Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Даже после принятия более удобной формулировки понятия «измерение» (как наблюдения, уменьшающего неопределенность) некоторые вещи кажутся неизмеримыми, из-за того что мы просто не понимаем, что имеем в виду, когда впервые задаемся вопросом об их измерении. То есть мы не можем однозначно определить объект измерения. Если кто-то интересуется, как измерить «ущерб репутации», или «угрозу», или «срыв рабочего процесса», то достаточно спросить: «Что вы имеете в виду?» Любопытно, как часто люди затем уточняют термин, так что он сам по себе уже почти отвечает на вопрос об измерении.

Как только становится ясно, что имеется в виду и почему это важно, проблема начинает казаться гораздо более измеримой. На этом первом уровне анализа один из авторов, Хаббард, обычно проводит так называемые семинары по разъяснению. Они сводятся к тому, что клиенты заявляют конкретный, но изначально двусмысленный предмет, который требуется измерить. А затем им просто задаются вопросы: «Что вы имеете в виду под [указать нужное]?» и «Почему вас это волнует?»

Такой подход применим к широкому спектру проблем измерения, и кибербезопасность не исключение. В 2000 году, когда министерство по делам ветеранов обратилось к Хаббарду за помощью в определении показателей эффективности того, что они называли IT-безопасностью, Хаббард спросил: «Что вы подразумеваете под IT-безопасностью?» В ходе двух или трех семинаров сотрудники министерства дали ему точное определение: выяснилось, что под IT-безопасностью они понимали такие параметры, как снижение числа проникновений и заражений вирусами. Далее они пояснили, что подобные вещи влияют на министерство через мошенничество, потерю производительности или даже потенциальную юридическую ответственность (которой им едва удалось избежать, когда в 2006 году был найден украденный у них ноутбук с хранившимися на нем номерами социального страхования 26,5 млн ветеранов). Все выявленные в итоге воздействия почти в каждом случае оказались явно измеряемыми. Понятие «безопасность» было расплывчатым, пока его не разложили на компоненты, которые на самом деле хотели изучить.

То, что мы называем «цепочкой разъяснений», – всего лишь короткая серия рассуждений, которая должна помочь нам перейти от восприятия объекта как нематериального к восприятию его как осязаемого. Во-первых, следует признать, что если Х – волнующая нас проблема, то по определению X можно каким-то образом выявить. Зачем бы нам волноваться о таких вещах, как «качество», «риск», «безопасность» или «имидж», если бы они никак не проявлялись ни прямо, ни косвенно? Единственная причина переживать из-за какой-то неизвестной величины – уверенность, что она каким-то образом соотносится с желаемым или нежелательным результатом. Во-вторых, если этот объект можно выявить, то выявлен он будет в каком-то объеме. То есть раз объект вообще можно наблюдать, значит, его можно наблюдать в большем или меньшем количестве. Как только мы признаем это, последний шаг, возможно, станет самым простым: если можно наблюдать объект в каком-то количестве, то он должен быть измеримым.

Если цепочка разъяснений не сработает, можно попробовать то, что ученые называют «мысленным экспериментом». Представьте, что вы – инопланетный ученый, способный клонировать не только овец или даже людей, но и целые организации. Вы создаете две одинаковые организации, называя одну из них тестовой группой, а другую – контрольной. Теперь представьте, что в тестовой группе вами задается небольшое повышение параметра «ущерб репутации», при этом в контрольной группе он остается неизменным. Как думаете, какие изменения (прямые или косвенные) вы увидите в первой организации? Снизятся ли в ближайшей или долгосрочной перспективе продажи? Станет ли труднее набирать новых сотрудников, стремящихся работать в престижных компаниях? Придется ли проводить дорогостоящие пиар-кампании, чтобы компенсировать последствия? Если вы сможете наблюдать хотя бы одно отличие клонированных организаций друг от друга, то уже будете на пути к выяснению, как его измерить.