KPI для измерения эффективности соответствия

Опубликовано: 2018-09-26

Ключевые показатели эффективности (KPI) в 1996 году было легче измерить, чем сегодня. Все, что вам нужно, это кто-то, кто проверит документы и выставит оценку за очень короткое время. Это было похоже на оценку успеваемости ученика, просто взглянув на его оценки.

Сегодня этот процесс эволюционировал в связи с усложнением информации и затратами на соблюдение требований безопасности. Измерение эффективности соответствия сегодня требует непрерывного анализа, чтобы понять, насколько хорошо защищена среда данных.

Введение в KPI

Высшее руководство может принимать точные решения на основе KPI. В большинстве случаев показатели являются качественными, а в других - количественными. Сочетание наблюдений и показателей дает менеджерам объективные и ценные данные для их компаний.

Если ограничение скорости в вашем городе измеряется в милях в час, а спидометр вашего автомобиля показывает километры в час, весьма вероятно, что вы нарушите ограничения. KPI основаны на том же мышлении: вам нужно измерять производительность с помощью правильных инструментов, соответствующих вашему бизнесу.

Важность KPI для соответствия

Опросы и аудиты позволяют получить информацию в один момент. Этого недостаточно для защиты данных. Злоумышленники постоянно охотятся за доступом к вашим данным. В любом случае вендор, анкеты могут быть надежными только в том случае, если вы доверяете своим партнерам по бизнесу. К сожалению, деловое доверие и дружба также требуют от вас проверки сторонних средств контроля.

Управление рисками и KPI

KPI безопасности ваших данных не могут быть автономными. Они должны быть подкреплены процедурами управления рисками, которые начинаются с постановки четких бизнес-целей. Базовые цели позволяют измерить эффективность, поэтому вам придется задавать трудные вопросы.

Установление организационных целей

Просмотрите свои текущие учетные данные для защиты данных и определите, что вы хотите делать дальше. Когда вы думаете о настоящем, думая о будущем, вы устанавливаете точные KPI для соответствия.

В то время как поставщик программного обеспечения как услуги думает о различных рынках, финансовое учреждение рассматривает, как его клиенты получают доступ к деньгам. Вам необходимо задать следующие вопросы и дать точные ответы.

Какие цели вы ставите перед различными отделами?
Какие процедуры управления рисками повышают эффективность бизнеса?
Как непредвиденные события снижают эффективность операций?
Какие потенциальные источники дохода вы можете использовать?
Какие риски грозят вышеуказанным доходам?
Какие новые риски вы предвидите в будущем?

Оценка рисков

Все, что вы измеряете, должно иметь базовый уровень. При измерении количества километров, которые вы проехали, вам необходимо записать пробег вашего автомобиля в начале пути. Ответы на следующие вопросы помогут вам установить базовый уровень.

Каковы ваши информационные активы?
Где хранятся ваши активы?
Кто имеет доступ к активам данных?
Как вы защищаете информационные активы?
Какова вероятность отказа этих средств защиты?
Какие активы наиболее важны для ваших бизнес-целей?
Какие активы важнее для хакеров?
Какие виды риска представляют данные?

Важные KPI для комплаенс-офицеров

Эффективность кибербезопасности выглядит неосязаемой вне сферы информационной безопасности. Технический жаргон сбивает с толку простую идею о том, что ключевые показатели эффективности информационной безопасности аналогичны другим типам метрик. Они сосредоточены на ценности, времени и деньгах.

Объяснение ключевых показателей эффективности с технического языка на бизнес-язык позволяет лучше принимать решения о соблюдении требований. Поиск точных показателей для выявления проблем с соблюдением требований обычно включает в себя следующее.

Среднее время наработки на отказ (MTBF) — это измерение количества дней с момента сбоя системы. Если цифра высокая, вы сохраняете здоровую защиту.
Процентная разница в MBTF: Вы испытываете больше сбоев с некоторыми системами защиты данных, чем с другими системами, ежемесячно? Если ответ да, вам определенно нужно восстановление.
Среднее время ремонта (MTTR): это измерение среднего количества часов, которое требуется, чтобы решить проблему и вернуть вас к нормальной жизни. Если времени слишком много, переосмыслите ресурсы и/или персонал.
Доступность системы : разделите количество минут, в течение которых все ваши системы были фактически доступны всем сотрудникам, на количество минут, в течение которых они должны были быть доступны. Рассмотрите возможность исправления доступа к данным.
Процент времени простоя из-за запланированных действий: разделите количество минут, затраченных вашей ИТ-подразделением на плановое обслуживание, на общее количество минут за определенный период времени.
Процент невыполненных работ по плановому обслуживанию : количество компьютеров и серверов, которые не обслуживались за определенный период, следует разделить на общее количество плановых служб. Обучите своих сотрудников большему соответствию требованиям или наймите больше ИТ-персонала.
Процент критически важных систем без актуальных исправлений : разделите количество критически важных систем без последних обновлений на общее количество критически важных системных устройств и систем. Если процент критических систем с отсутствующими исправлениями, вы рискуете получить CVE-атаку.

Инвестируйте в правильные инструменты SaaS, чтобы ускорить сбор информации. Эти инструменты позволяют ИТ-командам и руководству быстрее обмениваться информацией. Начните с модулей оценки рисков, а затем перейдите к графикам ответственности для менее трудоемких процессов.

о чем ты думаешь? Дайте нам знать об этом в комментариях!