Kpi для службы безопасности предприятия

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Форум Сообщества Практиков Конкурентной разведки (СПКР) » Экономическая безопасность предприятия » KPI для безопасника

KPI для безопасника

Откуда: Воронеж
Всего сообщений: 93
Рейтинг пользователя: 7

Дата регистрации на форуме:
21 сен. 2012

Всего сообщений: 19
Рейтинг пользователя: 1

Дата регистрации на форуме:
25 мар. 2010

Яркий пример того, что экономить на безопасности нельзя.)))

Всего сообщений: 59
Рейтинг пользователя: 0

Дата регистрации на форуме:
3 июня 2015

Откуда: Воронеж
Всего сообщений: 93
Рейтинг пользователя: 7

Дата регистрации на форуме:
21 сен. 2012

[q=OAO -K-]К сожалению, про «ценность» службы безопасности вспоминают после наступления неблагоприятных последствий.[/q]

На вряд ли. Иначе бы подход к организации безопасности был пересмотрен, восстановлена штатная численность . А по факту, нелицеприятные обвинения в сторону сотрудников безопасности, работать не умеют, плохо работают и т.п.

Откуда: г. Санкт-Петербург
Всего сообщений: 799
Рейтинг пользователя: 11

Дата регистрации на форуме:
3 июля 2009

В какой-то степени работа службы безопасности похожа на работу лифтёров. Если лифт работает исправно и не ломается, жильцы всё чаще и громче задают вопросы: «За что вообще с нас деньги берут. » Такой вот «порочный круг»

Один мой знакомый начальник службы безопасности настолько хорошо выполнял свою работу (и контроль был на высоте и агентура внедрённая исправно работала), что на предприятии практически не было воровства и менеджеры опасались мошенничать. В итоге после многих лет безупречной службы руководство назвало его службу «дармоедами» и расформировало.

Откуда: Воронеж
Всего сообщений: 93
Рейтинг пользователя: 7

Дата регистрации на форуме:
21 сен. 2012

[q=tungus1973]В итоге после многих лет безупречной службы руководство назвало его службу «дармоедами» и расформировало.[/q]

Интересно, как изменилась состояние безопасности на этом предприятии?

Откуда: г. Санкт-Петербург
Всего сообщений: 799
Рейтинг пользователя: 11

Дата регистрации на форуме:
3 июля 2009

Не знаю. Знакомого взяли вместе с командой на другое, более крупное предприятие, где они счастливо трудятся.

Если брать всё ту же аналогию с лифтом, то мне даже начинает казаться, что лифт иногда должен ломаться и простаивать по нескольку дней, чтобы люди пешком походили и осознали, за что конкретно они платят деньги.

Откуда: г. Пенза
Всего сообщений: 818
Рейтинг пользователя: 17

Дата регистрации на форуме:
4 дек. 2012

Всего сообщений: 2711
Рейтинг пользователя: 22

Дата регистрации на форуме:
5 июня 2009

Угу. Например у К. Симонова есть строки «Как мир, так — «сукины сыны», А как война, так сразу — «братцы»»

Всего сообщений: 316
Рейтинг пользователя: 3

Дата регистрации на форуме:
8 июня 2009

Интересно, как это определили » настолько хорошо выполнял свою работу. » и смущает » практически не было воровства и менеджеры опасались мошенничать. «
можно ведь тупо не знать о мошенствах и замалчивать кражи.
Вероятно руководство поступило правильно, когда расформировало такое СБ.
Допускаю ошибку, когда руководство было новое и не владело информацией о прежде проделанной работе СБ. Ведь цель СБ — пресекать, купировать и профилактировать всякие непотребства типа мошенства и краж. Но тут уж и СБ виновато, что не смогло довести до руководства качественную информацию о своей работе. Хотя «дурака» в руководстве тоже со счета сбрасывать нельзя.

Итак, в сухом остатке.
1. если с ноля, то предпочтительно 1-й вариант на краткосрочную перспективу 3-5 лет. Эффективность = (Предотвращено + Возмещено) — Затраты. Если +, то молодцы
2. если работа уже поставлена и предполагается дальнейшее совершенствование, то необходима привязка KPI к финансово-экономическим показателям компании. Ну а Предотвращено, Возмещено, Выявлено. это конечно будет и никуда от этого не деться, но это косвенные признаки о том, что собака не дремлет.

Служба безопасности в современной компании

Оглавление журнала

      Глубоко заблуждается тот, кто считает, что безопасность бизнеса — эдакое «отдельно стоящее пугало» — зависит только от наличия крепких мускулистых парней и высоких заборов. Настоящая безопасность не должна быть очевидной. Здесь совершенно неуместны разовые меры или кавалерийские наскоки, дающие сиюминутный результат. Эффективная безопасность подразумевает целую систему мер при общей заинтересованности каждого сотрудника в пользовании ею.

Безопасность — фундамент бизнеса
Оперативная обстановка в компании, непосредственно влияющая на состояние ее дел, если она занимается металлоторговлей, и вытекающие из этого задачи службы безопасности — фундамент, на котором строится защита бизнеса. По понятным причинам уровень требований к прочности такого фундамента весьма высок.
Прежде всего, хотелось бы обозначить видение проблемы, без понимания которой нецелесообразно не только организовывать службу безопасности, но даже и обсуждать эту тему. Речь идет об устойчивых заблуждениях руководителей некоторых компаний насчет истинной роли безопасности. Неверные представления приводят к ситуации, когда руководитель превращает систему защиты либо в пугало, либо в подразделение типа «чего изволите?». И то и другое бесперспективно — примеров множество, в том числе и в мировой истории. Когда усилия безопасности были направлены на ложный путь, бесследно исчезали не только фирмы и медиагруппы, но и целые государства с хорошо обученной армией с высоким боевым духом.
Средств обеспечения безопасности работы компании много. Рекомендации по их применению тоже встречаются часто — выбор есть. Дело за малым: что именно взять на вооружение? Перед тем как принять решение, руководителю нужно, во-первых, максимально четко обозначить конкретные задачи подразделения безопасности, а затем доверить организацию этой работы профессионально подготовленному специалисту. Уважающий себя профессионал не возьмется за создание системы безопасности, если ее задачи размыты или неконкретны. Во-вторых, если специалист взялся за их выполнение, то теперь уже руководитель фирмы должен проявить терпение. Особенно если решение о создании службы безопасности принято не одновременно с основанием фирмы, а на пятом, шестом и т. д. году ее существования.

