пятница, 3 августа 2012 г.

Качественные метрики ИБ не нужны?

   Проблема отсутствия количественных метрик для ИБ поднималась не раз, и обычно есть мнение "Так есть же метрики, вон, например, время предоставления доступа!" либо "Есть только качественные метрики".
   Если первое мнение говорит скорее о внутренней эффективности ИБ (не о результативности в деле защиты Компании), то второй очень интересен.
   Разберем пример - допустим, у нас есть метрика "Отсутствие инцидентов безопасности с критическими системами за квартал". Таковая метрика не содержит ни информации были ли раньше такие инциденты (есть ли в ней смысл), ни что мы сделали что бы их предотвратить (что собственно меряется). Соответственно, руководитель не может принять информированного решения, и принимает решение на основе "верю не верю". А т.к. вера вопрос иррациональный, то вся метрика вырождается до "хочет руководитель организации считать ИБ эффективной на основе этой метрики или нет".
   В самом деле - какой прок от качественных метрик? Ведь не видя обьективных значений все что остается руководителям - верить им или нет, хотеть верить или нет.
   Таким образом все качественные метрики ИБ в первом приближении возможно свести до "% удовлетворенности деятельностью службы ИБ членов правления\руководителей высокого уровня". Так и понятнее, и быстрее показать возможно, и считать проще;)

Комментариев нет:

Отправить комментарий