Метрики дефектов иб для команд разработки

Причины возникновения эффекта

Для более систематизированного подхода к анализу причин возникновения эффекта зеленых арбузов в ITSM, давайте структурируем проблемы по следующим категориям:

• Стандартных формулировок несоответствий и рекомендаций

Основные возможности

• Использование своих или готовых чек-листов
• Планирование и проведение аудитов
• Формирование отчетов в разных форматах
• Управление несоответствиями
• Оповещения и напоминания
• Аналитика

GRAIT Audit является полнофункциональной системой, объединяя возможности проведения аудитов и управления несоответствиями, претензиями, жалобами и сбоями. Система позволяет собирать информацию из разных источников и различными способами, включая использование QR-кодов.

Несоответствия на аудите системы менеджмента качества (СМК) являются выявленными расхождениями между требованиями стандарта ISO 9001 или внутренними процедурами организации, и фактическим состоянием и деятельностью организации. Несоответствия могут возникать в различных областях и в разных этапах аудита СМК, в ходе сбора свидетельство аудита или их перепроверки.

Сертификационный аудит подтверждает соответствие системы менеджмента качества, некритические несоответствия на аудите не являются препятствием на пути получения или подтверждения действия сертификата. А вот внутренний аудит системы менеджмента качества имеет акцент выявить все несоответствия, все риски, которые могут привести к недостижению спланированных результатов.

Несоответствия на аудите СМК могут иметь различные характеристики и уровни серьезности. Они могут быть связаны с неполным выполнением требований стандарта ISO 9001, ошибками в документации или отсутствием соответствующих записей и отчетов. Критические несоответствия всегда связаны с процессами или их отсутствием.

Интересный и очень логический момент наша команда аудиторов наблюдает, осуществляя сертификационные аудиты системы менеджмента качества для наших заказчиков. Если еще лет 5-10 назад большинство несоответствий на аудите звучали как невыполнение требований внутренней процедуры или несоблюдение порядка, установленного внутренней документацией. Сейчас при зрелых системах менеджмента качества, при большом опыте работы с несоответствиями аудита и статистикой, что помогает компании развивать лучшие процессы несоответствия звучат совсем по-другому.

Видео

Ссылка на видео

Устранение несоответствий на аудите СМК

Устранение несоответствий на аудите СМК правильным способом, в соответствие с контекстом организации не только признак функционирования процесса постоянного улучшения (ради этого и создаются системы менеджмента), но и укрепляет доверие персонала в том, что от системы менеджмента качества есть реальная польза.

Оптимизация объема документации СМК

А Вы уже оптимизируете Ваш объем документации СМК? Приходе к нам за услугами полезного аудита системы менеджмента качества!

Департамент комплексных проектов

Управление ИТ-сервисами (ITSM) играет критически важную роль в обеспечении бесперебойной работы современных бизнес-структур. Оно охватывает широкий спектр процессов и практик, направленных на планирование, проектирование, доставку, поддержку и улучшение ИТ-сервисов. В этом контексте, одной из ключевых задач является не только обеспечение технической исправности и доступности ИТ-систем, но и гарантия их соответствия потребностям и ожиданиям бизнеса и конечных пользователей.

Эффект зеленых арбузов в контексте ITSM

Введение понятия эффект зеленых арбузов в контексте ITSM помогает подчеркнуть проблему, с которой сталкиваются многие организации. На первый взгляд, арбузы выглядят зелеными и свежими, но когда мы их разрезаем, внутри они могут оказаться неспелыми или даже испорченными. Аналогично, в сфере управления ИТ-сервисами, сервисы могут казаться эффективными и соответствующими всем требованиям на основании внешних показателей и отчетов. Однако, при более тщательном рассмотрении, может обнаружиться, что качество сервиса на самом деле не соответствует внутренним критериям и ожиданиям пользователей, что приводит к недовольству клиентов и другим негативным последствиям для бизнеса.

