Дашборды по ИБ для руководства: КАК отобразить

07.02.2018 Лукацкий Алексей , Бизнес-консультант по безопасности
Как и отчеты дашборды бывают трех типов - стратегические (для топ-менеджеров), аналитические (для руководителей среднего звена) и оперативные  (для исполнителей). Учитывая, что большинство отчетов (да и дашбордов) готовится именно исполнителями и ни они не задаются нужными вопросами (КТО моя целевая аудитория, ЧТО они должны решить и КАКАЯ информация им для этого нужна), ни им не дают ответы на эти вопросы, то большинство отчетов/дашбордов превращаются в простыни цифр, которые никто не читает (распечатки логов IDS, МСЭ, список непропатченных ПК, список критичных уязвимостей и т.п.). Чтобы сделать ваш продукт (а дашборд или отчет - это продукт, который вы продаете руководству) надо усвоить несколько важных моментов:

  • виды анализа
  • используемые виды диаграмм
  • макет дашборда
  • прототип дашборда.

Давайте в качестве примера возьмем задачу отображения деятельности SOC для CISO, которому нужно понять, насколько эффективно задействованы сотрудники SOC, все ли инциденты отрабатываются в срок, какие инциденты больше всего отнимают ресурсов и т.п. Вот у нас уже есть перечень вопросов, для которых нам нужны следующие количественные измерения - количество инцидентов разных типов и трудозатраты сотрудников SOC на разбирательство с ними. По каждому инциденту достаточно собрать следующие данные - сотрудник SOC, источник инцидента, статус инцидента (разрешен/просрочен), дата. На основе полученных данных мы можем получить 4 блока аналитики:

  • количество запросов и трудозатрат по сотрудникам SOC
  • трудозатраты по типам инцидентам
  • динамика инцидентов в течение года (кстати, на этом показателе становится понятной разница между средним арифметическим и медианой)
  • количество инцидентов по источникам.
Попытка вынести эти 4 блока на один дашборд обычно с первого раза не получается. Точнее получается фигня - все блоки равнозначны и непонятно, куда смотреть и какой вывод может быть сделан на основе полученной информации. Пробуем перегруппировать, опираясь на три типа отчетов/дашбордов, упомянутые в самом начале. Стратегические показатели (число инцидентов, число просроченных инцидентов в %, трудозатраты в часах, число аналитиков SOC) выносим наверх, а аналитические (оперативные в дашборде будут лишними) разместим ниже. Именно там покажем динамику инцидентов, количество инцидентов по типам и источникам, трудозатраты по аналитикам SOC.
Определившись с тем, ЧТО показываем в дашборде, надо решить, КАК мы это показываем. Несмотря на то, что современные BI-решения и даже Excel содержат десятки разных типов диаграмм, в реальности вам понадобится всего 5 - линейчатая диаграмма, график, гистограмма, точечная/пузырьковая диаграмма и круговая/кольцевая диаграмма.
Иногда еще могут понадобиться всякие радарные диаграммы или светофоры, но это гораздо реже предыдущих пяти. Эти диаграммы помогут вам отобразить 4 базовых вида аналитики:
  • Рейтинг. Это самый распространенный вариант анализа, который позоляет сравнивать данные по принципу больше/меньше. Число незакрытых или просроченных инцидентов, число непропатченных ПК, размер ущерба, число IoC, обработанные заявки на доступ и т.п. Демонстрировать данный анализ позволяют линейчатые диаграммы и гистограммы.
  • Динамика. Это вид анализа, который обычно демонстрируется графиком или гистограммой, показывает тренд, сезонность, изменение во времени суток и т.п. 
  • Структура. Этот вид анализа показывает часть, долю целого. Например, распределение затрат на ИБ, распределение инцидентов по типам или источникам, соотношение закрытых и просроченных инцидентов и т.п. Единственным способом отобразить данный вид анализа позволяет круговая диаграмма.
  • Взаимосвязи. Это гораздо более редкий, но все-таки важный вид анализа, который помогает показать наличие или отсутствие (а иногда и характер) взаимосвязей между несколькими показателями. 
При выборе диаграмм главное не переборщить. По себе знаю - часто хочется не показать важную информацию, а показать ее красиво и продемонстрировать не только умение пользоваться разными тулами, но и потраченную на разные плагины и коллекции иконок кучу денег :-) В итоге вместо концентрации на том, ЧТО показывать силы уходят на то, КАК это показывать, что неправильно. Я на первых порах всегда начинал с вопроса "какой тип диаграммы использовать" или "где разместить эти данные - на оси абсцисс или ординат" вместо "число инцидентов типов А, Б и В за отчетный период составило ххх, yyy и zzz и для этого мне нужно использовать гистограмму".

Отсюда же, кстати, вытекает и рекомендация не увлекаться инфографикой. Я сталкивался с парочкой фирм, в которых цифры и аналитика уходят на второй план, а их подменяют красивые иконки, на рисование которых тратятся усилия целых отделов. Помочь принять решение это не помогает, а ресурсов требует немалых. Если, конечно, у вас денег куры не клюют, то можно и поиграться в эти игры, но в обычной жизни для 99% компаний все это баловство.

Завтра поговорим про макет и прототип дашборда. И попробую отобразить уже реальные картинки, которые все так хотят увидеть :-)
Перейти к обсуждению