วิธีวัดความเสี่ยงด้วย OKR ที่ดีกว่า

ฉันเป็นแฟนตัวยงของ Objective and Key Results (OKR) ที่ บริษัท ที่ใส่ใจพวกเขาอย่างจริงจัง ฉันจะอธิบายวิธีการให้ความเห็นที่เหมาะสมภายใน OKR และวัดการลดลง (หรือเพิ่ม) ของความเสี่ยงที่เลือก สิ่งนี้จะแจ้งการตัดสินใจของทีมเพื่อลดหรือเพิ่มความพยายามด้านวิศวกรรมเพื่อลดความเสี่ยงในอนาคต

วิธีนี้คล้ายกับที่นักอุตุนิยมวิทยาคาดการณ์สภาพอากาศ

สำหรับการดำน้ำลึกลงไปใน OKR คุณสามารถอ่านสิ่งนี้ดูสิ่งนี้หรืออ่านสิ่งนี้

OKR เป็นวิธีที่ง่ายในการแสดงเป้าหมายที่สร้างแรงบันดาลใจและมุ่งมั่นกับรายการผลลัพธ์ที่วัดได้แบบย่อที่ผลักดันให้กลุ่มไปสู่เป้าหมายนั้น บางครั้งพวกเขาแยกออกจากการจัดการผู้บริหารออกไปยังพนักงานทุกคน OKR เป็นวิธีปฏิบัติทั่วไประหว่าง บริษัท เทคโนโลยีและทีมรักษาความปลอดภัยหลายแห่งที่ฉันทำงานด้วย

ยกตัวอย่างเช่น

วัตถุประสงค์: ปรับปรุงการรับรองความถูกต้องจากแล็ปท็อปนักพัฒนาเพื่อการผลิต

วัตถุประสงค์นี้ไม่เลว แต่พลาดโอกาสในการวัดความเสี่ยงมากมาย

เราจะลดความเสี่ยงที่หายากและมีผลกระทบด้วยวิธีการเชิงปริมาณ

ความเสี่ยงประเภทนี้มักจะยากที่จะวัด

ข้อมูลประวัติ (ไม่เคยเกิดขึ้น) แจ้งอนาคตของเราไม่ดี (อาจเกิดขึ้นได้)

ด้วยวิธีการคาดการณ์และการประเมินเราสามารถวัดความน่าจะเป็นที่สถานการณ์ในอนาคตจะเกิดขึ้นได้แม้ว่าเราจะไม่มีข้อมูลในอดีตสำหรับสถานการณ์นั้นในอดีต เราใช้ "ความไม่แน่นอน" ของกลุ่มเป็นตัวแทนเพื่อรับความเสี่ยงและเราจะทำการวัด เราจะจัดการอคติเกี่ยวกับความรู้ความเข้าใจที่เกี่ยวข้องกับการคาดการณ์

วัตถุประสงค์: เขียนวัตถุประสงค์ด้วย“ สถานการณ์ความเสี่ยง”

วัตถุประสงค์ของคุณคือลดความเสี่ยงที่แสดงในสถานการณ์

ด้านล่างเป็นวัตถุประสงค์ที่กล่าวถึงก่อนหน้าซึ่งเขียนขึ้นเพื่อลดความเสี่ยง มันเขียนด้วยห้องพักสำหรับการปรับปรุง:

วัตถุประสงค์: ปรับปรุงการรับรองความถูกต้องจากแล็ปท็อปนักพัฒนาเพื่อการผลิต

ไม่จำเป็นต้องมีวัตถุประสงค์ที่ไม่ดีแม้ว่าจะสามารถปรับปรุงให้ดีขึ้นได้ด้วยการเขียนเป็นภาพจำลอง

วัตถุประสงค์: ลดความเสี่ยงของ“ ฝ่ายตรงข้ามได้เข้าถึงการผลิตจากแล็ปท็อปนักพัฒนาในไตรมาสที่ 3”

พวกมันดูเหมือนกันใช่มั้ย

  • ความแตกต่างที่สำคัญคือสถานการณ์น่าจะเป็น วลีที่น่าจะเป็นสามารถคาดการณ์ได้ การคาดการณ์นั้นได้รับการวิจัยอย่างดีเข้าใจกันโดยทั่วไป (เช่นสภาพอากาศ) เชิงปริมาณและการวัดความไม่แน่นอน

