понедельник, 11 февраля 2013 г.

Персональные данные и конкуренция

Не могу сказать, что новость неожиданная. Скорее совсем наоборот - ожидаемая. Персональные данные, точнее отношение к вопросу их защиты и бережного использования стало предметом спекуляции  диференцирующим фактором в конкурентных войнах.
Компания Microsoft запустила ряд роликов, "разоблачающих" Google в активном вмешательстве в личную жизнь. Даже красивый термин (куда без него?) для этого придумали - Scroogled. Дескать, читает Google КАЖДОЕ слово в КАЖДОМ Вашем письме на Gmail. А свидетельсвом тому служит динамическая контекстная реклама, которая формируется в зависимости от того, что написано в Вашем письме. Ну, а outlook, разумеется, ни в жизнь себе этого не позволяет (скрытая зависть ?) - так что все на outlook.

Достигнет ли поставленной цели рекламная компания - покажет время. На мой взгляд, мероприятие достаточно недальновидное. Ибо Microsoft активно всех загоняет в свои облаяные сервисы и рискует получить своими же граблями. Ведь персональные данные доверяются не только гуглу. А то, что outlook не умеет грамотно подбирать рекламу по контенту, вовсе не значит, что в Microsoft больше беспокоятся защитой персональных данных. Следовательно, не доверять, так всем.
Единственный положительный момент в данной рекламной компании - это возможность для пользователей бесплатных облачных сервисов еще раз подумать над тем, какие данные они безоговорочно предоставляем вирутальному миру и о возможных последствиях.

понедельник, 4 февраля 2013 г.

О своей рубашке 2. Почему не работает управление рисками?

В продолжение прошлого поста разберем ситуацию с управлением рисками. Как и в прошлый раз, ниже сказанное характерно для любого процесса управления рисками,  но будем рассматривать на примере ИБ.
Итак, ситуация аналогичная: теория классная, все понятно, ничего не работает.
В качестве Главных Виновников, стоящих на пути в светлое будущее к риск-ориентированному подходу, неоднократно упоминается:

  • нежелание/неумение безопасников считать в деньгах
  • сложность методик
  • отсутствием опыта безопасников
  • сложность вовлечения представителей бизнеса
Последняя, кстати, как правило, объясняют неумением безопасников общаться с бизнесом по причине номер 1. В общем, виноватых много, а результата - мало.
Если абстрагироваться от сухой теории "ведущих практик" и посмотреть на ситуацию сквозь призму человеческой натуры, то мы снова окунемся в мотивацию. Вовлечение бизнеса невозможно не потому, что безопасность невнятно формирует свои желания/аргументы. Это, конечно, тоже встречается, но не является главной причиной.  И не потому, что бизнес считает, что рисков нет.  Они есть, но их официальное признание тянет за собой необходимость признать существование таких рисков перед высшим руководством/материнской компанией/акционерами/регуляторами/другое. А еще, нужно принимать решение об адекватности оценки и мер по обработке риска.  Это значит, что, в случае, если что-то пойдет нет так и меры окажутся неадекватными, придется отвечать.
И менеджмент задается главным одесским вопросом: "Оно мне надо?". Нет ответственности - нет проблемы. Она есть у компании, но ведь это - проблема компании. А на случай, если все-таки какая-то высшая сила заставила заставила принимать решение, есть прекрасный механизм - коллективная ответственность. Мы создаем комитет/комиссию/другое, желательно одноранговых представителей различных подразделений и размазываем ответственность 15-ю подписями. Под этот прекрасный механизм можно принимать любые решения. В случае чего - крайнего не найти.
Кстати, "неумение" считать риски в деньгах - прекрасный инструмент для размазывания серьезности картины. Риск А высокий? Выше чем риск Б? На сколько? На 2 мм, судя по картинке?
К чему я это все? К тому, что человеческий фактор - один из самых мощных источников проблем, который нужно учитывать при любом действии. После сценария "как это должно работать" обязательно нужно рассмотреть сценарий "что будут делать люди, которые не захотят делать это". И добавить для них несколько дополнительных сдерживающих от самодеятельности факторов.


 
   

пятница, 1 февраля 2013 г.

