Что общего между SOCом и онлайн-мероприятиями по ИБ? Ложь в цифрах!

Недавно в своём блоге бизнес-консультант по безопасности Cisco Алексей Лукацкий сравнил SOC и онлайн-мероприятия по ИБ, отметив, что их роднит ложь в цифрах. Заинтригованы? Давайте разбираться.

«Выборы президента США навели меня тут на рассуждения о том, как умело манипулируют цифрами то демократы, то республиканцы и как это похоже на то, что происходит в центрах мониторинга ИБ, а именно при визуализации ключевых показателей эффективности SOC. Аналогичные манипуляции используют и организаторы онлайн-мероприятий по ИБ, которые пытаются их продавать, используя всё те уловки, что и при подсчёте голосов или числа инцидентов», — написал Алексей Лукацкий.

Однако на такую мысль его навели не только выборы президента в США. Ещё одним толчком к размышлению стал недавно проведённый господином Лукацким вебинар по повышению уровня осведомлённости сотрудников в области ИБ для одной компании. По его словам, ему обещали нагнать 400 человек, почти весь персонал, однако в день мероприятия он увидел только 36 слушателей. До конца его дослушали лишь 32 человека.

«Каков эффект от мероприятия мне неизвестно, но в письме, которое служба ИБ направила своему руководству, фигурировало число 400, красиво обёрнутое фразой «информация о мероприятии была доведена до 400 человек». Но мы же прекрасно понимаем, что это совсем не то, что было в реальности. Аналогичная ситуация и с онлайн-мероприятиями, а я за последние почти 9 месяцев поучаствовал в многих из них», — рассказал он.

Как правило, организаторы онлайн-мероприятий любят хвалиться числом зарегистрировавшихся участников. Но ведь важнее, не сколько человек зарегистрировались, а сколько их них вообще пришло на вебинар. При этом, по словам Алексея Лукацкого, лучше всего считать именно тех, кто действительно дослушал до конца.

«Считать надо не число пришедших, а число дослушавших до конца. Причём именно дослушавших, а не досидевших. Вы же понимаете разницу, да? Первые держали окно плейера или вкладку браузера поверх всех остальных окон и, скорее всего, слушали вебинар (конечно, есть вероятность, что они просто свалили пожрать в это время, но это отдельная тема). А вот вторые могли просто включить вебинар, отключить звук и заниматься своими делами. Поэтому, говоря об эффективности онлайн-мероприятия, хвалиться надо не числом регистраций (хотя эта цифра лучше продаётся), а числом активно дослушавших до конца», — отметил он.

Как написал Алексей Лукацкий далее, в SOC ровно тоже самое — показывать надо не число событий безопасности, и даже не число инцидентов, а число тех инцидентов, которые не были закрыты в течение заданного для данного типо инцидента времени. Именно это будет показывать один из срезов реальной работы SOC. Хотя этот показатель может быть и не очень приятным. В качестве примера он приводит число ежедневно зафиксированных событий ИБ в инфраструктуре Cisco — 1,2 трлн. Однако, надо понимать, что многих из них ложные, а многие — малоинтересны. Если просеять все события через различные фильтры, убрать ложные срабатывания, провести анализ и корреляцию, а потом из оставшихся выбрать только критичные, то в конечном итоге в Cisco остается на отработку их SOCом всего 22 инцидента в день.

«В заключение хочу повторить мысль, с которой я начинал заметку. Понятно, что красивые и большие числа всегда интереснее небольших. Именно первые хочется вынести на дашборд SOC или отобразить в отчёте службы ИБ; а организаторам онлайн-мероприятий показать покупателям. Но увы, как и в случае с выборами, надо смотреть за пределы этих очевидных KPI. Тогда оценка эффективности будет более эффективной. Уж простите за тавтологию...», — заключил Алексей Лукацкий.

И у вас с нами есть реальная возможность проверить его догадки на практике! Ведь 1 декабря пройдёт одно из самых масштабных мероприятий по ИБ —  SOC-Форум Live — в онлайн-режиме. Регистрация уже открыта. Регистрируйтесь, активно участвуйте, выигрывайте призы, узнавайте новое, общайтесь с единомышленниками и будьте именно теми, кто действительно дослушивает до конца! А мы постараемся не накручивать цифры и давать реальную статистику.

13 ноября, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам
26.03.2024
Банки попросили не вводить оборотные штрафы за утечки. Опять

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных