<div dir="ltr">As you can tell from my discussion, in it's current form and without it being seconded or discussed, it would be a no from me at this stage. This is *not* my formal vote on this matter, as I believe it can be shaped into a voting package with a bit of work to define what it really is. <div><br></div><div>Let's work on it a bit more as I'm roughly supportive of your initiative and I think your heart is in the right place. Let's just make it better so it can succeed before we plow on to a vote. </div><div><br></div><div>Anything like this that comes up for a Board vote should be sent to the board list for openness and transparency reasons. We had so many unnecessary OTR conversations last year, when only a tiny handful really required us to be circumspect in our public handling of the discussion. Can we as a Board please ensure that we use the Board list unless it's absolutely necessary to go offline?</div><div><br></div><div>thanks,</div><div>Andrew</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jan 7, 2016 at 2:07 PM, Tom Brennan <span dir="ltr"><<a href="mailto:tomb@proactiverisk.com" target="_blank">tomb@proactiverisk.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Is your vote No or abstain?<div class="HOEnZb"><div class="h5"><span></span><br><br>On Wednesday, January 6, 2016, Andrew van der Stock <<a href="mailto:vanderaj@owasp.org" target="_blank">vanderaj@owasp.org</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Tom,<div><br></div><div>Beyond the strategic focus of projects, there's not a lot of governance in this at all; we don't want to create mini-boards, nor more rudderless committees that have failed in the past.</div><div><br></div><div>I'd like to see:</div><div><br></div><div>What they are responsible for, specifically? If they are just projects and not community or outreach, let's make that clear. I think given that many projects are worldwide, delegating down to regional levels is not really going to work. ASVS has leadership in the Australia (Asia Pac), UK (Europe), and US (North America). Many projects would struggle with this alignment. </div><div><br></div><div>Secondly, you miss a critical regional OWASP super power - India. India is almost always squished into EMEA or Asia Pac by western firms, but it's not really a part of either grouping, and it's so big it pretty much deserves to be on its own. I would like to hear from Indian chapter and project leaders to see how we can make this work for them, if they would prefer to be part of EMEA or AsiaPac, or their own thing. </div><div><br></div><div>If are delegating our responsibility over projects, who do they report to? In my view, it must be Claudia, who reports to Paul who reports to us. If they report to us, that bypasses the Foundation staff's role of doing stuff and is a vote of no confidence in our staff. I would like it very much if it was made clear as how the lines of reporting work, and to make sure Claudia can manage and delegate work off to the regional committees so that they work on strategically aligned things rather than any old random thing. </div><div><br></div><div><ul><li>What they are doing is measurable? How do we measure success? <br></li><li>What they are doing is actionable? What specific steps are required for success?<br></li><li>What they are doing is realistic? Volunteer time is incredibly valuable, and they tend to work on things that appeal to them. Is it realistic to expect folks to work on things that they may not enjoy doing as a precursor to global board eligibility? <br></li><li>What they are doing is either time boxed or at least not open ended. This is the mistake we had last time, it was BAU make work that failed because no one wants to do BAU make work. <br></li><li>What sort of funding envelope will they have at their disposal? If it's the CEF and Projects budget, how does that impact project autonomy? <br></li></ul></div><div><br></div><div>I'm keen to try out anything that really helps at a regional level, but it can't just be the creation of more committees who don't know what they are doing other than "do first, ask for forgiveness later". That's how all of our previous committees failed. Let's not make the mistakes of the past. Let's make it better with a bit more detail around the edges so they can succeed. </div><div><br></div><div>thanks,<br></div><div>Andrew</div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jan 7, 2016 at 10:38 AM, Bev Corwin <span dir="ltr"><<a>bev.corwin@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Yes</div><div class="gmail_extra"><br><div class="gmail_quote"><div><div>On Wed, Jan 6, 2016 at 1:58 PM, Tom Brennan - OWASP <span dir="ltr"><<a>tomb@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="ltr"><div><b>Board Members:</b></div><div><b><br></b></div><div>A vote by email has been requested per <b>section 3.09 </b>Foundation Bylaws</div><div><a href="https://www.owasp.org/images/e/e1/OWASPByLawsOfficial-25Sept2015CLEAN.pdf" target="_blank">https://www.owasp.org/images/e/e1/OWASPByLawsOfficial-25Sept2015CLEAN.pdf</a><br></div><div><br></div><div><b>Motion:</b></div><div>Approve the e<span style="color:rgb(51,51,51);font-family:citrixsans-regular,'Helvetica Neue',Helvetica,Arial,sans-serif;font-size:12px;line-height:17.1429px">stablishment