ความไม่แน่นอนคือสิ่งที่อยู่ในสมองของคุณที่ทำให้คุณยักยอกตัวเลือกหรือรู้สึกอย่างยิ่งกับหนึ่งในนั้น เมื่อปรากฎออกมาความไม่แน่นอนของกลุ่มสามารถวัดได้อย่างตรงไปตรงมา เราจะทำให้ความไม่แน่นอนของผู้เชี่ยวชาญเป็นตัวแทนของเป้าหมายการวัดของเรา

  • ข้อแตกต่างเล็ก ๆ น้อย ๆ คือสถานการณ์จะให้รางวัลแก่ความคิดสร้างสรรค์ของวิศวกร

ตัวอย่างเช่นการลดจำนวนนักพัฒนาที่ต้องใช้ข้อมูลรับรองการผลิตปรับปรุงการรับรองความถูกต้องหรือไม่ ไม่นั่นก็ไปถึงแล้ว แต่มันจะลดความเสี่ยงและผลลัพธ์ที่สำคัญเข้ากันได้กับวัตถุประสงค์ที่ปรับเปลี่ยนนั่นคือเป้าหมายที่ดีกว่าดังนั้นบางทีผลลัพธ์หลักของเราอาจจะดีกว่า

วัตถุประสงค์“ สถานการณ์ความเสี่ยง” ไม่ได้กำหนดวิธีแก้ปัญหา มันเป็นเพียงการตั้งค่าการคาดการณ์ที่สะอาด สถานการณ์อาจทำงานได้ดีกว่าการกำหนดความเสี่ยงเป็นเหตุการณ์ในอนาคตที่จะหลีกเลี่ยง

สถานการณ์ที่คาดการณ์ได้ดีเกี่ยวข้องกับการผสมผสานของภัยคุกคามเวกเตอร์สินทรัพย์หรือผลกระทบ คุณสามารถตัดสินใจอย่างสร้างสรรค์ในขอบเขตที่เฉพาะเจาะจงหรือความเสี่ยงโดยการเพิ่มการ จำกัด หรือขยายความจำเพาะ การคาดการณ์จะต้องตัดสินใจในกรอบเวลาที่เป็นรูปธรรม

ผลลัพธ์ที่สำคัญ: เลือกเหตุการณ์สำคัญหรือตัวชี้วัดและมุ่งมั่นที่จะคาดการณ์

ครั้งแรกสิ่งที่ง่าย ผลลัพธ์ที่สำคัญจะต้องสามารถวัดได้ ในวันแรก ๆ ของ Google Marisa Meyer กล่าวว่า:

“ ไม่ใช่ผลลัพธ์ที่สำคัญหากไม่มีตัวเลข”

รูปแบบการวัดอย่างง่ายอย่างหนึ่งคือความสำเร็จแบบไบนารี่: 1 สำหรับทำสำเร็จ, 0 ถ้าไม่ได้ทำ ตัวอย่างเช่น:“ เราเพิ่มแอปพลิเคชันธุรกิจ XYZ ให้กับแพลตฟอร์ม Single Sign On ของเรา” ถ้าคุณทำคุณจะได้รับ "1"!

อีกวิธีหนึ่งคือการเลือกตัวชี้วัดเชิงปริมาณเช่น "แก้ไขข้อบกพร่อง X" หรือ "ลดเหตุการณ์ X" หรือ "จ้างวิศวกร N" สิ่งเหล่านี้มีความจำเป็นใช้ร่วมกันและแสดงถึงเป้าหมายของโครงการและตัวชี้วัดการดำเนินงาน คุณอาจคุ้นเคยกับสิ่งเหล่านี้ พวกเขาสามารถสร้างผลลัพธ์ที่ดีเช่นกัน

อย่างไรก็ตามพวกเขาไม่ได้วัดการลดความเสี่ยงที่เกี่ยวข้องกับสถานการณ์ของเรา แต่เป็นตัวบ่งชี้ที่ล้าหลังของงานที่ทำ งานนี้สร้างมูลค่าในการลดความเสี่ยง แต่คุณยังไม่ได้วัดการลดความเสี่ยง คุณเพียงแค่ถือว่าความเสี่ยงลดลงเนื่องจากความพยายามของคุณ

