<div dir="ltr">Dinis,<br><br><b style="font-style:italic">'Give the power of operational and 
financial decisions to the OWASP OPsTeam and let the OWASP board be just
 one focused on 'values and community'</b>)
<div><br></div><div>This is true. Sarah and team have budgets to work from and they can spend as they see fit to accomplish high level mission items. </div></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr">
<br>--<br>Michael Coates<br>@_mwc<br><br></div></div>
<br><br><div class="gmail_quote">On Thu, Apr 10, 2014 at 4:05 PM, Dinis Cruz <span dir="ltr"><<a href="mailto:dinis.cruz@owasp.org" target="_blank">dinis.cruz@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">For a while I have been saying that putting such '<i>expectations and requirements'</i> on board members was going to cause a lot of friction and this is just another example of it<div><br></div><div>

I don't actually agree with Dennis analysis. But the reason I don't agree is not due to the fact that he is correct (or not) in his analysis. My view is that it is<b> completely unrealistic to put  such a high level of expectation on OWASP board members</b>, specially in terms of their: behaviour, morals, actions and words. My biggest problem with current/past board members is on lack of action, decisions and delegation of duties :)</div>

<div><br></div><div>But the biggest problem with the line of thinking that '<b><i>OWASP Board members must behave differently</i></b>' it that it also:</div><div><ul><li>perpetuates the <b><i>'myth of the OWASP Board member'</i></b> : which is the idea that things can only happen at OWASP if one is on the Board. Not only this is simply is not true, this myth creates a negative energy cycle between '<i>the ones NOT in the board'</i> (who don't feel empowered) and '<i>the ones on the board'</i> (who realise that being a board member doesn't actually help to get things done).<br>

</li><li>provides an '<i>focus of blame'</i> since there is this expectation that <i>'somebody else should be doing it'. </i>The reality is that OWASP leaders must realise that they are the ones that need to 'get on with it' and not expect the mythical OWASP board members to <i>'come and save the day'</i></li>

<li>provides a way to 'shot down the Board Members' since they are in impossible position (<i>dammed if they do and dammed if they don't</i>)</li></ul></div><div>The only OWASP leaders (board members or not) that actually make a difference at OWASP, are the ones that put the hours/ days/weeks) of effort, energy and commitment on a particular idea, vision, project or initiative (as an example, if you look at the current/past board members, the areas where they have added a lot of value to OWASP, have not been in cases where they actually 'needed to be on the board' to archived those results). </div>

<div><br></div><div>I have written on my blog on what I believe to be a better model for OWASP,  you can read at <a href="http://blog.diniscruz.com/2012/10/an-idea-of-new-model-for-owasp.html" target="_blank">An Idea of a new model for OWASP</a> (for the TL; DR crowd: <b style="font-style:italic">'Give the power of operational and financial decisions to the OWASP OPsTeam and let the OWASP board be just one focused on 'values and community'</b>)</div>

<div><br></div><div>Also written in Nov 2012 was the <a href="http://blog.diniscruz.com/2012/11/i-wish-that-owasp-in-2014.html" target="_blank">I wish that OWASP in 2014 ....</a> post which I hope that you will share with me the feeling that THAT is what OWASP should feel like :)</div>

<div><br></div><div>On the topic of thinking and blogging about OWASP could be, I have been trying LeanPub as a publishing medium and have publish a 'beta book' one called <a href="https://leanpub.com/Thoughts_OWASP/" target="_blank">Thoughts on OWASP</a> (which you can read more about at: <a href="http://blog.diniscruz.com/2014/03/published-beta-version-of-thoughts-on.html" target="_blank">Published Beta version of "Thoughts on OWASP" eBook</a> </div>

<div><br></div><div>I also put the contents of that book (which is at the moment a collection of my blog posts on OWASP and other philosophical ideas) on this GitHub repo: <a href="https://github.com/DinisCruz/Book_Thoughts_OWASP" target="_blank">https://github.com/DinisCruz/Book_Thoughts_OWASP</a></div>

<div><br></div><div class="gmail_extra">Here are the links to the main Sections (now in Markdown since they are in the GitHub repo):</div><div class="gmail_extra"><ul style="padding:0px 0px 0px 30px;margin:15px 0px;color:rgb(51,51,51);font-family:Helvetica,arial,freesans,clean,sans-serif;font-size:15px;line-height:25.5px">

<li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/0.Introduction/README.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">Introduction</a></li><li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/1.OWASP_Organization/README.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">1.OWASP_Organization</a></li>

<li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/2.OWASP_Projects/README.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">2.OWASP_Projects</a></li><li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/3.OWASP_Summits/README.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">3.OWASP_Summits</a></li>

<li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/4.OWASP_Education/README.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">4.OWASP_Education</a></li><li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/5.OWASP_MIA/README.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">5.OWASP_MIA</a></li>

<li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/6.Philosophy/README.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">6,Philosophy</a></li><li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/7.Security_Industry/README.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">7.Security_Industry</a></li>

</ul><div class="gmail_extra"><br></div><div class="gmail_extra">Here are the links to the chapters with my main OWASP thinking:</div><div class="gmail_extra"><br></div><div class="gmail_extra"><ul style="padding:0px 0px 0px 30px;margin:15px 0px;color:rgb(51,51,51);font-family:Helvetica,arial,freesans,clean,sans-serif;font-size:15px;line-height:25.5px">

<li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/1.OWASP_Organization/An_Idea_of_a_New_Model_for_owasp.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">An Idea of a New Model for owasp</a></li>

<li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/1.OWASP_Organization/I_wish_that_OWASP_in_2014.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">I wish that OWASP in 2014</a></li>

<li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/1.OWASP_Organization/Improved_Wikipedia_funding_page_why_OWASP_needs_something_similar_and_who_buys_OWASP_Corporate_Memberships.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">Improved Wikipedia funding page why OWASP needs something similar and who buys OWASP Corporate Memberships</a></li>

<li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/1.OWASP_Organization/OWASP_Board_Election_-__Why_I_voted_'Abstain'_and_why_you_should_go_on_the_record_with_your_vote.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">OWASP Board Election - Why I voted 'Abstain' and why you should go on the record with your vote</a></li>

<li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/1.OWASP_Organization/OWASP_Executive_Director_Role_(Not_yet).md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">OWASP Executive Director Role (Not yet)</a></li>

<li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/1.OWASP_Organization/OWASP_Principles_based_on_NHS.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">OWASP Principles based on NHS</a></li>

<li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/1.OWASP_Organization/OWASP_Revenue_Splits_and_the_'Non-profits_have_a_charter_to_be_innovators'.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">OWASP Revenue Splits and the 'Non-profits have a charter to be innovators'</a></li>

<li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/1.OWASP_Organization/Proposed_change_for_SoC_-_Use_budget_to_pay_for_project_related_expenses.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">Proposed change for SoC - Use budget to pay for project related expenses</a></li>

<li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/1.OWASP_Organization/Remove_all_commercial_non-OWASP_logos_from_OWASP.org.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">Remove all commercial non-OWASP logos from OWASP.org</a></li>

<li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/1.OWASP_Organization/Sarah_Baso_as_OWASP_Executive_director,_how_it_broke_the_model,_structure_and_culture_of_OWASP_employees.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">Sarah Baso as OWASP Executive director, how it broke the model, structure and culture of OWASP employees</a></li>

<li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/1.OWASP_Organization/Why_OWASP_can't_pay_OWASP_Leaders.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">Why OWASP can't pay OWASP Leaders</a></li>

<li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/1.OWASP_Organization/Why_the_need_to_enable_the_use_of_OWASP_chapter_funds.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">Why the need to enable the use of OWASP chapter funds</a></li>

<li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/1.OWASP_Organization/Why_NDAs_have_no_place_at_OWASP.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">Why NDAs have no place at OWASP</a></li>

<li><a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/1.OWASP_Organization/Me_and_Jim_Manico.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">Me and Jim Manico</a></li>
<li>
<a href="https://github.com/DinisCruz/Book_Thoughts_OWASP/blob/master/manuscript/1.OWASP_Organization/On_John_Wilander.md" style="color:rgb(65,131,196);text-decoration:none" target="_blank">On John Wilander</a></li></ul>
</div><div class="gmail_extra">
Let me know what you think, and if spot any issues or mistakes, please to fork that repo and sent in a Pull Request :)</div><div class="gmail_extra"><br></div><div class="gmail_extra">Also feel free to correct my thinking and show me where I got my analysis wrong (so that I can learn and improve)</div>
<span class="HOEnZb"><font color="#888888">
<div class="gmail_extra"><br></div><div class="gmail_extra">Dinis</div><div class="gmail_extra"><br></div><br></font></span><div class="gmail_quote"><div><div class="h5">On 10 April 2014 22:06, Dennis Groves <span dir="ltr"><<a href="mailto:dennis.groves@owasp.org" target="_blank">dennis.groves@owasp.org</a>></span> wrote:<br>

</div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div><div class="h5"><div dir="ltr">Michael, <div>
<br></div><div><span style="font-family:arial,sans-serif">I applaud you Michael for taking the reigns of leadership and setting both a vision and a positive example for OWASP. </span>What a great post! You have really captured the spirit of OWASP and I hope you succeed in keeping it alive. Like you, I stand behind both the awesome staff and community of OWASP. </div>



<div><br></div><div>However, I have great concerns about the future of OWASP, because the board serves as an example for the community. As you have indicated you cannot do this alone, we all have to pitch in. Not everybody on the board is a rotten apple, most of you are awesome. Unfortunately it only takes one rotten apple to spoil the whole barrel. </div>