Если появляются недовольные, значит, вы на правильном пути
От руководителя службы безопасности невозможно ждать сиюминутных результатов, какие бы меры он ни принимал.

      Настоящая безопасность достигается не столько за счет отдельных мер, сколько за счет внедрения их системы. А чтобы эта система заработала, нужно время.

В первую очередь, к требованиям безопасности должен адаптироваться персонал компании, особенно если ранее такое подразделение на предприятии отсутствовало. Что особенно важно в период становления подобной службы?
1. Задача службы безопасности — вырабатывать, координировать и совершенствовать меры безопасности. Но свою причастность к обеспечению безопасности должны усвоить все сотрудники без исключения.
2. Не старайтесь понравиться всем. Главное внимание уделяйте своим задачам и их профессиональному выполнению. Не стоит бояться недовольных вашей работой: если таковые появляются — скорее всего, вы на правильном пути.
3. Объективно оценивайте оперативную обстановку. Для максимально полной оценки ситуации учитывайте информацию разного «калибра»: от финансово-экономического состояния конкурентов, криминальных структур, проявляющих интерес к предприятиям, работающим на рынке металлоторговли), до социально-психологического климата в коллективе, стиля работы руководителей, их планов, видения перспектив, наличия в компании «неформальных лидеров», их роли и т. д.
А теперь главное: какой должна быть система мер по обеспечению безопасности предприятия (см. рис. 1).

Предлагаемая схема довольно проста, но требует некоторых комментариев. Подразделения безопасности, подчиненные руководителю службы, создаются с учетом каждого конкретного предприятия. Они могут формироваться по линейному принципу (например, «организация работы по предотвращению хищений на объектах компании») или по объектовому («комплекс мер по обеспечению безопасности цеха пластмасс»). Если бизнес компании имеет специфические особенности, можно использовать смешанный принцип.
На большинстве предприятий подразделения безопасности формируются по следующим направлениям: экономическая безопасность, внутренняя безопасность, информационная безопасность, информационно-аналитическая работа. Перечисленные направления организационно входят в обозначенный на схеме блок «Подразделения безопасности». Смысл функционирования системы заключается в следующем.
Наряду с выполнением своих прямых должностных обязанностей руководитель подразделения безопасности опосредованно влияет на действия персонала компании, используя утвержденные генеральным директором нормативные документы компании (приказы, указания, инструкции и т. п.). При их подготовке руководитель службы безопасности органично вписывает в регламентирующие документы задачи безопасности или какую-то их часть.
Для качественной организации работы предлагается схема управления и контроля эффективности функционирования системы, представленная на рис. 2.

Все без исключения сотрудники службы безопасности от начальника до дежурного на пропускном пункте обязаны четко усвоить содержание нормативных документов. Руководителям подразделений следует периодически проводить проверку усвоения материалов путем инструктажа или принятия зачетов.
Положения, изложенные на этапах 1-3, должны быть обязательно отражены в плане работы службы безопасности. Запланированные мероприятия должны удовлетворять следующим требованиям:

  • соответствовать уровню поставленных задач, содержащихся в приказах и должностных инструкциях;
  • иметь практическую преломляемость;
  • предусматривать конкретные сроки выполнения;
  • обеспечивать возможность проверки результата.
    В отчете кратко излагаются результаты выполнения запланированных, а также непредвиденных задач (возникших в связи с изменениями в оперативной обстановке, под влиянием неожиданных ситуаций и т. п.). В случае неисполнения некоторых плановых позиций указываются причины.
    С помощью анализа определяются:
  • оценка эффективности выполнения поставленных задач;
  • пути совершенствования деятельности службы безопасности и компании в целом.

    Анализируй и совершенствуй
    Результаты аналитической работы должны привносить качественные изменения в задачи, нормативные документы, должностные инструкции и т. д. в целях обновления фундаментальной базы безопасности путем ее подъема на более высокий и качественный уровень.
    Каждое направление блока имеет свою систему организационной деятельности. В качестве примера можно детализировать и представить схематически работу по направлению «экономическая безопасность» (рис. 3).
    В свою очередь каждый из вышеперечисленных элементов экономической безопасности также может быть конкретизирован, снабжен соответствующей нормативной базой. Для примера возьмем такое направление, как «возврат просроченной дебиторской задолженности», и изобразим схематично, как можно организовать подобную работу (рис. 4).
    Каждое направление блока имеет свою систему организационной деятельности. По аналогии с разделом «экономическая безопасность» организуется работа и по другим направлениям. Возникает своеобразная цепная реакция. Контроль службы безопасности присутствует практически во всех звеньях компании. Из рис. 4 видно, как вовлекается в обеспечение безопасности персонал компании.

        Существенный элемент системы — аналитическая работа подразделения, постоянные интеллектуальные усилия всех и каждого по выработке основного аналитического продукта, отвечающего на вопрос: что делать компании завтра?

