<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:p="urn:schemas-microsoft-com:office:powerpoint" xmlns:a="urn:schemas-microsoft-com:office:access" xmlns:dt="uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:s="uuid:BDC6E3F0-6DA3-11d1-A2A3-00AA00C14882" xmlns:rs="urn:schemas-microsoft-com:rowset" xmlns:z="#RowsetSchema" xmlns:b="urn:schemas-microsoft-com:office:publisher" xmlns:ss="urn:schemas-microsoft-com:office:spreadsheet" xmlns:c="urn:schemas-microsoft-com:office:component:spreadsheet" xmlns:odc="urn:schemas-microsoft-com:office:odc" xmlns:oa="urn:schemas-microsoft-com:office:activation" xmlns:html="http://www.w3.org/TR/REC-html40" xmlns:q="http://schemas.xmlsoap.org/soap/envelope/" xmlns:rtc="http://microsoft.com/officenet/conferencing" xmlns:D="DAV:" xmlns:Repl="http://schemas.microsoft.com/repl/" xmlns:mt="http://schemas.microsoft.com/sharepoint/soap/meetings/" xmlns:x2="http://schemas.microsoft.com/office/excel/2003/xml" xmlns:ppda="http://www.passport.com/NameSpace.xsd" xmlns:ois="http://schemas.microsoft.com/sharepoint/soap/ois/" xmlns:dir="http://schemas.microsoft.com/sharepoint/soap/directory/" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:dsp="http://schemas.microsoft.com/sharepoint/dsp" xmlns:udc="http://schemas.microsoft.com/data/udc" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:sub="http://schemas.microsoft.com/sharepoint/soap/2002/1/alerts/" xmlns:ec="http://www.w3.org/2001/04/xmlenc#" xmlns:sp="http://schemas.microsoft.com/sharepoint/" xmlns:sps="http://schemas.microsoft.com/sharepoint/soap/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:udcs="http://schemas.microsoft.com/data/udc/soap" xmlns:udcxf="http://schemas.microsoft.com/data/udc/xmlfile" xmlns:udcp2p="http://schemas.microsoft.com/data/udc/parttopart" xmlns:wf="http://schemas.microsoft.com/sharepoint/soap/workflow/" xmlns:dsss="http://schemas.microsoft.com/office/2006/digsig-setup" xmlns:dssi="http://schemas.microsoft.com/office/2006/digsig" xmlns:mdssi="http://schemas.openxmlformats.org/package/2006/digital-signature" xmlns:mver="http://schemas.openxmlformats.org/markup-compatibility/2006" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns:mrels="http://schemas.openxmlformats.org/package/2006/relationships" xmlns:spwp="http://microsoft.com/sharepoint/webpartpages" xmlns:ex12t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:ex12m="http://schemas.microsoft.com/exchange/services/2006/messages" xmlns:pptsl="http://schemas.microsoft.com/sharepoint/soap/SlideLibrary/" xmlns:spsl="http://microsoft.com/webservices/SharePointPortalServer/PublishedLinksService" xmlns:Z="urn:schemas-microsoft-com:" xmlns:st="&#1;" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:Consolas;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
span.EmailStyle21
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle22
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle23
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle24
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle25
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='color:#1F497D'>Noodle away. I think it’s a superb idea and one far overdue.  In terms of knowing InfoSec pros that have operational BI/ EDW experience, I actually know several.  As much as a unicorn as they seem to be, there are several that originated in business ops or where immersed in IT ops that were closely aligned to supporting biz ops so they have that background to their security service delivery.  In fact our entire team is pretty much that life story.  The hybrid approach (meshing meaningful ops data with supportive InfoSec data and initiatives) is still very much in its infancy in most places not even on the horizon.  <o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>From a Word to product standpoint, I heard that Modulo has upped their product to include a multi-dimension of frameworks, but I don’t know if the usual suspects are present in terms of IT controls (CoBIT, ISO 20000 (service delivery), ISO 27001-2 (InfoSec), NIST 800-53, etc) and beyond (COSO-financial) and/ or if they have baked in things from OWASP, WASC, etc and even other sources related to maturity modeling in security like SAMM or BSIMM.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Let me know if and how I can help.