Il metric gaming è la pratica di ottimizzare una misurazione invece dell'obiettivo reale che c'è dietro. Nella sicurezza e nelle operations, questo accade quando i team inseguono numeri facili come i conteggi di accessi, le chiusure degli alert, l'uso dei token o il totale delle patch, perché questi numeri sono visibili e premiati. Il risultato può essere un comportamento distorto: più attività, meno valore.
Questo è importante nella sicurezza informatica perché sia gli attaccanti sia i difensori reagiscono agli incentivi. Un team difensivo può chiudere gli alert troppo in fretta per migliorare una dashboard, perdere minacce reali o distribuire codice generato dall'AI senza un'adeguata revisione. Anche gli attaccanti manipolano le metriche creando traffico rumoroso, account falsi o malware di bassa qualità per sovraccaricare i sistemi di rilevamento o nascondere i segnali importanti. I controlli efficaci riducono il metric gaming associando i dati di utilizzo alle misure di risultato, come la riduzione del rischio, i tassi di difetto e il completamento verificato del lavoro.