О своей рубашке

Скажите мне, как вы измеряете мою деятельность, и я скажу вам, как буду себя вести.
Голдратт Элияху

Оговорюсь заранее, что тема значительно шире и все ниже сказанное также прекрасно применимо и к другим областям, не связанным с информационной безопасностью. Но, поскольку блог посвящен  безопасности, то и примеры соответствующие.
Возьмем к примеру показатели эффективности (KPI). Тема уже настолько избита, что на ней нет ни одного живого места. Написаны тысячи томов научных изысканий.  Десятки тысяч консультантов сорвали голосовые связки, расхваливая преимущества, которые получит компания  их от использования . Но, не смотря на неоднократные попытки, внедрить в жизнь заветы лучших ведущих  мировых практик большинству компаний почему-то так и не удалось. На эту тему также написано тысячи томов, а обломков копий, сломанных в жарких баталиях безопасников-практиков,  хватит на то, чтобы  построить забор вокруг Китая.
Самым Главным Виновником называют сложности в выборе правильных метрик. Ибо, как вы яхту назовете... Скажем, насколько эффективна метрика количество инцидентов ИБ ? Если этот показатель высокий - это эффективное обнаружение инцидентов или низкий уровень безопасности? И наоборот - если показатель низкий - это высокий уровень безопасности или плохая работа безопасности по выявлению? Есть идеи считать эффективность использования инвестиций в ИБ. Всякие ROSI и другие нанотехнологии методики. Но вот опять незадача. Методики вроде бы понятные, а не работает.
Существует еще одна, пожалуй, сама распространенная причина, о которой все скромно умалчивают. А причиной как всегда выступает... Кто самое слабое звено? Правильно, человеческий фактор. А точнее, человеческая мотивация.
Казалось бы, ну при чем тут мотивация? Преимуществ для компаний от использования KPI так много, а недостатков - нет вовсе. Ведь все становится прозрачно и понятно! Одни плюсы для компании.
Так вот, "для компании" тут ключевое слово. Кто такая эта абстрактная компания? Набор бумажек с печатями и подписями? Ну ладно, есть еще владельцы. Их интересы - это интересы компании. Случай с государственными компаниями рассматривать не буду - это особый критичный случай рекурсивной абстракции: абстракцией "компания" владеет абстракция "государство", которое как-то определяет абстракция "народ"... в доме, который построил Джек. О них либо хорошо, либо - ничего. Возвращаемся к коммерческим. Так вот, компания состоит из целой кучи всяких ролей: тут тебе и владельцы, и руководство (которое еще разделяется на топ, высшее, среднее/линейное и т.д.), сотрудники, контрактники и т.д. и т.д. И тут и возникает мотивация. Причем у всех разная. У владельцев - больше доить и меньше кормить повышать прибыль и снижать затраты, у руководства - бонусы, у сотрудников - "вовремя зарплата и не грузите меня работой".
Рассмотрим поочередно какая взаимосвязь между мотивацией и неработающими KPI.
Суть человеческой природы такова, что свои цели человек всегда ставит выше целей компании. Потому, что своя рубашка ближе к телу. Когда мы вводим оценку деятельности, человек в первую очередь оценивает влияние на себя. Интересы компании ему до менее приоритетны. Есть, конечно, случаи патологии патриотизма, но в естественной среде они крайне редкие. И как любая нежизнеспособная форма обречены. 
В зависимости от того, на что влияют метрики, поведение персонала, попавшего под оценку, может очень сильно разниться:
 Метрики не влияют или несущественно влияют на оценку исполнителя. Результат - отсутствие мотивации. Процессы выполняются также, как и без KPI. Качество зависит сугубо от индивидуальных условий.
 Метрики существенно влияют на оценку исполнителя (влияние на бонусы, ежегодный пересмотр зарплаты, выговоры и т.д.). Сотрудник сосредоточен исключительно на задачах, оказывающих влияние на достижение KPI. Все остальные задачи - просто раздражающий фактор. Как правило, это имеет крайне негативное влияние на компанию. Например, если у нас есть метрика "количество выявленных инцидентов", это выливается в бессмысленно большое  количество проверок со стороны ИБ и огромное количество выявленных копеечных  нарушений, возведенных в ранг критичных для компании. Совокупные затраты на выявление таких инцидентов катастрофически превышают реальную пользу. При этом, не остается времени на выполнение более важных для компании, но не повышающих значение KPI задач.
Это применимо абсолютно ко всем видам деятельности. Поставь продавцам план по объему продаж в деньгах - он будет продавать наиболее дорогие вещи, а остальные останутся без внимания. Это провал планов  по продвижению других продуктов, затраты на склад и т.д. Поставим KPI по объему - фокус будет только на наиболее ходовых, как правило, наиболее дешевых продуктах. А это завал по выручке.
Отдельная тема - согласованность KPI между подразделениями. Если они не совпадают - поддержки от смежных подразделений не ждите. ИТ обещал помочь автоматизировать контроль безопасности? У них есть KPI по количеству успешно выполненных запросов? Нет? А что есть? Скорость реакции не более 30 дней? Тогда отреагируют они на запрос ровно через 30 дней. Как правило, уточнением запроса. Ведь главное реакция, а не результат?

Как я уже многократно повторялся выше, это проблема присуща любой области. По этому и возникают ситуации, когда все трудились не покладая рук, а суммарные результаты печальны, если не катастрофичны. KPI - мощный стимулирующий фактор. Как граната. Не давайте его в руки обезьянам.