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><div><p class=MsoNormal><span style='font-size:10.0pt;color:#1F497D'>Tony UcedaVelez, CISM, CISA, GSEC</span><span style='font-size:10.0pt;color:black'><o:p></o:p></span></p><p class=MsoNormal><b><span style='font-size:10.0pt;color:black'>Chapter Lead<o:p></o:p></span></b></p><p class=MsoNormal><b><span style='font-size:10.0pt;color:#548DD4'>OWASP Atlanta<o:p></o:p></span></b></p><p class=MsoNormal><span style='font-size:10.0pt;color:#548DD4'>http://www.owasp.org/index.php/Atlanta_Georgia<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;color:#548DD4'>Twitter: <i>@versprite</i><o:p></o:p></span></p></div><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> owasp-leaders-bounces@lists.owasp.org [mailto:owasp-leaders-bounces@lists.owasp.org] <b>On Behalf Of </b>James McGovern<br><b>Sent:</b> Tuesday, November 30, 2010 12:21 PM<br><b>To:</b> owasp-leaders@lists.owasp.org<br><b>Subject:</b> Re: [Owasp-leaders] Metrics<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal><span style='color:#1F497D'>In my day job, I am currently working on a compliance initiative (EU Solvency II) where concepts such as operational risk are starting to become of interest to regulators. Sadly, no one has provided the “data model” for how the amalgamation of infosec stuff can provide a business view. At best, we have different taxonomies provided by different organizations with little ability for an end-user to stitch together. If you were to look at the world of Static Analysis, at best they provide basic reporting (counts, groups, sums, etc) but don’t allow you to ask more interesting information such as what a data warehouse/business intelligence(BI) discipline would provide. I am noodling whether the creation of a common and open OLAP model in this space ala data.gov would help end users do their own reporting.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Only a BI approach will allow us to analyze from threat to vulnerability to event to finding to risk, etc. Anyone know of infosec pros that understand EDW/BI deeply (better than my three months worth of experience?)<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Tony, I absolutely agree that we should understand what other measurement criteria exists. This would be the first step. The second step would be to harness all the work that currently lives in Word documents where people have attempted to map A to B. Examples include CWE to Top Ten, SAMM to BSIMM, etc. All of this mapping needs to be leveraged in more than just word docs and I believe that BI/OLAP could unleash additional value.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><div><p class=MsoNormal><b><span style='font-size:10.0pt;color:gray'>James McGovern<br></span></b><span style='font-size:10.0pt;color:gray'>http://twitter.com/McGovernTheory</span><span style='color:#1F497D'><o:p></o:p></span></p></div><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Tony UV [mailto:tonyuv@owasp.org] <br><b>Sent:</b> Monday, November 29, 2010 4:56 PM<br><b>To:</b> owasp-leaders@lists.owasp.org<br><b>Cc:</b> James McGovern<br><b>Subject:</b> RE: [Owasp-leaders] Metrics<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal><span style='color:#1F497D'>James,<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>I think this is a great idea and I would love to help.&nbsp; Long overdue.&nbsp; I do think that a common baseline is needed or simply an agreement on what existing baseline of x, y, z consists of is needed.&nbsp; Whether x = CVSS for vuln rating, and y = FIPS 199 (HIGH, MOD, LOW) for impact analysis, and so on, I think we need to see what existing baseline of measurement criteria is out there for respective security disciplines (security incident monitoring, pen testing, web application testing (dyn/ static analysis), etc, before creating an amalgamation of source information.&nbsp; <o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Jeff,<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>I looked at your presentation and saw your email.&nbsp; I couldn’t marry what your response on data labeling how to do with security metrics outside of the fact that in order for metrics to be applied, proper labels or categories of infosec info needs to be defined, but I couldn’t tell if your research spoke against or for this in general.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Best,<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><div><p class=MsoNormal><span style='font-size:10.0pt;color:#1F497D'>Tony UcedaVelez, CISM, CISA, GSEC</span><span style='font-size:10.0pt;color:black'><o:p></o:p></span></p><p class=MsoNormal><b><span style='font-size:10.0pt;color:black'>Chapter Lead<o:p></o:p></span></b></p><p class=MsoNormal><b><span style='font-size:10.0pt;color:#548DD4'>OWASP Atlanta<o:p></o:p></span></b></p><p class=MsoNormal><span style='font-size:10.0pt;color:#548DD4'>http://www.owasp.org/index.php/Atlanta_Georgia<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;color:#548DD4'>Twitter: <i>@versprite</i><o:p></o:p></span></p></div><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> owasp-leaders-bounces@lists.owasp.org [mailto:owasp-leaders-bounces@lists.owasp.org] <b>On Behalf Of </b>Jeff Williams<br><b>Sent:</b> Monday, November 29, 2010 2:36 PM<br><b>To:</b> owasp-leaders@lists.owasp.org<br><b>Cc:</b> James McGovern<br><b>Subject:</b> Re: [Owasp-leaders] Metrics<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal><span style='color:#1F497D'>Hi James,<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>I studied a number of different labeling regimes and presented the results at OWASP AppSec DC 2010.