แต่เท่าไหร่ เกิดอะไรขึ้นถ้ามันเพิ่มขึ้นจริง

การเปรียบเทียบตัวชี้วัดความปลอดภัยกับการวัดความแน่นอน

ตัวชี้วัดความปลอดภัยแบบดั้งเดิมมีประโยชน์มากสำหรับค่าข้อมูลของพวกเขา พวกเขาแจ้งความไม่แน่นอนเกี่ยวกับความเสี่ยง แต่ไม่ได้แสดงถึงลักษณะของความเสี่ยงที่น่าจะเป็นและมักจะไม่แสดงความไม่แน่นอนอย่างมากที่เราสามารถมีได้เกี่ยวกับสถานการณ์เฉพาะ

ตัวอย่างเช่นฉันเชื่อว่าการนับจำนวนครั้งในอดีตของช่องโหว่หรือความถี่ของการถดถอยไม่ได้แสดงถึงความเสี่ยงโดยตรง แต่แน่นอนจะช่วยแจ้งความไม่แน่นอนของฉันเกี่ยวกับสถานการณ์ที่เกี่ยวข้องที่จะเกิดขึ้นหรือไม่เป็นผลมาจากข้อมูลนั้น

นี่เป็นเพราะค่าที่เรากำหนดให้กับตัวชี้วัดแต่ละรายการอยู่ในฟลักซ์คงที่

ตัวชี้วัดเฉพาะใด ๆ อาจเป็นจุดข้อมูลที่ให้ข้อมูลมากที่สุดของฉัน ... จนถึงจนกว่าจะมีบางอย่างมาแทนที่ คำพิพากษาของฉันจะทำให้ข้อมูลเดิมไม่ชัดเจนในทันทีหลังจากได้ยินข้อมูลใหม่ที่ส่งเสียงร้อง“ โอ้อึ” ต่อหน้าข้อมูลเก่าหรือโมเดลที่เปราะบางที่เราพยายามสร้างขึ้นมาสำหรับเรื่องนั้น

ตอนนี้มาถึง "ส่วนที่ยาก" มาทำ OKR นี้กัน

นี่เป็นเรื่องง่ายจริงๆเมื่อคุณได้รับมัน

ตัวอย่าง OKR ที่ออกแบบมาเพื่อวัด:

ดังที่กล่าวไว้เราจะสร้าง OKR นี้เพื่อให้สามารถใช้งานร่วมกับการวัดความเสี่ยงด้วยเทคนิคการพยากรณ์และการประมาณค่า

นี่คือตัวอย่างของ OKR สำหรับทีมรักษาความปลอดภัย AWS ขนาดเล็ก:

วัตถุประสงค์:

ลดความน่าจะเป็นของ“ ข้อมูลรับรอง AWS สำหรับการผลิตที่เปิดเผยต่อสาธารณชนในไตรมาสที่ 3”

ผลลัพธ์ที่สำคัญ:

  1. ข้อผูกมัดที่กล่าวถึง AWS_SECRET_KEY แสดงขึ้นใน #security slack
  2. ไพพ์ไลน์โฟโต้แบ็คอัพจะถูกย้ายไปยังบทบาท AWS
  3. ลิงการรักษาความปลอดภัยที่สมบูรณ์แจ้งเตือนไปยังการตรวจสอบของเราที่เรียก
  4. กรอกข้อมูลก่อนและหลังการคาดการณ์และล่า CloudTrail

ผลลัพธ์หลักแรก (1–3) ไม่จำเป็นต้องมีการสนทนา สิ่งเหล่านี้เป็นเพียงงานวิศวกรรมที่หมดไปและคุณสามารถเลือกสิ่งที่คุณต้องการ ผลลัพธ์หลักสุดท้าย (# 4) คือสิ่งที่เราจะมุ่งเน้นไปข้างหน้า

ในการวัดสถานการณ์ความเสี่ยงนี้เราจะใช้แผงพยากรณ์อากาศ สิ่งนี้จะหนุนความสามารถของเราในการวัดสถานการณ์ความเสี่ยงพื้นฐานของ OKR ในลักษณะที่น่าจะเป็น

1. ก่อนที่คุณจะเริ่มทำงาน: การคาดการณ์“ พื้นฐาน”

สมมติว่านี่เป็น OKR สำหรับไตรมาสที่สามของปี ในช่วงต้นเดือนมิถุนายนบุคคลที่มีความหลากหลายและผ่านการฝึกอบรมที่คุ้นเคยกับ OKR จะคาดการณ์ความน่าจะเป็นของสถานการณ์ที่เกิดขึ้นในแง่ความน่าจะเป็น (เปอร์เซ็นต์ความเชื่อ)