    Составными частями данного продукта являются:

  • объективная оценка исследуемого направления в деятельности фирмы;
  • основные причины, повлиявшие на положительные или отрицательные результаты работы;
  • прогноз развития обстановки по основным составляющим предпринимательской деятельности;
  • конкретные меры по совершенствованию управления компанией (уточнение нормативной базы, стратегия и тактика кадровой политики и т. п.)
    Этот продукт должен быть качественным, так как он обеспечивает ту самую обратную связь между генеральным директором и руководителем службы безопасности, на основании которой руководитель компании убеждается, что не зря выделяет средства на службу безопасности. А если система защитных мер станет осью совершенствования работы компании, то применение известной формулы «деньги-товар-деньги» должно, на наш взгляд, положительно сказаться на росте заработной платы подразделения.

    Читайте также  Правила безопасного использования электроприборов

    Защищая бизнес, мы приумножаем доходы от него
    Главный признак стабильного бизнеса — наличие команды. Ее основные характеристики знакомы всем: общая нацеленность на результат, взаимозаменяемость, единая система вознаграждения. Важно, чтобы работали все организационные принципы команды. Баланс интересов обязателен. В противном случае, особенно если баланс нарушается довольно часто, команда превращается в группу со всеми вытекающими отсюда последствиями, в том числе и для фирмы.

    Подведем итог
    Меры безопасности должны не только действовать в каждом звене компании, но и вплетаться во все виды коммерческой, хозяйственной и иной деятельности. Поскольку важнейшим показателем эффективности работы коммерческой структуры является прибыль, умело выстроенная система мер обязана стать активом в достижении этой цели.
    Став равноправными членами команды, обеспечивая стабильность, сотрудники службы безопасности завоюют репутацию не только надежных защитников бизнеса, но и активных его участников.

    Как рассчитать KPI — примеры, формулы, таблицы, методики ключевых показателей эффективности

    Чтобы повысить коэффициент работы сотрудников, на предприятиях вводится специальная система Key Performance Indicators (ключевые показатели эффективности). Она позволяет определять текущие задачи, и при помощи различных бонусных программ стимулировать деятельность работников в этом направлении. Такой подход делает людей максимально заинтересованными в реализации поставленных целей, что повышает доходность организации. Что такое KPI-показатели и как их рассчитать с образцами формул и примерами, плюсами и минусами внедрения – опишем по порядку.

    Что это такое

    Это особый способ выяснить, насколько организованность группы лиц соответствует требованиям компании. Так владельцы бизнеса могут определить результативность того или иного рабочего процесса и корректировать посредством выплаты премий. При этом данные работы каждого отдельного сотрудника привязывают к общим значениям всей команды.

    При этом важно сделать так, чтобы разные службы организации не противоречили и не останавливали развитие, а действовали в едином направлении. С помощью активной мотивации персонала и сопоставимых показателей можно добиться улучшение в любых сферах: продажи, привлечение новых клиентов качество отгрузок и прочее.

    Виды KPI

    У системы Key Performance Indicators нет каких-либо ограничений в выборе приоритетов или применяемых формулах. Поэтому в различных компаниях могут как совпадать способы расчета результативности деятельности, так и разительно отличаться. Чаще всего владельцев интересуют следующие статьи:

    • затраты – сколько было потрачено ресурсов в денежном эквиваленте; функционирование – как реагирует потребитель на изменение стратегии и насколько это соотносится с поставленными целями;
    • производительность – совокупность задействованных мощностей;
    • эффективность – признак по которому определяют, как работает решение, и рассчитывают его по соотношению значений (например, отношение выручки к тратам);
    • итоги – получилось ли добиться обозначенных задач.

    В зависимости от того, какие показатели хочет определить владелец, формула, как считать KPI, будет отличаться.

    Готовые решения для всех направлений

    Мобильность, точность и скорость пересчёта товара в торговом зале и на складе, позволят вам не потерять дни продаж во время проведения инвентаризации и при приёмке товара.

    Ускорь работу сотрудников склада при помощи мобильной автоматизации. Навсегда устраните ошибки при приёмке, отгрузке, инвентаризации и перемещении товара.

    Обязательная маркировка товаров — это возможность для каждой организации на 100% исключить приёмку на свой склад контрафактного товара и отследить цепочку поставок от производителя.

    Скорость, точность приёмки и отгрузки товаров на складе — краеугольный камень в E-commerce бизнесе. Начни использовать современные, более эффективные мобильные инструменты.

    Повысь точность учета имущества организации, уровень контроля сохранности и перемещения каждой единицы. Мобильный учет снизит вероятность краж и естественных потерь.

    Повысь эффективность деятельности производственного предприятия за счет внедрения мобильной автоматизации для учёта товарно-материальных ценностей.

    Исключи ошибки сопоставления и считывания акцизных марок алкогольной продукции при помощи мобильных инструментов учёта.

    Первое в России готовое решение для учёта товара по RFID-меткам на каждом из этапов цепочки поставок.

    Получение сертифицированного статуса партнёра «Клеверенс» позволит вашей компании выйти на новый уровень решения задач на предприятиях ваших клиентов..

    Используй современные мобильные инструменты для проведения инвентаризации товара. Повысь скорость и точность бизнес-процесса.

    Используй современные мобильные инструменты в учете товара и основных средств на вашем предприятии. Полностью откажитесь от учета «на бумаге».

    Нужно ли внедрять вычисления в бизнес

    Конечно, ведь это отличный способ оценить работу сотрудников, подразделений и всей организации в целом. Собственник сможет не только узнать экономическое состояние своего детища, применяя метод сравнения разных периодов в динамике, но и улучшить:

    1. Заменить фиксированный оклад на зарплаты, соизмеримые фактическому труду каждого отдельного человека. Это исключит ситуации, когда один работает за троих, а другой в это время имитирует занятость.
    2. Разработать подходящие инструкции, которые позволят совершенствовать результаты: повысить сервис, продажи, кооперацию между отделами и прочее.
    3. Определить цели и миссию компании, оптимизировать трудовую деятельность контролирующих должностей.

