KPIs para medir a eficácia da conformidade

Publicados: 2018-09-26

Os indicadores-chave de desempenho (KPIs) eram mais fáceis de medir em 1996 do que são hoje. Tudo o que você precisa é de alguém para revisar os documentos e atribuir uma pontuação em muito pouco tempo. Era semelhante a contar o desempenho de um aluno apenas olhando suas notas.

Hoje, o processo evoluiu com a sofisticação das informações e os custos de conformidade de segurança. Medir a eficácia da conformidade hoje envolve insights contínuos para entender como o ambiente de dados está protegido.

Introdução aos KPIs

A alta administração pode tomar decisões precisas com base em KPIs. Na maioria dos casos, os indicadores são qualitativos, enquanto em outros são quantitativos. A combinação de observações e métricas fornece aos gerentes dados objetivos e valiosos para suas empresas.

Se o limite de velocidade em sua cidade for medido em milhas por hora enquanto o velocímetro do seu carro marca quilômetros por hora, é altamente provável que você ultrapasse os limites. Os KPIs empregam o mesmo pensamento - você precisa medir o desempenho com as ferramentas certas relevantes para o seu negócio.

Importância dos KPIs para a conformidade

Questionários e auditorias fornecem insights em um único momento. Isso não é garantia suficiente de proteção de dados. Hackers maliciosos estão continuamente em busca de acesso aos seus dados. Em qualquer caso de fornecedor, os questionários só podem ser infalíveis se você confiar em seus parceiros de negócios. Infelizmente, a confiança e a amizade nos negócios também exigem que você verifique os controles de terceiros.

Gestão de Riscos e KPIs

Os KPIs da sua segurança de dados não podem ficar sozinhos. Eles precisam ser apoiados por procedimentos de gerenciamento de risco, que começam com a definição de objetivos de negócios claros. As metas de linha de base permitem medir a eficácia, portanto, você precisa fazer as perguntas difíceis.

Estabelecendo Objetivos Organizacionais

Revise suas credenciais atuais de proteção de dados e determine o que deseja fazer em seguida. Ao pensar no presente enquanto considera o futuro, você definirá KPIs precisos para conformidade.

Enquanto um provedor de software como serviço pensa em diferentes mercados, uma instituição financeira considera como seus clientes acessam o dinheiro. Você precisa fazer as seguintes perguntas e fornecer respostas precisas.

  • Que objetivos você tem para diferentes departamentos?
  • Quais procedimentos de gerenciamento de risco melhoram o desempenho do negócio?
  • Como os imprevistos reduzem a eficiência das operações?
  • Quais fluxos potenciais de receita você pode explorar?
  • Que riscos enfrentam as receitas acima?
  • Que novos riscos você prevê no futuro?

Avaliando os riscos

Tudo o que você mede tem que ter uma linha de base. Ao medir o número de quilômetros que você dirigiu, você precisa registrar a quilometragem do seu carro no início da viagem. Responder às perguntas a seguir ajuda a estabelecer uma linha de base.

  • Quais são seus ativos de informação?
  • Onde seus bens são mantidos?
  • Quem tem acesso aos ativos de dados?
  • Como você está protegendo os ativos de informação?
  • Qual é a probabilidade de falha dessas proteções?
  • Quais ativos são mais críticos para seus objetivos de negócios?
  • Quais ativos são mais importantes para os hackers?
  • Que tipos de risco, os dados representam?

KPIs importantes para diretores de conformidade

O desempenho da segurança cibernética parece intangível fora da arena da segurança da informação. O jargão técnico causa uma confusão com a ideia simples de que os KPIs de segurança da informação são semelhantes a outros tipos de métricas. Eles se concentram em valor, tempo e dinheiro.

Explicar os KPIs da linguagem técnica à linguagem comercial prepara melhores decisões de conformidade. Encontrar as métricas precisas para estabelecer problemas de conformidade geralmente envolve o seguinte.

  • Tempo médio entre falhas (MTBF) – Esta é uma medida do número de dias desde que você teve uma falha no sistema. Se o valor for alto, você está mantendo uma proteção saudável.
  • Diferença percentual em MBTF: Você está enfrentando mais falhas com alguns sistemas de proteção de dados do que com outros sistemas mês a mês? Se a resposta for sim, você definitivamente precisa de remediação.
  • Tempo médio para reparo (MTTR): Esta é uma medida do número médio de horas que leva para corrigir um problema e voltar à normalidade. Se o tempo for muito longo, repense os recursos e/ou a equipe.
  • Disponibilidade do Sistema : Divida o número de minutos que todos os seus sistemas estavam realmente disponíveis para todos os funcionários pelo número de minutos que eles deveriam estar disponíveis. Considere corrigir sua acessibilidade de dados.
  • Porcentagem de tempo de inatividade devido a atividades programadas: divida o número de minutos que sua função de TI gastou em manutenção programada pelo número total de minutos no período de tempo específico.
  • Percentual de atividades de manutenção agendadas perdidas : você deve dividir o número de computadores e servidores que não foram atendidos em um determinado período pelo número total de serviços agendados. Treine mais seus funcionários em conformidade ou contrate mais equipe de TI.
  • Porcentagem de sistemas críticos sem patches atualizados: Divida o número de sistemas críticos sem atualizações recentes pelo número total de dispositivos e sistemas críticos do sistema. Se a porcentagem de sistemas críticos com patches ausentes, você corre o risco de receber um ataque CVE.

Invista nas ferramentas SaaS certas para aumentar o ritmo de agregação de informações. Essas ferramentas permitem que as equipes de TI e o gerenciamento troquem insights mais rapidamente. Comece com módulos de avaliação de risco e, em seguida, passe para gráficos de responsabilidade para processos menos demorados.

Quais são seus pensamentos? Deixe-nos saber nos comentários!

Recomendações dos editores:

  • Todos agora podem comprar a chave de segurança Titan do Google para proteger suas contas
  • Como as preocupações de segurança estão prejudicando suas vendas de comércio eletrônico
  • Exploração não corrigida para o Nintendo Switch encontrada por pesquisadores de segurança

Ken Lynch é um veterano de startups de software empresarial, que sempre foi fascinado pelo que leva os trabalhadores a trabalhar e como tornar o trabalho mais envolvente. Ken fundou a Reciprocity para buscar exatamente isso. Ele impulsionou o sucesso da Reciprocity com esse objetivo baseado em missão de envolver os funcionários com as metas de governança, risco e conformidade de sua empresa para criar cidadãos corporativos mais socialmente conscientes. Ken obteve seu bacharelado em Ciência da Computação e Engenharia Elétrica pelo MIT.