sunni terrorism.

Under elections it is normal for a tactical attitude linked to internal political dynamics to take hold, but the 4 years of the Trump administration have been dedicated, to a large extent, to short-term tactics aimed at keeping up an endless electoral campaign whose cornerstones have been:

  • the demonization of the previous administration
  • the demonization of any form of criticism, even internal.
  • the rhetoric of greatness regardless of reality

Added to this is a personality cult that had not yet been seen in the United States and which is reminiscent of certain Latin American behaviour.

Moreover, from the very beginning the Trump presidency has meant a special way of communication:

From the non-existent crowd to his inauguration in the sun that appeared when he started speaking (regardless the truth and videos shos the pouring rain) the anecdotes are endless.

Not to mention the constant lie related to popular vote.

Just for your understanding in the USA winning the popular vote does not means win the elections, the complicated system allows the victory in the electoral colleges but defeat in the popular vote has happened in Trump election 4 years ago.

But worth to mention his epic interviews that in many ways have been the subject of debate (and irony) by many detractors. The last one I can think of carried out by Jonathan Swan for Axios is terrifying, considering the power of the subject we are talking about.

https://www.youtube.com/watch?v=YR-e2NHiFTU

Randomly provided data, wrong references, meaningless statistics and inconsistent answers were the leitmotif.
But any fact check on his figure is considered an affront by his supporters.

Now I have no doubt that the reader who feels related to that specific political movement will feel indignant and ready for the insult, and it is certainly not to them that I turn my thoughts, it would be wasted effort.

The reason for my fear, however, is not so much the tactical attacks against TikTok or the claim that there are also good people among the white supremacists. These are issues that can be politically certain but do not frighten me.

The main point is the search by the right-wing pro-Trump for a reason for confrontation that justifies possible actions of force in function of a possible electoral defeat or protests following an unclear victory.

The uprisings linked to the death of George Floyd were an interesting test, for the first time on US soil federal agents were seen without recognition and insignia making arbitrary arrests widely documented (and equally denied or minimized by the administration). We expect this in many Latin American countries, or in Belarus but not on US soil.

The radicalisation of the clash and the use of force becomes worrying if we analyse a context where we see the systematic attack on voting modalities that take into account the difficulties linked to covid-19. One does not need to be a genius to understand its two main pillars:

On the one hand it is aligned with the anti-Covid narrative of the administration (it is not the only one, from Bolsonaro to Lukashenko deniers abound on all sides), on the other hand it is an operation that goes to hit the most cautious segment of the population about the pandemic that, coincidentally, is mainly not aligned with Trump’s thought.

The current attack on the mail ballot and, at the same time, the American postal service are a clear demonstration of this.

It is clearly a tactical move, with complete disregard for the medium and long term consequences, and at the same time it opens up worrying scenarios.

1) Let’s suppose that Trump does NOT win the mail ballot elections in large quantities:
The controversy built up at the moment against the mail ballot would give him the opportunity to shout fraud as confirmation of what he claimed before the election. If his reaction was not to recognise the outcome, a violent drift is not a secondary scenario. The question would be where do the armed forces (and in particular the national guard) face a confrontation between an elected president and an “ex” who does not recognize the outcome.

2) Let’s now suppose that Trump wins the Mail Ballot elections in large numbers:
In light of the attacks on the postal service, it is not unlikely that a slice of the population will feel defrauded and exacerbate the protest, which would probably be forcibly suppressed. There is no precedent to indicate that Trump is willing to negotiate on his absoluteness.

3) So let’s assume that Trump does NOT win the election without an email ballot:
In this scenario even Trump would find it difficult to justify not recognizing the winner. With a but, in the past, Trump has repeatedly expressed conspiracy theories that Democrats had cheated by voting corpses, illegals, moving people from county to county to vote several times and so on. Of course, all without a shred of evidence, evidence or statistical result, but these are not of interest to Trump or his electorate.

4) Finally, let’s assume that Trump largely wins the election without mail ballots:
we are in a situation similar to point 2, but with much stronger tensions since the other side could really feel in a Venezuelan scenario. In this case bipartisan violence would be extremely likely.
This situation in the United States is unprecedented, this level of radicalization and contempt for the rules of civil coexistence shown by Trump and his entourage are unique.

Unfortunately making predictions is difficult, also because it is not very easy to decipher what Trump wants or says, to understand what I mean watch this video

https://www.youtube.com/watch?v=1FSqOtGz5vI

I hope that everything is going well, of course, but at the moment the outlook is not exactly the best.