    Поэтому знать, как рассчитывается показатель KPI по формуле нужно любому бизнесу, в котором есть необходимость в проведении оценочного анализа всей сферы в целом или каких-либо ее этапов.

    Так как владельцы по-разному видят темпы развития предприятия и при этом назначают несколько задач, которых желают достичь, что значительно влияет на выбор системы Key Performance Indicators. Например, одним необходимо увеличить производительность труда сотрудников на 10%. А другие ставят в приоритет достижение роста прибыли с каждой единицы производимой продукции на 5 руб. А третьи хотят и того и другого.

    Формулы

    Чтобы оценить всех, кто работает в организации, по КиПиАй разрабатывается матрица, или указ о целях. Общая форма выглядит так:

    1. Ключевые показатели – то, что работодатель хочет получить от персонала. При этом, в зависимости от занимаемой должности, человеку будут предъявлены определенные критерии.
    2. Веса – указываются числа в диапазоне в интервале от 0 до 1, где один является наиболее высоким значением. Показывает приоритеты, которыми наделен предыдущий столбец с учетом задач организации.
    3. База – самые минимальные цифры, которых нужно придерживаться. Все, что находится ниже, считается отсутствием результата, становится вопрос о необходимости такого сотрудника.
    4. Норма – то, сколько было достигнуто за аналогичный промежуток, который был до этого. Это требуется выполнить каждому работнику в обязательном порядке. Если получилось меньше, значит, не справился со своими обязанностями.
    5. Цель – необходимо достичь в указанный срок. Он призван стимулировать персонал на получение наилучшего положения.
    6. Факт – сколько по итогу заданного периода.
    7. Индекс дает понятие о том, как полученное разнится с нормативом.

    Образец

    Пример методов расчета показателей KPI по формулам можно рассмотреть на примере маркетолога интернет-магазина. Для этого требуется выбрать не менее трех и не более пяти основных коэффициентов, на которые будут опираться руководители и работники:

    • 1 – как много было привлечено клиентов на страницу;
    • 2 – число покупок, совершенных одним и тем же человеком;
    • 3 – оставил ли покупатель благодарный или негативный отзыв, рекомендацию после приобретения товара на аккаунте в социальных сетях или сайте.

    Далее нужно определить вес всех полученных результатов, где общая сумма будет равна единице. Максимальное значение отнести к самому важному (приоритетному) обозначению. Получается так:

    • новые люди – 0,6;
    • повторения – 0,25;
    • письменные отметки – 0,15.

    Потом потребуется проанализировать данные по статистике за последние шесть месяцев по каждому показателю и составить план:

    KPI для Security Operations Center: как мы пришли к своей системе метрик

    Не буду тут писать длинные заумные тексты о том, «как правильно построить систему KPI для SOC». А просто расскажу, как мы боролись и искали нашли свою методику и как теперь измеряем, «насколько все плохо/хорошо/безопасно/(нужное подчеркнуть)».

    С чего все начиналось

    Как ни странно, первые наши шаги к формированию KPI для Solar JSOC никак не были связаны с центрами мониторинга и реагирования на кибератаки. «На заре нашей юности» мы помогали компаниям строить системы оценки эффективности ИБ (СУИБ 27001 и вот это вот всё). Понимание их необходимости возникло тогда на рынке естественным образом: почти любое ИБ-подразделение изо дня в день вынуждено анализировать большие объемы данных от множества всевозможных систем. Конечно, каждая из них имеет некую свою отчетность, но при большом их количестве очень трудно сформировать целостную картину о состоянии ИБ, а впоследствии – предоставить отчёт руководству в удобном формате. Проблема усугубляется, если организация имеет географически распределенную структуру.

    Мы как раз помогали заказчикам построить не просто комплекс KPI/метрик, но полноценное аналитическое решение, агрегирующее данные от систем обеспечения ИБ. Фактически – систему визуализации, в которой можно быстро и просто увидеть суть проблемы и ее локализацию, чтобы оперативно принять требуемые решения. В этих проектах мы набрались опыта и пришли к тому, что система действительно удобная и полезная. А еще – что работу SOC тоже необходимо оценивать.

    Зачем оценивать эффективность SOC, тем более внешнего?

    Все просто: мы хотим, с одной стороны, понимать, насколько качественно оказываем услугу, а с другой – иметь максимально полное представление об инфраструктуре заказчика, видеть все «черные пятна», не попавшие в состав нашего аудита и ставшие факторами риска для сервиса. Проще говоря, хотим понимать: увидим мы ту или иную атаку на заказчика или нет.

    Когда мы начинали работать как сервис-провайдер, бывало такое, что клиент отказывался давать нам на подключение конкретные источники, которые были необходимы для 100 % идентификации атаки. В итоге такая атака случалась, мы ее не видели и получали упреки, невзирая на изначальное наше предупреждение.

    Другой пример: мы говорили, что для корректного и точного выявления инцидента нужно настроить источники определенным образом, выдавали перечень этих настроек, но заказчик эту работу не проводил. Итог тот же – пропущенный инцидент.

    Так мы пришли к пониманию, что важно в явном виде подсвечивать и заказчику, и самим себе, что конкретно мы видим в его инфраструктуре, где есть «слепые зоны» для нас, какие вектора атак наиболее часто реализуются и на каких участках, какие ИТ-активы наиболее подвержены атакам и как это может повлиять на бизнес. Для этого система визуализации должна показывать реальную ситуацию и помогать в ее анализе, а не просто быть «вау-эффектом» для руководства (как это часто бывает).

    Читайте также  Техника безопасности при землетрясении

    KPI для SOC – что и как измерять?

