KPI สำหรับการวัดประสิทธิภาพการปฏิบัติตามข้อกำหนด

เผยแพร่แล้ว: 2018-09-26

ตัวชี้วัดประสิทธิภาพหลัก (KPI) นั้นง่ายต่อการวัดในปี 1996 มากกว่าที่เป็นอยู่ในปัจจุบัน สิ่งที่คุณต้องมีก็คือคนเพื่อตรวจสอบเอกสารและให้คะแนนในเวลาอันสั้น คล้ายกับการบอกผลงานของนักเรียนเพียงแค่ดูเกรดของเขา

วันนี้ กระบวนการได้พัฒนาไปพร้อมกับความซับซ้อนของข้อมูลและค่าใช้จ่ายในการปฏิบัติตามข้อกำหนดด้านความปลอดภัย การวัดประสิทธิภาพของการปฏิบัติตามข้อกำหนดในปัจจุบันเกี่ยวข้องกับข้อมูลเชิงลึกอย่างต่อเนื่องเพื่อทำความเข้าใจว่าสภาพแวดล้อมของข้อมูลได้รับการปกป้องดีเพียงใด

บทนำสู่ KPI

ผู้บริหารระดับสูงสามารถตัดสินใจได้อย่างถูกต้องตาม KPI ในกรณีส่วนใหญ่ ตัวชี้วัดนั้นมีคุณภาพ ในขณะที่ตัวอื่นๆ ตัวชี้วัดนั้นเป็นเชิงปริมาณ การรวมกันของการสังเกตและตัวชี้วัดช่วยให้ผู้จัดการมีข้อมูลที่เป็นประโยชน์และเป็นประโยชน์สำหรับบริษัทของตน

หากขีดจำกัดความเร็วในเมืองของคุณวัดเป็นไมล์ต่อชั่วโมงในขณะที่มาตรวัดความเร็วของรถอ่านกิโลเมตรต่อชั่วโมง มีความเป็นไปได้สูงที่คุณจะฝ่าฝืนขีดจำกัด KPI ใช้ความคิดแบบเดียวกัน - คุณต้องวัดประสิทธิภาพด้วยเครื่องมือที่เหมาะสมกับธุรกิจของคุณ

ความสำคัญของ KPI สำหรับการปฏิบัติตามข้อกำหนด

แบบสอบถามและการตรวจสอบให้ข้อมูลเชิงลึกในช่วงเวลาเดียว นี่ยังไม่เพียงพอสำหรับการรับประกันการปกป้องข้อมูล แฮกเกอร์ที่เป็นอันตรายกำลังตามล่าเพื่อเข้าถึงข้อมูลของคุณอย่างต่อเนื่อง ไม่ว่าในกรณีใดผู้ขาย แบบสอบถามจะเข้าใจผิดได้ก็ต่อเมื่อคุณไว้วางใจคู่ค้าของคุณในธุรกิจ น่าเสียดายที่ความไว้วางใจและมิตรภาพทางธุรกิจต้องการให้คุณตรวจสอบการควบคุมของบุคคลที่สาม

การบริหารความเสี่ยงและ KPI

KPI ของการรักษาความปลอดภัยข้อมูลของคุณไม่สามารถแยกออกได้ พวกเขาจำเป็นต้องได้รับการสนับสนุนโดยขั้นตอนการจัดการความเสี่ยง ซึ่งเริ่มต้นด้วยการกำหนดเป้าหมายทางธุรกิจที่ชัดเจน เป้าหมายพื้นฐานทำให้คุณสามารถวัดประสิทธิภาพได้ ดังนั้นคุณต้องถามคำถามที่ยาก

การกำหนดวัตถุประสงค์ขององค์กร

ตรวจสอบข้อมูลรับรองการปกป้องข้อมูลปัจจุบันของคุณและพิจารณาว่าคุณต้องการทำอะไรต่อไป เมื่อคุณคิดถึงปัจจุบันขณะพิจารณาอนาคต คุณจะต้องกำหนด KPI ที่แม่นยำสำหรับการปฏิบัติตามข้อกำหนด

ในขณะที่ผู้ให้บริการซอฟต์แวร์เป็นผู้ให้บริการคิดถึงตลาดต่างๆ สถาบันการเงินจะพิจารณาวิธีที่ลูกค้าเข้าถึงเงิน คุณต้องถามคำถามต่อไปนี้และให้คำตอบที่ถูกต้อง

  • คุณมีวัตถุประสงค์อะไรสำหรับแผนกต่างๆ
  • ขั้นตอนการบริหารความเสี่ยงใดที่ช่วยเพิ่มประสิทธิภาพในการดำเนินธุรกิจ?
  • เหตุการณ์ไม่คาดฝันลดประสิทธิภาพการดำเนินงานได้อย่างไร?
  • คุณสามารถสร้างรายได้จากแหล่งใดที่คาดหวังได้
  • ความเสี่ยงอะไรที่ต้องเผชิญกับรายได้ข้างต้น?
  • คุณคาดการณ์ความเสี่ยงใหม่ ๆ ในอนาคตอย่างไร?

