22.09.2009

Эффективный подход к оценке эффективности

Усвоив, что кесарю кесарево, спасение утопающих – дело рук самих утопающих, а "мы бодры" надо говорить бодрее, человечество почему-то до сих пор пребывает в странной неопределенности относительно того, как оценивать эффективность ИБ.
Протягиваю руку помощи: оценка эффективности должна быть эффективной. Если подразделение ИБ подает отчеты на двухстах страницах, о его эффективности можно судить, не заглядывая в цифры.

Чтобы сразу не отпугнуть поклонников NISTовской, SANSовской, ISM3шной и прочей нужной макулатуры про метрики, честно начинаем с подсчета стейкхолдеров, т.е. ключевых потребителей результата:
1) вышестоящее руководство. Выход процесса "измерение эффективности" попадает на вход процесса "менеджмент-ревю", говоря мелодичным языком исо27тыщ и его забавных родственников по девятитысячной линии. Руководство определило курс. Руководство давало ресурсы и полномочия. Руководство хочет знать, что получилось, и что-то наверняка скорректировать. У него тоже цикл PDCA, видите ли, даже если и неосознанный.
Но и всё. Такие потребители как акционеры, клиенты, кадровики, айтишники, юзеры, регуляторы, партнеры, конкуренты и т.п. – это от лукавого, "кто девушку ужинает, тот ее и танцует", а эти Вам не платят, их интересы и чаяния к Вам через руководство приезжают, оно же и в противную сторону интерфейс – само по ситуации разберется, если что. Совершенно не призываю совсем никаких дел не иметь с этими достойными людьми, но лишь осознать, перед кем вы реально отчитываетесь, а с кем чай пьете. Поверьте, ставить на одну доску строгих и регулярных потребителей с опосредованными и эпизодическими чревато нелепой трагедией, а что гоняться за восемью зайцами бесполезно – это еще Фибоначчи с сожалением выяснил. Попытка сконструировать такие метрики, которые и нашим / и вашим, и для того / и для этого, да еще и не выбалтывая лишнего непосвященным, обернется тем, что они утратят полезность для главного – для менеджмент-ревю.
Когда-нибудь, когда возраст вашего процесса оценки эффективности перевалит за 10 лет, а в CMM кончатся уровни, можете попробовать добавить к руководству кого-нибудь из непрямых, но раньше не надо.
Поищите-ка у кого-нибудь из мировых авторитетов квартальные отчеты о состоянии их (а не чужой) информационной безопасности в публичном доступе. А ведь Вы как покупатель (клиент) всяко должны были б в стейкхолдерах быть по идее.

Далее задаемся вопросом, знают ли авторы всевозможных методик, что хочет от Вас Ваше специфическое руководство в этом сезоне, и с чистой совестью окончательно откладываем их в сторону. Я, кстати, этого тоже не знаю – это только Вам одному и видно, поэтому с меня еще один хинт, и тоже уже откланиваюсь.

Сколько? Для этого нужно понять, что будет делать с этой информацией руководство – оно будет принимать решения, и здесь очень простая вилка: слишком мало показателей загрубляют картину, слишком много зашумляют. Если начальники – люди, то штук семь им самое оно, скорее всего.
Но один точно нельзя, а то есть сейчас такая смешная теория – натурально шаг назад по сравнению со средней температурой по больнице, т.к. незадачливые эскулапы не просто суммировали, но еще и на количество больных делили, а эти только суммируют. Первая засада в том, что эффективность – это уже два параметра – эффект и затраты, и по одному ее не оценишь. А вторая в том, что жизнь идет, и при попытке добавлять/убавлять слагаемые теряется ценность накопленных ранее измерений. Кому что даст информация, что безопасность изменилась с 1786 на 1844 или 1562, если сам состав метрики на добрую четверть поменялся вслед за целями.

з.ы. Ах, да! Если Вы – консалтер, то к Вам это не относится: для Вас эффективным является как раз таки копипейст "лучших практик", ибо большой выход продукта при минимуме затрат, но это уже другая эффективность – не ИБ.

5 комментариев:

Анонимный комментирует...

Ну дружище, ты выдал... меньше чем с 3х прочитываний уже не врубаюсь !!!

Попробуем к вопросу эффективности подойти с биологической стороны дела. Итак:
- есть ИС/АС/...
- Есть Руководство
- Есть акционеры и другие оптимисты
И есть приближенные к этой самой ИБ которая, по некоторым косвенным данным и шуму в (WC), кормит этих самых приближенных...
Кушать им хочется...
Логика эффективности примерно такая:

1 Эффективность стремится к 0
2 Количество приближенных стремится к бесконечности
3 Затраты стремятся к бесконечности
4 Руководство стремится к уменьшению затрат
5 ну и так далее

Так вот сдается мне, что эффективность это не цель - это процесс... борьбы интересов...
Нужна она только в той мере, чтобы все были сыты...

Другими словами аналогия - у зверушки ровно столько мозгов, сколько ей хватит для выживания в реальных условиях...
то же с эффективностью...

Ригель комментирует...

Переводя на зверушек: выживание - стяжание ресурсов, источник ресурсов - руководство, эффективный процесс оценки - достаточный для руководства.
Ну, тогда мы сошлись.

Ригель комментирует...

сам знаю, что перегруз, но нельзя же, сказав "восемь зайцев", про фибоначчи не пошутить - жизнь одна, когда еще случай выпадет ))

Анонимный комментирует...

"Выживание - стяжание ресурсов" (с)Ригель !!!
Я твои перлы скоро начну коллекционировать )))

Анонимный комментирует...

Даже не думал

Отправить комментарий