Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

вторник, 19 октября 2010 г.

Ее аршином не измерить...

Hаша служба
И опасна, и трудна,
И на первый взгляд
Как будто не видна.
Не видна она как будто на второй.
И на третий тоже...

Финансовый кризис заставил многие компании задуматься над пользой информационной безопасности. Те компании, у которых функции ИБ не было, получили по лбу и начали создавать такую функцию. Те же, кто уже имел ИБ, задумались над ее эффективностью. И пошла мода на ее (еффективности) оценку ...
Консультанты тут же оживились и начали наперебой предлагать кто ROSI, кто разработку KPI.  И неважно, что специалисты по информационной безопасности при упоминании "дисконтирования денежных потоков" восклицают: "кто здесь ?"  не понимают о чем речь. Не важно, что KPI разрабатываются для процессов, которым до достижения хотя бы третьего уровня зрелости (кто не помнит, согласно СММ,  процесс формализован, и мы можем идентифицировать результат его работы) еще как до неба раком очень далеко.
Отдельная песня о том, какие KPI выбираются в качестве показателей эффективности работы ИБ. И как внедрение KPI влияет на поведение сотрудников безопасности. Известный факт - люди себя ведут по-разному в зависимости от того, как вы людей оцениваете.
Возьмем пару примеров из жизни. Не из ИБ, но из ИТ. Просто для наглядности. Есть некая компания, финансовая служба которой обеспокоена постоянно раздутым бюджетом ИТ. На столько, что готова потратиться на внешних консультантов, чтобы докопаться до истины. Консультанты анализируют бюджеты за несколько лет и выявляют странную тенденцию - каждый год раздутый бюджет ИТ недовыполняется. На лицо ежегодная экономия бюджета. А почему же ИТ менеджер его так раздувает?. Все банально просто - читаем его должностные обязанности и видим, что единственный показатель, влияющий на бонус ИТ-менеджера ... экономия бюджета.
Берем пример из жизни ИБ. Начальник ИБ, не мудрствуя лукаво, определяет основным показателем работы ИБ проверенный временем показатель - количество выявленных инцидентов. Ведь не секрет, что в ИБ много выходцев из силовых структур. А процент раскрываемости преступлений остался в крови... Что же может дать такой показатель для бизнеса? Как трактовать результаты? Много выявленных инцидентов - это хорошо? Или это значит, что ИБ работает плохо, раз они происходят? А если их (инцидентов) мало (или вообще нет)? Значит хорошо работает ИБ? Или просто не обнаруживает инциденты? А если к показателю привязаны бонусы? Устоит ли безопасник перед искушением "помочь" показателю в нужную сторону?

Теперь о KPI, основанных на финансовых показателях. В целом идея хороша, но подводных камней... Не буду, как заводная кукла, петь об отсутствии у большинства специалистов ИБ понимания финансов, а лучше расскажу о том, как можно этими показателями манипулировать.
Попадалась мне недавно забавная формула оценки эффективности работы подразделения ИБ, основанная на оценке рисков в деньгах, затратах на ИБ и т.д.
Вроде все красиво, но... Если промоделировать ситуации, мы обнаруживаем, что как только мы снижаем инвестиции в ИБ, эффективность работы ИБ, рассчитанная по чудо-формуле, неумолимо падает. Не зависимо от остальных показателей.
В общем, "как вы яхту назовете, так она и поплывет".

2 комментария:

  1. Хорошая книга по метрикам в ИБ
    http://www.amazon.com/Security-Metrics-Replacing-Uncertainty-Doubt/dp/0321349989

    ОтветитьУдалить
  2. Безусловно, есть хорошие книги.
    Есть даже стандарты. Бесплатные. Например SP800-55 Security Metrics Guide for Information Technology Systems или sp800-80 Guide for Developing Performance Metrics for Information Security. Только их почему-то не читают.

    ОтветитьУдалить