11 Апреля, 2016

TOP причин, почему не работают организационные меры. Четвертое место

Дмитрий Дудко

Изначально в этом топе было 3 позиции, но помедитировав над ним – решил добавить еще один пункт.


4 место – отсутствие метрик


Это несколько абстрактная причина, которую по бытовому можно было бы назвать «никто не знает, как выглядит «хорошо» (или плохо, если вы пессимист). Вернемся к нашему примеру с Альфа-банком. Фактически, услугу я получил (мера отработала), но качество этой меры никто не оценивает (ну, кроме меня, который ходил и возмущался). Банально, я прождал двадцать минут после того, как высветился мой номер электронной очереди, потому что организовали еще и живую очередь.


И речь не только об этих 20 минутах. Если вы занимаетесь ИБ, скажите какие у вас главные KPI по оргмерам? Думаю, не сильно ошибусь, что в топ 3 из них входит – подписание соглашений о конфиденциальности с сотрудниками, и повышение осведомленности раз в год. У нас все хорошо, вот, же метрики. Выполнение – 100%. Чего еще надо?


otricanie


Проблемы начинаются как раз после, в процессах. Эти несчастные 20 минут – это плохо или хорошо? Утечки были? Нет. Это ведь хорошо.


Чутка помедитировав над этим, станет понятно, что у нас не охвачен целый пласт жизни. Наши метрики (количество сотрудников, прошедших тестирование), просто не способны оценивать качество последующей работы с этими условиями. И мы каждый раз удивляемся, а как же это у нас утечка произошла? Да, все просто. В информационной безопасности мы работаем с отрицаниями (это те, что в логике обозначаются палочкой сверху overline{x}). Не-утечка, не-взлом, не-вирус.


Если смотреть на результат, не понятно, что привело к не-взлому. Толи наша хитрая система защиты, толи нам просто повезло. Конечно, методы и метрики оценки таких показателей есть, но вы никогда их не объясните вашему начальству. Вот, и получается, что в безопасности вся система палочная. Чем больше поймали, тем эффективней работаем (кстати, как понятно – при такой системе надо стараться, что бы оргмеры были крайне неэффективными, а то палки закончатся).


Когда-то я был поставлен следить за расшаренными ресурсами. За 2 недели, я закрыл все несанкционированные шары. Мне было о чем отчитаться и дали медаль. А потом, инциденты стали крайне эпизодическими, и я впал в печаль. Конечно, выход был найден, но если бы я был не так молод и горяч, то растянул положительную отчетность месяца на 2. Как вы понимаете, к реальной безопасности это отношения не имеет.


Так и в Альфе, скорее меряют количество обслуживаемых клиентов (палки), а не их удовлетворенность (что вообще хз что).


Конечно, можно выбрать другие метрики , например, количество успешно предотвращенных взломов. Утверждение-то уже положительное! Но это те же яйца, только в профиль. По сути, это производная от исходного не-взлома.


В сухом остатке: существующие методы оценки организационных мер, входят в конфликт с KPI безопасников и работников. Конфликт разрешается в пользу KPI. Надо вводить качественные оценки.