<div><span style="font-size:13px;color:rgb(54,43,54);font-family:sans-serif;line-height:19.200000762939453px"><br></span></div><div><span style="font-size:13px;color:rgb(54,43,54);font-family:sans-serif;line-height:19.200000762939453px">Some examples I have observed of rotten leadership:</span></div>






<div><div style="font-family:arial,sans-serif;font-size:13px"><ul><li style="margin-left:15px">Publicly undermining OWASP employees by an OWASP Board member.</li><li style="margin-left:15px">Publicly undermining OWASP volunteers by an OWASP Board member.<br>






</li><li style="margin-left:15px"><font face="arial, sans-serif">Privately undermining OWASP leaders by an OWASP Board member.</font></li><li style="margin-left:15px"><font face="arial, sans-serif">Privately undermining OWASP employees by an OWASP Board member.</font></li>






<li style="margin-left:15px"><font face="arial, sans-serif">Publicly undermining OWASP projects by an OWASP Board member.</font></li><li style="margin-left:15px"><font face="arial, sans-serif">Privately undermining OWASP projects by an OWASP Board member.</font></li>






</ul><ul><li style="margin-left:15px">OWASP Board members have caused OWASP to lose money from conference revenues.<br></li><li style="margin-left:15px"><font face="arial, sans-serif">OWASP Board members have caused OWASP to lose corporate sponsorship's.</font></li>






<li style="margin-left:15px"><font face="arial, sans-serif">OWASP Board members have caused OWASP to lose projects. </font></li></ul><ul><li style="margin-left:15px">OWASP Board members have harassed OWASP employees privately.<br>






</li><li style="margin-left:15px"><font face="arial, sans-serif">OWASP Board members have abused OWASP employees publicly.</font></li></ul></div><div style="font-family:arial,sans-serif;font-size:13px"><div>All of these things have gone on habitually. Most of the time they are thinly veiled under the guise of 'ethics' and yet all of these behaviors are in direct conflict with the duty of loyalty to the OWASP foundation. <i><span style="background-color:rgb(255,255,0)">Additionally, it sets up an unprofessional example of 'standard of behavior' for the community to follow, and this is exactly what is happening.</span></i></div>






<div><span style="background-color:rgb(255,255,0)"><br></span></div><div>I regularly hear from both sponsors and leaders that no longer want to participate in OWASP anymore due to the examples I have cited above. I spend my OWASP donation hours managing fires like this, when I could be building and contributing to the community with my precious little free time.</div>






<div><br></div><div>It has come to a point that I may no longer recommend that the public join or support OWASP because of the unprofessional behavior emanating from the board. <i style="background-color:rgb(255,255,0)">And I feel it is a very sad day when <b>I can not recommend</b> OWASP, something I genuinely want to be proud to be a part of, to people I love and respect.</i></div>

<span><font color="#888888">




</font></span></div><span><font color="#888888"><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif"><br></div></font></span></div><span><font color="#888888"><div class="gmail_extra">

-- <br><div dir="ltr"><span><span style="font-family:verdana,sans-serif"><span style="border-collapse:collapse"><a href="http://about.me/dennis.groves" target="_blank">Dennis Groves</a>, MSc</span></span></span><div>


<span><span style="font-family:verdana,sans-serif"><span style="border-collapse:collapse"><a href="mailto:dennis.groves@owasp.org" target="_blank">Email me,</a> or <a href="http://goo.gl/8sPIy" target="_blank">schedule a meeting</a>.<br>




</span></span></span></div><div><div style="text-align:left"><i><span><span style="font-family:verdana,sans-serif">This email is licensed under a <a rel="license" href="http://creativecommons.org/licenses/by-nd/3.0/deed.en_GB" target="_blank">CC BY-ND 3.0</a> license.</span></span></i></div>




<div style="text-align:left"><span style="font-family:verdana,sans-serif"><font color="#999999"><span style="border-collapse:collapse"><span><span style="background-color:rgb(255,255,0)"><a href="http://www.fsf.org/campaigns/secure-boot/statement" target="_blank">Stand up for your freedom to install free software.</a></span></span><br>




</span></font></span><span style="font-family:verdana,sans-serif"><font color="#999999"><span style="border-collapse:collapse"><span style="color:rgb(102,102,102)">Please do not send me Microsoft Office/Apple iWork documents. <br>




Send <a href="http://fsf.org/campaigns/opendocument/" target="_blank">OpenDocument</a> instead!</span><br><br></span></font></span><div style="text-align:left"><span style="font-family:verdana,sans-serif"><font size="1"><font color="#999999"><span style="border-collapse:collapse"><a href="http://www.owasp.org/" target="_blank"><img src="http://www.owasp.org/skins/monobook/ologo.png" height="92" width="96"></a></span></font></font></span><br>




</div><span style="font-family:verdana,sans-serif"></span></div></div></div>
</div></font></span></div>
<br></div></div><div class="">_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></div></blockquote></div><br></div></div>
</blockquote></div><br></div>