Метрики ИБ для директора: почему количество вирусов - плохой KPI

На ежеквартальном отчёте по ИБ руководитель видит таблицу: заблокировано 4 712 вирусов, отклонено 38 000 спам-писем, закрыто 17 уязвимостей. Цифры большие и убедительные. Но ответить на вопрос "насколько компания защищена?" они не помогают.

Это не проблема руководителя, который "не понимает технологии". Это проблема отчётности, которая измеряет активность вместо состояния.

Чем плохи счётчики событий

Количество заблокированных вирусов говорит о том, что антивирус работает. Но оно не говорит, прошёл ли хоть один вирус. Количество закрытых уязвимостей не показывает, сколько открытых осталось и насколько они критичны. Количество инцидентов зависит от того, что компания считает инцидентом и насколько хорошо она умеет их обнаруживать.

Самый опасный вывод из таких отчётов: "у нас всё хорошо, потому что цифры большие". На практике большие счётчики часто означают лишь то, что система много шумит.

Три вопроса, которые стоит задавать

Вместо технических счётчиков я предлагаю руководителям задавать три вопроса про реальное состояние безопасности.

Первый: если что-то пойдёт не так - как быстро мы это заметим?

Это время обнаружения. В большинстве компаний оно измеряется не часами, а днями или неделями. Компании, которые узнают о взломе от внешних источников, а не от собственной системы мониторинга, - это не исключение, это норма. Время обнаружения - это метрика, которую директор может понять и отслеживать. Отправная точка для такой способности к обнаружению - относиться к логам как к операционному материалу, а не как к фоновому шуму.

Второй: какой сценарий для нас наиболее критичен?

Не вообще "что может случиться", а конкретно: утечка клиентской базы, остановка производственной системы, компрометация финансовых счетов. Для каждого такого сценария стоит понимать, есть ли у компании способность его выявить и остановить. Это честнее, чем общая "оценка уровня защиты".

Третий: что мы не сможем восстановить, если серьёзный инцидент всё же случится?

Устойчивость к инцидентам - это отдельный вопрос от предотвращения. Компания, у которой нет работающих резервных копий критичных данных, уязвима вне зависимости от того, сколько вирусов заблокировал периметр.

Как выглядит полезный отчёт по ИБ

Хороший отчёт для руководителя - это не таблица событий. Это короткий ответ на три вопроса:

• Что изменилось в профиле рисков за период - появились ли новые угрозы, уязвимые системы, инциденты, которые стоит разобрать?
• Что сделано для ключевых сценариев - выявлены ли критичные точки, проверена ли способность восстановиться?
• Что требует решения на уровне бизнеса - ресурсы, приоритеты, изменения в процессах?

Всё это умещается в одну страницу. Если отчёт не умещается, он, вероятно, написан для технического специалиста, а не для директора.

Простой тест для руководителя

Есть один вопрос, который я советую задавать раз в квартал тем, кто отвечает за ИБ в компании: "Если завтра утром кто-то получит доступ к нашей клиентской базе - через сколько времени мы об этом узнаем?"

Если ответ уверенный и конкретный - хорошо. Если ответ размытый или сводится к "ну, скорее всего заметим" - это и есть настоящее состояние безопасности, которое стоит обсуждать, а не счётчик заблокированных писем.