ผู้เข้าร่วมของเราคือ Monkey (), Unicorn (), Cow () และ Penguin () เราปรับเทียบสั้น ๆ เพื่อคิดในแง่ความน่าจะเป็น (การฝึกอบรมออนไลน์) พวกเขาสามารถเข้าถึงตัวชี้วัดแบบจำลองโพสต์ชันชันการตรวจสอบที่ปรึกษาหรือไดอะแกรมโครงสร้างพื้นฐานที่พร้อมใช้งาน ทุกอย่างมีประโยชน์และแจ้งการคาดการณ์ของพวกเขา

การคาดการณ์ข้างต้นมีความแน่นอน 78% ว่าการล่าของ CloudTrail จะไม่เปิดเผยเหตุการณ์ใด ๆ มีความมั่นใจ 14% ที่สามารถค้นพบเหตุการณ์และความมั่นใจ 6% ที่เราจะต้องเจอกับปัญหาใหญ่จริง

ตอนนี้ให้พิจารณาว่าคำตอบที่ 33% จากกลุ่มของแต่ละหมวดหมู่จะแสดงถึงความไม่แน่นอนทั้งหมดราวกับว่าพวกเขาไม่มีข้อมูลหรือความคิดเห็น ยกตัวอย่างสถานการณ์อาจเขียนเป็นภาษาอื่นเช่น ไม่ใช่ในกรณีนี้ผู้เข้าร่วมไม่เชื่อว่าตัวเลือกแต่ละตัวมีค่าเท่ากัน พวกเขาคิดว่าเป็นไปได้มากว่าจะไม่มีเหตุการณ์เกิดขึ้นเนื่องจากพวกเขามีความรู้เกี่ยวกับสิ่งแวดล้อมและภัยคุกคามที่อาจเกิดขึ้น

ดังนั้นคณะผู้พิจารณานี้กำลังแสดงความคิดเห็นในแง่ความน่าจะเป็นซึ่งเป็นไปได้ว่าจะไม่มีเหตุการณ์เกิดขึ้นในช่วงเวลานั้น แต่เหตุการณ์ที่ถูกค้นพบไม่ได้เกิดจากคำถามทั้งหมด มันเกิดขึ้นกับหลาย ๆ บริษัท พวกเขาต้องเชื่อว่ามีโอกาสเล็กน้อยที่มันจะเกิดขึ้น

ในความเป็นจริง panelist (Monkey ) ดูเหมือนจะมีบางสิ่งบางอย่างที่จะพบมากขึ้น

ไม่เป็นไรที่ Monkey มีความคิดเห็นที่แตกต่างจากกลุ่ม เราจะพูดถึงเรื่องนี้ในภายหลัง - ไม่จำเป็นต้องให้แผงเห็นด้วย!

2. ตอนนี้ทำงานให้ก้าวหน้าตามปกติ

ช่วงกลางไตรมาสจะมุ่งเน้นไปที่การบรรลุวัตถุประสงค์ของคุณตามปกติ แค่ทำงาน

ตามวัตถุประสงค์ของเราที่ระบุไว้ทีมสร้างการแจ้งเตือนสร้างแอพใหม่เพื่อใช้บทบาท AWS และปรับใช้ Security Monkey หวังว่าพวกเขาทำได้ดีและทำทุกอย่างให้จบ!

วิธีนี้ไม่มีผลต่อการทำงานในแต่ละวันของคุณ มันเป็นแนวทางในการทำงานต่อผลลัพธ์ที่วัดได้ โจมตีความเสี่ยงตามที่คุณต้องการ

3. EOQ เราก้าวหน้าไปมาก! ตอนนี้เราเปรียบเทียบกับพื้นฐาน

เรามุ่งมั่นที่จะทำสองสิ่งในตอนท้ายของไตรมาส

อันดับแรกเราออกแรงพยายามตามล่า CloudTrail ด้วยการตรวจสอบข้อเท็จจริงและดูว่าเราสามารถกำจัดเหตุการณ์ P0 ใด ๆ จากความพยายามสืบสวนของเราหรือไม่

