KPI-uri pentru măsurarea eficienței conformității

Publicat: 2018-09-26

Indicatorii cheie de performanță (KPI) au fost mai ușor de măsurat în 1996 decât în ​​prezent. Tot ce ai nevoie este cineva care să examineze documentele și să acorde un punctaj într-un timp foarte scurt. Era asemănător cu a spune performanța unui student doar privind notele sale.

Astăzi, procesul a evoluat odată cu sofisticarea informațiilor și costurile conformității cu securitatea. Măsurarea eficienței conformității astăzi implică informații continue pentru a înțelege cât de bine este protejat mediul de date.

Introducere în KPI

Managementul superior poate lua decizii precise pe baza KPI-urilor. În cele mai multe cazuri, indicatorii sunt calitativi, în timp ce în altele sunt cantitativi. Combinația de observații și măsurători oferă managerilor date obiective și valoroase pentru companiile lor.

Dacă limita de viteză din orașul dvs. este măsurată în mile pe oră, în timp ce vitezometrul mașinii dvs. arată kilometri pe oră, este foarte probabil că veți încălca limitele. KPI-urile folosesc aceeași gândire - trebuie să măsurați performanța cu instrumentele potrivite relevante pentru afacerea dvs.

Importanța KPI-urilor pentru conformitate

Chestionarele și auditurile oferă perspective într-un singur moment. Aceasta nu este suficientă asigurare a protecției datelor. Hackerii rău intenționați sunt în permanentă căutare pentru acces la datele dvs. În orice caz, furnizor, chestionarele pot fi sigure numai dacă aveți încredere în partenerii dvs. de afaceri. Din păcate, încrederea în afaceri și prietenia necesită, de asemenea, să verificați controalele terțelor părți.

Managementul riscurilor și KPI

KPI-urile securității datelor dvs. nu pot sta singure. Acestea trebuie să fie susținute de proceduri de management al riscului, care încep prin a stabili obiective clare de afaceri. Obiectivele de bază vă permit să măsurați eficacitatea, așa că trebuie să puneți întrebări dificile.

Stabilirea obiectivelor organizaționale

Examinați-vă acreditările actuale de protecție a datelor și stabiliți ce doriți să faceți în continuare. Pe măsură ce vă gândiți la prezent în timp ce vă gândiți la viitor, veți seta KPI-uri precise pentru conformitate.

În timp ce un furnizor de software-as-a-Service se gândește la diferite piețe, o instituție financiară ia în considerare modul în care clienții săi accesează bani. Trebuie să puneți următoarele întrebări și să oferiți răspunsuri corecte.

  • Ce obiective aveți pentru diferite departamente?
  • Ce proceduri de management al riscului îmbunătățesc performanța afacerii?
  • Cum reduc evenimentele neprevăzute eficiența operațiunilor?
  • La ce fluxuri potențiale de venituri puteți accesa?
  • Ce riscuri se confruntă cu veniturile de mai sus?
  • Ce riscuri noi prevedeți în viitor?

Evaluarea riscurilor

Orice măsurați trebuie să aibă o linie de bază. În măsurarea numărului de kilometri pe care i-ați parcurs, trebuie să înregistrați kilometrajul mașinii dvs. la începutul călătoriei. Răspunsul la următoarele întrebări vă ajută să stabiliți o linie de bază.

  • Care sunt activele dumneavoastră informaționale?
  • Unde vă sunt păstrate bunurile?
  • Cine are acces la activele de date?
  • Cum protejați activele informaționale?
  • Care este probabilitatea de eșec a acestor protecții?
  • Care sunt activele cele mai importante pentru obiectivele dvs. de afaceri?
  • Ce active sunt mai importante pentru hackeri?
  • Ce tipuri de risc prezintă datele?

KPI-uri importante pentru ofițerii de conformitate

Performanța securității cibernetice pare intangibilă în afara arenei securității informațiilor. Jargonul tehnic provoacă o confuzie cu ideea, altfel simplă, că KPI-urile de securitate a informațiilor sunt similare cu alte tipuri de metrici. Se concentrează pe valoare, timp și bani.

Explicarea KPI-urilor de la limbajul tehnic la cel de afaceri echipează decizii mai bune de conformitate. Găsirea valorilor exacte pentru a stabili problemele de conformitate implică de obicei următoarele.

  • Timpul mediu dintre erori (MTBF) – Aceasta este o măsurare a numărului de zile de când ați avut o defecțiune a sistemului. Dacă cifra este mare, păstrați o protecție sănătoasă.
  • Diferența procentuală în MBTF: Întâmpinați mai multe defecțiuni cu unele sisteme de protecție a datelor decât cu alte sisteme, de la lună la lună? Dacă răspunsul este da, cu siguranță aveți nevoie de remediere.
  • Timpul mediu de reparare (MTTR): Aceasta este o măsurare a numărului mediu de ore necesare pentru a remedia o problemă și a vă întoarce la normal. Dacă timpul este prea lung, regândește resursele și/sau personalul.
  • Disponibilitatea sistemului : Împărțiți numărul de minute în care toate sistemele dvs. au fost efectiv disponibile pentru tot personalul la numărul de minute în care ar fi trebuit să fie disponibile. Luați în considerare remedierea accesibilității datelor dvs.
  • Procentul de nefuncționare din cauza activităților programate: Împărțiți numărul de minute pe care funcția dvs. IT le-a petrecut cu întreținerea programată la numărul total de minute din intervalul de timp specific.
  • Procentul de activități de întreținere programate ratate : ar trebui să împărțiți numărul de computere și servere care nu au fost deservite într-o anumită perioadă la numărul total de servicii programate. Antrenați-vă angajații mai mult în ceea ce privește conformitatea sau angajați mai mult personal IT.
  • Procentul de sisteme critice fără corecții actualizate: Împărțiți numărul de sisteme critice fără actualizări recente la numărul total de dispozitive și sisteme critice de sistem. Dacă procentul de sisteme critice cu patch-uri lipsă, riscați să primiți un atac CVE.

Investește în instrumentele SaaS potrivite pentru a crește ritmul de agregare a informațiilor. Aceste instrumente permit echipelor IT și managementului să facă schimb de informații mai rapid. Începeți cu modulele de evaluare a riscurilor și apoi treceți la grafica responsabilităților pentru procese care necesită mai puțin timp.

Care sunt gandurile tale? Spune-ne în comentarii!

Recomandările editorilor:

  • Toată lumea poate cumpăra acum cheia de securitate Titan de la Google pentru a-și proteja conturile
  • Cum vă afectează problemele de securitate vânzările de comerț electronic
  • Exploatare care nu poate fi reparată pentru Nintendo Switch, găsită de cercetătorii de securitate

Ken Lynch este un veteran al startup-ului de software pentru întreprinderi, care a fost întotdeauna fascinat de ceea ce îi determină pe lucrători să lucreze și cum să facă munca mai atractivă. Ken a fondat Reciprocity pentru a urmări tocmai asta. El a propulsat succesul Reciprocity cu acest obiectiv bazat pe misiuni de a implica angajații cu obiectivele de guvernanță, risc și conformitate ale companiei lor, pentru a crea cetățeni corporativi cu o minte mai socială. Ken și-a obținut licența în Informatică și Inginerie Electrică de la MIT.