&nbsp; Here are the slides and what I intended to say is in the notes.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><a href="http://www.owasp.org/images/1/17/2010-11_OWASP_Software_Labels.pptx">http://www.owasp.org/images/1/17/2010-11_OWASP_Software_Labels.pptx</a><o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>The key finding from my research is that the content of the label doesn’t really matter that much. Even though it seems like the point is to inform the consumer, that doesn’t work very well.&nbsp; Actually what you end up doing is affecting the producers.&nbsp; Which is probably what we wanted to achieve in the first place.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>You can try my “Security Facts” label generating software at:<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><a href="https://www.aspectsecurity.com/SecurityFacts">https://www.aspectsecurity.com/SecurityFacts</a><o:p></o:p></span></p><div><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Have fun!<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>--Jeff<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Jeff Williams, Chair<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>The OWASP Foundation<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>work: 410-707-1487<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>main: 301-604-4882<o:p></o:p></span></p></div><p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> owasp-leaders-bounces@lists.owasp.org [mailto:owasp-leaders-bounces@lists.owasp.org] <b>On Behalf Of </b>James McGovern<br><b>Sent:</b> Monday, November 29, 2010 2:02 PM<br><b>To:</b> owasp-leaders@lists.owasp.org<br><b>Cc:</b> Rohit Sethi<br><b>Subject:</b> [Owasp-leaders] Metrics<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>Monday Thoughts. &nbsp;We are great at capturing metrics around activities (number of incidents), money (security budgets) and even innovative ways to count things (CWE, CVE, etc) yet security still isn’t “visible” to the masses.&nbsp; Jeff Williams and the Rugged crowd, threw out the idea of software ingredients. Should we attempt to capture that notion as part of Rohit’s Web Application Security Framework Manifesto where the protections are more of the ingredients than things such as weaknesses?<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>If you are a baseball fan (I am not), there is a popular book named MoneyBall where they have figured out how to measure/model the performance of baseball players which aided in creating market efficiencies. This was huge for baseball and I believe that infosec needs the equivalent. Is there merit in the metrics project figuring out how to build a data warehouse (think data.gov) that everyone could query to understand their security posture? It could contain products, vulnerabilities, weaknesses, ingredients, etc. We could even figure out a novel way of including the “findings” format that Dinis Cruz often leverages to discover new insights.<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal><b><span style='font-size:10.0pt;color:gray'>James McGovern<br></span></b><span style='font-size:10.0pt;color:gray'>Insurance SBU <o:p></o:p></span></p><p class=MsoNormal><b><span style='font-size:10.0pt;color:gray'>Virtusa </span></b><b><span style='font-size:10.0pt;color:#7F7F7F'>Corporation</span></b><b><span style='font-size:10.0pt;color:gray'><o:p></o:p></span></b></p><p class=MsoNormal><span style='font-size:10.0pt;color:gray'>100 Northfield Drive, Suite 305 | Windsor, CT | 06095<o:p></o:p></span></p><p class=MsoNormal><b><span style='font-size:10.0pt;color:#7F7F7F'>Phone:&nbsp; </span></b><span style='font-size:10.0pt;color:gray'>860 688 9900</span><span style='font-size:10.0pt;color:#7F7F7F'> <b>Ext:&nbsp; </b></span><span style='font-size:10.0pt;color:gray'>1037</span><span style='font-size:10.0pt;color:#7F7F7F'> | <b>Facsimile:&nbsp; </b></span><span style='font-size:10.0pt;color:gray'>860 688 2890</span><span style='font-size:10.0pt;color:#7F7F7F'> &nbsp;</span><span style='font-size:10.0pt;color:gray'><o:p></o:p></span></p><p