[Chinese]网络信息安全度量和考核指标体系(6)-擦桌子理论
不要为KPI而活着。KPI只是一堆数字。偏执于KPI会死的很难看。
臭名昭著的”毒奶粉“事件(三聚氰胺)是一个KPI失败的例子。质检总局们关注蛋白质含量等KPI,但是却忽视了其它有毒物质的检测方面,而实际上保证无害、健康才是最重要的检测目标 – business objective。搞得各家奶业公司竞相降价逐利,丧心病狂地掺杂三聚氰胺这样的”毒药“来提高蛋白质含量的KPI。 这样的KPI完成地再好,最终也落得个丢了乌纱帽、千夫所指的下场。
在企业中做IT也是这样同样的道理。
通常,各个IT部门都会有各自的一些KPI,这些指标有的是传统留下来的,大家都用的,比方说电路和设备的可用率等。也有为了反映当年的策略目标制定的。有的是自上而下的,有的是部门报上来的,经常一次几次的评审,最终确定为当年的KPI。KPI不可能很全,也不可能很多,另外,在一年之初也不可能全部预计到后面的发展。这些都注定KPI不是运行的全部目标,也不是保护伞。
举个例子说,在Helpdesk中有个常用的KPI是”响应时间”, 即在接到用户的求助后,多长时间内和用户联系。记住这里是“响应”时间,通常运行部门或服务商会因为不能预期每个服务请求的解决时间,而拒绝把“解决时间”当作KPI。而当一段时间运行下来后,总结会议上,运行部门和服务商拿出一份dashboard report说我们的KPI很棒,响应时间是如何如何短,全部达到了要求,用户部门代表或者某位领导很不满地提到某位某位用户等了很长时间问题没有得到解决,已经投诉到了CIO那里什么的,大家想像一下这时的会议该会怎么进展呢?
所以,KPI是表面的,背后的业务目标才是真正的目标。在Helpdesk的例子中,设置“响应时间”作为KPI或许没有错,但是用户问题的及时解决和用户满意度更重要,如果有服务请求长时间没有解决,那么Helpdesk应该把背后的问题,也许是二线、三线的问题,去推动解决。
回到信息网络安全的运营上。信息网络安全覆盖面特别宽,几乎涉及到所有的部门,所有的用户。这种情况的安全度量指标如何制定,KPI如何设置的确成为一个挑战。昨天,偶尔又翻了一遍Gary Hinson的“Seven Myths About Information Security Metrics”。Gary提到几个观点很有意思。例如,指标不一定非要客观的(objective)、可触摸的(tangible),为什么不采用一些主观一些但是却能反映安全本质的东西,比方说“安全意识”(security awareness)。这是一个公认的信息安全的关键要素。因为不好客观度量,通常安全部门考核指标是“安全培训课程”的次数和参加人数、参加率等。但是,这些的确和最终的业务目标“安全意识”有相当距离。Gary的建议是“为什么不设置一个1到10的相对分数让用户都来自己评价一下呢”。
我们领导经常使用“擦桌子理论” – 作为一个管理者,如果像保洁工那样每个桌子、椅子都擦一遍,然后不停的重复,那么他就基本上没有价值,或者说没有起到管理者的价值。管理者需要能够从重复的擦桌子工作中发现潜在的关键问题,发现新的业务需求,或者引入新的工作方式。基于这个思路,如果在汇报中国时,按照既定的工作任务或者KPI从头到尾过一遍,”我们的运行达到了99.99%,KPI都是绿的,blah blah”, 肯定不会得到好反馈。通常你会碰到这些问题:
“这些数字都说明了什么问题?”
“从中你们发现了什么可以改进的地方?”,
“你们的分析是什么”,
“行动计划是什么”
我们在KPI的颜色之外,也应该经常先向自己提问一下这些问题。
我们生活在一个怎样的食品环境中,这个行业又是如何地贪婪,质量监管部门、农业部门的官僚们渎职、不作为!
