В книге BPM CBOK 3.0 (Свод знаний по управлению бизнес-процессами) в главе, посвященной измерениям процессов, нашел довольно забавную, но толковую идею, которую полезно знать специалистам по ИТ и ИБ. Привожу полностью.
"Греховное" поведение [при измерениях]:
- Тщеславие. Использование измерений исключительно для того, чтобы выставить компанию, ее сотрудников и особенно менеджеров в лучшем свете. Так как бонусы и вознаграждения обычно завязаны на показатели эффективности, руководители ожидают благоприятных метрик. Реальная картина эффективности организации воспринимается скорее как угроза, чем как информация для корректирующих действий.
- Провинциальность. Функциональные подразделения диктуют только те метрики, которые их руководители могут контролировать (эффективность процессов подразделений затмевает кросс-функциональную процессную эффективность)
- Нарциссизм. Измерение с позиции внутреннего наблюдателя (inside-out), а не клиента (outside-out).
- Лень. Уверенность, что уже и так известно, что именно надо измерять, без приложения усилия и адекватного осмысления.
- Мелочность. Измерение только малой части того, что действительно имеет значение.
- Глупость. Ввод метрик без обдумывания их влияния на поведение людей и, следовательно, на эффективность предприятия.
- Легкомысленность. Несерьезное отношение к измерениям, споры о метриках, поиск оправданий низкой эффективности и способов переложить вину на других.
Такой получается сборник "вредных советов"... Приглядитесь к ним! Может они натолкнут вас на правильные мысли про выбор метрик и показателей ИБ, а также про проведение измерений и анализ их результатов. Удачи!
Еще про измерения в ИБ можно посмотреть:
