Πώς να μετρήσετε τον κίνδυνο με ένα καλύτερο OKR.

Έχω γίνει ένας μεγάλος οπαδός του στόχου και του βασικού αποτελέσματος (OKR) σε εταιρείες που τις λαμβάνουν σοβαρά. Θα περιγράψω μια αξιολογημένη μέθοδο που ταιριάζει σε ένα OKR και μετρά τη μείωση (ή αύξηση) ενός επιλεγμένου κινδύνου. Αυτό θα ενημερώσει την απόφαση μιας ομάδας να μειώσει ή να αυξήσει τις προσπάθειες της μηχανικής για να μετριάσει αυτόν τον κίνδυνο προς τα εμπρός.

Αυτή η μέθοδος είναι παρόμοια με το πώς ένας μετεωρολόγος προβλέπει τον καιρό.

Για βαθιές καταδύσεις στα OKR, μπορείτε να το διαβάσετε, να το παρακολουθήσετε ή να το διαβάσετε.

Οι OKR είναι ένας απλός τρόπος για να εκφράσεις έναν κίνητρο και να δεσμευθείς σε μια σύντομη λίστα μετρήσιμων αποτελεσμάτων που ωθούν μια ομάδα προς αυτόν τον στόχο. Μερικές φορές καταρρέουν από την εκτελεστική διοίκηση σε όλους τους υπαλλήλους. Τα OKR είναι μια κοινή πρακτική μεταξύ των εταιρειών τεχνολογίας και των πολλών ομάδων ασφαλείας με τις οποίες συνεργάζομαι.

Πάρτε, για παράδειγμα:

Στόχος: Βελτιώστε τον έλεγχο ταυτότητας από φορητούς υπολογιστές προγραμματιστών στην παραγωγή.

Αυτός ο στόχος δεν είναι κακός, αλλά χάνονται πολλές ευκαιρίες μέτρησης κινδύνου.

Θα μειώσουμε έναν σπάνιο, επιζήμιο κίνδυνο με μια μετρήσιμη μέθοδο.

Αυτοί οι τύποι κινδύνων είναι συνήθως δύσκολο να μετρηθούν.

Τα ιστορικά δεδομένα (που δεν συνέβησαν ποτέ) ενημερώνουν κακώς το μέλλον μας (θα μπορούσε να συμβεί;).

Με μεθόδους πρόβλεψης και εκτίμησης, μπορούμε να μετρήσουμε πόσο πιθανό θα συνέβαινε ένα μελλοντικό σενάριο, ακόμη και αν δεν υπήρχαν ιστορικά δεδομένα για το συγκεκριμένο σενάριο στο παρελθόν. Χρησιμοποιούμε την "αβεβαιότητα" μιας ομάδας ως πληρεξούσιο για τον κίνδυνο, και θα το μετρήσουμε. Θα διαχειριστούμε τις γνωστικές προκαταλήψεις που σχετίζονται με τις προβλέψεις.

ΣΚΟΠΟΣ: Γράψτε έναν στόχο με ένα "σενάριο κινδύνου".

Ο στόχος σας είναι να μειώσετε τον κίνδυνο που εκφράζεται σε ένα σενάριο.

Παρακάτω είναι ο προαναφερόμενος στόχος που γράφτηκε για να μειωθεί ο κίνδυνος. Είναι γραμμένο με κάποια περιθώρια βελτίωσης:

Στόχος: Βελτιώστε τον έλεγχο ταυτότητας από φορητούς υπολογιστές προγραμματιστών στην παραγωγή.

Αυτό δεν είναι αναγκαστικά κακός στόχος, αν και μπορεί να βελτιωθεί με την επανεγγραφή του ως σενάριο.

Στόχος: Μειώστε τον κίνδυνο "Ένας αντίπαλος έχει πρόσβαση στην παραγωγή από ένα φορητό υπολογιστή για προγραμματιστές στο τρίτο τρίμηνο".

Φαίνονται παρόμοια, έτσι;

  • Η κύρια διαφορά είναι ότι ένα σενάριο είναι πιθανοτικό. Οι πιθανές φράσεις μπορούν να προβλεφθούν. Η πρόβλεψη είναι καλά ερεθισμένη, κοινά κατανοητή (π.χ. ο καιρός), ποσοτική και μετρά την αβεβαιότητά σας.