ประการที่สองคณะผู้พิจารณาใช้มาตรการอีกครั้งยกเว้นความไม่แน่นอนของเราสำหรับไตรมาสถัดไป (ไตรมาส 4)

กลุ่มของเราติดอาวุธด้วยความรู้ใหม่ ความคืบหน้าของไตรมาสนี้และผลของการตามล่า CloudTrail จะเปลี่ยนความคิดเห็นของเราในสถานการณ์นี้เป็นอย่างมาก

สมมติว่าทีมประสบความสำเร็จในผลลัพธ์หลักอื่น ๆ ของพวกเขาและการประเมินการละเมิดก็กลับมาสะอาด

เราคาดการณ์อีกครั้ง นี่คือผลลัพธ์

ตอนนี้เราสามารถสังเกตเห็นว่าความเชื่อมั่นที่แผงได้รับหรือสูญหายตามความพยายามของพวกเขา ในตัวอย่างนี้ความเชื่อของเรามีแนวโน้มที่ดียิ่งขึ้นไปอีกแน่นอน (ห่างจาก 33%) งานของเรามีอิทธิพลต่อความเชื่อมั่นของคณะผู้บริหารหรือไม่? แผงนี้เชื่ออย่างนั้น

ในกรณีนี้เราปรับปรุงความมั่นใจของเราเกี่ยวกับความเสี่ยงนี้ เรามีการปรับปรุงเชิงปริมาณ 5% ในทิศทางที่ถูกต้อง

4. ตัดสินใจเป็นผู้นำตามข้อมูล

ตอนนี้คุณมีอาวุธสำหรับการตัดสินใจที่มีประสิทธิภาพ

สิ่งนี้ดูเหมือนจะคาดการณ์ว่ามีการฝ่าฝืนในทุกๆสิบไตรมาส

  • ดีพอหรือไม่
  • เราต้องการที่จะปรับปรุงเพิ่มเติมหรือไม่หรือเรามีความเสี่ยงอื่น ๆ ?
  • เกณฑ์ที่ยอมรับได้ของเราคืออะไร
  • เราต้องใช้ความพยายามและทรัพยากรเท่าไหร่เพื่อเอาชนะมัน?

ทำไมต้องใช้วิธีนี้

มนุษย์ถูกสร้างขึ้นเพื่อประมวลผลแหล่งข้อมูลที่แตกต่างกันและดูดซับข้อมูลใหม่อย่างรวดเร็วเพื่อการตัดสินใจ

ตลอดไตรมาสเราจะได้รับข้อมูลที่เปลี่ยนแปลงอย่างแน่นอนในระดับความเสี่ยงที่เราเลือก

ข้อมูลนี้มาจากหลายสถานที่: การทำงานด้วยตนเอง, แนวโน้มอุตสาหกรรม, การฝ่าฝืน, รายงานความเปราะบางในโครงสร้างพื้นฐานด้านอื่น ๆ , การวิจัยหาประโยชน์ของเรา, ทวีตเปิดเผยกระสุน ฯลฯ

อย่างไรก็ตามเราเชื่อมั่นในแหล่งข้อมูลเหล่านี้เป็นแบบไดนามิก เราไม่สามารถพึ่งพาตัวชี้วัดแบบสแตติกแต่ละตัวเพื่อเป็นตัวแทนความเสี่ยงของเราเพราะการตัดสินใจของพวกเขาจะเปลี่ยนไปอย่างรวดเร็ว เราสามารถใช้ความมั่นใจของเราเองเป็นตัวแทนสำหรับความเสี่ยงเหล่านี้ซึ่งเป็นที่รู้กันว่าสามารถวัดได้วิจัยอย่างหนักพร้อมคำแนะนำที่เพิ่มขึ้นในการปรับปรุงวิธีการพยากรณ์เป็นเครื่องมือวัด

ในความเป็นจริงการชักชวนจากผู้เชี่ยวชาญเป็นปัจจัยสำคัญในการประเมินความเสี่ยงที่น่าจะเป็นในอุตสาหกรรมอื่น ๆ เช่นนิวเคลียร์อวกาศและสิ่งแวดล้อม

ไม่ใช่เรื่องใหม่ แต่เป็นเรื่องใหม่สำหรับเรา

ป้องกันความเสี่ยงของอคติ

การพยากรณ์เป็นสิ่งที่อันตรายเมื่อไม่ได้เข้าหาด้วยความแม่นยำ ความเอนเอียงทางปัญญานั้นได้รับการวิจัยอย่างดีและการค้นพบเหล่านั้นจำเป็นต้องทำซ้ำบ่อยๆ มีการบรรเทาความเสี่ยงที่แตกต่างกันสำหรับการพยากรณ์ที่ไม่ดี