Эффект зеленых арбузов символизирует скрытые несоответствия между отчетностью в ITSM системах и реальным состоянием дел, что является значимой проблемой в управлении ИТ-сервисами. Понимание этого эффекта и разработка стратегий его преодоления являются необходимыми для повышения качества ИТ-сервисов и достижения высокого уровня удовлетворенности пользователей и бизнеса в целом.

Практические рекомендации

В данной статье мы с вами исследуем природу эффекта зеленых арбузов в контексте ITSM, анализируем его причины и последствия, и предлагаем практические рекомендации по минимизации и управлению этой проблемой. Наша цель — осветить, как компании могут улучшить свои ИТ-сервисы, обеспечивая их соответствие не только техническим спецификациям, но и реальным потребностям и ожиданиям всех заинтересованных сторон.

Данный опыт будет очень полезен начинающим ITSM менеджерам, тк только после опыта в полях приходит понимание какие метрики надо вводить, а до какие еще надо дорасти. Так же подобный опыт можно получить, если найти себе опытного ИТ-ментора, например в сообществе True Grade (проект-сообщество, который нацелен на сотрудничество ИТ-менторов), который оценит ваше стремление сделать сервис лучше и направит усилия в нужную сторону.

Уязвимость и дефект информационной безопасности

Уязвимость и дефект информационной безопасности — это два термина, которые иногда применяются взаимозаменяемо. Они описывают потенциальную проблему в системе или слабое место, которые могут быть использованы для несанкционированного доступа, кражи активов и других серьезных киберпреступлений. Чтобы избежать недопонимания, рассмотрим данные понятия в контексте DevSecOps, в частности, инструмента класса ASOC (Application Security Orchestration and Correlation).

Уязвимость

Прежде всего разберемся с термином уязвимость. Важно различать два вида:

Issue: основной объект для подсчета метрик DevSecOps. Расчет показателей рисков ИБ, времени выявления, триажа и закрытия уязвимостей опирается на анализ количества и статусов уязвимостей, обнаруженных различными сканерами. Эти метрики отражают эффективность процессов и работы команд информационной безопасности.

Дефект информационной безопасности: это ошибка кода или инфраструктуры, требующая внимания и устранения. В контексте подхода ASOC – это сгруппированный отчет об одной или нескольких уязвимостях, подтвержденных и приоритизированных ИБ-специалистом. Он создается инженером безопасности и экспортируется в дефект-трекинговую систему команды разработки для последующего исправления.

Эффективность исправления дефектов

Метрики:

• MTTR (Mean Time to Resolve): В январе 2024 года – 280 дней.
• Средний возраст незакрытых дефектов: Превышает год.
• Дефекты, устраненные быстро: 15% устранены менее чем за 1 час.

Анализ:

За последний год было исправлено 28 дефектов, технический долг – 92. Для его полного устранения при текущем темпе закрытия потребуется более 3 лет. Это говорит о необходимости пересмотра стратегий и процессов разработки. Возможно, стоит также поднять вопрос о выделении дополнительных ресурсов.

Когда цифры говорят Ух ты!, а пользователи говорят Ох нет!”

Производительность команды поддержки, или Как быстро ответить и успеть забыть: Отчеты утверждают, что среднее время реакции составляет всего 2 часа. Однако уточненные данные показывают, что 25% критических запросов были решены с скоростью улитки, которая решила принять участие в марафоне. Быстро оказалось субъективным понятием, напоминающим о том времени, когда вы обещали начать фитнес уже точно в понедельник.

Финансовые потери из-за простоев

Вы теряете 10,000 долларов ежемесячно из-за простоев, в то время как отчеты празднуют 99% доступность. Это как праздновать, что вы успешно сэкономили на чаевых в ресторане, забыв, что оставили свой кошелек на столе.