Η αβεβαιότητα είναι εκείνο το πράγμα στον εγκέφαλό σας που σας κάνει να σηκώσετε ένα σύνολο επιλογών ή να αισθανθείτε έντονα για ένα από αυτά. Όπως αποδεικνύεται, η αβεβαιότητα μιας ομάδας μπορεί να μετρηθεί με απλό τρόπο. Πρόκειται να καταστήσουμε την αβεβαιότητα των εμπειρογνωμόνων ως πληρεξούσιο για τον στόχο μας μέτρησης.

  • Η μικρή διαφορά είναι ότι το σενάριο ανταμείβει τη δημιουργικότητα ενός μηχανικού.

Για παράδειγμα, η μείωση του αριθμού των προγραμματιστών που απαιτούν διαπιστευτήρια παραγωγής βελτιώνει τον έλεγχο ταυτότητας; Όχι, αυτό φτάνει λίγο. Αλλά θα μειώσει τον κίνδυνο και το βασικό αποτέλεσμα είναι πιο συμβατό με τον τροποποιημένο στόχο. Αυτός ήταν ο καλύτερος στόχος, επομένως ίσως τα καλύτερα αποτελέσματα μας να είναι καλύτερα ως αποτέλεσμα.

Ο στόχος "σενάριο κινδύνου" δεν προβλέπει μια λύση. Απλώς θέτει μια καθαρή πρόβλεψη. Ένα σενάριο μπορεί να κάνει καλύτερη δουλειά, ορίζοντας τον κίνδυνο ως μελλοντικό γεγονός που πρέπει να αποφευχθεί.

Ένα καλό προβλέψιμο σενάριο περιλαμβάνει ένα στοχαστικό μείγμα μιας απειλής, ενός φορέα, ενός περιουσιακού στοιχείου ή ενός αντίκτυπου. Μπορείτε να αποφασίσετε δημιουργικά για ένα συγκεκριμένο πεδίο ή κίνδυνο, προσθέτοντας τη μείωση ή τη διεύρυνση της ειδικότητας. Μια πρόβλεψη πρέπει να αποφασίσει για ένα συγκεκριμένο χρονοδιάγραμμα.

ΒΑΣΙΚΑ ΑΠΟΤΕΛΕΣΜΑΤΑ: Επιλέξτε ορόσημα ή μετρήσεις και δεσμεύστε σε μια πρόβλεψη.

Πρώτον, το εύκολο πράγμα. Τα Βασικά Αποτελέσματα πρέπει να είναι μετρήσιμα. Στις πρώτες μέρες της Google, η Marisa Meyer δήλωσε:

"Δεν είναι ένα βασικό αποτέλεσμα αν δεν έχει αριθμό."

Μια απλή μορφή μέτρησης είναι δυαδικά επιτεύγματα: 1 για τελειωμένο, 0 αν δεν γίνει. Για παράδειγμα: "Προσθέσαμε την επιχειρηματική εφαρμογή XYZ στην πλατφόρμα Single Sign On". Εάν το κάνατε, θα έχετε ένα "1"!

Ένα άλλο είναι να επιλέξετε μια ποσοτική μέτρηση όπως "διορθώστε τα σφάλματα X" ή "μειώστε τα περιστατικά Χ" ή "μισθώστε Ν μηχανικούς". Αυτά είναι απαραίτητα, κοινά και αντιπροσωπεύουν τους στόχους του έργου και τις επιχειρησιακές μετρήσεις. Πιθανότατα έχετε συνηθίσει σε αυτά. Μπορούν επίσης να κάνουν συμπαθητικά βασικά αποτελέσματα.

Ωστόσο, δεν μετράνε πραγματικά μια μείωση του κινδύνου που συνδέεται με το σενάριό μας. Αντίθετα, είναι ένας δείκτης καθυστερημένης εκτέλεσης της εργασίας. Αυτό το έργο έχει δημιουργήσει αξία στην άμβλυνση ενός κινδύνου, αλλά δεν έχετε μετρήσει πραγματικά μια μείωση του κινδύνου ακόμα. Απλώς υποθέτετε ότι ο κίνδυνος μειώνεται λόγω των προσπαθειών σας.

