В поисках корней. Часть 1 Обзор процесса решения проблем

Сегодня начинаю серию постов посвященных анализу корневых причин.
Штука, популярная в процессе управления ИТ, известном как "управление проблемами", прекрасно подходит как для нужд информационной безопасности, так и для аудита.
В любом случае она нам понадобится в ситуации, когда мы имеем ряд негативных проявлений, будь то инциденты информационной безопасности или признаки неэффективно работающего процесса. Главное, что что-то подсказывает нам, что у этих проявлений есть потенциально что-то общее - класс инцидентов, общий регион/подразделение/временной период или это просто сигнал от спинного мозга, и мы почувствовали, что за этим стоит всемирный масонский заговор какая-то общая причина. И если понять ее суть и избавиться от нее, в будущем это потенциально избавит нас от повторения всей этой кучи инцидентов. Что положительно повлияет на премию статистику для показа руководству общую защищенность, эффективность процесса, или что мы там пытаемся улучшать.
Для решения проблемы нужно выявить корневую причину (причины) и найти пути ее (их) устранения и предотвращения повтора в будущем. Звучит очень просто, но на практике это может оказаться не такой тривиальной задачей.
Далеко не всегда можно сразу назвать причину происходящего.
Например, большое количество инцидентов безопасности, регистрируемых SIEM, могут возникать в результате неправильного конфигурирования сети. Вроде все просто? Поправили и забыли. На небольшой период времени. А потом опять инциденты и та же причина. Копаем глубже, и видим, что вроде бы проблема в постановке процесса администрирования. Недосмотр администратора? Копнув еще глубже, понимаем, что проблема не в знаниях и навыках администратора, а в его мотивации. И знает, что можно внедрить контроль  в процессе согласования изменения, который позволит избежать таких ситуаций, но не хочет это делать. Обидели его во время одного из проектов, вот он и доказывает всем, что он д`Артаньян был прав.
Часто бывает, что причин несколько, и они имеют разный уровень вложенности, т.е. одна причина порождает, вторая - третью, а та уже является источником проблемы.

Классифицируем причины:

• Симптомы. Они являются не настоящими причинами, а скорее признаками существования проблемы.
• Причины первого уровня. Это причины, которые напрямую являются источником проблемы.
• Причины более низкого уровня. Это причины, которые порождают причины первого уровня. Хотя они и не являются непосредственным источником проблемы, причины более низкого уровня являются связующим звеном в цепочке причинно-следственных  связей, которая приводит к возникновению проблемы.
• Корневая причина - причина, запускающая всю цепочку причинно-следственных связей, порождающую проблему.

Итак, рассмотрим подход по выявлению ключевой причины.

Разберем процесс по порядку:

• Идентификация проблемы -  определить для себя, что проблема все-таки есть
• Формулировка проблемы - сформулировать в чем проблема состоит и добиться единого понимания от всех заинтересованных сторон
• Осознание проблемы - определение характера проблемы
• Идентификация основной причины - определить истинную причину, порождающую проблему
• Устранение основной причины - выполоть корень зла, порождающий проблемы
• Мониторинг симптомов - наблюдаем, не проявятся повторно симптомы, сигнализирующие, что от проблемы мы не избавились. Если они все же проявились - основная причина была определена не верно - возвращаемся в начало

При этом не следует забывать, что не все проблемы целесообразно устранять. Иногда затраты на выявление и устранение корневой причины могут существенно превышать ущерб от существующей проблемы.

На сегодня все. В следующий раз об инструментах выявления основной причины.

часть 2 ->