Понятие эффекта зеленых арбузов

Определение

Подумайте о том моменте, когда вы выбираете на рынке самый зеленый и, как вам кажется, самый сочный арбуз. Вы возвращаетесь домой, полны ожиданий, разрезаете его, а внутри — сюрприз! Арбуз не такой уж и сладкий, как вы мечтали. В мире ITSM эффект зеленых арбузов происходит, когда на бумаге все выглядит замечательно — отчеты показывают 99,9% доступности сервиса, но если копнуть глубже, можно обнаружить, что все ваши пользователи пытались получить доступ в те самые 0,1% времени, когда сервис был недоступен.

Происхождение термина

Как и в случае с реальными арбузами, где внешний вид может обмануть ваши вкусовые ожидания, в ITSM эффект зеленых арбузов отражает разрыв между блестящими показателями ваших дашбордов с метриками SLA и реальной ситуацией. Это напоминает тот момент, когда вы показываете своему начальнику графики успеха проекта, но забываете упомянуть, что эти графики основываются только на прогнозных данных, а какой прогресс в реальности вы не проверили.

Применение в ITSM

В контексте управления ИТ-сервисами, этот эффект часто проявляется, когда, например, отчеты говорят о том, что среднее время реакции на инциденты составляет всего лишь 4 часа. Однако, если углубиться в детали, окажется, что быстрая реакция на самом деле заключалась в отправке автоматического письма с текстом Мы получили ваш запрос и скоро на него ответим.

Распознавание и активное противодействие

Эффект зеленых арбузов не только путем к улучшению качества ИТ-сервисов, но и возможность добавить в ваш рабочий день немного юмора. Минимизация этого эффекта поможет вашей команде воспринимать метрики как собственный инструмент, а не что-то навязанное сверху.

Проблемы с Метриками и Анализом

Рассматривая причины возникновения эффекта зеленых арбузов через призму проблем с метриками и аналитикой, организации могут более эффективно идентифицировать и адресовать корневые проблемы, препятствующие достижению высокого качества ИТ-сервисов и удовлетворенности пользователей.

Этот подход к структурированию проблем позволяет компаниям более целенаправленно идентифицировать основные препятствия на пути к улучшению качества и эффективности управления ИТ-сервисами (ITSM). Он подчеркивает необходимость всестороннего анализа и подхода к решению проблем, охватывающего коммуникационные аспекты, управленческие и культурные вопросы, технические и операционные вызовы, а также вопросы, связанные с метриками и аналитикой.

Ключевым моментом является понимание, что улучшение ITSM требует не только технических изменений, но и изменений в области управления, коммуникации и корпоративной культуры. Обучение и развитие сотрудников всех уровней, а также создание атмосферы открытости и доверия между IT-отделом и бизнес-пользователями становятся критически важными факторами успеха.

Привлечение внимания к каждой категории проблем и разработка целенаправленных стратегий для их решения позволит организациям не только избежать "эффекта зеленых арбузов", но и значительно улучшить качество и эффективность предоставляемых ИТ-сервисов, повысить удовлетворенность пользователей и добиться лучших бизнес-результатов.

Технические и Операционные Проблемы

График визуализирует количество открытых и закрытых дефектов по месяцам с разбивкой по приложениям. Вертикальные столбцы выше линии представляют новые открытые дефекты, а ниже – закрытые проблемы в коде. Высота столбца соответствует количеству дефектов. Линия накопительного технического долга отображает общее количество незакрытых дефектов на данный момент во всех программах.

Изменение объема технического долга отражает динамику и эволюцию количества открываемых, исправляемых и незакрытых дефектов с течением времени. Данный показатель позволяет команде оценить эффективность управления дефектами и прогнозировать тенденции в работе по их устранению. Это важный инструмент для мониторинга и координации процесса разработки, который направлен на улучшение качества ПО и обеспечение безопасности.

Мы видим, что объем технического долга резко увеличился в конце 2021 года для приложения Digital Service App, из-за чего оно и сейчас имеет высокий уровень риска. Большинство открытых дефектов в того времени остаются незакрытыми.

Исключив данные по Digital Service App, мы видим, что и в остальных командах разработки дефектов ИБ открывается больше, чем исправляется. Наблюдается устойчивая тенденция к росту технического долга. Поэтому следует оценить текущие процессы, практики и ресурсы в командах разработки, чтобы выявить возможные причины негативного тренда.

Как это работает

1. Получаете демо-доступ или покупаете тариф

Получите демо-доступ на 10 дней и попробуйте все возможности программы. Либо сразу выбирайте подходящий тариф и начинайте полноценную работу.

2. Создаете пользователей и команду аудиторов

Добавляйте нескольких аудиторов, чтобы распределить вопросы чек-листов между ними и провести аудиты в кратчайшие сроки.

3. Добавляете свой или используете полностью готовый шаблон чек-листа

Вы можете быстро приступить к аудитам с помощью готовых предустановленных нами шаблонов чек-листов. Мы будем постоянно добавлять новые и актуализировать имеющиеся готовые чек-листы.

Детальное сравнение тарифов

Возможности системы

Повысьте качество внутренних аудитов / аудитов поставщиков и компетентность аудиторов

Управляйте несоответствиями и сократите сбои и брак

Принимайте решения и следите за статусами на основе наглядной аналитики и системы оповещений

Выявляйте слабые места, а также определяйте возможности для развития

Обеспечьте конфиденциальность данных по аудитам

Тариф для эффективной работы небольших компаний и частных аудиторов. GRAIT Audit — облачное решение для проведения любых аудитов и управления несоответствиями

Тематики готовых чек-листов

2 Гб + ∞ своё хранилище

Тариф для совместной работы небольшой группы аудиторов и других участников. GRAIT Audit — облачное решение для проведения любых аудитов и управления несоответствиями

5 Гб + ∞ своё хранилище

Тариф для максимальной эффективности и вовлечения всех подразделений. GRAIT Audit — облачное решение для проведения любых аудитов и управления несоответствиями

10 Гб + ∞ своё хранилище

Разворачиваем на ваших серверах

Тариф для комплексного решения больших задач по аудитам. GRAIT Audit — облачное решение для проведения любых аудитов и управления несоответствиями

Ведущий инженер по качеству «Таурас-Пласт»

Инженер по стандартизации «Кубань Ти»

Должность «Дёлер (DÖHLER)»

Ведущий специалист по пищевой безопасности, руководитель группы аудита «Ратимир»

Q&FS System manager Bonduelle EurAsia Markets

Начальник отдела качества «Чернышихинский мясокомбинат»

Безопасность и надежность

Мы занимаем самую активную позицию по вопросам безопасности хранения и защиты сервисов и данных пользователей.

Российские сервера

Данные хранятся на российских серверах (провайдер – компания ООО «Селектел»).

Соответствие 152-ФЗ «О персональных данных»

Сервисы и инфраструктура соответствуют 152-ФЗ «О персональных данных», что подтверждает «Акт оценки эффективности».

Контроль за безопасностью в дата-центрах

В дата-центрах, где располагаются наши IT-решения:

* по данным провайдера ООО «Селектел»

Целостность и безопасность данных

Нами и нашими провайдерами уделяется огромное внимание целостности архивов и безопасности данных:

Резервное копирование

Мы обеспечиваем надлежащий уровень сохранности и осуществляем резервное копирование:

Шифрование данных

Для обеспечения конфиденциальности и безопасности данных пользователей между браузерами и серверами используется ssl-сертификат.

Другие сертификаты

Грэйт – аккредитованная IT-компания, решения Грэйт входят в реестр российского ПО.

Решения GRAIT Audit и GRAIT Process:

Включение в реестр – это дополнительное подтверждение, что ООО «Грэйт» является надежным разработчиком IT-решений.

Вопросы и ответы

Как научиться работать в программе?

