KPI per misurare l'efficacia della conformità

Pubblicato: 2018-09-26

Gli indicatori chiave di prestazione (KPI) erano più facili da misurare nel 1996 di quanto lo siano oggi. Tutto ciò di cui hai bisogno è qualcuno che esamini i documenti e assegni un punteggio in brevissimo tempo. Era come raccontare la performance di uno studente solo guardando i suoi voti.

Oggi, il processo si è evoluto con la sofisticazione delle informazioni ei costi della conformità alla sicurezza. La misurazione dell'efficacia della conformità oggi implica approfondimenti continui per comprendere l'efficacia della protezione dell'ambiente dei dati.

Introduzione ai KPI

Il senior management può prendere decisioni accurate sulla base di KPI. Nella maggior parte dei casi, gli indicatori sono qualitativi mentre in altri sono quantitativi. La combinazione di osservazioni e metriche fornisce ai gestori dati oggettivi e preziosi per le loro aziende.

Se il limite di velocità nella tua città viene misurato in miglia orarie mentre il tachimetro della tua auto indica chilometri orari, è molto probabile che tu possa violare i limiti. I KPI utilizzano lo stesso pensiero: devi misurare le prestazioni con gli strumenti giusti rilevanti per la tua azienda.

Importanza dei KPI per la conformità

I questionari e gli audit forniscono approfondimenti in un unico momento. Questa non è una garanzia sufficiente della protezione dei dati. Gli hacker dannosi sono continuamente alla ricerca dell'accesso ai tuoi dati. In ogni caso fornitore, i questionari possono essere infallibili solo se ti fidi dei tuoi partner negli affari. Sfortunatamente, la fiducia e l'amicizia aziendale richiedono anche la verifica dei controlli di terze parti.

Gestione del rischio e KPI

I KPI della sicurezza dei tuoi dati non possono stare da soli. Devono essere supportati da procedure di gestione del rischio, che iniziano con la definizione di obiettivi aziendali chiari. Gli obiettivi di base ti consentono di misurare l'efficacia, quindi devi porre le domande difficili.

Stabilire obiettivi organizzativi

Rivedi le tue attuali credenziali di protezione dei dati e determina cosa vuoi fare dopo. Mentre pensi al presente e consideri il futuro, imposterai KPI accurati per la conformità.

Mentre un fornitore di software-as-a-service pensa a mercati diversi, un istituto finanziario considera come i suoi clienti accedono al denaro. È necessario porre le seguenti domande e fornire risposte accurate.

  • Quali obiettivi hai per i diversi reparti?
  • Quali procedure di gestione del rischio migliorano le prestazioni aziendali?
  • In che modo gli eventi imprevisti riducono l'efficienza delle operazioni?
  • A quali potenziali flussi di entrate puoi attingere?
  • Quali rischi corrono i ricavi di cui sopra?
  • Quali nuovi rischi prevedi in futuro?

Valutare i rischi

Qualunque cosa misuri deve avere una linea di base. Per misurare il numero di chilometri che hai percorso, devi registrare il chilometraggio della tua auto all'inizio del viaggio. Rispondere alle seguenti domande ti aiuta a stabilire una linea di base.

  • Quali sono le tue risorse informative?
  • Dove sono conservati i tuoi beni?
  • Chi ha accesso alle risorse di dati?
  • Come proteggete le risorse informative?
  • Qual è la probabilità di fallimento di queste protezioni?
  • Quali sono le risorse più critiche per i tuoi obiettivi di business?
  • Quali risorse sono più importanti per gli hacker?
  • Quali tipi di rischio comportano i dati?

KPI importanti per i responsabili della conformità

Le prestazioni della sicurezza informatica sembrano immateriali al di fuori dell'arena della sicurezza delle informazioni. Il gergo tecnico crea confusione sull'idea altrimenti semplice che i KPI di sicurezza delle informazioni siano simili ad altri tipi di metriche. Si concentrano su valore, tempo e denaro.

La spiegazione dei KPI dal linguaggio tecnico a quello commerciale consente decisioni di conformità migliori. Trovare le metriche accurate per stabilire problemi di conformità di solito comporta quanto segue.

  • Mean Time Between Failures (MTBF) – Questa è una misura del numero di giorni trascorsi da quando si è verificato un errore di sistema. Se la cifra è alta, stai mantenendo una protezione sana.
  • Differenza percentuale in MBTF: si verificano più errori con alcuni sistemi di protezione dei dati rispetto ad altri sistemi su base mensile? Se la risposta è sì, è sicuramente necessario rimediare.
  • Mean Time to Repair (MTTR): misura il numero medio di ore necessarie per risolvere un problema e riportarti alla normalità. Se il tempo è troppo lungo, ripensare alle risorse e/o al personale.
  • Disponibilità del sistema : dividere il numero di minuti in cui tutti i sistemi erano effettivamente disponibili per tutto il personale per il numero di minuti in cui avrebbero dovuto essere disponibili. Prendi in considerazione la possibilità di correggere l'accessibilità dei dati.
  • Percentuale dei tempi di inattività dovuti alle attività programmate: dividere il numero di minuti trascorsi dalla funzione IT per la manutenzione programmata per il numero totale di minuti in un determinato intervallo di tempo.
  • Percentuale di attività di manutenzione programmate mancate : dividere il numero di computer e server che non sono stati serviti in un determinato periodo per il numero totale di servizi programmati. Forma maggiormente i tuoi dipendenti sulla conformità o assumi più personale IT.
  • Percentuale di sistemi critici senza patch aggiornate : dividere il numero di sistemi critici senza aggiornamenti recenti per il numero totale di dispositivi e sistemi di sistema critici. Se la percentuale di sistemi critici con patch mancanti, rischi di ricevere un attacco CVE.

Investi negli strumenti SaaS giusti per aumentare il ritmo di aggregazione delle informazioni. Questi strumenti consentono ai team IT e al management di scambiarsi informazioni più rapidamente. Inizia con moduli di valutazione del rischio e poi passa alla grafica di responsabilità per processi meno dispendiosi in termini di tempo.

Quali sono i tuoi pensieri? Fateci sapere nei commenti!

Raccomandazioni della redazione:

  • Tutti possono ora acquistare il token di sicurezza Titan di Google per proteggere i propri account
  • In che modo i problemi di sicurezza stanno danneggiando le tue vendite e-commerce
  • Exploit non patchabile per Nintendo Switch trovato dai ricercatori di sicurezza

Ken Lynch è un veterano delle startup di software aziendali, che è sempre stato affascinato da ciò che spinge i lavoratori a lavorare e da come rendere il lavoro più coinvolgente. Ken ha fondato Reciprocity per perseguire proprio questo. Ha promosso il successo di Reciprocity con questo obiettivo basato sulla missione di coinvolgere i dipendenti con gli obiettivi di governance, rischio e conformità della loro azienda al fine di creare cittadini aziendali più socialmente orientati. Ken ha conseguito la laurea in Informatica e Ingegneria Elettrica presso il MIT.