كيفية قياس المخاطر مع OKR أفضل.

لقد أصبحت معجبًا كبيرًا بالهدف والنتيجة الرئيسية (OKR) في الشركات التي تأخذها على محمل الجد. سوف أصف طريقة تم التعبير عنها برأي تتوافق مع OKR وتقيس تقليل (أو زيادة) الخطر الذي تم اختياره. سيُبلغ هذا قرار الفريق بتقليل أو زيادة الجهود الهندسية للتخفيف من هذا الخطر للمضي قدمًا.

تشبه هذه الطريقة كيف يتنبأ أخصائي الأرصاد الجوية بالطقس.

للغوص العميق في OKR ، يمكنك قراءة هذا أو مشاهدته أو قراءته.

OKR هي طريقة بسيطة للتعبير عن هدف تحفيزي والالتزام بقائمة قصيرة من النتائج القابلة للقياس التي تدفع المجموعة نحو هذا الهدف. في بعض الأحيان تتالي من الإدارة التنفيذية لجميع الموظفين. OKR هي ممارسة شائعة بين شركات التكنولوجيا والعديد من فرق الأمان التي أعمل معها.

خذ على سبيل المثال:

الهدف: تحسين المصادقة من أجهزة الكمبيوتر المحمولة المطور إلى الإنتاج.

هذا الهدف ليس سيئًا ، ولكن ضاعت العديد من فرص قياس المخاطر.

سنقوم بتقليل المخاطر النادرة والناجعة باستخدام طريقة قابلة للقياس الكمي.

عادة ما يصعب قياس هذه الأنواع من المخاطر.

البيانات التاريخية (لم يحدث أبدًا) تُعلم مستقبلنا بشكل سيء (هل يمكن أن يحدث ذلك؟).

باستخدام أساليب التنبؤ والتقدير ، يمكننا قياس مدى احتمال حدوث سيناريو في المستقبل ، حتى لو كنا نفتقر إلى البيانات التاريخية لهذا السيناريو في الماضي. نحن نستخدم "عدم اليقين" للمجموعة كبديل للمخاطر ، وسنقوم بقياسها. سندير التحيزات المعرفية المرتبطة بالتوقعات.

الهدف: كتابة هدف مع "سيناريو المخاطر".

هدفك هو تقليل المخاطر التي يتم التعبير عنها في السيناريو.

يوجد أدناه الهدف المذكور سابقًا والذي تم كتابته للحد من المخاطر. هو مكتوب مع بعض المجال للتحسين:

الهدف: تحسين المصادقة من أجهزة الكمبيوتر المحمولة المطور إلى الإنتاج.

هذا ليس بالضرورة هدفًا سيئًا ، على الرغم من أنه يمكن تحسينه بإعادة كتابته كسيناريو.

الهدف: تقليل مخاطر "وصول خصم إلى الإنتاج من كمبيوتر محمول مطور في Q3."

تبدو متشابهة ، أليس كذلك؟

  • الفرق الرئيسي هو أن السيناريو هو احتمالي. عبارات احتمالية يمكن التنبؤ بها ضد. يتم التنبؤ جيدًا بالتنبؤ والفهم الشائع (على سبيل المثال: الطقس) ، والكمية ، ويقيس عدم اليقين لديك.

عدم اليقين هو أن الشيء في عقلك يجعلك تتجاهل مجموعة من الخيارات ، أو تشعر بقوة تجاه أحدها. كما اتضح ، يمكن قياس عدم اليقين للمجموعة بطريقة مباشرة. سنجعل عدم يقين الخبراء وكيلًا لهدفنا في القياس.

  • الفرق البسيط هو أن السيناريو يكافئ إبداع المهندس.

على سبيل المثال ، هل يؤدي تقليل عدد المطورين الذين يحتاجون إلى بيانات اعتماد الإنتاج إلى تحسين المصادقة؟ لا ، هذا يصل إلى حد ما. ولكن هذا من شأنه أن يقلل المخاطر ، وتكون النتيجة الرئيسية أكثر توافقًا مع الهدف المعدل. كان ذلك هو الهدف الأفضل ، لذلك ربما ستكون النتائج الرئيسية لدينا أفضل نتيجة لذلك.

هدف "سيناريو المخاطرة" لا ينص على حل. إنه يضع مجرد توقعات نظيفة. قد يقوم سيناريو بعمل أفضل في تحديد المخاطرة كحدث مستقبلي يجب تجنبه.

