Hаша служба
И опасна, и трудна,
И на первый взгляд
Как будто не видна.
Не видна она как будто на второй.
И на третий тоже...
Финансовый кризис заставил многие компании задуматься над пользой информационной безопасности. Те компании, у которых функции ИБ не было,
Консультанты тут же оживились и начали наперебой предлагать кто ROSI, кто разработку KPI. И неважно, что специалисты по информационной безопасности при упоминании "дисконтирования денежных потоков"
Отдельная песня о том, какие KPI выбираются в качестве показателей эффективности работы ИБ. И как внедрение KPI влияет на поведение сотрудников безопасности. Известный факт - люди себя ведут по-разному в зависимости от того, как вы людей оцениваете.
Возьмем пару примеров из жизни. Не из ИБ, но из ИТ. Просто для наглядности. Есть некая компания, финансовая служба которой обеспокоена постоянно раздутым бюджетом ИТ. На столько, что готова потратиться на внешних консультантов, чтобы докопаться до истины. Консультанты анализируют бюджеты за несколько лет и выявляют странную тенденцию - каждый год раздутый бюджет ИТ недовыполняется. На лицо ежегодная экономия бюджета. А почему же ИТ менеджер его так раздувает?. Все банально просто - читаем его должностные обязанности и видим, что единственный показатель, влияющий на бонус ИТ-менеджера ... экономия бюджета.
Берем пример из жизни ИБ. Начальник ИБ, не мудрствуя лукаво, определяет основным показателем работы ИБ проверенный временем показатель - количество выявленных инцидентов. Ведь не секрет, что в ИБ много выходцев из силовых структур. А процент раскрываемости преступлений остался в крови... Что же может дать такой показатель для бизнеса? Как трактовать результаты? Много выявленных инцидентов - это хорошо? Или это значит, что ИБ работает плохо, раз они происходят? А если их (инцидентов) мало (или вообще нет)? Значит хорошо работает ИБ? Или просто не обнаруживает инциденты? А если к показателю привязаны бонусы? Устоит ли безопасник перед искушением "помочь" показателю в нужную сторону?
Теперь о KPI, основанных на финансовых показателях. В целом идея хороша, но подводных камней... Не буду, как заводная кукла, петь об отсутствии у большинства специалистов ИБ понимания финансов, а лучше расскажу о том, как можно этими показателями манипулировать.
Попадалась мне недавно забавная формула оценки эффективности работы подразделения ИБ, основанная на оценке рисков в деньгах, затратах на ИБ и т.д.
Вроде все красиво, но... Если промоделировать ситуации, мы обнаруживаем, что как только мы снижаем инвестиции в ИБ, эффективность работы ИБ, рассчитанная по чудо-формуле, неумолимо падает. Не зависимо от остальных показателей.
В общем, "как вы яхту назовете, так она и поплывет".
Хорошая книга по метрикам в ИБ
ОтветитьУдалитьhttp://www.amazon.com/Security-Metrics-Replacing-Uncertainty-Doubt/dp/0321349989
Безусловно, есть хорошие книги.
ОтветитьУдалитьЕсть даже стандарты. Бесплатные. Например SP800-55 Security Metrics Guide for Information Technology Systems или sp800-80 Guide for Developing Performance Metrics for Information Security. Только их почему-то не читают.