среда, 19 августа 2015 г.

Что общего между терактами и бонусами

    Теракты и бонусы схожи по природе - вероятность реализации оценивается исходя из достижения внутренних целей (выполнения требований) но зависит от внешней среды. Например, карго наторговал много в Карибском море, но шторм похоронил успехи.
    Даже если выполнить все требования (как скорее всего было в истории с Домодедово) - в случае теракта возникают проблемы.

    Восприятие организацией реальности и вытекающие из него требования не адекватны ситуации на момент проишествия. Т.е. восприятие устарело.
    Развитые организации актуализируют KPI (КПЭ) каждый квартал, требования по АЗ меняются реже, а требования ФСТЭК меняются раз в 3 года (в лучшем случае). Даже если ФСТЭК создаст best-in-class требования - они станут неадекватными внешней среде максимум через полгода.
    Конкретные регуляторные требования (комплаенс) как институт действенны в первую очередь для противодействия внутренним угрозам во внутренней среде, где организации способны контролировать скорость изменений (change rate) штата, информации и инфраструктуры.
    Для действенного противодействия внешним угрозам необходим замещающий или дополняющий институт. KPI дополняются т.н. "оценкой по ценностям", где некий процент (20-50%) бонуса зависит от соответствия поведения сотрудника корпоративным ценностям. Т.е. создается мотивация.
    В мире ИБ госсектора это может быть публичное сравнение метрик ИБ (соревновательная мотивация) и введение надбавки "За выполнение показателей по ИБ" (финансовая мотивация).
Для формирование привычки надбавка предоставляется постоянно, для чего пригодится управляемый набор мер долгосрочного характера. Классические 4 меры противодействия внешним атакам - патчи для ОС и приложений, вайтлистинг и контроль привилегированных пользователей подойдут.

Комментариев нет:

Отправить комментарий