TOP причин, почему не работают организационные меры. Четвертое место

Изначально в этом топе было 3 позиции, но, помедитировав над ним, решил добавить еще один пункт.

4 место – Отсутствие метрик

Это несколько абстрактная причина, которую по-бытовому можно было бы назвать «никто не знает, как выглядит «хорошо» (или плохо, если вы пессимист). Вернемся к нашему примеру с Альфа-банком. Фактически, услугу я получил (мера отработала), но качество этой меры никто не оценивает (ну, кроме меня, который ходил и возмущался). Я прождал двадцать минут после того, как высветился мой номер электронной очереди, потому что организовали еще и живую очередь.

И речь не только об этих 20 минутах. Если вы занимаетесь ИБ, скажите, какие у вас главные KPI по оргмерам? Думаю, я не сильно ошибусь, если в топ 3 из них входит: подписание соглашений о конфиденциальности с сотрудниками, и повышение осведомленности раз в год. У нас все хорошо, вот же метрики. Выполнение – 100%. Чего еще надо?

otricanie

Проблемы начинаются как раз после, в процессах. Эти несчастные 20 минут – это плохо или хорошо? Утечки были? Нет. Это ведь хорошо.

Чутка поразмыслив над этим, станет понятно, что у нас не охвачен целый пласт жизни. Наши метрики (количество сотрудников, прошедших тестирование) просто не способны оценивать качество последующей работы с этими условиями. И мы каждый раз удивляемся, а как же это у нас утечка произошла? Да все просто. В информационной безопасности мы работаем с отрицаниями (это те, что в логике обозначаются палочкой сверху \overline{x}). Не-утечка, не-взлом, не-вирус.

Если смотреть на результат, не понятно, что привело к не-взлому. То ли наша хитрая система защиты, то ли нам просто повезло. Конечно, методы и метрики оценки таких показателей есть, но вы никогда их не объясните вашему начальству. Вот и получается, что в безопасности вся система палочная. Чем больше поймали, тем эффективней работаем (кстати, при такой системе надо стараться, чтобы оргмеры были крайне неэффективными, а то палки закончатся).

Когда-то я был поставлен следить за расшаренными ресурсами. За 2 недели я закрыл все несанкционированные шары. Мне было о чем отчитаться, и мне дали медаль. А потом инциденты стали крайне эпизодическими, я впал в печаль. Конечно, выход был найден, но если бы я был не так молод и горяч, то растянул положительную отчетность месяца на 2. Как вы понимаете, к реальной безопасности это отношения не имеет.

Так и в Альфе — скорее меряют количество обслуживаемых клиентов (палки), а не их удовлетворенность.

Конечно, можно выбрать другие метрики, например, количество успешно предотвращенных взломов. Утверждение-то уже положительное! Но это те же яйца, только в профиль. По сути это производная от исходного не-взлома.

В сухом остатке: существующие методы оценки организационных мер входят в конфликт с KPI безопасников и работников. Конфликт разрешается в пользу KPI. Надо вводить качественные оценки.

Третье место

TOP причин, почему не работают организационные меры. Четвертое место: 2 комментария

  1. Уведомление: TOP причин, почему не работают организационные меры. Первое место | Дудко Дмитрий - ddudko.ru

  2. Уведомление: Информационная безопасность в ж… Часть 1. | Дудко Дмитрий - ddudko.ru

Добавить комментарий