Citeam articolul The challenge for cybersecurity is to find leadership și mi-am adus aminte de dictonul lui Druker:

If you can’t measure it, you can’t manage it.

Depinde însă ce și cum măsori!

Indicatorii securității IT (metricii) AU O RELEVANȚĂ REDUSĂ PENTRU ACTIVITĂȚILE ECONOMICE ALE UNEI COMPANII.

Știu că este foarte posibil ca unii dintre care citesc cele de mai sus să fie contrariați.

Dar dacă acelor indicatori nu le asociem o valoare obiectivă, vor rămîne fără semnificație! Procentajul în creștere/scădere în timp al unui indicator ce transmite? În cel mai fericit caz o îmbunătățire. Dacă indicatorii pe care îi calculăm nu au nici o semnificație pentru mangement, cum vor putea să influențeze deciziile acestora ?

Crede cineva că, mergînd pe modelele probabilistice cu privire la amenințări, va fi cheia implicării managementului în zona securității IT?

Dacă vrem metrici cu relevanță ar trebui să îi dezvoltăm împreună cu managementul din zona economică, pe nivelurile lor de competență: operațional, tactic și strategic. Să pornim de la responsabilitățile și deciziile pe care le au de luat în baza acestor responsabilități.

Exemplul 1: indicator pentru managementul disponibilității:

Număr întreruperi majore in funcționarea sistemelor, nerezolvate in 2 ore

Cui se adresează acest indicator? Cum îl calculez/măsor? Cu ce costuri? După ce îl calculez, ce decizie voi lua? Cum voi fundamenta decizia?

Eu l-aș reformula astfel:

Timpul de întrerupere al calculatoarelor/sistemelor utilizate în procesele critice datorat evenimentelor de securitate și impactul în termeni financiari.

Dacă sîntem de acord că securitatea informațiilor implică asigurarea disponibilității, atunci procesele critice vor fi afectate. Estimarea impactului financiar va oferi o bază suficient de bună pentru a identifica controalele suplimentare! Avem astfel un indicator pentru management, cu implicații însă la nivel strategic.

Exemplul 2: incidente interne de securitate informatică

Număr mediu de zile de la identificarea unui incident de securitate pană la rezolvarea acestuia;

Sîntem de acord că securitatea informațiilor este critică, dar ne raportăm la zile? Dacă luna trecută acest indicator era 4 și luna asta va fi 2, înseamnă că am evoluat pozitiv? Timpul necesar pentru a răspunde la un incident de securitate, de obicei, corespunde îndeaproape cu timpul de nefuncționare sau timpul în care trebuie să aibă loc operațiuni limitate, ambele putînd fi traduse în pierderi financiare.

Cine ar trebui să stabilească criticalitatea prin raportarea la unitatea de timp: ore sau zile? Calculăm metrici la nivel de proces sau/și la nivel de activitate?