четвер, 18 липня 2013 р.

Промахи CISO: Метрики

Чем нужно вооружиться, что бы двигаться к цели и достичь ее? Что нужно иметь, что бы оценить эффективность работы? Без чего невозможно принять решение?


Ну, конечно же речь идет о метриках.
Что бы мы ни делали, чем бы ни занимались, нам необходимо оценивать наши действия, нам надо понимать, где мы находимся и куда нам двигаться. У нас прогресс или регресс?

В поисках ответов на эти вопросы активно используются различные метрики.
Метрика - мера количественной оценки, используемая для измерения, сравнения или для отслеживания эффективности или производительности.
Как видно из определения, метрики бывают разные: у продавцов свои, у логистов свои, у финансистов свои…
Есть свои метрики и у ИБшников.

Интересное исследование о состоянии управления ИБ при использовании подхода основанного на оценке рисков проводит Tripwire, взяв в помощники Ponemon Institutе.

Исследование адресовано показать, как организации применяют аналитические методы для того, что бы определить и оценить риски в области безопасности, которые влияют на информационные ресурсы и ИТ-инфраструктуры.

Недавно опубликован второй отчет исследования, посвященный Метрикам Безопасности (Security Metrics).
Опустим слова и посмотрим на цифры, они достаточно красноречивы:

Опрошено 1 320 профессионалов в области информационной безопасности, управления информационными рисками и ИТ-операций из США и Великобритании.
  • 75% опрошенных, считают, что метрики «важны» и «очень важны», при использовании risk-based подхода
  • 53% не верят или не уверенны, что Метрики Безопасности, которые используют их организации, должным образом увязаны с целями бизнеса
  • 51% не верят или не уверенны, что используемые Метрики Безопасности адекватно доносят до понимания руководителей эффективность усилий по управлению рисками безопасности
Что мешает создать метрики которые будут понятны руководству?
  • 59% ратуют на то, что озвучиваемая информация слишком «техническая» и, как следствие, не воспринимается руководителями-«не технарями»
  • 48% считают, что, как правило, есть более приоритетные вопросы
  • 40% говорят, что диалог с руководством, происходит только тогда, когда случается инцидент
  • 18% придерживаются мнения, что высшему руководству ИБ просто не интересна

Вот такие у них дела. На первый взгляд, как по мне, то не очень…

А вот в русскоязычной блогсфере, вопросы связанные с метриками безопасности, как то не обсуждаются. Наверное, мы просто это делаем лучше, чем они.
А может другая причина?

Немає коментарів:

Дописати коментар