سيناريو جيد يمكن التنبؤ به يتضمن مزيجًا مدروسًا من تهديد أو متجه أو أصل أو تأثير. يمكنك أن تقرر بشكل خلاق نطاقًا معينًا أو مخاطرة معينة عن طريق إضافة الضيق أو الاتساع. يجب أن تبت التوقعات في إطار زمني محدد.

النتائج الرئيسية: اختر المعالم أو المقاييس ، والتزم بتوقعات.

أولاً ، الأشياء السهلة. النتائج الرئيسية يجب أن تكون قابلة للقياس. في الأيام الأولى لـ Google ، قالت ماريسا ماير:

"إنها ليست نتيجة رئيسية ما لم يكن لها رقم."

أحد أشكال القياس البسيطة هي الإنجازات الثنائية: 1 من أجل القيام به ، و 0 إذا لم يتم ذلك. على سبيل المثال: "لقد أضفنا تطبيق XYZ للأعمال إلى نظام الدخول الموحد". إذا قمت بذلك ، ستحصل على "1"!

آخر ، هو اختيار المقاييس الكمية مثل "إصلاح X البق" أو "تقليل حوادث X" أو "توظيف المهندسين N". هذه ضرورية ومشتركة وتمثل أهداف المشروع والمقاييس التشغيلية. ربما اعتدت على هذه. يمكنهم تحقيق نتائج رئيسية لطيفة أيضًا.

ومع ذلك ، فهي لا تقيس حقًا تقليل المخاطر المرتبطة بسيناريو لدينا. بدلا من ذلك ، فهي مؤشر متخلف عن العمل المنجز. لقد خلق هذا العمل قيمة في تخفيف المخاطر ، لكنك لم تقيس فعليًا انخفاضًا في المخاطرة حتى الآن. أنت ببساطة تفترض أن المخاطر تتناقص ، بسبب جهودك.

لكن كم؟ ماذا لو زاد فعلا؟

مقارنة مقياس الأمان مقابل قياس اليقين

تعد مقاييس الأمان التقليدية مفيدة جدًا لقيمتها الإعلامية. إنهم يعلمون حالة عدم اليقين تجاه المخاطرة ، لكنهم لا يمثلون الطبيعة الاحتمالية للمخاطرة ، وغالبًا لا يعبرون عن أوجه عدم اليقين الهائلة التي قد تكون لدينا حول سيناريو محدد.

على سبيل المثال ، أعتقد أن عدد نقاط الضعف التاريخية أو تكرارات الانحدارات لا يعبر بشكل مباشر عن المخاطرة ، ولكنه بالتأكيد يساعد في إثارة عدم اليقين بشأن ما إذا كان سيناريو مرتبط سيحدث أم لا نتيجة لتلك البيانات.

وذلك لأن القيمة التي نخصصها لقياس فردي في حالة تغير مستمر.

قد يكون أي مقياس محدد هو أكثر نقاط البيانات إفادة لي ... حتى يستبدلها شيء ما. من شأن تقديري إهمال البيانات السابقة فور سماع معلومات جديدة تصرخ "يا حماقة" في وجه البيانات القديمة ، أو أي نموذج هش حاولنا إنشاؤه لهذه المسألة.

الآن دعنا نصل إلى "الجزء الصعب". دعونا نجعل هذا OKR.

هذا هو في الواقع من السهل حقا عندما تحصل على تعليق منه.

مثال OKR مصمم للقياس:

كما ذكرنا سابقًا ، سنبني OKR بحيث يكون متوافقًا مع قياس المخاطر مع تقنيات التنبؤ والتقدير.

إليك مثال OKR لفريق أمان AWS صغير:

موضوعي:

قلل من احتمالية تعرض "مؤهلات AWS للإنتاج إلى الجمهور في Q3".

النتائج الرئيسية:

  1. تظهر الالتزامات التي تذكر AWS_SECRET_KEY في الركود #security.
  2. سيتم نقل خط أنابيب photobackup إلى دور AWS.
  3. استكمال خط أنابيب الأمن القرد التنبيه نحو الكشف عند الطلب.
  4. إكمال قبل وبعد التوقعات ، ومطاردة CloudTrail.

النتائج الرئيسية الأولى (1-3) لا تتطلب مناقشة. هذه مجرد أعمال هندسية مطورة ، ويمكنك اختيار ما تريد. النتيجة الرئيسية الأخيرة (# 4) هي ما سنركز عليه في المضي قدمًا.