Наши сервисы созданы так, чтобы у Вас не возникло сложностей с их освоением: интуитивно понятные интерфейсы, подсказки, пошаговые действия и т.п.

Мы всегда готовы провести индивидуальную демонстрацию и показать все возможности продуктов, а также ответить на Ваши вопросы. Еще у нас есть онлайн курсы, полноценное внедрение с экспертом, а также подробные руководства пользователя.

В случае приобретения любого продукта GRAIT, Вы всегда (в соответствие со сроками подписки) можете обратиться в техническую поддержку по любому вопросу.

По каким стандартам есть готовые чек-листы в GRAIT Audit?

По стандартам, которые наиболее распространены, например: ISO 9001, HACCP, ISO 22000, FSSC 22000, ISO 14001, ISO 45000, ISO 13485, GDP и др. В программе уже доступны 30+ предустановленных чек-листов, которые регулярно обновляются. Также мы постоянно добавляем новые чек-листы.

Нужно ли устанавливать что-либо на компьютер?

Нет, все решения GRAIT облачные, они не требует установки на устройство, нужен лишь доступ в Интернет. Достаточно пройти самостоятельную регистрацию и начать работать в программе с любого браузера. При необходимости, мы всегда поможем и ответим на вопросы.

Подойдет ли мне GRAIT Audit, если я не проводил аудиты раньше?

Если Вы ранее не проводили аудиты, то можем предложить наш онлайн-курс, который рассчитан на полноценную подготовку аудиторов. В курсе учтены все теоретические и практические аспекты проведения аудитов.

При покупке ПО мы предоставим скидки на онлайн-курс.

Есть ли демоверсия или тестирование программы?

Да, мы предоставляем демодоступ с полным функционалом на 10 календарных дней для ознакомления с продуктом. Также мы готовы провести индивидуальную демонстрацию и показать все возможности данного продукта.

Начните работать в программе уже сейчас! Для этого переходите по ссылкам в карточке интересующего Вас продукта.

Цена продукта на сайте указана с учетом НДС?

Электронные версии продуктов не облагаются НДС. С удовольствием проконсультируем по возможностям решения, а также проведем презентацию.

Технический долг безопасности

Отметим, что метрики рассчитываются на текущий момент времени.

На данный момент технический долг ИБ для команд разработки — 92 незакрытых дефекта. Примерно 16% из них являются блокирующими или критическими, что является довольно весомым показателем. Средний возраст незакрытых проблем превышает год. Всё это говорит о том, что большая часть из них направлена на устранение очень давно. Критичные уязвимости остаются неисправленными в течение длительного времени, а это является серьезной угрозой для безопасности системы.

Возможно, разработчики сталкиваются с высоким объемом работы и приоритезируют исправление дефектов с учетом их влияния на текущие задачи проекта. Также причиной может быть недостаток ресурсов или внимания к аспектам ИБ в культуре разработки.

Метрики дефектов

Чтобы помочь командам ИБ и разработки лучше понимать текущее состояние безопасности и эффективность процессов исправления уязвимостей, мы разработали дашборд «Метрики дефектов». Его основные показатели:

Дашборд «Метрики дефектов ИБ»

Мы видим, что левая часть дашборда помогает разработчикам оценить текущее состояние технического долга ИБ (когда выявленные дефекты еще не устранены), а также риск в контексте незакрытых проблем. А правая позволяет измерить эффективность исправления дефектов за выбранный период времени и проанализировать динамику изменения технического долга.

Примеры проявления эффекта в ITSM

Сюрприз на собрании управления: Представьте, что вы на утреннем собрании по управлению ИТ-сервисами, и все выглядит как обычно: чашка кофе в руке, отчеты с показателями эффективности на экране. Внезапно, один из менеджеров поднимает вопрос о том, почему, несмотря на блестящие отчеты, отдел продаж жалуется на систему CRM. Оказывается, что "99,9% доступность" сервиса на самом деле включала в себя периоды, когда система работала медленнее улитки на прогулке. Менеджер по продажам говорит: "Да, технически она доступна, но попробуйте объяснить это клиенту, который ждет ответа на свой запрос!"

