KPI untuk mengukur efektivitas kepatuhan

Diterbitkan: 2018-09-26

Indikator Kinerja Utama (KPI) lebih mudah diukur pada tahun 1996 daripada saat ini. Yang Anda butuhkan hanyalah seseorang untuk meninjau dokumen dan memberikan skor dalam waktu yang sangat singkat. Itu mirip dengan menceritakan kinerja seorang siswa hanya dengan melihat nilainya.

Saat ini, proses tersebut telah berkembang dengan kecanggihan informasi dan biaya kepatuhan keamanan. Mengukur efektivitas kepatuhan saat ini melibatkan wawasan berkelanjutan untuk memahami seberapa baik lingkungan data dilindungi.

Pengenalan KPI

Manajemen senior dapat membuat keputusan yang akurat berdasarkan KPI. Dalam kebanyakan kasus, indikator bersifat kualitatif sementara di lain hal bersifat kuantitatif. Kombinasi pengamatan dan metrik memberi manajer data yang objektif dan berharga bagi perusahaan mereka.

Jika batas kecepatan di kota Anda diukur dalam mil per jam sementara speedometer mobil Anda menunjukkan kilometer per jam, kemungkinan besar Anda akan melanggar batas tersebut. KPI menggunakan pemikiran yang sama-Anda perlu mengukur kinerja dengan alat yang tepat yang relevan dengan bisnis Anda.

Pentingnya KPI untuk kepatuhan

Kuesioner dan audit memberikan wawasan sekaligus. Ini tidak cukup menjamin perlindungan data. Peretas jahat terus mencari akses ke data Anda. Bagaimanapun vendor, kuesioner hanya bisa sangat mudah jika Anda memercayai mitra Anda dalam bisnis. Sayangnya, kepercayaan dan persahabatan bisnis juga mengharuskan Anda untuk memverifikasi kontrol pihak ketiga.

Manajemen Risiko dan KPI

KPI keamanan data Anda tidak dapat berdiri sendiri. Mereka perlu didukung oleh prosedur manajemen risiko, yang dimulai dengan menetapkan tujuan bisnis yang jelas. Sasaran dasar memungkinkan Anda mengukur efektivitas, jadi Anda harus mengajukan pertanyaan yang sulit.

Menetapkan Tujuan Organisasi

Tinjau kredensial perlindungan data Anda saat ini dan tentukan apa yang ingin Anda lakukan selanjutnya. Saat Anda memikirkan masa kini sambil mempertimbangkan masa depan, Anda akan menetapkan KPI yang akurat untuk kepatuhan.

Sementara penyedia perangkat lunak sebagai Layanan memikirkan pasar yang berbeda, lembaga keuangan mempertimbangkan bagaimana pelanggannya mengakses uang. Anda perlu mengajukan pertanyaan-pertanyaan berikut dan memberikan jawaban yang akurat.

  • Apa tujuan yang Anda miliki untuk departemen yang berbeda?
  • Prosedur manajemen risiko apa yang meningkatkan kinerja bisnis?
  • Bagaimana kejadian tak terduga mengurangi efisiensi operasi?
  • Aliran pendapatan prospektif apa yang dapat Anda manfaatkan?
  • Risiko apa yang dihadapi pendapatan di atas?
  • Risiko baru apa yang Anda ramalkan di masa depan?

Menilai risiko

Apa pun yang Anda ukur harus memiliki dasar. Dalam mengukur jumlah kilometer yang telah Anda kendarai, Anda perlu mencatat jarak tempuh mobil Anda di awal perjalanan. Menjawab pertanyaan-pertanyaan berikut membantu Anda menetapkan garis dasar.

  • Apa aset informasi Anda?
  • Di mana aset Anda disimpan?
  • Siapa yang memiliki akses ke aset data?
  • Bagaimana Anda melindungi aset informasi?
  • Apa kemungkinan kegagalan perlindungan ini?
  • Aset apa yang paling penting untuk tujuan bisnis Anda?
  • Aset apa yang lebih penting bagi peretas?
  • Jenis risiko apa, yang ditimbulkan oleh data?