It do really seems this 2020 is the perfect storm.



from WordPress https://ift.tt/3hCCsOt
via IFTTT

The cult of personality

Now let us imagine for a moment a politician who makes the cult of his personality the fulcrum of his communication.
That call to himself all that is good and leave all that is bad to others.
That he presents his whole family (at least the part aligned with his image of greatness) on the podium and in key or important parts of his administration.
That publicly declares that he is never wrong.
That says it all and the opposite of everything by refusing any fact check.
Who calls anyone who criticizes him false, betrayer, or worse.
Who refuses to declare that he would accept an election result that did not see him as the winner.
Who uses the nation’s symbolic places (as let’s say the white house) for his campaign and image.

No, I’m not talking about Kim Yong Un and the North Korean Communist Party Convention

A view of a joint meeting of the Central Committee of the Workers’ Party of Korea (WPK) and the Korean People’s Army (KPA) Committee of the WPK in Pyongyang in this undated photo released by North Korea’s Korean Central News Agency (KCNA) on February 4, 2016. REUTERS/KCNA ATTENTION EDITORS – THIS PICTURE WAS PROVIDED BY A THIRD PARTY. REUTERS IS UNABLE TO INDEPENDENTLY VERIFY THE AUTHENTICITY, CONTENT, LOCATION OR DATE OF THIS IMAGE. FOR EDITORIAL USE ONLY. NOT FOR SALE FOR MARKETING OR ADVERTISING CAMPAIGNS. THIS PICTURE IS DISTRIBUTED EXACTLY AS RECEIVED BY REUTERS, AS A SERVICE TO CLIENTS. NO THIRD PARTY SALES. SOUTH KOREA OUT. NO COMMERCIAL OR EDITORIAL SALES IN SOUTH KOREA

but the Republican convention that just ended.

The real question I ask myself, how many people realize that certain scenes are exactly the opposite of what the Republican Party in the United States should represent?

That the cult of personality, the denial of reality, nepotism are the opposite of a democracy?

The Democratic convention was anything but exciting, indeed I would say boring, the only things of value were probably the interventions of real Republicans who could not share the Trumpist drift.

But the Republican one was terrifying.

And I am not talking about the demonization with fake assumptions or claims over Baiden positions, I heard from not only Trump but also Pence and Trump Son, the other Trump Son, the trump Son’s wife, The Trump preferred daughter, the other Trump daughters (any nepotism suspect here?) false allegations on Biden that are normal in a political campaign where the truth is just a, not a welcomed companion. But mostly I heard praise and glory on the one and only Donald J Trump, nothing on actual fact or serious analysis on the future. But the form and the content were not on GOP but on him. For them, he is the source and the aim. And anyone who disagrees is morally deprecable. because he is the truth, the light, the good.

Obviously the electoral base Trump relies on has no eyes but for him, after all, the cult of personality serves this purpose, to give a miraculous subject to which to place one’s hopes uncritically also because in return one receives exactly what one wants to hear.

After this show, I am even more convinced that the possibility of violent drift after the US elections is a solid possibility.
Whether Trump wins or Trump loses the open wound in the US democratic institutions or the Great Old Party (GOP) will not heal quickly.

Some elections are scarier than others

Imagine a modern western country where the president in the wake of elections starts to say that

  • will not recognise the victory of the antagonist
  • questions the possible result well in advance if the election is based on a mechanism that would make the other party’s voters more likely to vote
  • despite the uncontrolled development of the pandemic continues to say that everything is fine
  • against millions of infected people, he takes it out on internet apps as TikTok
  • blame everything on either an eastern country or the president who preceded it.
  • He declares publicly that he will never apologize even if in error because it is not his negotiating technique…
  • robbing popular protests and tensions as an activity of thugs and criminals
  • ….

What country is it? You will tell me clearly the Belarus of Lucashenko … the last European dictator.

No, it is the president of the most armed and economically powerful state in the world, Donald J Trump.

The forthcoming presidential elections are already distorting the democratic tradition of the United States, which will be difficult to repair in the short term, and the damage caused to the country’s image and the international rule of law will remain for a long time to come.

Although they are not elections in my country, I am afraid of the possible global repercussions, and the tensions that will explode shortly.

The spasmodic search for a tactical approach that masks the obvious failings of the American administration, at least on the covid front, has led the United States to seek a narrative in which China is the source of all evil.

The American political dynamic has always needed the villain on duty since the USSR was no longer available, Cuba was used over time, and then the Middle East and the Islamic fundamentalist movements moved to the chessboard, so as not to miss Iran and, of course, China. All this was often seasoned, for the appetite of public opinion, with quite imaginative assumptions. Think of the long-standing accusations against Iran (Shiite) of fomenting and financing Sunni terrorism.