Мифическая производительность в отчетах: А теперь представим, что отчеты показывают, что новая система учета времени увеличила производительность отдела на 30%. Все аплодируют, пока не выясняется, что сотрудники просто научились быстро заполнять свои табели, используя "креативные" методы, чтобы скорее вернуться к реальной работе. "Это было как соревнование," — смеется один из сотрудников, — "кто быстрее всего ‘закроет день’ в системе, не отвлекаясь от кофе-паузы."

Когда качество встречает количество: И последний пример — компания внедрила новую систему управления проектами, чтобы повысить эффективность работы. Отчеты пестрят улучшениями по всем фронтам, но на практике команды тратят больше времени на заполнение бесконечных форм и отчетов, чем на саму работу по проектам. "Мы так заняты отчетностью, что на реальную работу времени почти не остается," — жалуется проектный менеджер, — "если бы необходимость заполнять все эти формы можно было бы включить в KPI, мы бы были звездами!"

Эти примеры иллюстрируют, как эффект зеленых арбузов может проявляться в различных аспектах ITSM, подчеркивая важность не только количественных показателей, но и качественной оценки работы ИТ-сервисов с точки зрения конечных пользователей.

Что позволяет GRAIT Audit

Использовать большую библиотеку продуманных чек-листов

Вместо однотипных, практически не применимых к реальной компании чек-листов, которые Вам нужно было бы перерабатывать, мы разработали и уже установили в GRAIT Audit в готовом виде чек-листы с продуманными вопросами, которые можно использовать сразу. Библиотека таких чек-листов постоянно нами дополняется и перерабатывается при выходе новых версий стандартов и исходя из нового опыта проведения аудитов.

Сделать умное слияние чек-листов

Как много времени раньше тратили аудиторы при необходимости объединить разные чек-листы. Особенно, если часть разделов и критериев были одинаковыми. В GRAIT Audit задача объединения решается мгновенно. В итоговом чек-листе после слияния все одноименные разделы объединяются в один, все одноименные подразделы внутри одинаковых разделов соединяются в единые подразделы, это же происходит и с критериями. Таким образом, итоговый чек-лист включает в себя все разные детали и объединяет в единые элементы одинаковые части.

Получить достоверные результаты аудитов

В аудитах применяются разные системы оценки. Однако основываясь на своем многолетнем опыте, мы отказались от бальной системы оценки, так как она очень субъективна, и разные аудиторы с разным опытом, как правило, отвечают по-разному. Из-за высокой субъективности бальной системы падает достоверность таких аудитов. Поэтому в GRAIT Audit реализована единая система оценки выполнения требований (да / нет / не применимо), которая позволяет получить объективные ответы от аудиторов и приводит к необходимости четких формулировок вопросов, что так же повышает объективность и проверяемость результатов проверок.

Использовать голосовой набор при проведении аудитов

Большим преимуществом GRAIT Audit является возможность проведения аудита с помощью голосового набора, т.е. Вы просто во время аудита наговариваете голосом все наблюдения, замечания, несоответствия, а голос автоматически преобразуется в текст. Далее останется только подправить его и автоматически сформировать итоговый отчет.

Выбрать удобный вариант планирования аудитов

В GRAIT Audit заложено два варианта планирования аудита: 1) быстрое планирование – пользователь активирует такое планирование, заполняет обязательные поля, выбирает аудитора, объект аудита, определяет сроки и сразу начинает проводить аудит; 2) детальное интеллектуальное планирование – предполагает точечную настройку всех параметров, включая выбор отдельных вопросов чек-листа.