越来越多的迹象显示,源于中国的三聚氰胺污染,由原来的奶类制品扩大至人类食物链的各个方面。香港食物安全中心日前宣布,在百佳超市出售来自大连一家公司的新鲜鸡蛋中,检出浓度为每公斤4.7毫克(即4.7ppm)的三聚氰胺,比当地法定上限每公斤2.5毫克超标88%。 香港专家指出,中国禽畜的饲料中混入三聚氰胺,令鸡只、鸡蛋以至其它禽畜的肉与内脏也带毒性。
香港中文大学生物化学系陈竟明表示,今次鸡蛋出现问题,除了涉及到其它以蛋为材料的加工食品,其它肉类也受到感染,如果饲料都有的话,很多饲养的家禽,如猪、羊、牛,其它的动物都会有三聚氰胺在肉里面。
在台湾,台北市政府卫生局公布第七次三聚氰胺检验结果,其中一件由乖乖股份有限公司(桃园县中坜市东园路48号)制造的“孔雀饼干”,检出含三聚氰胺4.622PPM,业者已紧急通知各销售卖场立即停止贩卖并下架。当天,日本进口商“龙口食品”宣布,收回市面上出售的中国“福州龙福食品有限公司”生产的蔬菜加蛋口味的“龙口春雨”系列杯装方便粉丝,因为在该类产品的汤包中检测出了2.3PPM的三聚氰胺。该公司表示,总计大约出售了100多万个该类产品。
这是继三聚氰胺奶粉和奶制品之后,三聚氰胺又一次一次进入人们的视野。在此之前的2007年,徐州一家出口美国猫狗食物的企业在宠物食品中添加三聚氰胺来冒充蛋白质,导致中美关系出现轩然大波!
那么三聚氰胺为什么会泛滥成灾?三聚氰胺,其实是一种很常见的塑料化工原料,其分子最大的特点,就是含氮原子很多,这种化工原料多如牛毛,原本不足以让三聚氰胺如此出名。
但问题是食品工业中常常需要检查蛋白质含量,但是直接测量蛋白质含量技术上比较复杂,成本也比较高,不适合大范围推广,所以业界常常使用一种叫做“凯氏定氮法”的方法,通过食品中氮原子的含量来间接推算蛋白质的含量。也就是说,食品中氮原子含量越高,蛋白质含量就越高。这样一来,名不见经传的三聚氰胺由于其分子中含氮原子比较多,于是就派上大用场了。
三聚氰胺(melamine) 是一种有机含氮杂环化合物,学名1,3,5-三嗪-2,4,6-三胺,或称为2,4,6-三氨基-1,3,5-三嗪,简称三胺、蜜胺、氰尿酰胺,是一种重要的化工原料,主要用途是与醛缩合,生成三聚氰胺-甲醛树脂,生产塑料,这种塑料不易着火,耐水、耐热、耐老化、耐电弧、耐化学腐蚀,有良好的绝缘性能和机械强度,是木材、涂料、造纸、纺织、皮革、电器等不可缺少的原料。它还可以用来做胶水和阻燃剂,部分国家也被用来制造化肥。
三聚氰胺的最大的特点是含氮量很高(66%),加之生产工艺简单、成本很低,给了掺假、造假者极大地利益驱动,有人估算在植物蛋白粉和饲料中使蛋白质增加一个百分点,用三聚氰胺的花费只有真实蛋白原料的1/5。所以“增加”产品的表观蛋白质含量是添加三聚氰胺的主要原因,三聚氰胺作为一种白色结晶粉末,没有什么气味和味道,掺杂后不易被发现等也成了掺假、造假者心存侥幸的辅助原因。
1994年国际化学品安全规划署和欧洲联盟委员会合编的《国际化学品安全手册》第三卷和国际化学品安全卡片也只说明:长期或反复大量摄入三聚氰胺可能对肾与膀胱产生影响,导致产生结石。
三聚氰胺最早被中国的造假者用在家畜饲料生产中,国内大大小小的饲料厂都在饲料中添加三聚氰胺,仪器一检测,氮原子很多,一推算,蛋白质含量也很高,生产者顺理成章地就省下昂贵的蛋白粉开支了。三聚氰胺虽然有毒,但是牛羊体积都比较大,肾功能强,能顺利代谢毒素,吃了,好像也没啥死牛死羊的事情发生,于是也没人去关注。顺理成章,造假者扩大应用范围,把三聚氰胺用于出口美国的宠物饲料中,当然不幸的是,猫狗等宠物体积比牛羊小多了,代谢能力差,三聚氰胺的毒性影响也就大了,结果毒死了猫狗,惊动了美国人,最后三聚氰胺进入美国FDA的视线。
当时美国人发现三聚氰胺后百思不得其解,不知道为啥要添加这东西,以为是老鼠药污染造成的。美国新闻媒体报道都是怀疑中国粮食仓库看管不严,造成老鼠药污染。后来终于有知情的中国人忍不住,偷偷告诉美国人这食品中添加三聚氰胺的奥秘,美国学术界这才恍然大悟,明白过来这复杂的高科技造假过程。