Αλλά πόσο; Τι θα συμβεί αν αυξηθεί;

Συγκρίνοντας μια μέτρηση ασφαλείας σε σχέση με μια μέτρηση της βεβαιότητας

Οι παραδοσιακές μετρήσεις ασφαλείας είναι πολύ χρήσιμες για την πληροφοριακή αξία τους. Πληροφορούν την αβεβαιότητά μας για έναν κίνδυνο, αλλά δεν αντιπροσωπεύουν τον πιθανοτικό χαρακτήρα του κινδύνου και συχνά δεν εκφράζουν τις τεράστιες αβεβαιότητες που μπορούμε να έχουμε σχετικά με ένα συγκεκριμένο σενάριο.

Για παράδειγμα, πιστεύω ότι η ιστορική καταμέτρηση των τρωτών σημείων ή της συχνότητας των παλινδρομήσεων δεν εκφράζει άμεσα έναν κίνδυνο, αλλά σίγουρα συμβάλλει στην ενημέρωση της αβεβαιότητάς μου για το κατά πόσον θα επέλθει ή όχι ένα σχετικό σενάριο ως αποτέλεσμα αυτών των δεδομένων.

Αυτό οφείλεται στο γεγονός ότι η αξία που εκχωρούμε σε μεμονωμένη μέτρηση βρίσκεται σε συνεχή ροή.

Κάθε συγκεκριμένη μέτρηση μπορεί να είναι το πιο ενημερωτικό μου σημείο δεδομένων ... μέχρι να αντικατασταθεί κάτι. Η εκτίμησή μου θα αποποιούσε τα προηγούμενα δεδομένα αμέσως μετά την ακρόαση νέων πληροφοριών που φωνάζουν "άσχημα" απέναντι στα παλιά δεδομένα ή οποιοδήποτε εύθραυστο μοντέλο που προσπαθήσαμε να δημιουργήσουμε γι 'αυτό το θέμα.

Τώρα ας φτάσουμε στο "σκληρό μέρος". Ας κάνουμε αυτό το OKR.

Αυτό είναι πραγματικά πολύ εύκολο όταν παίρνετε το κρέμονται από αυτό.

Ένα παράδειγμα του OKR που έχει σχεδιαστεί για μέτρηση:

Όπως αναφέρθηκε, πρόκειται να οικοδομήσουμε αυτό το OKR, ώστε να είναι συμβατό με τη μέτρηση κινδύνου με τεχνικές πρόβλεψης και εκτίμησης.

Ακολουθεί ένα παράδειγμα του OKR για μια μικρή ομάδα ασφάλειας του AWS:

Σκοπός:

Μειώστε την πιθανότητα "Το πιστοποιητικό παραγωγής AWS ήταν εκτεθειμένο στο κοινό στο τρίτο τρίμηνο".

Βασικά αποτελέσματα:

  1. Οι δεσμεύσεις που αναφέρονται στο AWS_SECRET_KEY εμφανίζονται στο #security slack.
  2. Ο αγωγός photobackup θα μεταφερθεί σε ρόλο AWS.
  3. Ολοκληρώστε τον αγωγό συναγερμού μαϊμού για την ανίχνευση κατά την κλήση.
  4. Συμπληρώστε μια πρόβλεψη πριν και μετά, και το κυνήγι CloudTrail.

Τα πρώτα αποτελέσματα κλειδιών (1-3) δεν απαιτούν συζήτηση. Αυτά είναι μόνο η εκτέλεση του έργου μηχανουργείο, και μπορείτε να επιλέξετε ό, τι θέλετε. Το τελευταίο βασικό αποτέλεσμα (# 4) είναι αυτό που θα επικεντρωθούμε στο μέλλον.

Για να μετρήσουμε αυτό το σενάριο κινδύνου, θα χρησιμοποιήσουμε μια ομάδα προβλέψεων. Αυτό θα ενισχύσει την ικανότητά μας να μετρήσουμε το υποκείμενο σενάριο κινδύνου της OKR με πιθανοτικό τρόπο.

1. Πριν ξεκινήσετε την εργασία: Πρόβλεψη "βασικής γραμμής".

Ας υποθέσουμε ότι αυτό είναι ένα OKR για το τρίτο τρίμηνο του έτους. Στις αρχές Ιουνίου, μερικά ποικίλα και εκπαιδευμένα άτομα εξοικειωμένα με την OKR θα προβλέψουν την πιθανότητα να υπάρξει σενάριο με πιθανοτικούς όρους (ποσοστό πιστεύω).

