Что общего между SOCом и онлайн-мероприятиями по ИБ? Ложь в цифрах!

Недавно в своём блоге бизнес-консультант по безопасности Cisco Алексей Лукацкий сравнил SOC и онлайн-мероприятия по ИБ, отметив, что их роднит ложь в цифрах. Заинтригованы? Давайте разбираться.

«Выборы президента США навели меня тут на рассуждения о том, как умело манипулируют цифрами то демократы, то республиканцы и как это похоже на то, что происходит в центрах мониторинга ИБ, а именно при визуализации ключевых показателей эффективности SOC. Аналогичные манипуляции используют и организаторы онлайн-мероприятий по ИБ, которые пытаются их продавать, используя всё те уловки, что и при подсчёте голосов или числа инцидентов», — написал Алексей Лукацкий.

Однако на такую мысль его навели не только выборы президента в США. Ещё одним толчком к размышлению стал недавно проведённый господином Лукацким вебинар по повышению уровня осведомлённости сотрудников в области ИБ для одной компании. По его словам, ему обещали нагнать 400 человек, почти весь персонал, однако в день мероприятия он увидел только 36 слушателей. До конца его дослушали лишь 32 человека.

«Каков эффект от мероприятия мне неизвестно, но в письме, которое служба ИБ направила своему руководству, фигурировало число 400, красиво обёрнутое фразой «информация о мероприятии была доведена до 400 человек». Но мы же прекрасно понимаем, что это совсем не то, что было в реальности. Аналогичная ситуация и с онлайн-мероприятиями, а я за последние почти 9 месяцев поучаствовал в многих из них», — рассказал он.

Как правило, организаторы онлайн-мероприятий любят хвалиться числом зарегистрировавшихся участников. Но ведь важнее, не сколько человек зарегистрировались, а сколько их них вообще пришло на вебинар. При этом, по словам Алексея Лукацкого, лучше всего считать именно тех, кто действительно дослушал до конца.

«Считать надо не число пришедших, а число дослушавших до конца. Причём именно дослушавших, а не досидевших. Вы же понимаете разницу, да? Первые держали окно плейера или вкладку браузера поверх всех остальных окон и, скорее всего, слушали вебинар (конечно, есть вероятность, что они просто свалили пожрать в это время, но это отдельная тема). А вот вторые могли просто включить вебинар, отключить звук и заниматься своими делами. Поэтому, говоря об эффективности онлайн-мероприятия, хвалиться надо не числом регистраций (хотя эта цифра лучше продаётся), а числом активно дослушавших до конца», — отметил он.

Как написал Алексей Лукацкий далее, в SOC ровно тоже самое — показывать надо не число событий безопасности, и даже не число инцидентов, а число тех инцидентов, которые не были закрыты в течение заданного для данного типо инцидента времени. Именно это будет показывать один из срезов реальной работы SOC. Хотя этот показатель может быть и не очень приятным. В качестве примера он приводит число ежедневно зафиксированных событий ИБ в инфраструктуре Cisco — 1,2 трлн. Однако, надо понимать, что многих из них ложные, а многие — малоинтересны. Если просеять все события через различные фильтры, убрать ложные срабатывания, провести анализ и корреляцию, а потом из оставшихся выбрать только критичные, то в конечном итоге в Cisco остается на отработку их SOCом всего 22 инцидента в день.

«В заключение хочу повторить мысль, с которой я начинал заметку. Понятно, что красивые и большие числа всегда интереснее небольших. Именно первые хочется вынести на дашборд SOC или отобразить в отчёте службы ИБ; а организаторам онлайн-мероприятий показать покупателям. Но увы, как и в случае с выборами, надо смотреть за пределы этих очевидных KPI. Тогда оценка эффективности будет более эффективной. Уж простите за тавтологию...», — заключил Алексей Лукацкий.

И у вас с нами есть реальная возможность проверить его догадки на практике! Ведь 1 декабря пройдёт одно из самых масштабных мероприятий по ИБ —  SOC-Форум Live — в онлайн-режиме. Регистрация уже открыта. Регистрируйтесь, активно участвуйте, выигрывайте призы, узнавайте новое, общайтесь с единомышленниками и будьте именно теми, кто действительно дослушивает до конца! А мы постараемся не накручивать цифры и давать реальную статистику.

13 ноября, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.12.2022
Операторы должны будут отчитаться обо всех подменных номерах
06.12.2022
«Её цель — причинить неудобства клиентам банка, затруднив работу банковских сервисов»
06.12.2022
Китайские госхакеры похитили коронавирусные пособия американцев
06.12.2022
Пакет №9. ЕС присматривается к новым российским банкам?
05.12.2022
Эксперты — о популярных скамерских сценариях в этом году
05.12.2022
Акт второй. Утекла корпоративная база данных сети DNS
05.12.2022
В App Store появилось приложение с функциями удалённого сервиса от «Альфа-Банка»
05.12.2022
«В следующем году крипта будет в легальном поле»
02.12.2022
«Банк России выступает за запрет допуска криптовалют в регулируемую финансовую систему»
02.12.2022
В реестре российского ПО зарегистрирован новый программный продукт DosGate, защищающий ИТ-инфраструктуру компаний от DDoS-атак

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных