팀은 프로젝트가 모든 단계를(인젝션, 탐지, 데이터 수정) 거치면서 발생하는 모든 결함을 추적한다. 개발자들은 자신들이 갖고 있는 실제 데이터를 사용해 뒤에 이어질 작업을 계획하고, 일정, 내용, 실제 사용된 프로세스, 필요 자원에 대해 관리 차원의 합의를 이끌어 내 계획이 전체 전달 일정 내에서 원활하게 끝마칠 수 있도록 한다.
의사 결정에 활용 가능한 과거 정보로부터 구축된 신뢰를 기반으로 공학의 다양한 측면에서 수집한 여러 측정 방식을 사용한다. 개별 측정 자체만으로는 부족하지만, 한데 모으면 유용하게 쓸 수 있다. 수집한 메트릭은 특정 목표(업무량 조정 계획 수립) 달성을 지원하고, 작업을 수행하는 자원의 생산성 및 예상되는 작업 부하 workload의 예상 이탈 수준 같은 목표와 관련된 여러 질문을 처리하기 위해 필요한 정보를 바탕으로 선택한다.
GOM 방법론
측정 가능한 또 다른 요소로 사이버 보안 처리를 위한 조직 차원의 역량을 꼽을 수 있다. 미국 표준기술연구소IST는 주요 기반시설 사이버 보안 수준 향상을 위한 프레임워크를 개발했다(NIST 2014). NIST 프레임워크는 사이버 보안 책임 수준에 영향을 미치는 운영 환경에 초점을 맞춘 내용으로, 필요한 내용을 그대로 시스템과 소프트웨어에 반영하는 것과 정 반대로, 조직이 사이버 보안 지원을 위한 인프라의 기능과 특성을 파악할 수 있게 한다.
프레임워크는 조직이 자신들의 사이버 보안 역량을 확인하고, 목표 상태를 위한 개별 목표를 설정하며, 사이버 보안 프로그램을 향상시키고 유지하기 위한 계획을 수립할 수 있도록 돕는다. 사이버 보안을 위한 목표와 계획을 결정하기 위한 평가 메커니즘을 사용한 후에는 메트릭을 사용해 해당 결과를 모니터링하고 평가할 수 있다. 의사 결정 지원을 위해 메트릭을 수집하고 분석한 후 분석 결과를 통해 조직의 행동을 결정한다(Axelrod 2012).
보안 측정 프레임워크 자체는 새로운 개념이 아니지만, 인증과 인가 요구 사항을 넘어서는 보안 분야의 부족한 시스템 및 소프트웨어 공학 환경으로 인해 실제로 라이프 사이클 내에 서 활용 가능한 표준을 사용하는 것은 여러 가지 한계에 부딪혀 왔다. 보안에 영향을 미치 는 공학 의사 결정 방식에 대한 관심이 높아지는 만큼, 이러한 염려 사항을 모니터링하고 관리할 수 있는 메트릭 또한 라이프 사이클 내에 잘 녹아들 수 있게 해야 한다.
