新闻动态
NEWS CENTER
NEWS CENTER
2020-03-24
随着组织变得越来越复杂,其管理要靠无形的抽象,越来越脱离其所代表的现实的抽象。
在最小规模的团队里面,决策者可能每天都埋头于代码之中。稍微大一点的呢,就会跟你谈论正在赶的任务。团队再大些之后,领导要讨论的就变成了任务组,并采用诸如“史诗”(epic)之类的花哨用语。
如果要管理的工程师达到上百时,你可能就主要是围绕着工作主题展开讨论了,并且会侧重在若干关键计划上面。如果手下千军万马,你讨论的也许就是用于资源分配决策的投资框架。
无论采用哪种方式,指标都是你的最终目标。
指标是非常有效的抽象。一个结构得当的指标会有足够的上下文信息,通过它可以了解你的工作状况,把表现跟过去的表现进行上下文关联,然后定义清晰的、可分级的目标。
带有目标的指标的例子:
20%的部署在第四季度完成金丝雀发布,比第三季度的10%有所提高,但未达26%的目标。
这样的指标很强大,原因有几点:
领导复杂公司的家伙对基础工作的了解自然不成问题,但是他们出这张牌要非常谨慎。以内需要他们关注的事情太多了,而指标就成为他们筛选哪些领域只需要大概观察一下,哪些需要再具体研究的重要手段。
组织需要一些时间来获得新的能力,才能满足对指标的这种贪得无厌的需求。好的指标需要对底层数据有深刻的理解,而形成那种熟悉程度是真正的工作。
什么时候象征着指标时代的开始呢?看你选择的指标被废弃的程度。每一次学习都会激发你对指标的类别进行改进,而且大多数的新指标都需要新的手段、管道和环境来支持。
这需要时间,而且是一项艰巨的工作,但这项工作的成果是可预见的。你投入的时间越多,掌握的信息越多,那么你选择的指标就会成为其下的现实更持久、更有用的实现。
不管怎样,指标就是这样发挥作用的。随着我在定义和使用指标方面的经验越来越丰富,我的时间越来越多地花在跟不容易衡量的领域打交道上面,有时候我将其称为不可测领域。
当我碰到负责基础设施的新领导时,我的问对方的第一个问题通常是以下之一:
我会得到各种不同的答案,但是答案通常都不尽人意。这两个问题的挑战非常相似,所以,我会特别探讨一下对安全性的衡量。
我们在讨论安全性的衡量时,描述你期望的结果的输出指标是相对容易的。但是,在一般情况下,安全指标的分子或分母都是不可知的。比方说,你可能想为入侵检测设定一个目标,但是从定义上讲,你不会知道分母是什么,因为你自然不知道没检测到的入侵有多少。
同样,在你的确知道分子的情况下(比方说,已知的安全漏洞数量),一般来说,唯一可接受的目标只能是零。在这些力量的共同作用之下,结果就是“零指标”的扩散,比方说设定“违规数为0”,“内部作案数为0”,“被感染系统数为0”等目标。
“零指标”是二元制指标的一种特殊形式,这种指标唯一有用的数据是能说明你成功(被击中为0)还是失败了(被击中大于0)。
这样的指标不是很有用,因为所提供的对表现的评价非常粗粒度,真的只有通过或者失败。更糟糕的是,这种指标还不可执行。假设这不是可以忽略的领域,你在安排下半年工作的时候,不管漏洞数是0还是4,你对这项工作的优先考虑程度都会是一样的。
如果我们不考虑这些二元化的指标的话,其实还有很多非常有用的指标可以考虑用来衡量我们的安全性的,比方说:
这里所面临的挑战是,所有这些输入指标都非常适合针对计划衡量进度,但对衡量该计划的质量却无能为力。当然,我们对服务器的存储进行了100%的加密,但这种举措对安全性的贡献究竟有多大呢?
依赖输入指标还有一个问题,那就是输入太多而且太具体,以至于想要综合成有用的洞察很难。这意味着这类指标没法发挥出关键作用,也就是不能为高层领导提供有效理解某部分工作绩效的抽象方法。
综合考虑上述挑战,那么什么才是衡量一个组织绩效的好指标呢?我们认为它应该具备以下几点:
按照上述要求看,我觉得具备这些属性的纯天然安全指标并不存在,但幸运的是,我们不必依赖纯天然的指标。我最近的办法是创造出综合指标,也就是把输入指标打包成有用的抽象。