    Перво-наперво надо понять: зачем, для чего вам нужна эта самая система KPI/метрик? Вы хотите измерять эффективность работы вашего подразделения ИБ? Понимать, насколько хорошо/успешно (или наоборот) работают ваши процессы? А может, просто показать руководству, «кто молодец»? Или, может быть, от выполнения KPI зависят премии отдела? Без понимания целей оценки эффективности невозможно построить реально действующую систему KPI.

    Допустим, с целями определились, и теперь встает самый интересный вопрос: а как измерять-то? К SOC с линейкой не подойдешь, тут все немного сложнее. Это ведь не только SIEM как система сбора и корреляции событий ИБ, это еще и огромное множество систем, которые позволяют корректно функционировать сервису. Данных внутри SOC безумно много, поэтому оценивать есть что.

    И в этом вопросе мы стараемся максимально уйти от субъективных KPI, т.е. тех метрик, которые невозможно измерить автоматически. Например, метрику «Насколько у нас все плохо» сложно оценить напрямую, без участия человека (который выдаст свое кривое не всегда правильное мнение, основываюсь на собственном опыте). Но если разбить эту метрику на более мелкие, то их уже можно посчитать на основе данных от технических средств. Т.е. нужно определить, что для нас входит в понятие «все плохо»: у нас нет конкретного СЗИ; антивирус внедрен не везде, где нужно; специалисты очень долго обрабатывают инциденты или заявки; на всех наших хостах есть более 10 критических уязвимостей и их никто не устраняет и т.д. И вот если все подобные маленькие метрики с учетом их весовых коэффициентов для нашего бизнеса собрать в единый расчет, то мы получим значение метрики «Насколько у нас все плохо». Более того – мы сможем объяснить, на чем она основывается и почему определенное ее значение говорит о том, что пора срочно решать серьезные проблемы в организации ИБ. И главное – мы всегда сможем опуститься в детали этой метрики и понять, какие задачи в каком приоритете стоят.

    При построении своей системы KPI мы придерживаемся следующих принципов:

    • KPI должен быть действительно важным и для SOC, и для заказчика;
    • показатель должен быть измеряемым, т.е. должны быть построены конкретные формулы расчета и заданы пороговые значения;
    • у нас должна быть возможность влиять на значение показателя (т.е. метрики из разряда «процент солнечных дней в году» нам не подходят).

    Также мы пришли к выводу, что система KPI не может быть плоской и должна иметь минимум три уровня:

    1. «Стратегический»: это KPI, которые отображают общую картину достижения поставленных целей;
    2. «Расследование, анализ, выявление связей»: это KPI, на основе которых формируется первый уровень и которые вносят свой вклад в осуществление главной цели.
    3. «Мониторинг и реагирование»: самые базовые KPI, из которых строятся все вышестоящие (мы измеряем их автоматически – на базе данных от СЗИ и других источников).

    Каждый из показателей влияет на вышестоящий. Так как это влияние неодинаково, каждому из показателей присваивается весовой коэффициент.

    Разумеется, первое, что мы хотим видеть постоянно – это то, насколько эффективно работает наш сервис для заказчиков. И, естественно, эта информация должна быть своевременной. Для этого мы разработали (и продолжаем улучшать) систему метрик, которая отражает качество работы каждой из служб: 1-ой и 2-ой линии, сервис-менеджеров, аналитиков, реагирования, администрирования и д. т. По каждому из этих направлений было разработано порядка 10-15 KPI – считались они на базе данных от систем, в которых работают ребята (вовремя ли выполняются заявки, быстро ли мы отвечаем заказчику на его запрос, как подключаются источники и многое другое).

    SLA хорошо, но важнее реальное качество услуги

    Для нас важно, чтобы покрытие сервисом позволяло выявлять максимальное количество инцидентов и атак, а не быть слепыми котятами. Чтобы мы могли интерпретировать инциденты у заказчика в формате его же ИТ-активов, а не абстрактных айпишников. Чтобы наши уведомления не сводились к тому, что «на хосте 10.15.24.9 обнаружен Mimikatz», и не вынуждали бы заказчика самостоятельно выяснять, что это за хост, теряя время, необходимое на реагирование и ликвидацию последствий.

    Иными словами, нам важно понимать, насколько хорошо защищены заказчики нашим SOC. А значит, надо определить, насколько подробно и достаточно мы их «видим»:

    • все ли значимые источники к нам подключены;
    • насколько эффективно СЗИ заказчика (они же источники для нашего сервиса) покрывают его инфраструктуру;
    • все ли источники настроены так, как мы рекомендуем, и каковы отклонения;
    • все ли необходимые и достаточные сценарии выявления атак и инцидентов запущены у заказчика;
    • все ли подключенные источники отдают нам события с заданной регулярностью;
    • на все ли наши извещения заказчик реагирует, и насколько своевременно он это делает.

    А также – насколько «страшно жить внутри этого заказчика», то есть:

    • как часто его атакуют, какова критичность этих атак (целенаправленные или массовые), каков уровень злоумышленника;
    • насколько эффективна защита у заказчика (процессы и СЗИ) и как часто она актуализируется;
    • какова критичность активов, участвующих в инцидентах, какие из активов используются злоумышленниками чаще всего и др.

    Чтобы посчитать все такие верхнеуровневые показатели, надо сначала разбить их на более мелкие, а те – на еще более мелкие – пока мы не дойдем до дзена уровня маленьких метрик, которые можно однозначно посчитать на базе данных от источников и наших внутренних систем.