class=MsoNormal><a href="http://www.virtusa.com/"><span style='font-size:10.0pt;color:#7F7F7F;text-decoration:none'><img border=0 width=81 height=21 id="Picture_x0020_52" src="cid:image001.jpg@01CB908C.0B59D950" alt="cid:image011.jpg@01CB08A4.F95CFA30"></span></a><span style='font-size:10.0pt;color:#1F497D'>&nbsp;</span><a href="http://www.virtusa.com/blog/"><span style='color:#1F497D;text-decoration:none'><img border=0 width=22 height=22 id="Picture_x0020_53" src="cid:image002.gif@01CB908C.0B59D950" alt="cid:image012.gif@01CB08A4.F95CFA30"></span></a><span style='color:#1F497D'> </span><a href="https://twitter.com/VirtusaCorp" target="_blank"><span style='font-size:12.0pt;font-family:"Times New Roman","serif";text-decoration:none'><img border=0 width=22 height=22 id="Picture_x0020_54" src="cid:image003.gif@01CB908C.0B59D950" alt="cid:image004.gif@01CB08A4.F95CFA30"></span></a><span style='color:#1F497D'>&nbsp;</span><a href="http://www.linkedin.com/companies/virtusa" target="_blank"><span style='font-size:12.0pt;font-family:"Times New Roman","serif";text-decoration:none'><img border=0 width=22 height=22 id="Picture_x0020_55" src="cid:image004.gif@01CB908C.0B59D950" alt="cid:image005.gif@01CB08A4.F95CFA30"></span></a><span style='color:#1F497D'>&nbsp;</span><a href="http://www.facebook.com/VirtusaCorp" target="_blank"><span style='font-size:12.0pt;font-family:"Times New Roman","serif";text-decoration:none'><img border=0 width=22 height=22 id="Picture_x0020_56" src="cid:image005.gif@01CB908C.0B59D950" alt="cid:image006.gif@01CB08A4.F95CFA30"></span></a><o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><table class=MsoNormalTable border=0 cellspacing=3 cellpadding=0><tr><td style='background:white;padding:.75pt .75pt .75pt .75pt'><pre><span style='color:black'>Virtusa was recently ranked and featured in 2010 Deloitte Technology Fast 500, 2010 Global Services 100, IAOP's 2010 Global Outsourcing 100 sub-list and 2010 FinTech 100 among others.<o:p></o:p></span></pre><pre><span style='color:black'><o:p>&nbsp;</o:p></span></pre><pre><span style='color:black'>---------------------------------------------------------------------------------------------<o:p></o:p></span></pre><pre><span style='color:black'><o:p>&nbsp;</o:p></span></pre><pre><span style='color:black'>This message, including any attachments, contains confidential information intended for a specific individual and purpose, and is intended for the addressee only. Any unauthorized disclosure, use, dissemination, copying, or distribution of this message or any of its attachments or the information contained in this e-mail, or the taking of any action based on it, is strictly prohibited. If you are not the intended recipient, please notify the sender immediately by return e-mail and delete this message.<o:p></o:p></span></pre><pre><span style='color:black'><o:p>&nbsp;</o:p></span></pre><pre><span style='color:black'>---------------------------------------------------------------------------------------------<o:p></o:p></span></pre></td></tr></table><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman","serif"'><o:p>&nbsp;</o:p></span></p><table class=MsoNormalTable border=0 cellpadding=0><tr><td style='background:white;padding:.75pt .75pt .75pt .75pt'><pre><span style='color:black'>Virtusa was recently ranked and featured in 2010 Deloitte Technology Fast 500, 2010 Global Services 100, IAOP's 2010 Global Outsourcing 100 sub-list and 2010 FinTech 100 among others.<o:p></o:p></span></pre><pre><span style='color:black'><o:p>&nbsp;</o:p></span></pre><pre><span style='color:black'>---------------------------------------------------------------------------------------------<o:p></o:p></span></pre><pre><span style='color:black'><o:p>&nbsp;</o:p></span></pre><pre><span style='color:black'>This message, including any attachments, contains confidential information intended for a specific individual and purpose, and is intended for the addressee only. Any unauthorized disclosure, use, dissemination, copying, or distribution of this message or any of its attachments or the information contained in this e-mail, or the taking of any action based on it, is strictly prohibited. If you are not the intended recipient, please notify the sender immediately by return e-mail and delete this message.<o:p></o:p></span></pre><pre><span style='color:black'><o:p>&nbsp;</o:p></span></pre><pre><span style='color:black'>---------------------------------------------------------------------------------------------<o:p></o:p></span></pre></td></tr></table><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman","serif"'><o:p>&nbsp;</o:p></span></p></div></body></html>