Как измерить эффективность своей СБ?

[Lang]

По текущей деятельности - только по статистике, по "страховой схеме".

Т.е. известен набор операций, средняя их продолжительность, частота возникновения тех или иных задач/появления той или иной информации.

Разумеется, будет погрешность. Чем больше объем работ/число заказчиков - тем погрешность в целом меньше.

Но это что касается оценки затрат и ресурсов.

На контролируемые параметры это влиять не должно.

 

В случае защиты объекта схема сработает без проблем - параметры достаточно явные.

Как пример: Бесперебойность функционирования системы, число заблокированных попыток несанкционированного доступа, число ложных срабатываний, число реализованных нарушений, время реагирования и т.п.

 

В случае КР схема будет более сложной. Это не конвейер, согласен, а предложенная схема разрабатывалась в первую очередь для непрерывных однородных процессов.

 

Для мониторинга рынка я бы такие параметры эффективности задал:

1. Время реагирования на изменение ситуации

2. Широта и качество базы наблюдения

3. Порог срабатывания (уровень изменений, вызывающий реакцию)

4. Вероятность ложного реагирования

5. Точность прогнозирования

 

Как оценить эффективность паука? По числу съеденых/уцелевших мух и толщине брюха... :)

1. Время реагирования на пролетевшую муху (успеть прибежать, когда паутина затряслась)

2. Размер (и прочность) паутины

3. Чувствительность (не пропустить вкусного комара)

4. Селективность (не бегать за блохой)

5. Заранее знать траекторию мух :)

 

 

 

 

[Игорь Кузичев]

Несколько мыслей по поводу собственно темы данной дискуссии!

1. Жаль, что в данном обсуждении пока не приняли участие предприниматели и руководители. Этот вопрос их должен волновать в первую очередь. Но отрицательный результат - это тоже результат. (Либо они не ходят на наш сайт, либо они даже не понимают в чем собственно вопрос и какое отношение этот вопрос имеет к ним)

2. Чтобы измерить эффективность надо вооружиться экономическим аппаратом. Сначала необходимо расчитать стоимость риска, ущерба. И это уметь надо. Затем посчитать затраты/стоимость мероприятий по предупреждению, минимизации или пресечению риска/ущерба. Сравнить полученные значения и вы получите результат. Эффективность со знаком плюс или минус. Это только один и самый простой способ измерения. Но далеко не единственный, хотя эффективный!

3. Если бизнесмен не может расчитать размер ущерба/риска, то он и не сможет измерить эффективность. Ему пока рано.

Господа! А что думаете вы?

 

[Lang]

Согласен, что расчет рисков - хороший базис для расчета эффективности.

Но реализации такого подхода пока не видел. Пожалуй, только в области информационной безопасности есть нечто подобное.

Там есть хорошая статистика. Правда, финансовая оценка рисков (особенно реализовавшися) вызывает серьезные сомнения - слишком легко списать свои потери на неведомых хакеров.

 

Сначала необходимо расчитать стоимость риска, ущерба.

 

Вероятно, сначала надо понять, что та или иная услуга дает бизнесу. Это может быть и увеличение прибыли, и снижение рисков. А может быть, эта услуга и вовсе не нужна :)

Попытаться построить некоторую метрику взаимодействия (или влияния) обеспечивающего сервиса (например, КР или физической защиты) на основной бизнес.

 

Затем, да, рассчитать риски. Как это сделать без серьезной статистики - не знаю. Использовать аналогии - по моему, не очень серьезно. Экспертная оценка.... не знаю, насколько велика будет погрешность.

 

3. Если бизнесмен не может расчитать размер ущерба/риска, то он и не сможет измерить эффективность. Ему пока рано.

 

Ох, боюсь, не скоро у нас бизнесмены появятся :))

Как правило, бизнес-заказчик хорошо считает риски основного бизнеса. Риски же, связанные с обеспечением бизнеса далеко не всегда отслеживаются. Особенно если соответствующие обеспечивающие службы хорошо работают. Это как воздух. Пока не испортится, его не чувствуешь...

 

 

[Игорь Кузичев]

Уважаемый Lang!

Для продолжения дискуссии необходимо ввести базовое понятие: предпринимательская деятельность - самостоятельная деятельность осуществляемая на свой риск с целью получения прибыли (выжимка из статьи 2 Гражданского Кодекса РФ). Как Вы видите в базовом определении бизнеса присутствует слово риск. Поэтому, умение расчитывать риски это первейшая необходимость для предпринимателя. Только кто об этом знает?

О безопасности. Если не знаешь стоимость ущерба от рисков и угроз (эти два термина не синонимы), то вопрос о целеесообразности СБ, КР, ДР переходит из экономического раздряда в сугубо эмоциональное русло (например: один - это куча? а десять? Десять - куча, а один не куча. Этот подход не к профессионалам в области безопасности, а скорее к психологам или "логопедам".

В отношении Вашего предположения "...ох уж не скоро..." А что делать? Другого пути все равно нет. Так что обучать надо наших предпринимателей. А без этого - никак!

[Lang]

Игорь, согласен полностью, но здесь еще один вопрос вознткает.

Владелец бизнеса (и топ-менеджмент) прекрасно ориентируется в своем бизнесе. Но зачастую не может говорить на одном языке с "непрофильными" специалистами.

Классический пример - информационные технологии, связь, прочий хайтек, обеспечивающий бизнес.

И в крупных конторах появляются специализированные службы заказчика, представляющие интересы бизнеса, но обладающие компетенцией в специальных вопросах. Своеобразный интерфейс.

И именно служба заказчика (читай по старому - военпреды :) ) способна (должна быть способна) оценить риски, возникающие при применении (неприменении) специальных технологий.