Все ли метрики нужны? Все ли метрики важны?

И вновь вернусь к одной из дискуссий, поднятых на форуме директоров ИБ. Была поднята тема измерения эффективности ИБ. Нередко упоминались метрики ИБ, KPI ИБ и т.д. Но… стоило копнуть глубже и тема сдувалась. Выступающие, как правило, приводили в пример простейшие метрики ИБ. Вроде времени реагирования на рассмотрение заявки на доступ к ресурсам. Правильная ли это метрика? Безусловно. Важна ли она? Нет. Она никак и ни на что не влияет. Это пример технической метрики, которая нужна только для внутренней деятельности службы ИБ (я таких примеров приводил десятки). И даже не службы, а оценки конкретного процесса или даже продукта. Но…

На всех мероприятиях все выступающие говорят правильные слова о том, что надо разговаривать с бизнесом на его языке. Замечательно. А какой язык понимает бизнес? Риски и деньги. Причем деньги в первую очередь. А помогает ли метрика, упомянутая выше, заработать или не потерять деньги? Нет. Демонстрирует ли она снижение каких-нибудь рисков? Тоже нет. И в чем тогда ее потаенный смысл? И такой же вопрос касательно метрик, связанных с числом обнаруженных вирусов, процентом заблокированного спама, попыток НСД, числом утечек и т.д. и т.п. Ни одна из них никак не влияет на бизнес, а значит она не помогает службе ИБ демонстрировать свою эффективность.

Разумеется, это не значит, что их не надо измерять и применять на практике. Просто надо четко понимать, что эти примеры — не более чем низкоуровневые метрики для оценки эффективности продуктов. Это полезно, чтобы знать, насколько хорош тот или иной продукт, но совсем недостаточно, чтобы демонстрировать эти метрики бизнесу.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. ZZubra

    Наверное буду не оригинален, но:
    1. Главные критерии для бизнеса — деньги, риски. деньги наверху пирамиды — это 1 уровень
    2. Связь между риском и деньгами — вероятностная, значит уже тут проблема каких либо измерений (а до метрик по ИБ еще далеко)
    3. Применили знания MBA — связь установили (допустим)
    4. Теперь требуется перечень рисков для бизнеса. Большой перечень. Подробный, с отраслевыми подсистемами. Риски — 2 уровень
    5. Составляем перечень предпосылок/причин возникновения к определенным (написанным) рискам для бизнеса. Предпосылки — 3 уровень
    6. Под предпосылками будут В ТОМ ЧИСЛЕ все возможные инциденты по ИБ (конечно они тоже делятся/классифицируются на технические, документальные, человеческие, психологические, социальные и т.д.).
    7. Каждый инцидент имеет свою количественную оценку.
    8. Анализируем влияние инцидента на каждый из уровней пока не доберемся до денег
    9. Каждая связь имеет свою вероятность и вес. Их и надо считать.Считать через статистику.
    10. Набираем статистику по связям и вероятностям наступления событий. Анализируем, составляем "лучшие практики". Мониторим. Корректируем.

    Чтение книжек из Америки (к сожалению только в переводе) подсказывает, что они не заморачиваются сложностью — на это автоматизация есть. И оказывается все достаточно просто. PMBoK тому один из примеров.
    Возникает резонный вопрос — "а кто это все будет делать?", ответ — "я не знаю чему конкретно учат в MBA, но по идее именно этому, причем такой спец должен иметь несколько образований (тех, эконом, юрист) либо быть любознательным перфекционистом". Таких надо выращивать.
    Единственно, что на мой взгляд НЕ надо делать — это создавать все это на бумаге, как документ. Плоская двумерная структура убивает многоаспектность. Можно было бы рисовать все это в виде интеллект карты (со ссылками, весами, количеством, автоматическими расчетами) в трехмерке — но продуктов пока таких (хотя бы только рисования)найдено не было.

