Скажите мне, как вы измеряете мою деятельность, и я скажу вам, как буду себя вести.
Голдратт Элияху
Оговорюсь заранее, что тема значительно шире и все ниже сказанное также прекрасно применимо и к другим областям, не связанным с информационной безопасностью. Но, поскольку блог посвящен безопасности, то и примеры соответствующие.
Возьмем к примеру показатели эффективности (KPI). Тема уже настолько
избита, что на ней нет ни одного живого места. Написаны
тысячи томов научных изысканий. Десятки тысяч консультантов сорвали
голосовые связки, расхваливая преимущества, которые получит компания их от
использования . Но, не смотря на неоднократные
попытки, внедрить в жизнь заветы
лучших ведущих мировых практик
большинству компаний почему-то так и не удалось. На эту тему также
написано тысячи томов, а обломков копий, сломанных в жарких баталиях
безопасников-практиков, хватит на то, чтобы построить забор вокруг
Китая.
Самым Главным Виновником называют сложности в выборе правильных метрик. Ибо, как вы яхту назовете... Скажем, насколько эффективна метрика
количество инцидентов ИБ ? Если этот показатель высокий - это эффективное обнаружение инцидентов или низкий уровень безопасности? И наоборот - если показатель низкий - это высокий уровень безопасности или плохая работа безопасности по выявлению? Есть идеи считать эффективность использования инвестиций в ИБ. Всякие ROSI и другие
нанотехнологии методики. Но вот опять незадача. Методики вроде бы понятные, а не работает.
Существует еще одна, пожалуй, сама распространенная причина, о которой все скромно умалчивают. А причиной как всегда выступает... Кто самое слабое звено? Правильно, человеческий фактор. А точнее, человеческая мотивация.
Казалось бы, ну при чем тут мотивация? Преимуществ для компаний от использования KPI так много, а недостатков - нет вовсе. Ведь все становится прозрачно и понятно! Одни плюсы для компании.
Так вот, "для компании" тут ключевое слово. Кто такая эта абстрактная компания? Набор бумажек с печатями и подписями? Ну ладно, есть еще владельцы. Их интересы - это интересы компании. Случай с государственными компаниями рассматривать не буду - это особый критичный случай рекурсивной абстракции: абстракцией "компания" владеет абстракция "государство", которое как-то определяет абстракция "народ"... в доме, который построил Джек. О них либо хорошо, либо - ничего. Возвращаемся к коммерческим. Так вот, компания состоит из целой кучи всяких ролей: тут тебе и владельцы, и руководство (которое еще разделяется на топ, высшее, среднее/линейное и т.д.), сотрудники, контрактники и т.д. и т.д. И тут и возникает мотивация. Причем у всех разная. У владельцев -
больше доить и меньше кормить повышать прибыль и снижать затраты, у руководства - бонусы, у сотрудников - "вовремя зарплата и не грузите меня работой".
Рассмотрим поочередно какая взаимосвязь между мотивацией и неработающими KPI.
Суть человеческой природы такова, что свои цели человек всегда ставит выше целей компании. Потому, что своя рубашка ближе к телу. Когда мы вводим оценку деятельности, человек в первую очередь оценивает влияние на себя. Интересы компании ему
до менее приоритетны. Есть, конечно, случаи
патологии патриотизма, но в естественной среде они крайне редкие. И как любая нежизнеспособная форма обречены.
В зависимости от того, на что влияют метрики, поведение персонала, попавшего под оценку, может очень сильно разниться:
Метрики не влияют или несущественно влияют на оценку исполнителя. Результат - отсутствие мотивации. Процессы выполняются также, как и без KPI. Качество зависит сугубо от индивидуальных условий.
Метрики существенно влияют на оценку исполнителя (влияние на бонусы, ежегодный пересмотр зарплаты, выговоры и т.д.). Сотрудник сосредоточен исключительно на задачах, оказывающих влияние на достижение KPI. Все остальные задачи - просто раздражающий фактор. Как правило, это имеет крайне негативное влияние на компанию. Например, если у нас есть метрика "количество выявленных инцидентов", это выливается в бессмысленно большое количество проверок со стороны ИБ и огромное количество выявленных копеечных нарушений, возведенных в ранг критичных для компании. Совокупные затраты на выявление таких инцидентов катастрофически превышают реальную пользу. При этом, не остается времени на выполнение более важных для компании, но не повышающих значение KPI задач.
Это применимо абсолютно ко всем видам деятельности. Поставь продавцам план по объему продаж в деньгах - он будет продавать наиболее дорогие вещи, а остальные останутся без внимания. Это провал планов по продвижению других продуктов, затраты на склад и т.д. Поставим KPI по объему - фокус будет только на наиболее ходовых, как правило, наиболее дешевых продуктах. А это завал по выручке.
Отдельная тема - согласованность KPI между подразделениями. Если они не совпадают - поддержки от смежных подразделений не ждите. ИТ обещал помочь автоматизировать контроль безопасности? У них есть KPI по количеству успешно выполненных запросов? Нет? А что есть? Скорость реакции не более 30 дней? Тогда отреагируют они на запрос ровно через 30 дней. Как правило, уточнением запроса. Ведь главное реакция, а не результат?
Как я уже многократно повторялся выше, это проблема присуща любой области. По этому и возникают ситуации, когда все трудились не покладая рук, а суммарные результаты печальны, если не катастрофичны. KPI - мощный стимулирующий фактор. Как граната. Не давайте его в руки обезьянам.