"Греховное" поведение при измерении (и ИБ тоже)

"Греховное" поведение при измерении (и ИБ тоже)
В книге BPM CBOK 3.0 (Свод знаний по управлению бизнес-процессами)  в главе, посвященной измерениям процессов, нашел довольно забавную, но толковую идею, которую полезно знать специалистам по ИТ и ИБ. Привожу полностью.

"Греховное" поведение [при измерениях]:
  • Тщеславие. Использование измерений исключительно для того, чтобы выставить компанию, ее сотрудников и особенно менеджеров в лучшем свете. Так как бонусы и вознаграждения обычно завязаны на показатели эффективности, руководители ожидают благоприятных метрик. Реальная картина эффективности организации воспринимается скорее как угроза, чем как информация для корректирующих действий. 
  • Провинциальность. Функциональные подразделения диктуют только те метрики, которые их руководители могут контролировать (эффективность процессов подразделений затмевает кросс-функциональную процессную эффективность)
  • Нарциссизм. Измерение с позиции внутреннего наблюдателя (inside-out), а не клиента (outside-out).
  • Лень. Уверенность, что уже и так известно, что именно надо измерять, без приложения усилия и адекватного осмысления.
  • Мелочность. Измерение только малой части того, что действительно имеет значение.
  • Глупость. Ввод метрик без обдумывания их влияния на поведение людей и, следовательно, на эффективность предприятия.
  • Легкомысленность. Несерьезное отношение к измерениям, споры о метриках, поиск оправданий низкой эффективности и способов переложить вину на других.

Такой получается сборник "вредных советов"... Приглядитесь к ним! Может они натолкнут вас на правильные мысли про выбор метрик и показателей ИБ, а также про проведение измерений и анализ их результатов. Удачи!

_ _ _ _ _ _ _ _ _ _
Еще про измерения в ИБ можно посмотреть:

Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

Andrey Prozorov

Информационная безопасность в России и мире