Under elections it is normal for a tactical attitude linked to internal political dynamics to take hold, but the 4 years of the Trump administration have been dedicated, to a large extent, to short-term tactics aimed at keeping up an endless electoral campaign whose cornerstones have been:

  • the demonization of the previous administration
  • the demonization of any form of criticism, even internal.
  • the rhetoric of greatness regardless of reality

Added to this is a personality cult that had not yet been seen in the United States and which is reminiscent of certain Latin American behaviour.

Moreover, from the very beginning the Trump presidency has meant a special way of communication:

From the non-existent crowd to his inauguration in the sun that appeared when he started speaking (regardless the truth and videos shos the pouring rain) the anecdotes are endless.

Not to mention the constant lie related to popular vote.

Just for your understanding in the USA winning the popular vote does not means win the elections, the complicated system allows the victory in the electoral colleges but defeat in the popular vote has happened in Trump election 4 years ago.

But worth to mention his epic interviews that in many ways have been the subject of debate (and irony) by many detractors. The last one I can think of carried out by Jonathan Swan for Axios is terrifying, considering the power of the subject we are talking about.

https://www.youtube.com/watch?v=YR-e2NHiFTU

Randomly provided data, wrong references, meaningless statistics and inconsistent answers were the leitmotif.
But any fact check on his figure is considered an affront by his supporters.

Now I have no doubt that the reader who feels related to that specific political movement will feel indignant and ready for the insult, and it is certainly not to them that I turn my thoughts, it would be wasted effort.

The reason for my fear, however, is not so much the tactical attacks against TikTok or the claim that there are also good people among the white supremacists. These are issues that can be politically certain but do not frighten me.

The main point is the search by the right-wing pro-Trump for a reason for confrontation that justifies possible actions of force in function of a possible electoral defeat or protests following an unclear victory.

The uprisings linked to the death of George Floyd were an interesting test, for the first time on US soil federal agents were seen without recognition and insignia making arbitrary arrests widely documented (and equally denied or minimized by the administration). We expect this in many Latin American countries, or in Belarus but not on US soil.

The radicalisation of the clash and the use of force becomes worrying if we analyse a context where we see the systematic attack on voting modalities that take into account the difficulties linked to covid-19. One does not need to be a genius to understand its two main pillars:

On the one hand it is aligned with the anti-Covid narrative of the administration (it is not the only one, from Bolsonaro to Lukashenko deniers abound on all sides), on the other hand it is an operation that goes to hit the most cautious segment of the population about the pandemic that, coincidentally, is mainly not aligned with Trump’s thought.

The current attack on the mail ballot and, at the same time, the American postal service are a clear demonstration of this.

It is clearly a tactical move, with complete disregard for the medium and long term consequences, and at the same time it opens up worrying scenarios.

1) Let’s suppose that Trump does NOT win the mail ballot elections in large quantities:
The controversy built up at the moment against the mail ballot would give him the opportunity to shout fraud as confirmation of what he claimed before the election. If his reaction was not to recognise the outcome, a violent drift is not a secondary scenario. The question would be where do the armed forces (and in particular the national guard) face a confrontation between an elected president and an “ex” who does not recognize the outcome.

2) Let’s now suppose that Trump wins the Mail Ballot elections in large numbers:
In light of the attacks on the postal service, it is not unlikely that a slice of the population will feel defrauded and exacerbate the protest, which would probably be forcibly suppressed. There is no precedent to indicate that Trump is willing to negotiate on his absoluteness.

3) So let’s assume that Trump does NOT win the election without an email ballot:
In this scenario even Trump would find it difficult to justify not recognizing the winner. With a but, in the past, Trump has repeatedly expressed conspiracy theories that Democrats had cheated by voting corpses, illegals, moving people from county to county to vote several times and so on. Of course, all without a shred of evidence, evidence or statistical result, but these are not of interest to Trump or his electorate.

4) Finally, let’s assume that Trump largely wins the election without mail ballots:
we are in a situation similar to point 2, but with much stronger tensions since the other side could really feel in a Venezuelan scenario. In this case bipartisan violence would be extremely likely.
This situation in the United States is unprecedented, this level of radicalization and contempt for the rules of civil coexistence shown by Trump and his entourage are unique.

Unfortunately making predictions is difficult, also because it is not very easy to decipher what Trump wants or says, to understand what I mean watch this video

https://www.youtube.com/watch?v=1FSqOtGz5vI

I hope that everything is going well, of course, but at the moment the outlook is not exactly the best.

It do really seems this 2020 is the perfect storm.