コンプライアンスの有効性を測定するためのKPI

公開: 2018-09-26

主要業績評価指標(KPI)は、1996年には、現在よりも測定が容易でした。 必要なのは、非常に短時間でドキュメントを確認してスコアを付与する人だけです。 それは、生徒の成績を見ただけで生徒の成績を伝えるのと似ていました。

今日、このプロセスは、高度な情報とセキュリティコンプライアンスのコストとともに進化してきました。 今日のコンプライアンスの有効性を測定するには、データ環境がどの程度保護されているかを理解するための継続的な洞察が必要です。

KPIの概要

上級管理職は、KPIに基づいて正確な意思決定を行うことができます。 ほとんどの場合、指標は定性的ですが、他の場合は定量的です。 観察結果と測定基準の組み合わせにより、マネージャーは会社にとって客観的で価値のあるデータを得ることができます。

あなたの町の制限速度が時速マイルで測定され、車の速度計が時速キロメートルを読み取る場合、制限に違反する可能性が高くなります。 KPIも同じ考え方を採用しています。ビジネスに関連する適切なツールを使用してパフォーマンスを測定する必要があります。

コンプライアンスのためのKPIの重要性

アンケートと監査は、一瞬で洞察を提供します。 これは、データ保護の十分な保証ではありません。 悪意のあるハッカーは、データへのアクセスを絶えず探し求めています。 いずれにせよ、ベンダーは、あなたがビジネスであなたのパートナーを信頼する場合にのみ、アンケートは絶対確実です。 残念ながら、ビジネスの信頼と友情には、サードパーティの管理を確認する必要もあります。

リスク管理とKPI

データセキュリティのKPIを単独で使用することはできません。 それらは、明確なビジネス目標を設定することから始まるリスク管理手順によってバックアップされる必要があります。 ベースラインの目標により、効果を測定できるため、難しい質問をする必要があります。

組織の目標の確立

現在のデータ保護資格情報を確認し、次に何をしたいかを決定します。 将来を考慮しながら現在を考えるとき、コンプライアンスのために正確なKPIを設定します。

Software-as-a-Serviceプロバイダーはさまざまな市場について考えていますが、金融機関は顧客がどのようにお金にアクセスするかを考えています。 次の質問をし、正確な答えを提供する必要があります。

  • さまざまな部門に対してどのような目標がありますか?
  • どのようなリスク管理手順が業績を向上させますか?
  • 予期しないイベントによって、運用の効率がどのように低下​​しますか?
  • どのような将来の収益源を利用できますか?
  • 上記の収益が直面するリスクは何ですか?
  • 今後、どのような新たなリスクが予想されますか?

リスクの評価

測定するものはすべて、ベースラインが必要です。 あなたが運転したキロメートル数を測定する際には、旅の始めにあなたの車の走行距離を記録する必要があります。 次の質問に答えることは、ベースラインを確立するのに役立ちます。

  • あなたの情報資産は何ですか?
  • あなたの資産はどこに保管されていますか?
  • データ資産にアクセスできるのは誰ですか?
  • 情報資産をどのように保護していますか?
  • これらの保護の失敗の可能性はどのくらいですか?
  • ビジネス目標にとって最も重要な資産は何ですか?
  • ハッカーにとってより重要な資産は何ですか?
  • データにはどのような種類のリスクがありますか?

コンプライアンス担当者にとって重要なKPI

サイバーセキュリティのパフォーマンスは、情報セキュリティの分野の外では無形に見えます。 専門用語は、情報セキュリティKPIが他のタイプのメトリックに類似しているという単純な考え方の混乱を引き起こします。 彼らは価値、時間、お金に焦点を当てています。

KPIを技術用語からビジネス言語まで説明することで、コンプライアンスに関するより適切な決定が可能になります。 コンプライアンスの問題を確立するための正確な指標を見つけるには、通常、次のことが含まれます。

  • 平均故障間隔(MTBF) –これは、システム障害が発生してからの日数の測定値です。 数値が高い場合は、健康的な保護を維持しています。
  • MBTFのパーセント差:月ごとに、他のシステムよりも一部のデータ保護システムでより多くの障害が発生していますか? 答えが「はい」の場合は、間違いなく修復が必要です。
  • 平均修復時間(MTTR):これは、問題を修正して正常に戻るまでにかかる平均時間数の測定値です。 時間が長すぎる場合は、リソースや人員配置を再考してください。
  • システムの可用性:すべてのシステム実際にすべてのスタッフに利用可能であった分数を、利用可能であるはずの分数で割ります。 データのアクセシビリティを改善することを検討してください。
  • スケジュールされたアクティビティによるダウンタイムの割合: IT機能がスケジュールされたメンテナンスに費やした分数を特定の時間枠の合計分数で割ります。
  • 計画的メンテナンス活動の割合ミス:特定の期間にサービスを受けなかったコンピューターとサーバーの数を、計画的サービスの総数で割る必要があります。 コンプライアンスについて従業員をさらにトレーニングするか、ITスタッフをさらに雇用します。
  • 最新のパッチがない重要なシステムの割合:重要なシステムデバイスとシステムの総数に対する最近の更新がない重要なシステムの数を除算します。 パッチが欠落している重要なシステムの割合が高い場合、CVE攻撃を受けるリスクがあります。

適切なSaaSツールに投資して、情報を集約するペースを上げます。 これらのツールにより、ITチームと管理者は洞察をより迅速に交換できます。 リスク評価モジュールから始めて、時間のかからないプロセスのために責任グラフィックスに進みます。

あなたの考えは何ですか? コメントで教えてください!

編集者の推奨事項:

  • 誰もが自分のアカウントを保護するためにGoogleのTitanセキュリティキーを購入できるようになりました
  • セキュリティ上の懸念がeコマースの売り上げにどのように影響しているか
  • セキュリティ研究者が発見したNintendoSwitchのパッチ不可能なエクスプロイト

Ken Lynchは、エンタープライズソフトウェアのスタートアップのベテランであり、労働者を仕事に駆り立てるものと、仕事をより魅力的にする方法に常に魅了されてきました。 ケンはまさにそれを追求するために相互主義を設立しました。 彼は、より社会的志向の企業市民を作成するために、従業員を会社のガバナンス、リスク、およびコンプライアンスの目標に関与させるというこのミッションベースの目標で、Reciprocityの成功を推進してきました。 ケンはMITでコンピュータサイエンスと電気工学の理学士号を取得しています。