Indicatorii securității IT

 

Citeam articolul The challenge for cybersecurity is to find leadership și mi-am adus aminte de dictonul lui Druker:

If you can’t measure it, you can’t manage it.

Depinde însă ce și cum măsori!

Indicatorii securității IT (metricii) AU O RELEVANȚĂ REDUSĂ PENTRU ACTIVITĂȚILE ECONOMICE ALE UNEI COMPANII.

Știu că este foarte posibil ca unii dintre care citesc cele de mai sus să fie contrariați.

Dar dacă acelor indicatori nu le asociem o valoare obiectivă, vor rămîne fără semnificație! Procentajul în creștere/scădere în timp al unui indicator ce transmite? În cel mai fericit caz o îmbunătățire. Dacă indicatorii pe care îi calculăm nu au nici o semnificație pentru mangement, cum vor putea să influențeze deciziile acestora ?

Crede cineva că, mergînd pe modelele probabilistice cu privire la amenințări, va fi cheia implicării managementului în zona securității IT?

Dacă vrem metrici cu relevanță ar trebui să îi dezvoltăm împreună cu managementul din zona economică, pe nivelurile lor de competență: operațional, tactic și strategic. Să pornim de la responsabilitățile și deciziile pe care le au de luat în baza acestor responsabilități.

Exemplul 1: indicator pentru managementul disponibilității:

Număr întreruperi majore in funcționarea sistemelor, nerezolvate in 2 ore

Cui se adresează acest indicator? Cum îl calculez/măsor? Cu ce costuri? După ce îl calculez, ce decizie voi lua? Cum voi fundamenta decizia?

Eu l-aș reformula astfel:

Timpul de întrerupere al calculatoarelor/sistemelor utilizate în procesele critice datorat evenimentelor de securitate și impactul în termeni financiari.

Dacă sîntem de acord că securitatea informațiilor implică asigurarea disponibilității, atunci procesele critice vor fi afectate. Estimarea impactului financiar va oferi o bază suficient de bună pentru a identifica controalele suplimentare! Avem astfel un indicator pentru management, cu implicații însă la nivel strategic.

 

Exemplul 2: incidente interne de securitate informatică

Număr mediu de zile de la identificarea unui incident de securitate pană la rezolvarea acestuia;

Sîntem de acord că securitatea informațiilor este critică, dar ne raportăm la zile? Dacă luna trecută acest indicator era 4 și luna asta va fi 2, înseamnă că am evoluat pozitiv? Timpul necesar pentru a răspunde la un incident de securitate, de obicei, corespunde îndeaproape cu timpul de nefuncționare sau timpul în care trebuie să aibă loc operațiuni limitate, ambele putînd fi traduse în pierderi financiare.

Cine ar trebui să stabilească criticalitatea prin raportarea la unitatea de timp: ore sau zile? Calculăm metrici la nivel de proces sau/și la nivel de activitate?

5 gânduri despre “Indicatorii securității IT

  1. Salut Adi,

    „Exemplul 1: indicator pentru managementul disponibilității:

    Număr întreruperi majore in funcționarea sistemelor, nerezolvate in 2 ore

    Cui se adresează acest indicator? Cum îl calculez/măsor? Cu ce costuri? După ce îl calculez, ce decizie voi lua? Cum voi fundamenta decizia?”

    Eu inteleg 2 cuvinte aici: „MAO breaches”.

    Apreciază

      • Salut Ștefan,

        Am luat la întîmplare din cei peste 130 de indicatori propuși în instrucțiunea ASF. Reiau opinia mea: decît să calculez ceva de dragul de a avea numere, mai bine lipsă. Există o evoluție cît se poate de naturală după care lucrurile se rezolvă de la sine🙂, în timp, în ciclul lor de viață.
        Mai mult, cred că efectul instrucțiunii (obiectivul declarat este de apreciat) va duce la vînzarea la colț de strada a multe topuri de hîrtii fără valoare. Esența însă nu va fi atinsă.

        Apreciază

  2. „Instructiunea” sare de la zero la zece fara a trece prin pasi intermediari (pentru ca probabil ca nu ar avea cine sa ii elaboreze). Am discutat si eu cu colegi de-ai mei de pe toate latitudinile Europei si si-au facut cruce. Probabil mediocratia este impulsul in plus pe care ni-l fac reglementatorii pentru a pleca din tara asta. Scapa cine poate.

    Apreciază

    • Subscriu la ce spui.
      Inițial am regretat că nu am participat la discuția de la ASF, deși eram în București. După ce am citit ”minuta”, regretele au dispărut.
      Cred că se poate scrie o carte sau se poate face un studiu de caz pe instrucțiunea asta și pe confuzia dintre termeni/semnificația lor.

      Apreciază

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s