И вновь вернусь к одной из дискуссий, поднятых на форуме директоров ИБ. Была поднята тема измерения эффективности ИБ. Нередко упоминались метрики ИБ, KPI ИБ и т.д. Но... стоило копнуть глубже и тема сдувалась. Выступающие, как правило, приводили в пример простейшие метрики ИБ. Вроде времени реагирования на рассмотрение заявки на доступ к ресурсам. Правильная ли это метрика? Безусловно. Важна ли она? Нет. Она никак и ни на что не влияет. Это пример технической метрики, которая нужна только для внутренней деятельности службы ИБ (я таких примеров приводил десятки). И даже не службы, а оценки конкретного процесса или даже продукта. Но...
На всех мероприятиях все выступающие говорят правильные слова о том, что надо разговаривать с бизнесом на его языке. Замечательно. А какой язык понимает бизнес? Риски и деньги. Причем деньги в первую очередь. А помогает ли метрика, упомянутая выше, заработать или не потерять деньги? Нет. Демонстрирует ли она снижение каких-нибудь рисков? Тоже нет. И в чем тогда ее потаенный смысл? И такой же вопрос касательно метрик, связанных с числом обнаруженных вирусов, процентом заблокированного спама, попыток НСД, числом утечек и т.д. и т.п. Ни одна из них никак не влияет на бизнес, а значит она не помогает службе ИБ демонстрировать свою эффективность.
Разумеется, это не значит, что их не надо измерять и применять на практике. Просто надо четко понимать, что эти примеры - не более чем низкоуровневые метрики для оценки эффективности продуктов. Это полезно, чтобы знать, насколько хорош тот или иной продукт, но совсем недостаточно, чтобы демонстрировать эти метрики бизнесу.
На всех мероприятиях все выступающие говорят правильные слова о том, что надо разговаривать с бизнесом на его языке. Замечательно. А какой язык понимает бизнес? Риски и деньги. Причем деньги в первую очередь. А помогает ли метрика, упомянутая выше, заработать или не потерять деньги? Нет. Демонстрирует ли она снижение каких-нибудь рисков? Тоже нет. И в чем тогда ее потаенный смысл? И такой же вопрос касательно метрик, связанных с числом обнаруженных вирусов, процентом заблокированного спама, попыток НСД, числом утечек и т.д. и т.п. Ни одна из них никак не влияет на бизнес, а значит она не помогает службе ИБ демонстрировать свою эффективность.
Разумеется, это не значит, что их не надо измерять и применять на практике. Просто надо четко понимать, что эти примеры - не более чем низкоуровневые метрики для оценки эффективности продуктов. Это полезно, чтобы знать, насколько хорош тот или иной продукт, но совсем недостаточно, чтобы демонстрировать эти метрики бизнесу.
