Наверное многие видели эту ссылку на калькулятор рисков Symantec для малого и среднего бизнеса. Идея интересная, но вот реализация... ;-( Я поигрался с этим сервисом, давая разные ответы на вопросы, ища между ними зависимость. Не нашел ;-(
Интересный результат дал такой сценарий - вся обрабатываемая в гипотетической компании информация важна как никогда (бегунок в самом правом положении). Иными словами, размер потенциального ущерба должен быть максимальный. Число сбоев (инцидентов) поставил 1 (меньше нельзя), длительность простоя и длительность ежедневного удаления спама - тоже минимально возможные значения. Самый худший случай простоя (есть и такой вопрос) - неприятно, но никакого нарушения работы. Т.к. инцидентов минимум, то и на вопрос "сколько вы тратите на восстановление системы?" я указал нижнюю границу - 1 тысячу долларов.
Теперь смотрим на результаты. Они достаточно интересны. Например, этот "калькулятор" насчитал мне 63 часа потери времени в год. На основании чего? Логичный вывод о том, что они умножили 1 минуту на ежедневное удаление спама на число сотрудников и число дней в году, не срабатывает ;-( Да и то, что разные сотрудники используют разные усилия для удаления спама (как и его объем тоже отличается для разных сотрудников) видимо не учитывается. Итоговая сумма потерь тоже непонятно откуда взялась, но с порядком я могу согласиться. В моем примере эта цифра равна 4,7 тысячам долларов (всего). Но дальше интереснее. Из того, что ущерб компании с 40-миллионным оборотом составил всего около пяти тысяч долларов сделан парадоксальный вывод о том, что уровень риска у меня гораздо выше среднего. Зато потом все понятно - "Компания Symantec поможет вам защитить важную для вас информацию. Перейдите к выбору решения прямо сейчас".
Дальше больше ;-) В исходных данных я указал, что речь идет об индивидуальном предпринимателе. 1 сотрудник. Минимальная зарплата. Минимальный доход. Минимальные показатели ущерба. Максимальный уровень важности информации. Как вы думаете, какой результат был получен? Идентичный первому описанному выше сценарию ;-) Та же сумма ущерба. То же количество потерянного времени (значит число сотрудников в этой формуле не участвует вовсе). Только риск стал еще выше (почти максимальной отметки достиг).
Ну и третий сценарий ;-) Максимальные исходные данные с точки зрения объемов продаж, зарплаты и числа сотрудников. Никакой важной информации на предприятии вообще нет. И что же? Результаты аналогичные ;-) 63 часа простоя, 4688 долларов потерь. Только вот риск ниже нижнего значения ;-)
А теперь феерия чувств ;-) Использовал минимальные исходные данные, отсутствие важной информации, но поигрался с числом инцидентов (поставил 5), временем восстановления после простоя (поднял до 2 часов) и временными затратами на удаление спама (увеличил до 10 минут). Что у нас должно произойти по логике? Время простоя должно возрасти. И возрасти многократно. Ан нет. В калькуляторе оно сократилось в 5 раз - до 13-ти часов. И где логика, спрашиваю я?
ЗЫ. В общем какая-то ...гня ;-(
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.