Книги являются отличным источником новых идей, даже напрямую не связанных с самим содержанием текста. Вот, например, сейчас я продолжаю читать очень толковую книгу «Клиенты на всю жизнь» (Карл Сьюэлл), про которую может напишу отдельно. Она совсем не про ИБ, и не про консалтинг, и не про ИТ. Однако в ней в одной из глав рассказывается про необходимость создания системы измерения процессов (производственных) для последующего их совершенствования. Ничего удивительного, что на многие идеи можно ориентироваться и при измерении ИБ. Перечислю их со своими комментариями.
1) Про обратную связь
"Вызов для руководства состоит в создании системы измерений и обратной связи, которая была бы интереснаи подходилабы каждому члену команды."
На мой взгляд "измерения ради измерения" в ИБ делают в одном из случаев:
- Со скуки. "О, прикольно, придумал несколько новых KPI, давайте попробуем посчитать"
- При слепом послушании. "Мне сказали считать так, вот я и считаю"
- От глупости. "Все измеряют ИБ, и я буду. Правда не знаю что и зачем, но я что-нибудь придумаю"
В целом, необходимо не только понимать, для чего производятся измерения, но и реагировать (чаще всего совершенствовать систему ИБ) в зависимости от их результатов.
2) 4 важнейших вопроса при выборе метрик
"1.Является ли измерение важным?
Связан ли работник с этим показателем? Можно ли получать данные хотя бы раз в две недели? (Данные, получаемые реже, не годятся.) Если вы прекратите отслеживать данные, заметит ли это кто-нибудь? Если этот параметр улучшить, повлияет ли это на результаты департамента или фирмы?"
Здесь я бы хотел акцентировать ваше внимание на 2 момента:
- Важность метрики. Универсального решения по перечню метрик, к сожалению, нет, уж слишком отличаются организации друг от друга (отрасль, размер, допустимый уровень риска, критичные активы, доступные ресурсы, приоритеты в ИТ и ИБ и пр.). Стоит сконцентрироваться на действительно важных... В некоторых случаях удобно брать интегральные показатели (складываются из совокупности значений).
- Сложность получения результатов измерения. Хотя это скорее следующий пункт, но все же мне нравится идея оценки метрики с позиции получения актуальных данных за 2 недели.
"2.Сложно ли это измерять?
Если на измерение уходит более 15 минут в день, возможно, этого не стоит делать вообще. Самый простой способ настроить систему сбора данных – это оценка тех данных, что уже собираются сейчас. Подумайте, как можно собирать данные автоматически, с использованием компьютеров."
Идея проста, если собирать данные будет сложно, этого и делать не будут. Стоимость получения результатов измерений не должна превышать ценности этих данных. Считаю длительность идею "15 минут" отличной!
Несколько лет назад при внедрении СУИБ в одной организации мы, помимо прочего, документировали процесс измерения ИБ и подготовили таблицу exel с набором метрик ("м", заносятся вручную) и показателей ("п", считаются автоматически), привязанных к доменам 27001. Вот некоторые из них:
Выглядело это по тем временам очень солидно, да и сейчас сложно найти толковые перечни метрик! Однако на практике оказалось, что собрать значения подготовленных 46 метрик было не просто... В итоге пришлось существенно пересматривать подход (в сторону автоматизации) и сокращать перечень метрик.
Запомните важнейшую рекомендацию: большинство метрик должны собираться автоматически!
"3.Поймут ли работники, что именно измеряется?
Есть такие управленческие параметры (возврат инвестиций, оборот запасов, срок задержки оплаты счетов, и т. п.), которые, как правило, непонятны для обычных работников. Самые эффективные параметры формулируются просто.Лучше всего считать все штуками, на втором месте – деньги, на третьем – проценты. (Интересно, что руководители оценивают все в обратном порядке: проценты, доллары и, наконец, штуки.)"
Выбирая метрики, стоит ориентироваться на уровень знаний и персональные цели тех, кто будет предоставлять результаты измерений и использовать их. Метрики для CISO скорее всего будут не интересны CEO...
"4.Сформулированы ли параметры измерения в позитивных терминах?
Если вы можете измерить отсутствие, значит, вы может измерить и присутствие. Отчитывайтесь не об отходах, а о выработке. Отслеживайте поставку вовремя, а не опоздания. Лучше, чтобы люди стремились достичь цели, а не избежать ошибки. К тому же, если вы собираете информацию о нежелательном, люди не смогут понять, что же от них требуется."
Ну, это простая идея из практической психологии, комментировать ее не буду.
3) Бенчмаркинг (сравнивайте с другими)
"Процесс построения системы измерения состоит из нескольких шагов. Во-первых, мы должны были определить, что именно измерять. Во-вторых, определив объект измерений, мы должны были найти средние значения по отрасли."
Странно, что про следующие шаги автор уже в явном виде не пишет. Но и в этой короткой цитате есть важная мысль - следует понимать средние (и граничные) значения метрик перед тем, как принимать какие-либо решения по результатам.
Вообще, про метрики ИБ рассуждать можно долго, но я пока ограничусь лишь этими комментариями.