Легко управлять несоответствиями и автоматически ставить задачи по корректирующим мероприятиям

Собирайте несоответствия, жалобы, претензии, сбои в одном месте. При необходимости размещайте QR-коды на производстве или в офисе компании, чтобы любой сотрудник мог мгновенно зафиксировать несоответствие или отправить предложение на улучшение. Автоматическая постановка задач по корректирующим мероприятиям позволяет ставить задачи сотрудникам без согласования, когда это необходимо.

Взвешенный индекс риска в контексте дефектов

В одной из статей мы уже рассказывали о взвешенном индексе риска (Weighted Risk Index, WRI) в рамках незакрытых уязвимостей. Сегодня поговорим о нем в контексте дефектов. WRI – это инструмент для сравнения уровня риска различных приложений, обусловленного недостаточной эффективностью команд разработки по исправлению дефектов. Данная метрика учитывает не только количество незакрытых проблем, но и приоритет исправления, а также индекс опасности приложения.

Показатель рассчитывается на текущий момент времени и в динамике.

Мы видим, что наибольший WRI на текущий момент у приложения Digital Service App. График изменения показывает, что значительные перемены в рамках всего портфеля приложений произошли в начале 2023 года, когда практически полностью был погашен технический долг ПО с наибольшим риском: Cloud Application Service и AG-Test.

Как превратить арбузы во вкусный напиток, а не в подкрашенную воду

Прозрачность, или "Когда последний раз вы видели настоящий арбуз?": Вместо того чтобы довольствоваться красивыми отчетами, предлагаем провести "арбузный аудит". Установите показатель прозрачности на уровне 80%, что означает, что как минимум 80% ваших данных и метрик должны быть проверены и подтверждены реальными пользователями. Если вы обнаружите, что ваши арбузы не такие уж и зеленые внутри, пора действовать.

**Обратная связь от пользователей, или "Почему ваши пользователи — лучшие дегустаторы арбузов":**Внедрите систему сбора обратной связи, где пользователи могут оценить свой опыт на шкале от "это было как найти оазис в пустыне" до "мне кажется, я только что укусил кактус". Цель — достичь 70% положительных отзывов. Если вы не достигли этой отметки, возможно, пора пересмотреть рецептуру своего арбузного смузи.

Качественные KPI, или "Не все арбузы рождаются сладкими": Установите KPI для оценки качества, а не только количества обработанных запросов. Например, если ваша цель — сократить время реакции на критические запросы с 4 до 2 часов, убедитесь, что это улучшение не в ущерб качеству решений. Если 75% решений требуют повторного обращения, возможно, вы просто перекладываете арбузы из корзины в корзину, не добавляя сладости.

Внедрение инструментов автоматизации, или "Как научить робота выбирать сладкие арбузы": Используйте автоматизацию для сбора данных и анализа отзывов пользователей, чтобы вы могли сосредоточиться на улучшении сервиса. Цель — автоматизировать 50% рутинных задач, что позволит сотрудникам уделять больше времени на решение сложных запросов и, возможно, на выращивание идеального арбуза в корпоративном огороде.

Метрики дефектов ИБ для команд разработки

Время на прочтение

Меня зовут Анастасия Арсеньева, я аналитик данных в Swordfish Security. Наша команда разрабатывает модуль визуализации метрик DevSecOps в рамках развития платформы AppSec.Hub. В предыдущих статьях мы говорили об оценке рисков ИБ, подходе Shift Left, обработке уязвимостей, проекции DORA на DevSecOps и анализе AppSec Coverage. Сегодня речь пойдет о не менее важном артефакте в парадигме ASOC – дефектах ИБ. Мы расскажем о метриках, с помощью которых команды разработки могут отслеживать текущее состояние безопасности и эффективность процессов исправления проблем в коде.