การวิจัยปกป้องว่าการคาดการณ์สามารถปรับปรุงได้เมื่อ:

  1. ผู้ทดสอบชิมได้รับการฝึกฝนให้คิดอย่างน่าจะเป็นและเรื่องอคติ
  2. ผู้ทดสอบชิมถูกรวมตัวกันเพื่อรวมและทำให้ผลกระทบของอคติราบรื่นขึ้น ความหลากหลายในมุมมองเป็นกุญแจสำคัญ!
  3. ผู้ทดสอบชิมต้องเผชิญกับผลการคาดการณ์ (การสอบเทียบ) ซ้ำ ๆ (การฝึกอบรมออนไลน์การตัดสินที่ดีเปิดการสอบเทียบความเชื่อมั่น)
  4. ผู้ทดสอบชิมได้รับการสนับสนุนให้ย่อยสลายสถานการณ์ออกเป็นส่วนย่อย ๆ มากขึ้นและได้รับการเข้าถึงข้อมูลที่มีอยู่อย่างโปร่งใสซึ่งพวกเขาจำเป็นต้องเข้าใจ
  5. ความเข้าใจที่แท้จริงของ“ แบล็กสวอน” อย่างแท้จริง พวกเขาหลอกลวงนักพยากรณ์
  6. อย่าพยายามคาดการณ์และลดความเสี่ยงทุกอย่างพร้อมสำหรับความล้มเหลวที่หลีกเลี่ยงไม่ได้
  7. ลดการเลื่อนตำแหน่งและเงินเดือนจาก OKR & ผลลัพธ์การคาดการณ์เพื่อหลีกเลี่ยงการกระสอบทรายซึ่งเป็นปัญหาในการจัดการประสิทธิภาพของพนักงานแล้ว

เพียงแค่ขอให้ผู้ทดสอบชิมการคาดการณ์“ คิดเร็ว!” จะให้ผลลัพธ์ที่ไม่ดีแก่คุณอย่างแน่นอน วิธีการที่เข้มงวดมีค่าใช้จ่ายในการวัดสูงกว่า (การประชุม) แต่จะง่ายกว่าวิธีที่มีสเปรดชีทเมทริกซ์ความเสี่ยงที่น่าเกลียด

แต่…ฉันมัก“ ทำการฝ่าฝืน” อยู่เสมอดังนั้นสิ่งนี้จึงใช้งานไม่ได้!

ถูกต้องสมบูรณ์เมื่อคิดว่าคุณละเมิด ฉันจะให้องค์กรใด ๆ มีความน่าจะเป็นสูงมาก (99%) ที่ใดที่หนึ่งถึงความรุนแรงใด ๆ มีกิจกรรมที่เป็นปรปักษ์ต่อกันบางอย่างในระบบที่พวกเขาเป็นเจ้าของ นั่นคือสิ่งที่“ ถือว่าผิด” หมายถึงฉัน

อย่างไรก็ตามมันไม่แข็งแรงที่จะเชื่อว่าทุกองค์ประกอบของทุกระบบถูกประนีประนอมโดยศัตรูทุกคนในเวลาที่กำหนด คนที่มีเหตุผลแม้กระทั่งสลิงเกอร์ของ FUD อย่าไปไกลขนาดนี้ในตอนท้าย

จิตใจที่มองโลกในแง่ลึกที่มีเหตุผลยังคงออกจากห้องสำหรับข้อสงสัยเพียงมากหรือน้อยกว่าคนอื่น ๆ หากคุณมีศรัทธาว่าความพยายามของแต่ละบุคคลจะช่วยเพิ่มความเสี่ยงคุณสามารถวัดความไม่แน่นอนในแง่ความน่าจะเป็นที่ลดลงได้ ผู้มองดูในแง่ร้ายไม่เชื่อว่างานของพวกเขาจะทำให้สิ่งเลวร้ายลงตัวอย่างเช่น

กล่าวโดยสรุปแม้แต่การมองโลกในแง่ร้ายก็สามารถปรับปรุงให้ดีขึ้นได้และการมีคนมองโลกในแง่ร้ายสองคนในแผงจริง ๆ แล้วเป็นสิ่งที่ดีมาก

