KPI pour mesurer l'efficacité de la conformité

Publié: 2018-09-26

Les indicateurs clés de performance (KPI) étaient plus faciles à mesurer en 1996 qu'ils ne le sont aujourd'hui. Tout ce dont vous aviez besoin, c'est quelqu'un pour examiner les documents et attribuer une note en très peu de temps. C'était comme dire la performance d'un élève simplement en regardant ses notes.

Aujourd'hui, le processus a évolué avec la sophistication des informations et les coûts de mise en conformité en matière de sécurité. Mesurer l'efficacité de la conformité aujourd'hui implique des informations continues pour comprendre dans quelle mesure l'environnement des données est protégé.

Introduction aux KPI

La haute direction peut prendre des décisions précises basées sur des KPI. Dans la plupart des cas, les indicateurs sont qualitatifs alors que dans d'autres, ils sont quantitatifs. La combinaison d'observations et de métriques donne aux managers des données objectives et précieuses pour leurs entreprises.

Si la limite de vitesse dans votre ville est mesurée en miles par heure alors que le compteur de vitesse de votre voiture indique des kilomètres par heure, il est fort probable que vous enfreigniez les limites. Les KPI utilisent le même raisonnement : vous devez mesurer les performances avec les bons outils adaptés à votre entreprise.

Importance des KPI pour la conformité

Les questionnaires et les audits fournissent des informations à un instant donné. Ce n'est pas une garantie suffisante de protection des données. Des pirates malveillants sont continuellement à la recherche d'un accès à vos données. En tout cas vendeur, les questionnaires ne peuvent être infaillibles que si vous faites confiance à vos partenaires en affaires. Malheureusement, la confiance et l'amitié des entreprises vous obligent également à vérifier les contrôles tiers.

Gestion des risques et KPI

Les KPI de la sécurité de vos données ne peuvent pas être isolés. Ils doivent être étayés par des procédures de gestion des risques, qui commencent par la définition d'objectifs commerciaux clairs. Les objectifs de base vous permettent de mesurer l'efficacité, vous devez donc poser les questions difficiles.

Établir des objectifs organisationnels

Passez en revue vos identifiants de protection des données actuels et déterminez ce que vous voulez faire ensuite. En pensant au présent tout en envisageant l'avenir, vous définirez des KPI précis pour la conformité.

Alors qu'un fournisseur de logiciels en tant que service pense à différents marchés, une institution financière considère comment ses clients accèdent à l'argent. Vous devez poser les questions suivantes et fournir des réponses précises.

  • Quels objectifs avez-vous pour les différents départements ?
  • Quelles procédures de gestion des risques améliorent la performance de l'entreprise ?
  • Comment les événements imprévus réduisent-ils l'efficacité des opérations ?
  • Quels flux de revenus potentiels pouvez-vous exploiter ?
  • Quels risques font face les revenus ci-dessus?
  • Quels nouveaux risques prévoyez-vous à l'avenir ?

Évaluer les risques

Tout ce que vous mesurez doit avoir une base de référence. Pour mesurer le nombre de kilomètres que vous avez parcourus, vous devez enregistrer le kilométrage de votre voiture au début du trajet. Répondre aux questions suivantes vous aide à établir une base de référence.

  • Quels sont vos actifs informationnels ?
  • Où sont conservés vos actifs ?
  • Qui a accès aux ressources de données ?
  • Comment protégez-vous les actifs informationnels ?
  • Quelle est la probabilité de défaillance de ces protections ?
  • Quels actifs sont les plus critiques pour vos objectifs commerciaux ?
  • Quels actifs sont les plus importants pour les pirates ?
  • Quels types de risques, les données posent-elles ?

KPI importants pour les responsables de la conformité

La performance de la cybersécurité semble intangible en dehors du domaine de la sécurité de l'information. Le jargon technique sème la confusion dans l'idée autrement simple que les KPI de sécurité de l'information sont similaires à d'autres types de métriques. Ils se concentrent sur la valeur, le temps et l'argent.

Expliquer les KPI du langage technique au langage commercial permet de prendre de meilleures décisions en matière de conformité. Trouver les métriques précises pour établir les problèmes de conformité implique généralement ce qui suit.

  • Temps moyen entre les pannes (MTBF) - Il s'agit d'une mesure du nombre de jours depuis que vous avez eu une panne du système. Si le chiffre est élevé, vous conservez une protection saine.
  • Différence en pourcentage de MBTF : rencontrez -vous plus d'échecs avec certains systèmes de protection des données qu'avec d'autres systèmes sur une base mensuelle ? Si la réponse est oui, vous avez certainement besoin de mesures correctives.
  • Temps moyen de réparation (MTTR) : Il s'agit d'une mesure du nombre moyen d'heures nécessaires pour résoudre un problème et vous ramener à la normale. Si le temps est trop long, repensez les ressources et/ou le personnel.
  • Disponibilité du système : Divisez le nombre de minutes pendant lesquelles tous vos systèmes étaient réellement disponibles pour tout le personnel par le nombre de minutes pendant lesquelles ils auraient dû être disponibles. Envisagez de remédier à l'accessibilité de vos données.
  • Pourcentage de temps d'arrêt dû aux activités planifiées : Divisez le nombre de minutes que votre fonction informatique a consacrées à la maintenance planifiée par le nombre total de minutes dans la période donnée.
  • Pourcentage d'activités de maintenance planifiées manquées : vous devez diviser le nombre d'ordinateurs et de serveurs qui n'ont pas été entretenus au cours d'une période donnée par le nombre total d'entretiens planifiés. Formez davantage vos employés sur la conformité ou embauchez plus de personnel informatique.
  • Pourcentage de systèmes critiques sans correctifs à jour : divisez le nombre de systèmes critiques sans mises à jour récentes par le nombre total de périphériques système et de systèmes critiques. Si le pourcentage de systèmes critiques avec des correctifs manquants, vous risquez de subir une attaque CVE.

Investissez dans les bons outils SaaS pour accélérer le rythme d'agrégation des informations. Ces outils permettent aux équipes informatiques et à la direction d'échanger des informations plus rapidement. Commencez par les modules d'évaluation des risques, puis passez aux graphiques de responsabilité pour des processus moins chronophages.

Quelles sont vos pensées? Faites le nous savoir dans les commentaires!

Recommandations des éditeurs :

  • Tout le monde peut désormais acheter la clé de sécurité Titan de Google pour protéger ses comptes
  • Comment les problèmes de sécurité nuisent à vos ventes en ligne
  • Un exploit impossible à corriger pour la Nintendo Switch découvert par des chercheurs en sécurité

Ken Lynch est un vétéran des startups de logiciels d'entreprise, qui a toujours été fasciné par ce qui pousse les travailleurs à travailler et comment rendre le travail plus attrayant. Ken a fondé Reciprocity pour poursuivre exactement cela. Il a propulsé le succès de Reciprocity avec cet objectif basé sur la mission d'impliquer les employés dans les objectifs de gouvernance, de risque et de conformité de leur entreprise afin de créer des entreprises citoyennes plus socialement responsables. Ken a obtenu son BS en informatique et en génie électrique du MIT.