Жизненный цикл дефекта ИБ

Жизненный цикл дефекта ИБ в инструменте класса ASOC включает в себя несколько этапов:

Создание дефекта из одной или нескольких уязвимостей

Созданный дефект автоматически перемещается в дефект-трекинговую систему в виде понятного систематизированного отчета. Это улучшает взаимодействие команд безопасности и разработки и сокращает время на анализ и решение проблем ИБ.

Тестирование и верификация

После внесения исправлений статус дефекта автоматически синхронизируется с инструментом ASOC, и инженер безопасности проверяет, действительно ли уязвимости успешно устранены.

Закрытие дефекта

После успешного исправления и верификации инженер ИБ отмечает дефект как закрытый.

Как превратить ITSM-сад в оранжерею мастерства и экспертизы

Путешествие через зеленые просторы ITSM-сада подходит к концу, и мы наткнулись на несколько арбузов, которые на вкус оказались не такими сладкими, как на вид. Но не стоит отчаиваться, ведь у нас есть проверенные способы превратить эти арбузные испытания в сладкий "лимонад" мастерства и экспертизы.

Обучение команды, или как из арбузных семечек вырастить фруктовый сад: Ключ к сладким плодам в ITSM — это не только знание того, как выбирать арбузы, но и умение их выращивать. Обучение команды — это ваш водный насос, который поможет семечкам прорасти. Цель — не просто научить команду, как избегать "эффекта зеленых арбузов", но и дать им инструменты для выращивания арбузов так, чтобы они были сладкими изнутри и снаружи. Если сегодня ваша команда может отличить зрелый арбуз от неспелого на 60%, то после обучения этот показатель должен увеличиться до 90%, а ваши арбузы станут славиться на весь ITSM-мир.

Развитие внутренней экспертизы, или почему каждый арбуз мечтает стать персиком: Ваши сотрудники — это не просто садовники, они — алхимики, способные превращать арбузы в персики. Инвестиции в развитие внутренней экспертизы превратят ваш ITSM-сад в оранжерею, где выращиваются не только арбузы, но и все виды фруктовых инноваций. Когда ваша команда начнет производить фрукты, которые по вкусу как мечты о лете, вы поймете, что ваши усилия окупились сторицей.

Независимый аудит, или как превратить арбузную проверку в праздник урожая: Привлечение независимого консультанта для аудита вашего ITSM-сада — это как пригласить знаменитого шеф-повара на вашу кухню. Он не только оценит ваши усилия, но и подскажет, какие специи добавить, чтобы ваши арбузы были самыми сладкими в округе. Этот взгляд со стороны поможет вам увидеть, где еще можно улучшить урожай, даже если вы уже уверены, что ваши арбузы — лучшие. Цель аудита — не столько указать на то, что один из арбузов оказался горьким, сколько помочь всему саду цвести и плодоносить еще обильнее.

В заключение, помните: цель каждого ITSM-садовника не просто вырастить арбуз, а создать такой сад, где каждый фрукт будет жемчужиной экспертизы и мастерства. И когда вы достигнете этого, помните, что за каждым великим арбузом стоит команда великих садовников, арбузный аудитор с острым взглядом и, конечно, немного волшебства обучения и развития.

Выводы

Мы рассказали о дефектах ИБ в концепции ASOC и о метриках, с помощью которых можно отслеживать текущее состояние безопасности и процессов исправления проблем командами разработки.

Дашборд представляет собой визуальное отображение следующих ключевых метрик:

Анализ метрик дефектов и их динамики позволяет командам безопасности и разработки анализировать текущее состояние технического долга, оценить скорость его уменьшения и эффективность исправления проблем безопасности. Также он дает возможность сравнивать результаты между разными приложениями. Эти данные важны для планирования ресурсов и прогнозирования долгосрочных направлений в работе над продуктом.

Визуализация показателей помогает найти в данных тенденции и паттерны, облегчает сравнение между ПО или за разные периоды времени. Разрабатываемый модуль аналитики DevSecOps в рамках платформы AppSec.Hub делает прозрачнее анализ стратегий безопасности в целом.