Действительно ржачно )))) KPI вобще допустимо пользовать в данном ключе? Цель ОИБ - обеспечение информационной безопасности предприятия, защита от цтече конфеденциальной информации и т.д. и т.п. ( если в широком смысле). В конторе должна быть разработана концепция, которой определяется кто, что и как защищает. В соответствии с этой концепцией планируются цели и показатели выполнения плана по достижению целей... вот тебе и KPI ))) Только вот ума не приложу как это переложить на деятельность ОИБ, а главное нафига?)))
Первое что в голову приходит - установить численный порог для: проникающих сообщений спам на электронную почту т.е. например не более Х% от всей электронной корреспонденции; показывать количество "мертвых аккаунтов" пользователей равным 0, т.е. отсутсвие неотключенных/удаленных аккаунтов уволившихся пользователей; показывать стаистику измения прав пользователей в связи с приходящими запросами (по служебкам) т.е. люди перемещаются между отделами или им требуется доступ к новым ресурсам; снимать статистику атак на сервера; ...как-то так
Мне кажется что KPI безопастников - это в основном временные показатели реагирования на угрозы и привентивные меры. Потому что здесь как и у всех безопастников - предотвращенный инцидент должен оплачиваться дороже чем не предотвращенный (пусть и решенный). Тут уж надо руководству доказать, что угроза действительно была но благодоря умелым действиям сотрудников ОИБ и руководителя в частности пресечена на корню!
Не правильно все. KPI отдела информационной безопасности должны быть качественные, а не количественные. К примеру возьмем такие проекты как внедрение КИС, направленных на обеспечение ИБ. Вы внутренний заказчик, погонятель внедренцев. Корпоративные файрволы, блекбери для ТОПов, всякий там антивирус из локальной базы обновляемый, email over corporate VPN и т.д... Заодно и бюджеты выбьете на КИС и т.д. нормальные. Итого планы по развертыванию архитектуры в KPI. Плюс планы по проверкам компьютеров пользователей на нелегальный софт, опять таки пляшите не от кол-ва выявленных нарушений, а от кол-ва осуществленных проверок (=кол-ва пользователей). Потому как главное не наказывать и выявлять, а предупреждать!!! Установка мониторящего софта на сервера и рабочие станции, опять таки вязать все к срокам и объему. Закрыть/открыть всякие USB-порты, избранным оставить DVDромы.... Тут плавающие KPI, привязать к качеству и фидбекам пользователей. О! Кучу регламентов написать и как KPI эту работу представить, кстати немало ее тут будет) И план на год по всей этой деятельности - выполнили план в срок и без превышения бюджета - начальнику 3 оклада) Как-то так.