Οι συμμετέχοντες μας είναι το Monkey (), το Unicorn (), το Cow () και το Penguin (). Καθορίζουμε για λίγο τους πιθανούς όρους (online εκπαίδευση). Έχουν πρόσβαση σε οποιεσδήποτε μετρήσεις, μοντέλα, μεταθανάτια, έλεγχος συμβούλων ή διαγράμματα υποδομής που είναι διαθέσιμα. Είναι όλα χρήσιμα και ενημερώνει τις προβλέψεις τους.

Οι παραπάνω προβλέψεις έχουν 78% βεβαιότητα ότι το κυνήγι CloudTrail δεν θα αποκαλύψει κανένα περιστατικό. Υπάρχει 14% βεβαιότητα ότι ένα περιστατικό θα μπορούσε να ανακαλυφθεί, και 6% βεβαιότητα ότι θα είμαστε σε πραγματικά μεγάλο πρόβλημα.

Τώρα, θεωρήστε ότι μια απάντηση 33% από την ομάδα για κάθε κατηγορία θα έδειχνε πλήρη αβεβαιότητα, σαν να έχουν κυριολεκτικά καμία πληροφορία ή γνώμη. Το σενάριο θα μπορούσε να έχει γραφτεί σε άλλη γλώσσα, για παράδειγμα. Αυτό δεν συμβαίνει εδώ, οι συμμετέχοντες δεν πιστεύουν ότι κάθε επιλογή είναι ίση με την άλλη. Πιστεύουν ότι είναι πολύ πιθανό ότι δεν θα συμβεί κάποιο περιστατικό, δεδομένης της γνώσης του περιβάλλοντος και πιθανών απειλών.

Έτσι, αυτή η ομάδα εκφράζει μια άποψη με πιθανολογικούς όρους ότι είναι πολύ πιθανό ότι δεν θα υπάρξει ένα περιστατικό σε αυτό το χρονικό πλαίσιο. Όμως, ένα περιστατικό που ανακαλύπτεται δεν είναι εντελώς έξω από το ερώτημα. Συμβαίνει σε πολλές άλλες εταιρείες. Πρέπει να πιστέψουν ότι υπάρχει κάποια μικρή πιθανότητα να συμβεί.

Στην πραγματικότητα, ένας κριτής (Monkey ) φαίνεται πιο σίγουρος ότι κάτι θα βρεθεί.

Είναι εντάξει ότι ο Monkey έχει διαφορετική γνώμη από την ομάδα. Θα το συζητήσουμε αργότερα - δεν υπάρχει λόγος να συμφωνήσει η ομάδα!

2. Τώρα κάνετε την εργασία σας, σημειώστε πρόοδο ως συνήθως.

Η μέση του τριμήνου επικεντρώνεται στην επίτευξη των στόχων σας ως συνήθως. Απλά δουλεύει.

Όπως ανέφεραν οι στόχοι μας, η ομάδα δημιουργεί προειδοποίηση, επαναπροσδιορίζει μια εφαρμογή για να χρησιμοποιήσει τους ρόλους AWS και αναπτύσσει τον Monkey Security. Ας ελπίσουμε ότι θα πάνε καλά και θα τελειώσουν όλα!

Αυτή η μέθοδος δεν επηρεάζει την καθημερινή εργασία που κάνετε. Απλά καθοδηγεί την εργασία για ένα μετρήσιμο αποτέλεσμα. Αντιμετωπίστε τον κίνδυνο, ωστόσο, κανονικά.

3. EOQ. Πραγματοποιήσαμε πρόοδο! Τώρα συγκρίνουμε με τη βασική γραμμή.

Δεσμευόμαστε να κάνουμε δύο πράγματα στο τέλος του τριμήνου.

Πρώτον, προσπαθούμε να κυνηγάμε το κούτσουρο του CloudTrail με έλεγχο και να δούμε αν μπορούμε να αποφύγουμε τυχόν συμβάντα P0 από τις ερευνητικές μας προσπάθειες.

Δεύτερον, η ομάδα μετρά και πάλι, εκτός από την αβεβαιότητά μας για το επόμενο τρίμηνο (Q4).

