Метрики по COBIT5

Метрики по COBIT5
Я периодически перечитываю книги из библиотеки COBIT5, и каждый раз они являются для меня источником вдохновения. В этом посте я решил рассказать о подходе COBIT5 к измерениям, некоторые (но не все) идеи вполне можно использовать и для измерения ИБ...

1.Важные термины 
Из книги COBIT 5: Бизнес-модель по руководству и управлению ИТ на предприятии (русский перевод):
Метрика - поддающаяся количественному исчислению сущность, которая позволяет измерить степень достижения целей процесса. Метрика должна соответствовать принципам SMART (то есть быть конкретной, измеримой, достижимой, актуальной и привязанной к промежутку времени). Подход к определению метрик должен включать единицы измерения, частоту измерения, эталонное значение (если таковое применимо), а также процедуру измерения и процедуру интерпретации результатов измерения.
И еще несколько, которые пригодятся:
Цель - описание желаемого результата.
ИТ-цель - утверждение, которое описывает желаемый результат использования ИТ для реализации целей предприятии. Результат может быть артефактом, существенным изменением состояния или существенным усилением возможностей.
Цель процесса - утверждение, описывающее желаемый результат процесса. Результатом может быть артефакт, значительное изменение состояния или значительное совершенствование возможностей других процессов.
Процесс - обычно – набор практик, находящихся под влиянием политик и процедур предприятия, который получает на вход ресурсы (включая результаты других процессов), преобразует их и создает результат (выходы, то есть продукты и услуги).
Замечание по охвату: для существования процессу необходимо иметь ясную бизнес-причину, подотчетного владельца, четкое закрепление ролей и обязанностей за исполнение процесса и средства измерения производительности.

2.Каскад целей
В методологии COBIT5 все метрики (о них ниже) привязываются к конкртеным (ну, относительно) разноуровневым целям. Поэтому надо хотя бы в общих чертах представлять "каскад целей". Вот он:

COBIT5 определяет 17 универсальные целей предприятия (с учетом подходов и идей из модели BSC, Сбалансированная Система Показателей) и столько же ИТ-целей. Их стоит рассматривать в качестве примера, и рекомендуется адаптировать под особенности конкретной организации. А в приложении к документу есть еще и подробная карта соответствия между ИТ-целями и ИТ-процессами...

А цели факторов влияния (enablers) лучше смотреть в книге COBIT5 for Information Security.

Подытожу этот пункт цитатой:
"Важность каскада целей заключается в том, что он позволяет определить приоритеты внедрения, совершенствования и гарантировать наличие руководства ИТ на предприятии на основе понимания (стратегических) целей предприятия, а также связанных рисков. На практике каскад целей:
• Определяет важные и измеримые цели и задачи на различных уровнях ответственности.
• Позволяет извлечь из базы знаний COBIT 5 все данные об определённой цели предприятия, которые могут понадобиться в проектах внедрения, совершенствования или оценки качества.
• Ясно определяет и демонстрирует (в некоторых случаях очень подробно) то, каким образом факторы влияния помогают в достижении целей предприятия."
3.Собственно метрики 
Ну, во-первых, в книге COBIT5 Enabling Processes представлены метрики верхнеуровневых целей (уровень предприятия и ИТ в целом), к сожалению, перевода на русский язык этой книги еще нет:

На мой взгляд, большинство из них сложны для понимания, сбора и представления, а значит не будут применяться в реальной жизни. Ну, в России точно. Однако, как источник вдохновения их использовать можно.

Обратил также внимание, что много "бизнес-метрик" предлагают оценивать уровень "удовлетворенности" тех или иных заинтересованных лиц чем-либо. Например, персонала от работы, руководства от стоимости инициатив и так далее. Интересный подход...

Во-вторых, в книгах COBIT5 for Information Security и COBIT5 Enabling Processes представлены еще и метрики для оценки достижения низкоуровневых целей (целей отдельных факторов влияния (enablers)). Вот эти факторы влияния:
Самыми интересными для нас, конечно же, будут метрики процессов, причем из книги COBIT5 for Information Security. Вот, например, такие (к сожалению, тоже без перевода):

Но и метрики, связанные с целями других факторов влияния (например, с инфраструктурой) тоже посмотреть стоит. Так как документы довольно большие (220 и 230 страниц соответственно), то примеры метрик удобнее всего искать простым поиском по слову "metric".

Как вы могли уже заметить, даже "ИБ-метрики" отдельных процессов "в лоб" применить будет сложно, к сожалению авторы не дают рекомендаций (или хотя бы комментариев) по их сбору, обработке и интерпретации...

Что в итоге?
  1. К сожалению, COBIT5 не получится использовать в качестве "единой интегрированной методологии" при внедрении системы показателей работы ИТ и ИБ. В документах нет четких рекомендаций по выстраиванию процесса сбора, обработки и анализа метрик, по выбору их целевых и граничных значений. 
  2. Идея с привязкой метрик к разноуровненным целям довольно интересна, ее имеет смысл адаптировать под конкретные проекты. Но в существующим виде ее использовать не получится...
  3. COBIT5 представляет в качестве примера порядка трех сотен разноуровневых метрик. На мой взгляд, 2/3 из них для наших целей будут неприменимы... Но на них вполне можно ориентироваться, так сказать, "для вдохновения".

Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Andrey Prozorov

Информационная безопасность в России и мире