    Самый простой пример: есть высокоуровневый показатель «Эффективность процессов ИБ», состоящий из более мелких, таких как «Степень защиты от ВПО», «Степень управления уязвимостями», «Степень защиты от инцидентов ИБ», «Эффективность управления доступом» и т.д. Сколько процессов ИБ реализовано в организации, столько и будет метрик второго уровня. А вот чтобы посчитать метрику второго уровня, надо собрать еще более мелкие метрики, например, «Степень покрытия антивирусом хостов организации», «Процент критичных инцидентов с ВПО», «Количество вовлеченных активов», «Процент ложных срабатываний», «Уровень киберграмотности пользователей», «Процент хостов организации с выключенной антивирусной защитой», «Процент хостов с неактуальными антивирусными базами» – далее можно продолжать до бесконечности. И вот эти метрики третьего уровня вполне можно собирать со средств защиты информации и других систем в автоматическом режиме, а расчет производить в системе аналитики ИБ.

    Создание KPI и управление эффективностью SOC – та еще задачка как для разработчиков этих метрик, так и для заказчика (а это исключительно парный «танец»). Но игра стоит свеч: в итоге можно в полной мере, централизовано и быстро оценить состояние ИБ, найти слабые места, быстро отреагировать на инциденты и поддерживать СЗИ в актуальном состоянии.

    Если тема окажется интересной, я подробнее расскажу о метриках в следующих статьях. Так что если хотите услышать о каких-то конкретных аспектах измерения SOC, пишите в комментариях — постараюсь ответить на все вопросы.

    Елена Трещёва, ведущий аналитик Solar JSOC

    KPI и показатели безопасности

    KPI безопасности делятся на показатели результата, которые оценивают то, что уже произошло (аварии и травмы) и показатели действия, работающие проактивно и помогающие предотвратить возникновение новых проблем в этой области.

    Основные темы статьи:

    Вероятно, у вас уже есть длинный список индикаторов результата, включающих:

    • Зарегистрированные аварии/инциденты
    • Частота травм с временной потерей трудоспособности

    Я предлагаю обратить внимание на предупреждающие KPI (действия) для повышения безопасности.

    Индикаторы действия для повышения безопасности

    Анализируя факторы действия в области безопасности, мы можем выделить несколько представляющих интерес областей.

    KPI обучения

    Базовая подготовка по безопасности — фактор успеха более безопасной среды:

    • % менеджеров, прошедших тренинг по безопасности
    • % сотрудников, прошедших тренинг по безопасности

    Для отслеживания подготовки по безопасности на четырех уровнях вы можете использовать систему показателей обучения.

    KPI поведения

    Прохождение тренинга по безопасности не всегда означает более безопасное фактическое поведение, поэтому мы также должны отслеживать:

    • Количество и типы зарегистрированных случаев небезопасного поведения
    • Зарегистрированные потенциально аварийные ситуации (мы в деталях рассмотрели подобные ситуации в статье о системе показателей качества)

    KPI команды

    Высокий моральный дух сотрудников сокращает количество аварий. Обратите внимание на показатели:

    • Среднее количество сверхурочных часов на человека
    • Удовлетворённость сотрудников рабочей средой
    • Вовлеченность сотрудников

    KPI реагирования

    Задачи безопасности должны решаться быстро:

    • Среднее время на подготовку плана реагирования
    • Среднее время решения зарегистрированной проблемы

    Финансовые KPI

    На безопасность всегда должен закладываться определённый бюджет.

    • Стоимость обеспечения безопасности

    В качестве фактора, определяющего бюджет новых инициатив по безопасности, мы можем использовать индикатор стоимость небезопасной среды, подобный стоимости низкого качества.

    • Стоимость небезопасной среды
    • Стоимость безопасной среды

    KPI оборудования

    Сломанное оборудование не всегда означает возникновение проблемы безопасности, однако оно может быть фактором действия:

    • Поломки оборудования
    • % оборудования, которое прошло профилактическое обслуживание

    KPI инспекции

    Безопасность среды должна получать формальное подтверждение:

    • Количество выполненных аудиторских проверок и инспекций

    Стратегическая карта безопасности

    Здесь вы найдете пример стратегической карты ССП, автоматизированной при помощи программы BSC Designer Online.

    Пример Alcoa: безопасность важнее финансовых KPI

    А что если кто-нибудь скажет, что для повышения общей производительности компании вы должны сосредоточиться на… безопасности сотрудников? Ваши текущие показатели безопасности находятся в зелёной зоне, а их значения лучше, чем в среднем по отрасти. При этом, как ни странно, новый исполнительный директор говорит с инвесторами и акционерами не о рентабельности инвестиций или финансовой эффективности, но о… безопасности.

    Фокус на показателях безопасности

    Именно так поступил Пол О’Нил, который стал президентом и исполнительным директором Alcoa в 1987 году. Работа в Alcoa включает операции с расплавленным алюминием, а уровень травматизма в компании составлял 1,86 случай на 100 рабочих в год (что является хорошим показателем по сравнению со средним по США уровнем, равным 5 случаям на 100 рабочих). Новый исполнительный директор поставил цель: «добиться нулевого травматизма» в компании, имеющей дело с расплавленными металлами.

    Добилась ли компания этой цели? Сегодня Alcoa публикует данные по безопасности в режиме реального времени [1] . На момент написания статьи этот показатель составлял 0.120. Иными словами, средний рабочий в Alcoa подвергается меньшему риску получить травму, чем сотрудник компании-разработчика программного обеспечения или офиса юристов.

    Читайте также  Наименование мероприятия по безопасности работ на высоте

    План действий Alcoa

    Как компания смогла этого добиться?

    • Она стала «одержимой» безопасностью!

    О любом происшествии, связанном с безопасностью, докладывали руководству в течение 24 часов. Отчеты содержали анализ ситуации и план ответа. В компании отнеслись к этому серьезно, а одного топ-менеджера даже уволили за то, что он не сообщил о подобном происшествии. Безопасность не просто стала частью бюрократических отчетов, именно она оказалась в центре внимания.

