KPI do pomiaru skuteczności zgodności

Opublikowany: 2018-09-26

Kluczowe wskaźniki wydajności (KPI) były łatwiejsze do zmierzenia w 1996 roku niż są obecnie. Wszystko, czego potrzebujesz, to ktoś, kto w bardzo krótkim czasie przejrzy dokumenty i przyzna ocenę. To było podobne do opowiadania wyników ucznia po prostu patrząc na jego oceny.

Obecnie proces ewoluował wraz z wyrafinowaniem informacji i kosztami zapewnienia zgodności z wymogami bezpieczeństwa. Mierzenie skuteczności zgodności w dzisiejszych czasach wymaga ciągłych spostrzeżeń, aby zrozumieć, jak dobrze chronione jest środowisko danych.

Wprowadzenie do wskaźników KPI

Kierownictwo wyższego szczebla może podejmować trafne decyzje na podstawie wskaźników KPI. W większości przypadków wskaźniki są jakościowe, w innych ilościowe. Połączenie obserwacji i wskaźników daje menedżerom obiektywne i cenne dane dla ich firm.

Jeśli ograniczenie prędkości w Twoim mieście jest mierzone w milach na godzinę, podczas gdy prędkościomierz w Twoim samochodzie wskazuje kilometry na godzinę, jest bardzo prawdopodobne, że przekroczysz limity. Kluczowe wskaźniki efektywności opierają się na tym samym sposobie myślenia — musisz mierzyć wydajność za pomocą odpowiednich narzędzi odpowiednich dla Twojej firmy.

Znaczenie KPI dla zgodności

Kwestionariusze i audyty dostarczają wglądu w jednym momencie. To nie wystarczająca pewność ochrony danych. Złośliwi hakerzy nieustannie polują na dostęp do Twoich danych. W każdym razie kwestionariusze mogą być niezawodne tylko wtedy, gdy zaufasz swoim partnerom w biznesie. Niestety zaufanie i przyjaźń biznesowa wymaga również weryfikacji kontroli stron trzecich.

Zarządzanie ryzykiem i KPI

Wskaźniki KPI dotyczące bezpieczeństwa Twoich danych nie mogą być samotne. Muszą być poparte procedurami zarządzania ryzykiem, które zaczynają się od ustalenia jasnych celów biznesowych. Cele podstawowe pozwalają mierzyć skuteczność, więc musisz zadawać trudne pytania.

Ustalanie celów organizacyjnych

Sprawdź swoje aktualne poświadczenia ochrony danych i określ, co chcesz zrobić dalej. Gdy myślisz o teraźniejszości i zastanawiasz się nad przyszłością, określisz dokładne KPI dla zgodności.

Podczas gdy dostawca oprogramowania jako usługi myśli o różnych rynkach, instytucja finansowa rozważa, w jaki sposób klienci uzyskują dostęp do pieniędzy. Musisz zadać poniższe pytania i udzielić dokładnych odpowiedzi.

  • Jakie masz cele dla różnych działów?
  • Jakie procedury zarządzania ryzykiem poprawiają wyniki biznesowe?
  • Jak nieprzewidziane zdarzenia obniżają efektywność operacji?
  • Z jakich potencjalnych strumieni przychodów możesz skorzystać?
  • Jakie zagrożenia wiążą się z powyższymi przychodami?
  • Jakie nowe zagrożenia przewidujesz w przyszłości?

Ocena ryzyka

Cokolwiek mierzysz, musi mieć linię bazową. Mierząc liczbę przejechanych kilometrów, na początku podróży musisz rejestrować przebieg swojego samochodu. Odpowiedzi na poniższe pytania pomogą Ci ustalić punkt odniesienia.

  • Jakie są Twoje zasoby informacyjne?
  • Gdzie są przechowywane twoje aktywa?
  • Kto ma dostęp do zasobów danych?
  • Jak chronisz zasoby informacyjne?
  • Jakie jest prawdopodobieństwo awarii tych zabezpieczeń?
  • Jakie zasoby są najbardziej krytyczne dla Twoich celów biznesowych?
  • Jakie zasoby są ważniejsze dla hakerów?
  • Jakie rodzaje ryzyka stwarzają dane?

