在【CH4. 釐清衡量問題】中,作者討論的對象是前 3 題。
作者用了 IT 防護的理論,來將「防護」這個客體分解成相關的部件。
美國政府某部門想要投資的 IT 防護計劃,邀請作者找出績效指標,來為投資項目進行評估。
在情境中,真正問出來的是「所謂的『IT 防護』究竟是什麼意思呢?」
子問題是:
Step 1:所謂的「IT 防護」究竟是什麼意思呢?
在此例中,在第 1 次會議時,人們很快發現他們對「IT 防護到底是什麼」,並沒有明確的共識範圍。
經過討論,人們認為「IT 防護的改善」的意思是:
而每一項系統提案都會降低某件事件的頻率和嚴重程度,整理如下圖:
Step 2:在你觀察「IT 防護改善」時,你要衡量些什麼?
有了上表以後,人們確定想要看到的是——上表事件的發生頻率 & 衡擊的降低。
在有這張表以前,原本的衡量對象是:
沒有針對成果做衡量,集中在「容易衡量」的事情上。
作者以「電腦病毒攻擊」為例,此時參照了費米提問(對一個似乎算不出來的量,運用已知數字拼湊和推測,將大問題化為小問題,再逐個估算近似值)來發問:
算式為
病毒攻擊的年平均成本 = 攻擊次數 x 平均受影響人數 x 平均生產力損失 x 平均工時 x 每年勞動成本/2080小時
經過機率評估後,專家得出以下估算,此時的進度是「用機率和範圍量化了不確定性」。計算方法會在下一章討論。
閱讀進度:71->87/394 頁。
昨天還在「只要 5 個數就好」和「起立拍手次數也可以唷」,接下來就進入赤裸的統計領域了orz
昨天還在「只要 5 個數就好」和「起立拍手次數也可以唷」,接下來就進入赤裸的統計領域了
go go go~
嗚嗚 TD 每天都支持著我們你人真好