KPI penting untuk petugas kepatuhan

Kinerja keamanan siber terlihat tidak berwujud di luar arena keamanan informasi. Jargon teknis menyebabkan kebingungan gagasan sederhana bahwa KPI keamanan informasi mirip dengan jenis metrik lainnya. Mereka fokus pada nilai, waktu, dan uang.

Menjelaskan KPI dari teknis ke bahasa bisnis melengkapi keputusan kepatuhan yang lebih baik. Menemukan metrik yang akurat untuk menetapkan masalah kepatuhan biasanya melibatkan hal berikut.

  • Mean Time Between Failures (MTBF) – Ini adalah pengukuran jumlah hari sejak Anda mengalami kegagalan sistem. Jika angkanya tinggi, Anda menjaga perlindungan yang sehat.
  • Perbedaan Persen dalam MBTF: Apakah Anda mengalami lebih banyak kegagalan dengan beberapa sistem perlindungan data dibandingkan dengan sistem lain setiap bulan? Jika jawabannya ya, Anda pasti membutuhkan perbaikan.
  • Mean Time to Repair (MTTR): Ini adalah pengukuran jumlah rata-rata jam yang diperlukan untuk memperbaiki masalah dan membuat Anda kembali normal. Jika waktunya terlalu lama, pikirkan kembali sumber daya dan/atau staf.
  • Ketersediaan Sistem : Bagilah jumlah menit bahwa semua sistem Anda benar - benar tersedia untuk semua staf dengan jumlah menit yang seharusnya tersedia. Pertimbangkan untuk memulihkan aksesibilitas data Anda.
  • Persentase Waktu Henti Karena Aktivitas Terjadwal: Bagi jumlah menit yang dihabiskan fungsi TI Anda untuk pemeliharaan terjadwal dengan jumlah total menit dalam jangka waktu tertentu.
  • Persentase Kegiatan Pemeliharaan Terjadwal Nona : Anda harus membagi jumlah komputer dan server yang tidak dilayani dalam periode tertentu dengan jumlah total layanan terjadwal. Latih karyawan Anda lebih banyak tentang kepatuhan atau rekrut lebih banyak staf TI.
  • Persentase Sistem Kritis tanpa Patch Terkini : Bagilah jumlah sistem kritis tanpa pembaruan terkini ke jumlah total perangkat dan sistem sistem kritis. Jika persentase sistem kritis dengan patch yang hilang, Anda berisiko mendapatkan serangan CVE.

Investasikan pada alat SaaS yang tepat untuk meningkatkan kecepatan pengumpulan informasi. Alat-alat ini memungkinkan tim dan manajemen TI untuk bertukar wawasan lebih cepat. Mulailah dengan modul penilaian risiko dan kemudian beralih ke grafik tanggung jawab untuk proses yang memakan waktu lebih sedikit.

Apa yang Anda pikirkan? Beri tahu kami di komentar!

Rekomendasi Editor:

  • Semua orang sekarang dapat membeli Kunci Keamanan Titan Google untuk melindungi akun mereka
  • Bagaimana masalah keamanan mengganggu penjualan e-niaga Anda
  • Eksploitasi yang tidak dapat ditambal untuk Nintendo Switch yang ditemukan oleh peneliti keamanan

Ken Lynch adalah veteran startup perangkat lunak perusahaan, yang selalu terpesona dengan apa yang mendorong pekerja untuk bekerja dan bagaimana membuat pekerjaan lebih menarik. Ken mendirikan Timbal Balik untuk mengejar hal itu. Dia telah mendorong kesuksesan Reciprocity dengan tujuan berbasis misi ini untuk melibatkan karyawan dengan tujuan tata kelola, risiko, dan kepatuhan perusahaan mereka untuk menciptakan warga korporat yang lebih berpikiran sosial. Ken memperoleh gelar BS di bidang Ilmu Komputer dan Teknik Elektro dari MIT.