Ważne KPI dla inspektorów ds. zgodności

Wydajność cyberbezpieczeństwa wygląda na niematerialną poza areną bezpieczeństwa informacji. Techniczny żargon powoduje zamieszanie co do skądinąd prostej idei, że wskaźniki KPI dotyczące bezpieczeństwa informacji są podobne do innych rodzajów metryk. Koncentrują się na wartości, czasie i pieniądzach.

Wyjaśnienie kluczowych wskaźników wydajności z języka technicznego na język biznesowy zapewnia lepsze decyzje dotyczące zgodności. Znalezienie dokładnych metryk w celu ustalenia problemów ze zgodnością zwykle obejmuje następujące kwestie.

  • Średni czas między awariami (MTBF) — jest to miara liczby dni od wystąpienia awarii systemu. Jeśli liczba jest wysoka, zachowujesz zdrową ochronę.
  • Różnica procentowa w MBTF: Czy z miesiąca na miesiąc występuje więcej awarii w przypadku niektórych systemów ochrony danych niż w przypadku innych systemów? Jeśli odpowiedź brzmi tak, zdecydowanie potrzebujesz środków zaradczych.
  • Średni czas naprawy (MTTR): Jest to miara średniej liczby godzin potrzebnych na rozwiązanie problemu i powrót do normalności. Jeśli czas jest zbyt długi, przemyśl ponownie zasoby i/lub personel.
  • Dostępność systemu : podziel liczbę minut, przez które wszystkie Twoje systemy były faktycznie dostępne dla wszystkich pracowników, przez liczbę minut, przez które powinny być dostępne. Rozważ poprawienie dostępności danych.
  • Procent przestojów spowodowanych zaplanowanymi działaniami: Podziel liczbę minut, które funkcja IT spędziła na zaplanowanej konserwacji przez łączną liczbę minut w określonym przedziale czasowym.
  • Procent zaplanowanych czynności konserwacyjnych pominiętych : należy podzielić liczbę komputerów i serwerów, które nie były serwisowane w danym okresie, przez całkowitą liczbę zaplanowanych usług. Szkol swoich pracowników w zakresie zgodności lub zatrudniaj więcej pracowników IT.
  • Procent systemów o znaczeniu krytycznym bez aktualnych poprawek : podziel liczbę systemów o znaczeniu krytycznym bez ostatnich aktualizacji przez łączną liczbę urządzeń i systemów o znaczeniu krytycznym. Jeśli odsetek krytycznych systemów z brakującymi poprawkami, ryzykujesz atak CVE.

Zainwestuj w odpowiednie narzędzia SaaS, aby zwiększyć tempo agregowania informacji. Narzędzia te umożliwiają zespołom IT i kierownictwu szybszą wymianę spostrzeżeń. Zacznij od modułów oceny ryzyka, a następnie przejdź do grafiki odpowiedzialności za mniej czasochłonne procesy.

Jakie są Twoje myśli? Daj nam znać w komentarzach!

Rekomendacje redaktorów:

  • Każdy może teraz kupić klucz bezpieczeństwa Google Titan, aby chronić swoje konta
  • Jak obawy dotyczące bezpieczeństwa wpływają na sprzedaż e-commerce
  • Exploit dla konsoli Nintendo Switch, którego nie można załatać, znaleziony przez badaczy bezpieczeństwa

Ken Lynch to weteran tworzenia oprogramowania dla przedsiębiorstw, który zawsze był zafascynowany tym, co motywuje pracowników do pracy i jak sprawić, by praca była bardziej angażująca. Ken założył Reciprocity, aby to osiągnąć. Napędzał sukces Reciprocity dzięki temu celowi opartemu na misji, jakim jest zaangażowanie pracowników w cele związane z zarządzaniem, ryzykiem i zgodnością ich firmy, aby stworzyć bardziej społecznie nastawionych obywateli korporacyjnych. Ken uzyskał tytuł licencjata w dziedzinie informatyki i elektrotechniki na MIT.