of Regional Representation of OWASP Foundation to focus on the core projects and efforts of the foundation to be known as:</span><br></div><div><span style="color:rgb(51,51,51);font-family:citrixsans-regular,'Helvetica Neue',Helvetica,Arial,sans-serif;font-size:12px;line-height:17.1429px"><br></span></div><div><b><span style="color:rgb(51,51,51);font-family:citrixsans-regular,'Helvetica Neue',Helvetica,Arial,sans-serif;font-size:12px;line-height:17.1429px">-- Asia-Pacific Security Council (APSC) </span><br style="color:rgb(51,51,51);font-family:citrixsans-regular,'Helvetica Neue',Helvetica,Arial,sans-serif;font-size:12px;line-height:17.1429px;border-radius:0px!important"><span style="color:rgb(51,51,51);font-family:citrixsans-regular,'Helvetica Neue',Helvetica,Arial,sans-serif;font-size:12px;line-height:17.1429px">-- North America Security Council (NASC) </span><br style="color:rgb(51,51,51);font-family:citrixsans-regular,'Helvetica Neue',Helvetica,Arial,sans-serif;font-size:12px;line-height:17.1429px;border-radius:0px!important"><span style="color:rgb(51,51,51);font-family:citrixsans-regular,'Helvetica Neue',Helvetica,Arial,sans-serif;font-size:12px;line-height:17.1429px">-- Europe Middle East and Africa Security Council (ESC) </span><br style="color:rgb(51,51,51);font-family:citrixsans-regular,'Helvetica Neue',Helvetica,Arial,sans-serif;font-size:12px;line-height:17.1429px;border-radius:0px!important"><span style="color:rgb(51,51,51);font-family:citrixsans-regular,'Helvetica Neue',Helvetica,Arial,sans-serif;font-size:12px;line-height:17.1429px">-- Latin America Security Council (LASC) </span></b></div><div><span style="color:rgb(51,51,51);font-family:citrixsans-regular,'Helvetica Neue',Helvetica,Arial,sans-serif;font-size:12px;line-height:17.1429px"><br></span></div><div><span style="color:rgb(51,51,51);font-family:citrixsans-regular,'Helvetica Neue',Helvetica,Arial,sans-serif;font-size:12px;line-height:17.1429px">VOTES (please reply-all with your vote)</span></div><div><div><div>Tom - Motion / Yes</div><div>Jim -</div><div>Tobias - </div><div>Matt -</div><div>Anthony - </div><div>Michael - </div><div>Josh - </div></div></div><div><br></div><div><font color="#333333" face="citrixsans-regular, Helvetica Neue, Helvetica, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px"><b>On Background:</b></span></font></div><div><br></div><div><b><u>OWASP is built on self-organized efforts bottom up.</u></b>  Regional and cultures are different around the world... never mind time zones.  OWASP needs to reenergize regional coordination of projects activities, events, summits, etc.  The motion is requesting a formal approval process to establish regional advisory councils/committees as the first order of business for our community volunteers in 2016. Each committee should be 8-12 people.  Since we have "45,000" people in the community should not be to hard to pick +/- 40 from the membership of 2508 as of today.  <a href="https://docs.google.com/spreadsheets/d/1-yoQ0XTBPfmZEvVSvXey0w3nGZXG2Ctbn3o_mXL7dAU/edit" target="_blank">https://docs.google.com/spreadsheets/d/1-yoQ0XTBPfmZEvVSvXey0w3nGZXG2Ctbn3o_mXL7dAU/edit </a></div><div><br></div><div>Once approved OWASP has highlighted and empowered more volunteers to self-organize and participate on core aspects of OWASP Foundation and recognition of their time investment, locally and raises visibility globally in key regions.<span style="color:rgb(51,51,51);font-family:citrixsans-regular,'Helvetica Neue',Helvetica,Arial,sans-serif;font-size:12px;line-height:17.1429px"><br></span></div><div><br></div><div><b>FAQ1</b></div><div><b>How do we then fill the Councils with members?</b></div><div><b><br></b></div><div><b>Step #2 is simple</b>, the board will ask for self nominations, solicit and appoint interested parties vetted with assistance of community members and staff associated with industry users and/or leaders of projects to be appointed for a (1) year term to these advisory boards. <b>This creates quick and swift action and energy around the world aligned to the mission of the charity and the strategic goals of 2016.</b></div><div><br></div><div><b>FAQ2</b></div><div><b>But isn't that why Committee 2.0 was created?</b></div><div><br></div><div>Yes, but it needs help to get off the ground and implementation. So to jump start it, you must start off with one year appointment of task forces then we can follow Committee 2.0 <a href="https://owasp.org/index.php/Governance/OWASP_Committees" target="_blank">https://owasp.org/index.php/Governance/OWASP_Committees</a> and adjust as needed.  This fantastic guidance document has had unfortunately no action taken by the community so we need to <b>JUMP START IT </b>and the community will evolve bottom up.</div><div><b><br></b></div><div><b>FAQ3</b></div><div><b>How do we know what they are working on?</b></div><div>Not a big fan of micro management.. but I agree that if it is worth doing, funding then metrics should be measured. Requesting a summary roll-up report from each committee chairman simply outlining PLANS for next three months, PROGRESS from last three months and PROBLEMS that they may need the board to noodle on and help with.  