«Когда мера становится целью, она перестает быть хорошей мерой». Наблюдение Гудхарта основывалось на том факте, что любая мера, ставшая целью, становится объектом манипуляции; как прямые (фальсификация цифр), так и косвенные (деятельность исключительно ради улучшения или достижения самой меры). Давайте возьмем конкретный пример. Вы поставили перед собой цель снизить количество инцидентов и это стало вашим фетишем. Вместо того, чтобы выстраивать процессы и постепенно снижать общее количество инцидентов, вы начинаете манипулировать этим показателем. Либо просто снизить значение, прежде чем показывать его руководству, либо исключить некоторые системы из области оценки (конечно, обосновав это перед самим собой) и тем самым снизить количество инцидентов., или просто пересмотреть понятие «инцидент». В любом случае ваша деятельность становится чрезмерно сосредоточена вокруг конкретного числа, а не на цели реального сокращения количества инцидентов (пусть и не так быстро, как хотелось бы).
Источник: https://cisoclub-ru.translate.goog/zakon-gudharta-v-kiberbezopasnosti-ili-pochemu-my-idem-no-ne-dohodim/?_x_tr_sl=ru&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=sc
Закон Гудхарта в кибербезопасности, или Почему мы идем, но не достигаем цели