    • На улучшение безопасности всегда закладывался бюджет: устанавливались новые сенсоры, проводилось проактивное техническое обслуживание, людей обучали по теме безопасности. Компания даже ввела систему электронных сообщений для… более эффективного сообщения о проблемах безопасности.

    Побочные эффекты фокуса на безопасности

    Подобный фокус обладал одним «побочным» эффектом. Люди начали делиться своими идеями, некоторые из которых привели к серьёзным улучшениям, и, что более важно, финансовые результаты компании также улучшились.

    Если вы хотите узнать историю целиком, я рекомендую вам начать с этой статьи [2] , написанной получившим Пулитцеровскую премию деловым журналистом Чарльзом Дахиггом. Если вам понравилась эта история, я советую вам книгу [3] , в которой Чарльз Дахигг исследует природу привычек (или процедур, являющихся их бизнес-аналогом) и приводит отличные примеры того, как можно повысить производительность организации.

    Пример Qatar Airways Group: понимание контекста измерения

    Другим интересным примеров является Qatar Airways Group. Её управляющие всерьёз занимаются измерением, отчетами и улучшением системы безопасности:

    • они знают, как интерпретировать полученные данные;
    • они знают значения показателей результата, однако сконцентрированы на факторах действия;
    • они тщательно каскадировали стратегию от целей высшего уровня к конкретным инициативам.

    По данным Sustainability Report 2018 [4] одним из используемых компанией показателей безопасности является классический KPI Частота травм с временной потерей трудоспособности:

    • начиная с 2012 года значение показателя снижалось, демонстрируя отличный прогресс.
    • с 2015 по 2017 год значение показателя практически не менялось.

    При этом период «без улучшений» совпал с быстрым ростом группы. Этот пример показывает, насколько важен контекст для интерпретации значения показателя.

    Другая передовая практика группы: отчет об устойчивом развитии содержит лишь несколько показателей результата в области безопасности, однако даёт много информации о факторах успеха в этой сфере (их можно подсчитать при помощи показателей действия , рассмотренных выше) и проактивных процедурах для повышения безопасности, например:

    • инспекция безопасности на рабочем месте
    • вовлечение сотрудников в обеспечение безопасности.

    Наконец, в стратегическом плане группы можно найти темы, связанные с безопасностью:

    • Обучение и осведомлённость
    • Система управления безопасностью и здоровьем
    • Сообщества по безопасности
    • Пожарная безопасность

    Далее эти темы каскадируются в подтемы, конкретные проекты и оценку прогресса.

    Covid-19: влияние на KPI безопасности

    В условиях пандемии Covid-19 необходимо скорректировать KPI безопасности:

    Факторы успеха безопасности сотрудников можно подсчитать следующим образом:

    • Проникновение тренинга по осведомлённости, %
    • Применение превентивных мер, %

    Результаты мер по улучшению безопасности в условиях коронавируса можно измерить при помощи:

    • % поведения, фактически скорректированного в соответствии с требованиями.

    Разница между ожидаемым и фактически внедренным покажет, насколько эффективно принимаются меры.

    Цель «Поддержка отличных условий для команды» может быть расширена при помощи инициативы удалённая работа, при этом работодатель должен сосредоточиться на:

    • проведении тренинга по осведомлённости в рамках модели «удалённая работа»
    • предоставлении инструментов и материалов, необходимых в условиях удалённой работы
    • установлении четких стандартов измерения производительности

    Covid-19 влияет не только на меры по обеспечению безопасности. Мы рекомендуем использовать шаблон стратегической карты непрерывности бизнеса для анализа воздействия коронавируса на всю организацию и подготовки стратегии реагирования.

    • Доступ к шаблонам. Воспользуйтесь бесплатным планом BSC Designer для доступа к 28 шаблонам ССП, включая KPI безопасности из этой статьи.
    • Отточите навыки. Запишитесь на тренинг по ССП. Отточите ваши навыки стратегического планирования.
    • Автоматизация. Узнайте что такое софт для ССП и как он может облегчить создания стратегических карт и работу с индикаторами.

    Система KPI (Key Performance Indicator): разработка и применение показателей бизнес-процесса. Показатели эффективности

    Определение

    KPI (Key Performance Indicator) — это показатель достижения успеха в определенной деятельности или в достижении определенных целей. Можно сказать, что KPI — это количественно измеримый индикатор фактически достигнутых результатов.

    На русский язык термин наиболее часто переводится как «ключевой показатель эффективности», что является не вполне корректным: эффективность характеризует соотношение между достигнутым результатом и затраченными ресурсами, а с помощью KPI можно измерять и другие параметры. Более правильным является перевод «Ключевой показатель деятельности».

    KPI и BSC

    Бытует заблуждение о том, что KPI имеет прямое отношение к BSC (Balanced Scorecard, Сбалансированная система показателей). Однако разработчики BSC — Нортон и Каплан — не использовали термина KPI, а использовали термин measure — «мера», «измеритель».

    Между KPI и BSC присутствует скорее косвенная связь: в BSC есть перспектива , на которой находятся цели, связанные с . Как измерители достижения этих целей часто используются показатели этих — KPI.

    Наиболее актуально использование понятия KPI в. управлении : KPI являются измерителями результативности, эффективности, производительности .

    Выделяются следующие виды ключевых показателей:

    1. KPI результата — сколько и какой результат произвели;
    2. KPI затрат — сколько ресурсов было затрачено;
    3. KPI функционирования — показатели выполнения (позволяет оценить соответствие процесса требуемому алгоритму его выполнения);
    4. KPI производительности — производные показатели, характеризующие соотношение между полученным результатом и временем, затраченным на его получение;
    5. KPI эффективности (показатели эффективности) — это производные показатели, характеризующие соотношение полученного результата к затратам ресурсов.

