규정 준수 효율성 측정을 위한 KPI

게시 됨: 2018-09-26

1996년에는 핵심 성과 지표(KPI)를 오늘날보다 측정하기가 더 쉬웠습니다. 문서를 검토하고 매우 짧은 시간에 점수를 매길 사람만 있으면 됩니다. 마치 학생의 성적만 보고 성적을 말하는 것과 같았습니다.

오늘날 프로세스는 정보의 정교함과 보안 규정 준수 비용과 함께 발전했습니다. 오늘날 규정 준수의 효율성을 측정하려면 데이터 환경이 얼마나 잘 보호되고 있는지 이해하기 위한 지속적인 통찰력이 필요합니다.

KPI 소개

고위 경영진은 KPI를 기반으로 정확한 결정을 내릴 수 있습니다. 대부분의 경우 지표는 정성적이지만 다른 지표는 양적입니다. 관찰과 메트릭의 조합은 관리자에게 회사에 대한 객관적이고 가치 있는 데이터를 제공합니다.

도시의 제한 속도가 시속 마일로 측정되고 자동차 속도계가 시속 킬로미터로 표시되면 제한을 위반할 가능성이 높습니다. KPI는 동일한 사고 방식을 사용합니다. 비즈니스와 관련된 올바른 도구를 사용하여 성과를 측정해야 합니다.

규정 준수를 위한 KPI의 중요성

설문지와 감사는 한 번에 통찰력을 제공합니다. 이것은 데이터 보호에 대한 충분한 보증이 아닙니다. 악의적인 해커가 지속적으로 데이터에 대한 액세스를 추적하고 있습니다. 어떤 경우든 공급업체, 설문지는 비즈니스 파트너를 신뢰할 수 있는 경우에만 완벽할 수 있습니다. 불행히도 비즈니스 신뢰와 우정을 위해서는 타사 컨트롤도 확인해야 합니다.

위험 관리 및 KPI

데이터 보안의 KPI는 단독으로 존재할 수 없습니다. 그들은 명확한 비즈니스 목표를 설정하는 것으로 시작하는 위험 관리 절차에 의해 뒷받침되어야 합니다. 기본 목표를 통해 효율성을 측정할 수 있으므로 어려운 질문을 해야 합니다.

조직 목표 설정

현재 데이터 보호 자격 증명을 검토하고 다음에 수행할 작업을 결정합니다. 현재를 생각하면서 미래를 생각하면 컴플라이언스를 위한 정확한 KPI를 설정하게 됩니다.

SaaS(Software-as-a-Service) 공급자가 다양한 시장에 대해 생각하는 동안 금융 기관은 고객이 돈에 액세스하는 방법을 고려합니다. 다음 질문을 하고 정확한 답변을 제공해야 합니다.

  • 다른 부서에 대해 어떤 목표를 가지고 있습니까?
  • 어떤 위험 관리 절차가 비즈니스 성과를 향상합니까?
  • 예측하지 못한 사건이 어떻게 운영 효율성을 감소시키는가?
  • 어떤 잠재적 수익원을 활용할 수 있습니까?
  • 위의 수익에는 어떤 위험이 있습니까?
  • 미래에 어떤 새로운 위험이 예상됩니까?

위험 평가

무엇을 측정하든 기준선이 있어야 합니다. 주행한 킬로미터 수를 측정할 때는 여행을 시작할 때 자동차의 주행 거리를 기록해야 합니다. 다음 질문에 답하면 기준선을 설정하는 데 도움이 됩니다.

  • 귀하의 정보 자산은 무엇입니까?
  • 귀하의 자산은 어디에 보관됩니까?
  • 누가 데이터 자산에 액세스할 수 있습니까?
  • 정보 자산을 어떻게 보호하고 있습니까?
  • 이러한 보호의 실패 가능성은 무엇입니까?
  • 비즈니스 목표에 가장 중요한 자산은 무엇입니까?
  • 해커에게 어떤 자산이 더 중요합니까?
  • 데이터에 어떤 유형의 위험이 있습니까?