This should be supplied starting with Q2 board meeting to update on any efforts that they have self organized and to demonstrate the cascading communication (<a href="https://www.owasp.org/index.php/OWASP_Strategic_Goals" target="_blank">https://www.owasp.org/index.php/OWASP_Strategic_Goals</a>) of strategic goals globally</div><div><br></div><div>In edition to encouraging virtual meetings, the groups will self regulate and will likely rally at min.,  2x per year. 1x locally at regional project summary  and 1x at global project summit off-site.  This will self level.</div><div><br></div><div><b>FAQ4</b></div><div><b>What are the roles of the OWASP staff in these groups?</b></div><div>The councils are self-organized by the regional members. Employees aka: OWASP Foundation Operations provide support to EVERYONE so if a council needs something they can request it just like everyone does everyday example: <a href="https://www.tfaforms.com/308703" target="_blank">https://www.tfaforms.com/308703</a> and the requests will be responded to or escalated as needed.  We are establishing working committees and leaders in regional groups, this is going back to basics and helping to drive regional coordination and advisory status.</div><div><br></div><div><b>FAQ5</b></div><div><b>Who do you think should be appointed Tom?</b></div><div><br></div><div>IMHO Tip of my tongue are the candidates from 2015/2014 elections in their regions of the world have already stated the "why me" lets not lose that energy rather encourage it!</div><div><br></div><div>Abbas Naderi Afooshteh </div><div>Jonathan Carter </div><div>Bill Corry </div><div>Nigel Phair </div><div>Milton Smith </div><div>Timur Khrotko </div><div>Tahir Khan</div><div><insert others that are regionally recognized by their peers have expressed they want to help the OWASP Mission></div><div><span style="color:rgb(37,37,37);font-family:sans-serif;font-size:14px;line-height:22.4px"><br></span></div><div><b>FAQ6</b></div><div><b>We need a taskforce or a committee for X this will mess that up...</b></div><div>When a defined need is established for a short or long term taskforce, project, committee etc...etc.. the first thing we do is ask each of these councils to represent their region of the world and take a active part in the discussion.  If that does not fit then it does not limit a additional <b>"get things done committee"</b> to work on and as we know is true it will be a collection of people that have time to volunteer and that is OPEN to everyone.</div><div><br></div><div><b>FAQ7</b></div><div>If we do this will it upset the annual election process?</div><div><b>It will enhance it actually..... </b>This model provides a pool of 40+ vetted people in the community that if they want to serve on a regional board and then run for a global board they have a proven track record of getting things done.</div><div><br></div><div><b>FAQ8</b></div><div>If more discussion is needed happy to discuss on the NEXT board meeting OR if you prefer to discuss it more just call me to understand the spirit of the end goal. </div><div><br></div><div>Skype: proactiverisk</div><div>Phone: <a href="tel:973-506-9304" value="+19735069304" target="_blank">973-506-9304</a></div><div><br></div><div><div>Tom Brennan</div><div>Global Board Member</div><div>OWASP Foundation</div><div><br></div><div><br><br></div></div>
</div>

<br>
<font size="2" style="background-color:white" color="#808080"><span style="font-family:'times new roman'">The information contained in this message and any attachments may be privileged, confidential, proprietary or otherwise protected from disclosure. If you, the reader of this message, are not the intended recipient, you are hereby notified that any dissemination, distribution, copying or use of this message and any attachment is strictly prohibited. If you have received this message in error, please notify the sender immediately by replying to the message, permanently delete it from your computer and destroy any printout.</span></font><br></div></div>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a>OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</blockquote></div><br></div>
</blockquote><br><br></div></div><span class="HOEnZb"><font color="#888888">-- <br><br>Tom Brennan<br>ProactiveRISK | <a href="http://www.proactiverisk.com" target="_blank">www.proactiverisk.com</a><br><a href="tel:973-506-9304" value="+19735069304" target="_blank">973-506-9304</a><br><br>Need to book time with me to discuss an existing or a future project click on my virtual calendar <a href="https://secure.scheduleonce.com/TomBrennan" target="_blank">https://secure.scheduleonce.com/TomBrennan</a></font></span><div class="HOEnZb"><div class="h5"><br>

<br>
<font size="2" style="background-color:white" color="#808080"><span style="font-family:'times new roman'">The information contained in this message and any attachments may be privileged, confidential, proprietary or otherwise protected from disclosure. If you, the reader of this message, are not the intended recipient, you are hereby notified that any dissemination, distribution, copying or use of this message and any attachment is strictly prohibited. If you have received this message in error, please notify the sender immediately by replying to the message, permanently delete it from your computer and destroy any printout.</span></font></div></div></blockquote></div><br></div>