    При разработке показателей процесса необходимо придерживаться следующих правил:

    1. Набор показателей должен содержать минимально необходимое их количество для обеспечения полноценного управления ;
    2. Каждый показатель должен быть измерим;
    3. Стоимость измерения показателя не должна превышать управленческий эффект от использования данного показателя.

    Алгоритм разработки показателей

    Рассмотрим виды ключевых показателей деятельности на примере процесса « обеспечение» Производственной компании (рис. 1)
    Выделять показатели наиболее удобно применительно к Процессу, изображенному в нотации IDEF0, когда на рисунке представлены Входы, Выходы, Управление (правила выполнения процесса) и Механизмы (оборудование, персонал). Ключевые показатели эффективности и показатели производительности, являясь производными, при использовании такой схемы характеризуют процесс в целом.

    Рисунок 1. Процесс « обеспечение»

    Идентифицировать процесс и его результат.

    Процесс « обеспечение» — результат «Годные ценности».

    Идентифицировать (ресурсы, перерабатываемые за один цикл процесса) и (ресурсы, обеспечивающие многократное выполнение процесса — оборудование, персонал).

    • Заявки на поставку ценностей;
    • ценности (ТМЦ) — сырье и материалы, которые необходимо предоставить согласно плану закупок или по заявкам на поставку;
    • Информация о наличии и стоимости ТМЦ на рынке.
    • Оборудование рабочих мест сотрудников отдела снабжения;
    • Сотрудники отдела снабжения.

    Идентифицировать (правила и требования к выполнению процесса)

    Например, рассматриваемый процесс может регламентироваться:

    • «Инструкцией по приемке и хранению сырья, полуфабрикатов и материалов на складе»;
    • «Методикой отбора поставщиков»;
    • «Правилами заключения договора поставки сырья и материалов»;
    • «Планом закупок».

    Зная результат, который должен быть получен, необходимо оценить его количественно — сформировать показатели результата. Они могут быть как простыми, так и рассчитываемыми (по формуле или иным способом).

    KPI 1 — количество заявок на ТМЦ ( ценности), выполненных в срок.

    KPI 2 — % заявок на ТМЦ, выполненных в срок.

    KPI 2 = KPI 1 / Z х 100%,
    Где Z — общее количество поданных заявок на поставку ТМЦ.

    KPI 3 — % ТМЦ надлежащего качества, поступивших в производство.

    KPI 3 = А / В х 100%
    Где, А — количество ТМЦ надлежащего качества, поступивших в производство,
    В — общее количество ТМЦ, поступивших в производство.

    На основе входов процесса можно сформировать показатели затрат.

    KPI 4 — Затраты на приобретение ТМЦ (затраты на ресурсы).

    На основе механизмов процесса можно сформировать дополнительные показатели затрат.

    KPI 5 — Затраты на осуществление деятельности (затраты на персонал и оборудование).

    Правильность выполнения процесса, помимо показателей затрат на осуществление деятельности, отражают также показатели функционирования.

    KPI 6 — Количество срывов сроков подачи проекта бюджета в финансовое управление за год.

    Показатели производительности рассчитываются как соотношение полученного результата ко времени.

    Показателем производительности KPI 7 может служить среднее количество заявок, обработанных отделом снабжения в день.

    KPI 7 = С / r
    Где C — Количество обработанных заявок в месяц,
    r — Количество рабочих дней в месяце.

    Расчет ключевых показателей эффективности осуществляется на основе выделенных предварительно KPI результата и KPI затрат. Показатели эффективности, таким образом, выступают интегральными характеристиками деятельности.

    Пример:
    Показателем эффективности производства предприятия KPI 8 можно считать стоимость выполнения одной заявки. Этот показатель рассчитывается по следующей формуле:

    KPI 8 = KPI 5 / KPI 1
    Где KPI 1 — Количество заявок на ТМЦ, выполненных в срок,
    KPI 5 — Затраты на осуществление деятельности.

    По этому принципу (отношение затрат к полученному результату) можно рассчитать как показатели эффективности производства, так и показатели эффективности проектов или показатели эффективности управления.

    Практическое применение KPI

    Использование в цикле планирования и контроля

    Поскольку KPI являются измерителями результата и затрат, то они могут использоваться при планировании и контроле деятельности как элементы плана.

    Показатели, значения которых могут выступать в качестве элементов плана для Отдела обеспечения:

    • % своевременного выполнения заявок на ТМЦ — 99%;
    • % ТМЦ надлежащего качества, поступивших в производство, — 100%.

    После осуществления деятельности, измеряются и фиксируются фактические значения показателей. При серьезных отклонениях фактических значений от плановых в худшую сторону необходимо провести анализ деятельности и разработать корректирующие мероприятия.

    Преимущества использования системы KPI в. обычной деятельности компании: планирование и анализ деятельности осуществляются на основе тех результатов, которые нужны . Все показатели не выдуманы абстрактно, а «произошли» от процесса, который закрепляет необходимую системе деятельность. Если же планирование происходит само по себе, в отрыве от реальной деятельности, то зачастую выбор показателей и их целевых значений не способствует достижению основных целей организации, а является произвольным и не всегда обоснованным.

    Мотивация персонала

    При внедрении KPI становится четкой и прозрачной система мотивации: поскольку фиксируются плановые и фактические значения, то руководителю ясно, за что и как мотивировать сотрудника. Тот, в свою очередь, хорошо понимает, при каких условиях и какое вознаграждение он получит, а за что его ожидает взыскание.

    Начальник отдела снабжения:

    • Премируется за успешное достижение запланированных показателей эффективности и результативности;
    • Депремируется за невыполнение показателей деятельности (срыв сроков сдачи проекта бюджета в финансовое управление);

    Таким образом, благодаря системе KPI компания вознаграждает сотрудника за получение нужных ей результатов, а сотрудник заинтересован в получении результатов наравне с компанией.