لقياس سيناريو المخاطر هذا ، سنستخدم لوحة التنبؤ. سيعزز ذلك قدرتنا على قياس سيناريو المخاطر الأساسي لشركة OKR بطريقة احتمالية.

1. قبل البدء في العمل: توقع "أساسي".

لنفترض أن هذا يمثل OKR للربع الثالث من العام. في وقت مبكر من شهر يونيو ، سيتوقع عدد قليل من الأفراد المتنوعين والمدربين على دراية بموعد OKR احتمال حدوث السيناريو بمصطلحات احتمالية (نسبة مئوية من المعتقد).

المشاركون لدينا هم Monkey () و Unicorn () و Cow () و Penguin (). نحن معايرة لهم لفترة وجيزة للتفكير في المصطلحات الاحتمالية (التدريب عبر الإنترنت). لديهم إمكانية الوصول إلى أي مقاييس أو نماذج أو ما بعد الوفاة أو تدقيق استشاري أو مخططات البنية التحتية المتوفرة. كل ذلك مفيد ويبلغ توقعاتهم.

التوقعات أعلاه لديها يقين 78 ٪ أن مطاردة CloudTrail لن تكشف عن أي حادث. هناك يقين بنسبة 14٪ في إمكانية اكتشاف حادث ، و 6٪ على يقين من أننا سنكون في مشكلة كبيرة حقيقية.

الآن ، ضع في اعتبارك أن إجابة 33٪ من لوحة لكل فئة تشير إلى عدم اليقين التام ، كما لو أنها لا تملك معلومات أو رأي حرفيًا. كان من الممكن كتابة السيناريو بلغة أخرى ، على سبيل المثال. هذا ليس هو الحال هنا ، لا يعتقد المشاركون أن كل خيار متساوٍ مع الآخر. يعتقدون أنه من المحتمل جدًا عدم حدوث أي حادث ، نظرًا لمعرفتهم بالبيئة والتهديدات المحتملة.

وبالتالي ، فإن هذه اللجنة تعبر عن رأي بعبارات احتمالية مفادها أنه من المحتمل ألا يكون هناك حادث في هذا الإطار الزمني. لكن الحادثة التي يتم اكتشافها ليست غير وافية على الإطلاق. يحدث في الكثير من الشركات الأخرى. يجب أن نعتقد أن هناك بعض الاحتمالات الصغيرة يمكن أن يحدث.

في الواقع ، يبدو أن أحد أعضاء الفريق (Monkey ) قد تم العثور على شيء أكيد.

لا بأس أن لدى Monkey ing رأي مختلف عن المجموعة. سنناقش هذا لاحقًا - لا حاجة إلى موافقة اللجنة!

2. الآن قم بعملك ، احرز تقدمًا كالمعتاد.

يركز منتصف الربع على تحقيق أهدافك كالمعتاد. فقط قم بالعمل.

كما ذكرنا أهدافنا ، فإن الفريق يبني التنبيه ، refactor تطبيق لاستخدام أدوار AWS ، وينشر الأمن القرد. نأمل أن يفعلوا بشكل جيد والانتهاء منهم جميعا!

لا تؤثر هذه الطريقة على العمل اليومي الذي تقوم به. إنه ببساطة يرشد العمل نحو نتائج قابلة للقياس. قم بمهاجمة المخاطرة مهما كنت تفعل عادة.

3. EOQ. لقد حققنا تقدما! الآن نحن نقارن مع خط الأساس.

لقد التزمنا بعمل شيئين في نهاية الربع.

أولاً ، نبذل مجهودًا لصيد سجلات CloudTrail بتمحيص دقيق ، ومعرفة ما إذا كان بإمكاننا التخلص من أي حوادث P0 من جهودنا الاستقصائية.

ثانيًا ، تقيس اللجنة مرة أخرى ، باستثناء حالة عدم اليقين الخاصة بنا للربع القادم (الربع الرابع).

لدينا لوحة المسلحة مع المعرفة الجديدة. إن تقدم هذا الربع ونتائج مطاردة CloudTrail قد غيّر آرائنا حول هذا السيناريو إلى حد كبير.

دعنا نفترض أن الفريق قد نجح في نتائجهم الرئيسية الأخرى وأن تقييم الاختراق عاد نظيفًا.

نتوقع مرة أخرى. وهنا النتائج.