อนาคตของการประเมินความเสี่ยงและการพยากรณ์

ตลอดระยะเวลาหลายไตรมาสเราสามารถเสริมความน่าจะเป็นวิธีการเพิ่มเติม เราสามารถแนะนำทีมสีแดงคะแนน Brier และการสุ่มตัวอย่างอุตสาหกรรมเพื่อเป็นแนวทางในการคาดการณ์ของเรา เราสามารถเห็นด้วยกับค่าของข้อมูลและดูมันผันผวน เราสามารถ“ Chatham House” หรือไม่ระบุตัวตนการคาดการณ์เพื่อแบ่งปันกับทีมรักษาความปลอดภัย

เราสามารถป้อนผลลัพธ์การพยากรณ์ลงในแบบจำลอง Monte Carlo ทำให้เราสามารถดึงบทเรียนและความเชี่ยวชาญจาก NASA, Nuclear Licensing และสาขาอื่น ๆ ที่อยู่ไกลกว่าไซเบอร์ปลอดภัยในการทำความเข้าใจกับความเสี่ยงสูง

มีโอกาสมากมายสำหรับองค์กรที่จะใช้วิธีปฏิบัติในการพยากรณ์ความเสี่ยง พลังงานอันยิ่งใหญ่ไม่จำเป็นต้องให้ผลลัพธ์ที่ดี การเริ่มต้นเล็ก ๆ เช่นด้วย OKR ที่อิงกับความเสี่ยงสามารถลดความเสี่ยงให้กับองค์กรของคุณและทำให้องค์กรของคุณก้าวไปสู่ความเสี่ยงเชิงปริมาณ

ข้อสรุป

OKRs เป็นวิธีการทั่วไปในการแนะนำทีมงานด้านวิศวกรรม การสร้าง OKRs ที่เข้ากันได้กับเทคนิคการประมาณและการพยากรณ์ช่วยให้เราสามารถวัดความก้าวหน้าในการลดความเสี่ยงได้ดียิ่งขึ้น

วิธีการเหล่านี้ไม่ยุ่งเกี่ยวกับ“ วิธี” ทีมทำงานของพวกเขาเพียงแค่วัด“ เท่าใด” อาจมีการเปลี่ยนแปลงเป็นผล หากคุณไม่มีวิธีการวัดความเสี่ยงวิธีการเชิงปริมาณควรมีค่ามากกว่าที่คุณมี กลยุทธ์นี้มีผลกระทบน้อยที่สุดต่อการปฏิบัติด้านวิศวกรรมในขณะที่จัดทีมให้สอดคล้องกับอัตราการลดความเสี่ยงที่วัดได้

อ่านเพิ่มเติม

การพยากรณ์ความเสี่ยง: การนำเสนอระดับสูงในวิธีนี้

การวิเคราะห์ความเสี่ยงอย่างง่าย: การดำน้ำลึกในการพยากรณ์ความเสี่ยง

สังหารไก่ตัวน้อย: สำรวจข้อ จำกัด และโอกาสของการพยากรณ์ความเสี่ยง

การแยกความเสี่ยงด้านความปลอดภัยออกเป็นสถานการณ์: แบ่งความเสี่ยงออกเป็นลำดับชั้นของสถานการณ์จากวงกว้างสู่สถานการณ์ที่ละเอียดยิ่งขึ้น

การคิดเร็วและช้า: การวิจัยที่ได้รับรางวัลโนเบลเกี่ยวกับความผิดพลาดของการรับรู้ของมนุษย์ส่วนใหญ่อยู่ในรูปแบบของความเอนเอียง

Superforecasting: การวิจัยว่าข้อผิดพลาดของการรับรู้สามารถลดลงและใช้อาวุธในกลุ่มการพยากรณ์ที่มีประสิทธิภาพได้อย่างไร

วิธีการวัดสิ่งใดก็ตามในความเสี่ยงด้านความปลอดภัยทางไซเบอร์: แหล่งที่ดีในการป้องกันการพยากรณ์เป็นวิธีการวัด การถกเถียงกันอย่างรุนแรงที่ส่งเสริมบทบาทของการวัดในการตัดสินใจ

Ryan McGeehan เขียนเกี่ยวกับความปลอดภัยของ Medium