Ο πίνακας μας είναι οπλισμένος με νέες γνώσεις. Η πρόοδος αυτής της τρίμηνης χρονιάς και το αποτέλεσμα του κυνηγιού CloudTrail θα έχουν αλλάξει σε μεγάλο βαθμό τις απόψεις μας σχετικά με αυτό το σενάριο.

Ας υποθέσουμε ότι η ομάδα κατάφερε να πετύχει τα άλλα βασικά αποτελέσματά της και η εκτίμηση των παραβιάσεων επανήλθε καθαρή.

Πρόβλεψη ξανά. Εδώ είναι τα αποτελέσματα.

Τώρα μπορούμε να παρατηρήσουμε πόση βεβαιότητα έχει κερδίσει η ομάδα ή χάσει, με βάση τις προσπάθειές της. Σε αυτό το παράδειγμα, οι πεποιθήσεις μας τείνουν ευνοϊκά ακόμη περισσότερο προς την κατεύθυνση της βεβαιότητας (μακριά από το 33%). Η δουλειά μας επηρεάζει την βεβαιότητα της επιτροπής μας; Αυτή η επιτροπή το πιστεύει.

Σε αυτήν την περίπτωση, βελτιώσαμε τη βεβαιότητά μας γύρω από αυτόν τον κίνδυνο. Έχουμε ποσοτική βελτίωση 5% προς τη σωστή κατεύθυνση.

4. Κάντε μια απόφαση ηγεσίας καθοδηγούμενη από τα δεδομένα.

Τώρα είστε οπλισμένοι για αποτελεσματική λήψη αποφάσεων.

Αυτό φαίνεται να προβλέπει παραβίαση σε ένα στα δέκα τέταρτα.

  • Είναι αρκετά καλό;
  • Θέλουμε να βελτιώσουμε περαιτέρω αυτό, ή διαθέτουμε άλλους κινδύνους;
  • Ποιο είναι το αποδεκτό μας όριο;
  • Ποιο ποσό προσπαθειών και πόρων πρέπει να ξεπεράσουμε;

Γιατί αυτή η προσέγγιση;

Οι άνθρωποι είναι κατασκευασμένοι για να επεξεργάζονται τις ανόμοιες πηγές πληροφοριών και να απορροφούν γρήγορα νέες πληροφορίες για τη λήψη αποφάσεων.

Σε όλο το τρίμηνο, θα έχουμε αναμφίβολα πληροφορίες που αλλάζουν το επίπεδο βεβαιότητας μας για τους κινδύνους που επιλέξαμε.

Αυτές οι πληροφορίες προέρχονται από πολλά μέρη: την ίδια την εργασία, τις τάσεις της βιομηχανίας, τις παραβιάσεις, ίσως τις αναφορές ευπάθειας σε άλλους τομείς της υποδομής, τη δική μας εκμετάλλευση της έρευνας,

Ωστόσο, η εμπιστοσύνη μας σε αυτές τις πηγές πληροφοριών είναι δυναμική. Δεν μπορούμε να εξαρτήσουμε από μεμονωμένες, στατικές μετρήσεις για να εκπροσωπήσουμε τον κίνδυνο μας, διότι η αξία τους στη λήψη αποφάσεων αλλάζει γρήγορα. Θα μπορούσαμε να χρησιμοποιήσουμε τη δική μας βεβαιότητα ως υποκατάστατο για τους κινδύνους αυτούς, ο οποίος είναι γνωστός ως μετρήσιμος, διερευνημένος σε μεγάλο βαθμό, με αυξανόμενη καθοδήγηση για τη βελτίωση των μεθόδων πρόβλεψης ως μέσου μέτρησης.

Στην πραγματικότητα, η εξαγωγή εμπειρογνωμόνων αποτελεί σημαντικό παράγοντα στις πιθανολογούμενες αξιολογήσεις κινδύνου σε άλλες βιομηχανίες, όπως η πυρηνική, η αεροδιαστημική και η περιβαλλοντική.

Δεν είναι καινούριο για μας.

Μόνωση ενάντια στους κινδύνους μεροληψίας.