الآن يمكننا أن نلاحظ مدى اليقين الذي اكتسبته اللجنة ، أو فقدته ، بناءً على جهودها. في هذا المثال ، تتجه معتقداتنا بشكل إيجابي نحو اليقين (بعيدًا عن 33٪). هل عملنا يؤثر على يقين فريقنا؟ هذه اللوحة تعتقد ذلك.

في هذه الحالة ، قمنا بتحسين اليقين المحيط بهذه المخاطر. لدينا تحسن كمي قدره 5 ٪ في الاتجاه الصحيح.

4. اتخاذ قرار القيادة تسترشد البيانات.

أنت الآن مسلح لاتخاذ القرارات الفعالة.

يبدو أن هذا يتوقع حدوث اختراق في واحد من كل عشرة أرباع.

  • هل هذا جيد بما فيه الكفاية؟
  • هل نريد تحسين ذلك بشكل أكبر ، أم هل نوظف مخاطر أخرى؟
  • ما هي العتبة المقبولة لدينا؟
  • ما مقدار الجهد والموارد التي نحتاج إلى تجاوزها؟

لماذا هذا النهج؟

تم تصميم البشر لمعالجة مصادر المعلومات المختلفة ، واستيعاب المعلومات الجديدة بسرعة لاتخاذ القرارات.

على مدار الربع ، سنكتسب بلا شك معلومات تغيّر مستوى يقينا بشأن المخاطر التي اخترناها.

تأتي هذه المعلومات من العديد من الأماكن: العمل العملي بحد ذاته ، اتجاهات الصناعة ، الخروقات ، وربما تقارير الضعف في مجالات أخرى من البنية التحتية ، أبحاث استغلالنا الخاصة ، تغريدة للكشف عن القنابل ، إلخ.

ومع ذلك ، ثقتنا في مصادر المعلومات هذه ديناميكية. لا يمكننا الاعتماد على المقاييس الفردية والثابتة لتمثيل مخاطرنا ، لأن قيمة صنع القرار تتغير بسرعة. يمكننا استخدام يقيننا كبديل لهذه المخاطر ، والتي يُعرف أنها قابلة للقياس ، وتم إجراء أبحاث مكثفة عليها ، مع زيادة التوجيه حول تحسين طرق التنبؤ كأداة قياس.

في الحقيقة ، يعد استنباط الخبراء عاملاً مهمًا في تقييمات المخاطر الاحتمالية في الصناعات الأخرى ، مثل الطاقة النووية والفضائية والبيئية.

إنه ليس جديدًا ، إنه جديد بالنسبة لنا.

عزل ضد مخاطر التحيز.

التنبؤ أمر خطير عندما لا يتم التعامل معه بصرامة. يتم البحث عن التحيز المعرفي بشكل جيد ، ويجب تكرار هذه النتائج كثيرًا. هناك تباينات متفاوتة لمخاطر سوء التنبؤ.

يدافع البحث عن إمكانية تحسين التنبؤ عندما:

  1. يتم تدريب أعضاء الفريق على التفكير الاحتمالي وحول التحيز.
  2. يتم تنسيق أعضاء الفريق من أجل الجمع بين تأثير التحيز وتخفيفه. التنوع في المنظور هو المفتاح!
  3. يواجه أعضاء اللجنة مرارًا وتكرارًا نتائج توقعاتهم (المعايرة). (التدريب عبر الإنترنت ، الحكم الجيد المفتوح ، معايرة الثقة)
  4. يتم تشجيع أعضاء الفريق على تحليل السيناريو إلى أجزاء أكثر تفصيلاً ، ويتم منحهم شفافية الوصول إلى البيانات المتاحة التي يحتاجون إليها لفهمها.
  5. فهم راسخ ل "البجعة السوداء" الحقيقية. إنهم يخدعون المتنبئين.
  6. لا تحاول التنبؤ بكل مخاطرة وتخفيفها ، وكن مستعدًا لفشل لا مفر منه.
  7. قم بفصل الترقية والراتب من OKR وتوقع النتائج لتجنب استخدام الرمل ، وهو ما يمثل بالفعل مشكلة في إدارة أداء الموظفين.

ببساطة ، اسأل أعضاء اللجنة عن توقعات "فكر بسرعة!" بالتأكيد ستعطيك نتائج سيئة. تتميز المقاربة الصارمة بتكلفة أعلى للقياس (الاجتماعات) ، ولكنها أسهل بكثير من الأساليب التي تحتوي على جداول بيانات مصفوفة المخاطر القبيحة.

لكن ... أنا دائماً "افترض الخرق" ، لذلك هذا لا يعمل!

من الصحيح تمامًا افتراض أنك انتهكت. أود أن أعطي أي منظمة احتمالًا كبيرًا (99٪) بأن في مكان ما ، لأي شدة ، نوع من النشاط العدائي على نظام يمتلكونه. هذا هو ما تعنيه كلمة "تفترض خرق".

ومع ذلك ، من غير الصحي الاعتقاد بأن كل عنصر في كل نظام يتعرض للخطر من قبل كل خصم في كل وقت. الأشخاص العقلانيون ، حتى مهربي FUD ، لا يذهبون إلى هذا الحد البعيد.

لا يزال العقل المتشائم للغاية والعقلاني يترك مجالًا للشك ، أكثر أو أقل من الآخرين. إذا كنت تعتقد أن جهود الأفراد ستحسن المخاطر ، فيمكنك قياس هذا الحد من عدم اليقين من الناحية الاحتمالية. بالتأكيد ، لا يعتقد المتشائمون أن عملهم يزيد الأمور سوءًا ، على سبيل المثال.

باختصار ، يمكن تحسين خط الأساس المتشائم ، ووجود اثنين من المتشائمين في لوحة أمر جيد للغاية بالفعل.

مستقبل تقدير المخاطر والتنبؤ بها

على مدار العديد من الجهات ، يمكننا تعزيز طريقة احتمالية أكثر. يمكننا تقديم فرق حمراء ، نتائج Brier ، وأخذ عينات من الصناعة لتوجيه توقعاتنا. يمكننا الاتفاق على قيمة البيانات ومشاهدتها تتقلب. يمكننا "Chatham House" أو إخفاء هويتك عن التوقعات لمشاركتها مع فرق الأمن النظيرة.

يمكننا تغذية النتائج المتوقعة في عمليات محاكاة مونت كارلو ، مما يسمح لنا بسحب الدروس والخبرات من وكالة ناسا ، والترخيص النووي ، وغيرها من المجالات التي هي أبعد من الأمن السيبراني في فهم المخاطر الشديدة.

هناك الكثير من الفرص للمؤسسات لتبني ممارسات التنبؤ بالمخاطر. الطاقة الهائلة ليست ضرورية لتحقيق نتائج جيدة. يمكن أن يؤدي البدء صغيرًا ، كما هو الحال مع OKRs القائمة على المخاطر ، إلى تقليل المخاطر على مؤسستك بشكل واضح ، ووضع مؤسستك على الطريق نحو المخاطرة الكمية.

استنتاج

OKRs هي وسيلة شائعة لتوجيه فريق الهندسة. يمكن أن يتيح لنا إنشاء OKRs متوافقة مع تقنيات التقدير والتنبؤ قياس التقدم المحرز في الحد من المخاطر بشكل أفضل.

لا تتداخل هذه الطرق مع "كيف" يقوم الفريق بعمله ، بل يقيس ببساطة "مقدار" قد يتغير نتيجة لذلك. إذا لم يكن لديك حاليًا طريقة لقياس المخاطر ، فيجب أن تكون أي طريقة كمية أفضل مما لديك. هذه الإستراتيجية لها تأثير ضئيل على الممارسات الهندسية مع مواءمة الفريق نحو معدل قابل للقياس للحد من المخاطر.

قراءة متعمقة

التنبؤ بالمخاطر: عرض تقديمي عالي المستوى حول هذه الطريقة.

تحليل المخاطر البسيطة: الغوص العميق في التنبؤ بالمخاطر.

قتل الدجاج قليلا: استكشاف القيود والفرص للتنبؤ بالمخاطر.

تحليل مخاطر الأمان إلى سيناريوهات: تقسيم المخاطر إلى تسلسل هرمي من السيناريوهات ، من سيناريوهات أوسع إلى سيناريوهات أكثر تفصيلاً.

التفكير السريع والبطيء: فازت جائزة نوبل ببحوث الأخطاء البشرية في الإدراك ، معظمها في أشكال التحيز.

Superforcasting: بحث في كيفية تخفيف أخطاء الإدراك وتسليحها في فرق تنبؤ فعالة.

كيفية قياس أي شيء في خطر الأمن السيبراني: مصدر كبير في الدفاع عن التنبؤ كوسيلة قياس. مناقشة قوية تعزز دور القياس في صنع القرار.

ريان ماكغيهان يكتب عن الأمن على المتوسط.