Что общего между SOCом и онлайн-мероприятиями по ИБ? Ложь в цифрах!

Недавно в своём блоге бизнес-консультант по безопасности Cisco Алексей Лукацкий сравнил SOC и онлайн-мероприятия по ИБ, отметив, что их роднит ложь в цифрах. Заинтригованы? Давайте разбираться.

«Выборы президента США навели меня тут на рассуждения о том, как умело манипулируют цифрами то демократы, то республиканцы и как это похоже на то, что происходит в центрах мониторинга ИБ, а именно при визуализации ключевых показателей эффективности SOC. Аналогичные манипуляции используют и организаторы онлайн-мероприятий по ИБ, которые пытаются их продавать, используя всё те уловки, что и при подсчёте голосов или числа инцидентов», — написал Алексей Лукацкий.

Однако на такую мысль его навели не только выборы президента в США. Ещё одним толчком к размышлению стал недавно проведённый господином Лукацким вебинар по повышению уровня осведомлённости сотрудников в области ИБ для одной компании. По его словам, ему обещали нагнать 400 человек, почти весь персонал, однако в день мероприятия он увидел только 36 слушателей. До конца его дослушали лишь 32 человека.

«Каков эффект от мероприятия мне неизвестно, но в письме, которое служба ИБ направила своему руководству, фигурировало число 400, красиво обёрнутое фразой «информация о мероприятии была доведена до 400 человек». Но мы же прекрасно понимаем, что это совсем не то, что было в реальности. Аналогичная ситуация и с онлайн-мероприятиями, а я за последние почти 9 месяцев поучаствовал в многих из них», — рассказал он.

Как правило, организаторы онлайн-мероприятий любят хвалиться числом зарегистрировавшихся участников. Но ведь важнее, не сколько человек зарегистрировались, а сколько их них вообще пришло на вебинар. При этом, по словам Алексея Лукацкого, лучше всего считать именно тех, кто действительно дослушал до конца.

«Считать надо не число пришедших, а число дослушавших до конца. Причём именно дослушавших, а не досидевших. Вы же понимаете разницу, да? Первые держали окно плейера или вкладку браузера поверх всех остальных окон и, скорее всего, слушали вебинар (конечно, есть вероятность, что они просто свалили пожрать в это время, но это отдельная тема). А вот вторые могли просто включить вебинар, отключить звук и заниматься своими делами. Поэтому, говоря об эффективности онлайн-мероприятия, хвалиться надо не числом регистраций (хотя эта цифра лучше продаётся), а числом активно дослушавших до конца», — отметил он.

Как написал Алексей Лукацкий далее, в SOC ровно тоже самое — показывать надо не число событий безопасности, и даже не число инцидентов, а число тех инцидентов, которые не были закрыты в течение заданного для данного типо инцидента времени. Именно это будет показывать один из срезов реальной работы SOC. Хотя этот показатель может быть и не очень приятным. В качестве примера он приводит число ежедневно зафиксированных событий ИБ в инфраструктуре Cisco — 1,2 трлн. Однако, надо понимать, что многих из них ложные, а многие — малоинтересны. Если просеять все события через различные фильтры, убрать ложные срабатывания, провести анализ и корреляцию, а потом из оставшихся выбрать только критичные, то в конечном итоге в Cisco остается на отработку их SOCом всего 22 инцидента в день.

«В заключение хочу повторить мысль, с которой я начинал заметку. Понятно, что красивые и большие числа всегда интереснее небольших. Именно первые хочется вынести на дашборд SOC или отобразить в отчёте службы ИБ; а организаторам онлайн-мероприятий показать покупателям. Но увы, как и в случае с выборами, надо смотреть за пределы этих очевидных KPI. Тогда оценка эффективности будет более эффективной. Уж простите за тавтологию...», — заключил Алексей Лукацкий.

И у вас с нами есть реальная возможность проверить его догадки на практике! Ведь 1 декабря пройдёт одно из самых масштабных мероприятий по ИБ —  SOC-Форум Live — в онлайн-режиме. Регистрация уже открыта. Регистрируйтесь, активно участвуйте, выигрывайте призы, узнавайте новое, общайтесь с единомышленниками и будьте именно теми, кто действительно дослушивает до конца! А мы постараемся не накручивать цифры и давать реальную статистику.

13 ноября, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.07.2025
«Национальный мессенджер» закрыл первый миллион
01.07.2025
МТС приготовила всем по маленькому «большому брату»
01.07.2025
NCSC заманивает компании к участию в программе, страдающей из-за недостатка интереса
30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных