Те из нас, кто следит за публикациями аналитических агентств первого эшелона уже наверно сталкивались с новым определением ценности информационной безопасности от Forrester, где - ценность = затраты на безопасность\доход.
Метрика в корне неверна, т.к. в зависимости от подхода максимальная ценность будет при отсутствии безопасности либо при ее гигантском размере, когда затраты на безопасность будут равны доходу компании\доходу от защищенных активов.
Понятно, что такой негибкий подход применим разве что в детском саду, это только там есть "плохие" и "хорошие" дяди, а в ИБ крупной корпорации, все таки, полутонов намного больше.
И так, что же все таки считать хорошей метрикой ИБ? Очевидно, что как и всякую деятельность измерять ИБ нужно с учетом времени, т.е. прошлого, настоящего и будущего, например:
- метрика прошлого - % соответствующих требованиям безопасности информационных систем
- метрика настоящего - соотношение количества утечек к количеству сотрудников
- метрика будущего - % корпоративных проектов с учетом вопросов информационной безопасности
Реальные метрики требуют очевидной привязки к конкретным численным значениям повседневной деятельности компаний. Должно быть понятно что у нас с целевым уровнем безопасности было раньше, есть сейчас и будет в будущем, и в целом все равно в какой "валюте" мы это покажем, хоть в "попугаях", главное, что бы валюта была понятна всем заинтересованным сторонам.
Комментариев нет:
Отправить комментарий