Η πρόβλεψη είναι επικίνδυνη όταν δεν προσεγγίζεται αυστηρά. Η γνωστική προκατάληψη είναι καλά ερευνημένη και τα ευρήματα αυτά πρέπει να επαναλαμβάνονται συχνά. Υπάρχουν διάφοροι μετριασμοί για τους κινδύνους κακής πρόβλεψης.

Η έρευνα υποστηρίζει ότι η πρόβλεψη μπορεί να βελτιωθεί όταν:

  1. Οι πάντες είναι εκπαιδευμένοι να σκέφτονται πιθανώς και για προκατάληψη.
  2. Οι πάντες συνεργάζονται για να συνδυάσουν και να εξομαλύνουν την επίδραση της μεροληψίας. Η ποικιλομορφία στην προοπτική είναι το κλειδί!
  3. Οι πάντες αντιμετωπίζουν επανειλημμένα τα αποτελέσματα των προβλέψεών τους (Βαθμονόμηση). (Ηλεκτρονική Εκπαίδευση, Ανοιχτή Κρίση, Βαθμολογία Εμπιστοσύνης)
  4. Οι πάντες ενθαρρύνονται να αποσυνθέσουν ένα σενάριο σε πιο κοκκώδη μέρη και να τους δοθεί διαφανής πρόσβαση στα διαθέσιμα δεδομένα που χρειάζονται για να τα κατανοήσουν.
  5. Μια σταθερή κατανόηση του αληθινού "μαύρου κύκνου". Παραπλανούν τους προβλέποντες.
  6. Μην προσπαθήσετε να προβλέψετε και να μετριάσετε κάθε κίνδυνο, να είστε έτοιμοι για μια αναπόφευκτη αποτυχία.
  7. Αποσύνδεση προώθησης και μισθός από την OKR & πρόβλεψη αποτελεσμάτων για την αποφυγή sandbagging, η οποία είναι ήδη ένα πρόβλημα στη διαχείριση των επιδόσεων των εργαζομένων.

Απλώς ζητώντας από τους ειδικούς συζήτηση για "σκέφτεστε γρήγορα!" Οι προβλέψεις σίγουρα θα σας δώσουν κακά αποτελέσματα. Μια αυστηρή προσέγγιση έχει υψηλότερο κόστος μέτρησης (συνεδριάσεων), αλλά είναι πολύ πιο εύκολη από τις μεθόδους με τα άσχημα υπολογιστικά φύλλα μήτρων κινδύνου.

Αλλά ... πάντα "υποθέτω παραβίαση", οπότε αυτό δεν λειτουργεί!

Είναι απολύτως έγκυρο να υποθέσουμε ότι παραβιάζεστε. Θα έδινα σε κάθε οργάνωση μια πολύ μεγάλη πιθανότητα (99%) ότι κάπου, με κάθε σοβαρότητα, έχει κάποιο είδος αντιφατικής δραστηριότητας σε ένα σύστημα που κατέχει. Αυτό σημαίνει "υποθέτω παραβίαση" για μένα.

Ωστόσο, είναι ανθυγιεινό να πιστεύουμε ότι κάθε συστατικό του κάθε συστήματος διακυβεύεται από κάθε αντίπαλο σε κάθε δεδομένη στιγμή. Ορθολογικοί άνθρωποι, ακόμα και οι δακτύλιοι FUD, δεν φτάνουν τόσο βαθιά στο βάθος.

Ένα βαθιά απαισιόδοξο μυαλό που είναι λογικό εξακολουθεί να αφήνει περιθώρια αμφιβολίας, λίγο περισσότερο από άλλα. Εάν πιστεύετε ότι οι προσπάθειες των ατόμων θα βελτιώσουν τους κινδύνους, τότε μπορείτε να μετρήσετε αυτή τη μείωση της αβεβαιότητας με πιθανοτικούς όρους. Ένας πεσιμιστής σίγουρα δεν πιστεύει ότι το έργο τους κάνει τα πράγματα χειρότερα, για παράδειγμα.

Εν ολίγοις, ακόμη και μια απαισιόδοξη γραμμή βάσης μπορεί να βελτιωθεί, και έχοντας μερικούς απαισιόδοξους σε μια ομάδα είναι πραγματικά ένα πολύ, πολύ καλό πράγμα.