三鹿奶粉事件,从一个侧面,反映了中国严重的食品安全问题,我们现在究竟还剩下什么东西可以安全地吃进肚子里?三聚氰胺这个黑手,从最初的牛羊饲料市场开始蔓延,发展到今天,已经延伸到了婴儿奶粉这个领域。数以亿计的中国人,不知不觉中,早已吃了好多年用三聚氰胺喂养出来的猪肉,牛肉,鸡肉,喝了很多年添加了三聚氰胺的奶粉,不知不觉中,都受到了三聚氰胺的污染。有没有谁做过三聚氰胺对人类健康长期影响的研究,现在肯定还没有,因为谁都不曾想到,一个国家几亿人,竟然会去吃这种跟食品风牛马不相及的塑料工业原料。
呵呵,我也对着这个Seven Myths看了几遍,作者的观点也很有道理。实际工作中还是要灵活处理,把KPI/Metrics作为推进、开展安全的一个“武器”。
安全度量体系中的指标设计确实是一项非常头疼的问题,从常规角度理解,指标一定要客观,避免因受到评价或被评价者主观因素影响指标的客观性;指标一定要易于操作、能够量化评价,不然无法作出定量评价。
看了有空得去看看“Seven Myths About Information Security Metrics”
下面的链接是在Youtube上面Security Metrics的一段视频:
Part1: http://www.youtube.com/watch?v=UtYzoQOKUac
Part2: http://www.youtube.com/watch?v=biD9D714Bxc&feature=related
今天搜索Google一下“擦桌子理论”,发现这还有一个出处,不过意思和我们领导的大相径庭,完全不同的论点了。Google出来的“擦桌子理论”是海尔总裁张瑞敏的发明,本意是“员工首先要把桌子擦好”,才能做好其它事情。看来我们的“擦桌子理论”是又上一层楼了。下面是Google出来的海尔版“擦桌子理论”:
先把桌子擦好
(2006-05-22 15:30:45)
克洛克小的时候,父亲只是普通的工人,家境贫寒,生活清苦,为此他从小就立志将来要当老板。中学毕业后,克洛克到了一家快餐店打工,老板安排他先干最简单的擦桌子的工作。但他认为擦桌子没有出息,还丢人现眼,于是很不情愿,毫无干劲。不久,他没打招呼就溜回家去了。
回到家里他向父亲诉苦:“我不想干这份工作,干擦桌子不会有出息的。”父亲没有立即反驳,只是让克洛克把刚才做事情的桌子擦干净。克洛克拿起擦布,三下五除二地擦完桌子。父亲叫住他,并且拿着一块白毛巾把他擦的桌子再擦了一遍,只见洁白的毛巾上立即印出了脏东西,分外刺眼,父亲对克洛克说:“孩子,擦桌子看似很简单,可要做好也不容易,如果连擦桌子这么小的事都做不好,又怎么能当上老板和当好老板呢?”
克洛克似乎明白了父亲说话的意思,既羞愧又坚定地回到了快餐店,向老板要求继续干擦桌子的活。他记住父亲的教诲;先把桌子擦好!于是他每次擦桌子都沿着一个方向擦,用五块毛巾擦五遍,渐渐地他擦桌子动作又利索,桌子擦得又干净,得到了老板的赏识,不久老板让他接管了快餐店。他做起了老板。十年后,他创立了享誉世界的连锁公司———麦当劳。
海尔总裁张瑞敏在管理上也提出了著名的“擦桌子理论”。张瑞敏在比较中国公司员工与日本公司员工的认真精神时曾说过:如果让一个日本员工每天擦桌子6遍,日本员工会不折不扣地执行,每天都会坚持擦6遍;可是如果让一位中国员工去做,那么他在第一天可能擦6遍,第二天也可能擦6遍,但到了第三天,可能就只会擦5遍、4遍或3遍,到后来,就不了了之。
鉴于此,张瑞敏抓管理就是从培训员工从擦好桌子开始,来培养员工的海尔理念、海尔精神、海尔作风。海尔也就是在这种理念、精神、作风中逐渐造就出了一流的干部和员工队伍,打造出一流的产品质量,塑造了一流的品牌。张瑞敏后来感慨:能把每一件简单的事做好就是不简单,能把每一件平凡的事做好就是不平凡。
古人云:“天下大事,必作于细;天下难事,必成于易。”有理想、有抱负、干大事,这很好,但只有先把小事情做好、做精,这才是成功的起点,是成功的作风,是成功的习惯。(中证网)