<div dir="ltr"><div>All,<br><br></div><div>Due to the upcomming AppSec-Eu conference, I have not been able to join the last board call.<br><br></div><div>For your remark, Matt, just some thoughts that cam up when reading your comment (and writing this):<br><br>The regular ongoing cases are not the problem. Indeed, in case of a major compliant case, as last year, I do not scale much as one person. Saying, as I am volunteer in this role, a case of that extend as last year does take quite some resources in time-wise. <br>Also, I have a serious feeling (you never can tell for sure) in person meeting with the involved parties could have prevented  the case to blow up as it did. In the past I have asked if a travel budget during a serious case would be possible, but was rejected by the previous board. I understand the reasoning, we are IT people and know you can meet online, but in such a case in person meetings are very helpful. You just can talk differently in a private space, face to face, than online.<br></div><div><br>As I am involved in OWASP for quite some time, many have become friends. Luckily, until now parties have always accepted and approved my independence and objectiveness.<br></div><div>This might be more difficult for a committee, I don't know.<br></div><div><br></div><div>To be honest, I have mixed feelings about the idea of a compliant committee, in previous emails I have explained my concerns about creating a compliance committee.<br></div><div>Most definitely, it differs from regular committees, as there is a trust factor to be taken in account. It cannot be, as for current committee setup, you register and you are in.<br><br></div><div><div>As we hopefully will not face to many complaint cases of the extent
 of the one major case we had so far, a committee is not solving much:<br></div></div><div>- scalability<br></div><div>- local presence (could be interesting)<br><br></div><div>As the responsibility of my role is defined, it is to investigate, mediate where possible, report and advice the board.</div>To be honest, in my experience after last year, I rather predict a complaint committee can make communications cumbersome. Therefore, I currently see more problems than than solutions in having a complaint committee.<br><div><br></div><div>Cheers,<br></div><div>-martin<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Apr 30, 2015 at 5:36 AM, Matt Konda <span dir="ltr"><<a href="mailto:matt.konda@owasp.org" target="_blank">matt.konda@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Follow up on this discussion about the Compliance Officer role...<div><br></div><div>I was surprised to hear that Martin (or others) might need a committee to help handle compliance issues.</div><div><br></div><div>I certainly appreciate Martin's work and I understand 2014 was a tough year for this role, but doing a reality check my sense is that it should be a relatively manageable amount of work in most years.  I'm worried that without formal training, lines of responsibility and accountability that the credibility of the people in this role could get eroded.  I think Martin maintained credibility and that is part of why he was successful in the role.</div><div><br></div><div>Therefore, I would suggest that for 2016, we define what the time, experience and process expectations are more formally and then consider how to fit that need.  It may be that we do need a committee.  I'm just wary of going that route prematurely.  Reading the current policy, it is written to a single person filling the role.<br></div><div><br></div><div>Thanks,</div><div>Matt<br></div><div><br></div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Apr 28, 2015 at 11:08 AM, Andrew van der Stock <span dir="ltr"><<a href="mailto:vanderaj@owasp.org" target="_blank">vanderaj@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">+1 for Martin here. <br></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 8, 2015 at 1:02 AM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    I'll do it. On it now.<div><div><br>
    <br>
    <div>On 4/7/15 8:11 AM, Tobias wrote:<br>
    </div>
    <blockquote type="cite">
      
      <div>I agree that Martin has done a great
        job as our compliance officer in this tough past year. <br>
        <br>
        For the transparency, I would still like to do a quick call for
        volunteers. Ok? <br>
         <br>
        Anyone from my fellow board members volunteering to launch that
        call? ;-) <br>
        <br>
        Cheers, Tobias<br>
        <br>
        <br>
        On 06/04/15 01:32, Josh Sokol wrote:<br>
      </div>
      <blockquote type="cite">
        <div dir="ltr">
          <div>I just realized that we forgot to nominate and vote on a
            Compliance Officer for 2015.  For simplicity's sake, and
            because I think he has done a phenomenal job so far, I
            wanted to propose that we re-affirm Martin Knobloch as our
            Compliance Officer for 2015.  Hopefully, after last year's
            issues, he is still willing to do it.<br>
            <br>
          </div>
          ~josh<br>
        </div>
        <br>
        <fieldset></fieldset>
        <br>
        <pre>_______________________________________________
Owasp-board mailing list
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a>
</pre>
      </blockquote>
      <br>
      <br>
      <fieldset></fieldset>
      <br>
      <pre>_______________________________________________
Owasp-board mailing list
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a>
</pre>
    </blockquote>
    <br>
  </div></div></div>

<br>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature"><div dir="ltr">Met vriendelijke groet,<br>-martin<br><br>___________________<br>Martin Knobloch<br>OWASP AppSec-Eu/Research 2015 Conference Chair<br>OWASP Netherlands Chapter Leader<br><br>Email: <a href="mailto:martin.knobloch@owasp.org" target="_blank">martin.knobloch@owasp.org</a><br>Mobile: +31623226933<br>Twitter:  @AppsScE<br>            @owasp_NL<br>Web:    <a href="http://owasp.nl" target="_blank">http://owasp.nl</a><br>            <a href="http://appsec.eu" target="_blank">http://appsec.eu</a></div></div>
</div>