    Ответить
  2. ZZubra

    Наверное буду не оригинален, но:
    1. Главные критерии для бизнеса — деньги, риски. деньги наверху пирамиды — это 1 уровень
    2. Связь между риском и деньгами — вероятностная, значит уже тут проблема каких либо измерений (а до метрик по ИБ еще далеко)
    3. Применили знания MBA — связь установили (допустим)
    4. Теперь требуется перечень рисков для бизнеса. Большой перечень. Подробный, с отраслевыми подсистемами. Риски — 2 уровень
    5. Составляем перечень предпосылок/причин возникновения к определенным (написанным) рискам для бизнеса. Предпосылки — 3 уровень
    6. Под предпосылками будут В ТОМ ЧИСЛЕ все возможные инциденты по ИБ (конечно они тоже делятся/классифицируются на технические, документальные, человеческие, психологические, социальные и т.д.).
    7. Каждый инцидент имеет свою количественную оценку.
    8. Анализируем влияние инцидента на каждый из уровней пока не доберемся до денег
    9. Каждая связь имеет свою вероятность и вес. Их и надо считать.Считать через статистику.
    10. Набираем статистику по связям и вероятностям наступления событий. Анализируем, составляем "лучшие практики". Мониторим. Корректируем.

    Чтение книжек из Америки (к сожалению только в переводе) подсказывает, что они не заморачиваются сложностью — на это автоматизация есть. И оказывается все достаточно просто. PMBoK тому один из примеров.
    Возникает резонный вопрос — "а кто это все будет делать?", ответ — "я не знаю чему конкретно учат в MBA, но по идее именно этому, причем такой спец должен иметь несколько образований (тех, эконом, юрист) либо быть любознательным перфекционистом". Таких надо выращивать.
    Единственно, что на мой взгляд НЕ надо делать — это создавать все это на бумаге, как документ. Плоская двумерная структура убивает многоаспектность. Можно было бы рисовать все это в виде интеллект карты (со ссылками, весами, количеством, автоматическими расчетами) в трехмерке — но продуктов пока таких (хотя бы только рисования)найдено не было.

    Ответить
  3. ZZubra

    Так вот настоящие метрики Деньги-…-инцидент появятся тогда, когда появятся описанные системы.

    Ответить
  4. Unknown

    > Она никак и ни на что не влияет.

    Влияет, на время начала исполнения заявителем его бизнес-функций. Перегрев этой метрики может привести к тому, что бизнес понесет потери, особенно там, где скорость бизнес-реакций должна быть высокой.

    Вот тебе и деньги.

    Ответить
  5. ZZubra

    Хотя в общем то предыдущий пост Алексея об этом.

    Ответить
  6. Tiger

    Этот комментарий был удален автором.

    Ответить
  7. Tiger

    Что-то никто не прокомментил, что у РКН новый начальник!?

    Глава Роскомнадзора Сергей Ситников перешел на должность губернатора Костромской области. Вместо него службой будет руководить его заместитель Олег Иванов, который осенью перешел в Роскомнадзор из Минобороны.

    Ответить
  8. Алексей Лукацкий

    Ну Иванов… И что? Он какое отношение к ПДн имеет? Никакого.

    Ответить
  9. Tiger

    Да? А чего не РКН уже проводки проверки по ПДн?

    Ответить
  10. Unknown

    Метрика, приведенная тобой в посте как ненужная, на самом деле очень важна, так как напрямую влияет на время начала исполнения бизнес-функции заявителем. Перегрев этой метрики приводит к тому, что человек, получая зарплату но не работая с ресурсами, реально просаживает бабло и не зарабатывает его. Особенно важно это там, где скорость принятия бизнес-решений должна быть высока. Вот тебе и деньги, живые.

    Ответить
  11. Алексей Лукацкий

    Алексей, тогда и метрика должна быть другой 😉

    Ответить
  12. Александр Бондаренко

    В классике при проведении оценки рисков надо в том числе учитывать эффективность имеющихся защитных мер. а метрики в свою очередь могут как раз отражать то, насколько эти самые меры эффективны.

    Ответить