규정 준수 담당자를 위한 중요 KPI

사이버 보안의 성능은 정보 보안 영역 밖에서는 무형으로 보입니다. 기술적인 전문 용어는 정보 보안 KPI가 다른 유형의 메트릭과 유사하다는 단순한 생각을 혼동하게 만듭니다. 그들은 가치, 시간 및 돈에 중점을 둡니다.

기술 언어에서 비즈니스 언어에 이르기까지 KPI를 설명하면 더 나은 규정 준수 결정을 내릴 수 있습니다. 규정 준수 문제를 설정하기 위한 정확한 메트릭을 찾는 데는 일반적으로 다음이 포함됩니다.

  • MTBF(평균 고장 간격) - 시스템 오류가 발생한 이후의 일 수를 측정한 것입니다. 수치가 높으면 건강한 보호를 유지하고 있는 것입니다.
  • MBTF의 백분율 차이: 월 단위로 다른 시스템보다 일부 데이터 보호 시스템에서 더 많은 오류를 경험하고 있습니까? 대답이 예라면 반드시 개선이 필요합니다.
  • MTTR(평균 수리 시간): 문제를 해결하고 정상 상태로 돌아오는 데 걸리는 평균 시간을 측정한 것입니다. 시간이 너무 길면 자원 및/또는 인력을 재고하십시오.
  • 시스템 가용성 : 모든 직원 실제로 모든 시스템을 사용할 수 있었던 시간(분) 을 사용 가능해야 했던 시간(분)으로 나눕니다. 데이터 접근성 개선을 고려하십시오.
  • 예정된 활동으로 인한 가동 중지 시간 비율: IT 부서에서 예정된 유지 관리에 소요한 시간(분)을 특정 기간의 총 시간(분)으로 나눕니다.
  • 예약된 유지 관리 활동 누락 비율 : 주어진 기간 동안 서비스를 받지 못한 컴퓨터와 서버의 수를 예약된 총 서비스 수로 나누어야 합니다. 직원에게 규정 준수에 대해 더 많이 교육하거나 더 많은 IT 직원을 고용하십시오.
  • 최신 패치가 없는 중요 시스템의 백분율 : 중요 시스템 장치 및 시스템의 총 수에 대한 최근 업데이트가 없는 중요 시스템의 수를 나눕니다. 패치가 누락된 중요 시스템의 비율이 있는 경우 CVE 공격을 받을 위험이 있습니다.

정보 수집 속도를 높이려면 올바른 SaaS 도구에 투자하십시오. 이러한 도구를 사용하면 IT 팀과 경영진이 통찰력을 더 빠르게 교환할 수 있습니다. 위험 평가 모듈로 시작한 다음 시간이 덜 소요되는 프로세스에 대한 책임 그래픽으로 졸업하십시오.

당신의 생각은 무엇입니까? 댓글로 알려주세요!

편집자 추천:

  • 이제 누구나 계정을 보호하기 위해 Google의 Titan 보안 키를 구입할 수 있습니다.
  • 보안 문제가 전자 상거래 판매에 미치는 영향
  • 보안 연구원이 발견한 Nintendo Switch용 패치 불가 익스플로잇

Ken Lynch는 기업 소프트웨어 스타트업 베테랑으로, 직원을 일하게 하는 요소와 작업을 보다 매력적으로 만드는 방법에 대해 항상 관심을 갖고 있습니다. Ken은 바로 그것을 추구하기 위해 Reciprocity를 설립했습니다. 그는 보다 사회적으로 생각하는 기업 시민을 만들기 위해 회사의 거버넌스, 위험 및 규정 준수 목표에 직원을 참여시키는 이 미션 기반 목표로 Reciprocity의 성공을 추진했습니다. Ken은 MIT에서 컴퓨터 과학 및 전기 공학 학사 학위를 받았습니다.