Метрики качества плейбуков: как уйти от человеческого фактора в процедурах lessons learned

Оптимизация процессов реагирования и расследования в основном опирается на последовательный анализ человеком того, что получилось или чего не получилось. Пока этот процесс больше управленческий, механизмы не описаны и отдаются на откуп опыту, знаниям и компетенциям конкретных функционеров. Мы можем сделать метод lessons learned более прогнозируемым и автоматически учитывать уже пройденные этапы оптимизации. Чтобы понять, что было сделано хорошо, а что плохо, у нас должна быть выработана система оценок и набор метрик, определяющих качественность планов реагирования. Полнота ретроспективного анализа окружения инцидента; качество и скорость прохождения фаз обработки инцидента; успешность выполнения действий оператором и эффективность рекомендательной системы плейбуков; ранжирование действий на каждой фазе инцидента. Все это дает нам возможность оценить, а насколько хороша наша система расследования и реагирования и как мы можем ее изменить, чтобы сделать лучше. Анна Олейникова Security Vision