Το μέλλον της εκτίμησης και πρόβλεψης του κινδύνου

Κατά τη διάρκεια πολλών τριμήνων, μπορούμε να ενισχύσουμε ακόμα περισσότερο μια πιθανοτική μέθοδο. Μπορούμε να εισαγάγουμε τις κόκκινες ομάδες, τα αποτυπώματα φράγματος και τη δειγματοληψία της βιομηχανίας για να καθοδηγήσουμε τις προβλέψεις μας. Μπορούμε να συμφωνήσουμε για την αξία των δεδομένων και να παρακολουθήσουμε ότι κυμαίνονται. Μπορούμε να "Chatham House" ή ανώνυμα προβλέψεις για να μοιραστεί με ομάδες ομότιμης ασφάλειας.

Μπορούμε να τροφοδοτήσουμε τα αποτελέσματα των προβλέψεων σε προσομοιώσεις του Μόντε Κάρλο, επιτρέποντάς μας να αντλήσουμε διδάγματα και εμπειρίες από τη NASA, την Άδεια Πυρηνικών και άλλους τομείς που είναι μακρύτεροι από την ασφάλεια του κυβερνοχώρου στην κατανόηση ακραίων κινδύνων.

Υπάρχουν πολλές ευκαιρίες για τις οργανώσεις να υιοθετήσουν μια πρακτική πρόβλεψης κινδύνου. Η τεράστια ενέργεια δεν είναι απαραίτητη για την επίτευξη καλών αποτελεσμάτων. Ξεκινώντας από μικρά, όπως τα OKR με βάση τον κίνδυνο, μπορεί να μειωθεί ο κίνδυνος για τον οργανισμό σας και να τεθεί ο οργανισμός σας σε πορεία προς τον ποσοτικό κίνδυνο.

συμπέρασμα

Οι ΟΚΚ είναι ένας κοινός τρόπος καθοδήγησης μιας ομάδας μηχανικών. Η δημιουργία OKR που είναι συμβατές με τις τεχνικές εκτίμησης και πρόβλεψης μπορεί να μας επιτρέψει να μετρήσουμε καλύτερα την πρόοδο στη μείωση του κινδύνου.

Αυτές οι μέθοδοι δεν παρεμποδίζουν τον τρόπο με τον οποίο η ομάδα κάνει τη δουλειά της, απλώς μετρά "πόσο" μπορεί να αλλάζει ως αποτέλεσμα. Εάν δεν διαθέτετε μέθοδο μέτρησης κινδύνου, τότε οποιαδήποτε ποσοτική μέθοδος πρέπει να είναι καλύτερη από ό, τι έχετε. Αυτή η στρατηγική έχει ελάχιστες επιπτώσεις στις πρακτικές μηχανικής, ενώ παράλληλα ευθυγραμμίζει την ομάδα με ένα μετρήσιμο ρυθμό μείωσης του κινδύνου.

Περαιτέρω ανάγνωση

Προβλέψεις Κινδύνου: Παρουσίαση υψηλού επιπέδου σε αυτή τη μέθοδο.

Ανάλυση απλού κινδύνου: Μια βαθιά κατάδυση στον κίνδυνο πρόβλεψης.

Killing Little Κοτόπουλο: Εξερευνώντας τους περιορισμούς και τις ευκαιρίες της πρόβλεψης κινδύνου.

Αποσύνθεση του κινδύνου ασφαλείας στα σκηνικά: Κατακερματισμός των κινδύνων σε μια ιεραρχία σεναρίων, από ευρεία σε πιο κοκκώδη σενάρια.

Thinking Fast and Slow: Βραβείο Νόμπελ που κερδίζει την έρευνα για τα ανθρώπινα σφάλματα της γνώσης, κυρίως στις μορφές της μεροληψίας.

Υπερπροσανατολισμός: Έρευνα για το πώς τα σφάλματα της γνώσης μπορούν να μετριαστούν και να χρησιμοποιηθούν σε αποτελεσματικές ομάδες προβλέψεων.

Πώς να μετρήσετε οτιδήποτε στον Κίνδυνο Cybersecurity: Μια μεγάλη πηγή για την υπεράσπιση της πρόβλεψης ως μεθόδου μέτρησης. Ισχυρή συζήτηση που προωθεί το ρόλο της μέτρησης στη λήψη αποφάσεων.

Ο Ryan McGeehan γράφει για την ασφάλεια στο Medium.