การประเมินความเสี่ยง

สิ่งที่คุณวัดต้องมีพื้นฐาน ในการวัดจำนวนกิโลเมตรที่คุณขับไป คุณต้องบันทึกระยะทางของรถเมื่อเริ่มต้นการเดินทาง การตอบคำถามต่อไปนี้จะช่วยให้คุณสร้างพื้นฐานได้

  • ทรัพย์สินข้อมูลของคุณคืออะไร?
  • ทรัพย์สินของคุณถูกเก็บไว้ที่ไหน?
  • ใครมีสิทธิ์เข้าถึงสินทรัพย์ข้อมูล
  • คุณปกป้องทรัพย์สินข้อมูลอย่างไร?
  • การป้องกันเหล่านี้มีโอกาสเกิดความล้มเหลวเท่าใด
  • ทรัพย์สินใดที่สำคัญที่สุดต่อวัตถุประสงค์ทางธุรกิจของคุณ?
  • ทรัพย์สินใดมีความสำคัญต่อแฮกเกอร์มากกว่ากัน?
  • ข้อมูลก่อให้เกิดความเสี่ยงประเภทใด?

KPI ที่สำคัญสำหรับเจ้าหน้าที่กำกับดูแลการปฏิบัติตามกฎระเบียบ

ประสิทธิภาพการรักษาความปลอดภัยทางไซเบอร์นั้นดูจับต้องไม่ได้นอกขอบเขตความปลอดภัยของข้อมูล ศัพท์แสงทางเทคนิคทำให้เกิดความสับสนในแนวคิดง่ายๆ ที่ว่า KPI ด้านความปลอดภัยของข้อมูลมีความคล้ายคลึงกับเมตริกประเภทอื่นๆ พวกเขามุ่งเน้นไปที่ความคุ้มค่า เวลา และเงิน

การอธิบาย KPI ตั้งแต่ภาษาทางเทคนิคไปจนถึงภาษาธุรกิจ ช่วยให้ตัดสินใจปฏิบัติตามได้ดียิ่งขึ้น การค้นหาตัวชี้วัดที่ถูกต้องเพื่อสร้างปัญหาการปฏิบัติตามข้อกำหนดมักจะเกี่ยวข้องกับสิ่งต่อไปนี้

  • Mean Time Between Failures (MTBF) – เป็นการวัดจำนวนวันนับตั้งแต่ระบบล้มเหลว หากตัวเลขสูงแสดงว่าคุณกำลังรักษาสุขภาพที่ดี
  • เปอร์เซ็นต์ความแตกต่างใน MBTF: คุณประสบกับความล้มเหลวกับระบบป้องกันข้อมูลบางระบบมากกว่าระบบอื่นๆ ในแต่ละเดือนหรือไม่? ถ้าคำตอบคือใช่ คุณต้องแก้ไขอย่างแน่นอน
  • เวลาเฉลี่ยในการซ่อมแซม (MTTR): นี่คือการวัดจำนวนชั่วโมงเฉลี่ยที่ใช้ในการแก้ไขปัญหาและทำให้คุณกลับสู่สภาวะปกติ หากเวลานานเกินไป ให้คิดใหม่เกี่ยวกับทรัพยากรและ/หรือการจัดบุคลากร
  • ความพร้อมใช้งานของระบบ : แบ่งจำนวนนาทีที่ระบบทั้งหมดของคุณใช้งาน ได้ จริงสำหรับพนักงานทุกคนด้วยจำนวนนาที ที่ระบบควรมี พิจารณาแก้ไขการช่วยสำหรับการเข้าถึงข้อมูลของคุณ
  • เปอร์เซ็นต์ของการหยุดทำงานเนื่องจากกิจกรรมตามกำหนดการ: แบ่งจำนวนนาทีที่ฟังก์ชัน IT ของคุณใช้ในการบำรุงรักษาตามกำหนดเวลาด้วยจำนวนนาทีทั้งหมดในกรอบเวลาเฉพาะ
  • เปอร์เซ็นต์ของกิจกรรมการบำรุงรักษาตามกำหนดเวลา Miss : คุณควรแบ่งจำนวนคอมพิวเตอร์และเซิร์ฟเวอร์ที่ไม่ได้ให้บริการในช่วงเวลาที่กำหนดด้วยจำนวนบริการตามกำหนดเวลาทั้งหมด ฝึกอบรมพนักงานของคุณให้มากขึ้นเกี่ยวกับการปฏิบัติตามกฎระเบียบหรือจ้างพนักงานไอทีเพิ่ม
  • เปอร์เซ็นต์ของระบบวิกฤติที่ไม่มีโปรแกรมแก้ไข ล่าสุด : แบ่งจำนวนระบบที่สำคัญโดยไม่ต้องอัปเดตล่าสุดให้กับจำนวนอุปกรณ์และระบบที่สำคัญทั้งหมดและระบบ หากเปอร์เซ็นต์ของระบบวิกฤติที่มีแพตช์ขาดหายไป คุณเสี่ยงที่จะถูกโจมตี CVE

ลงทุนในเครื่องมือ SaaS ที่เหมาะสมเพื่อเพิ่มความเร็วในการรวบรวมข้อมูล เครื่องมือเหล่านี้ช่วยให้ทีมไอทีและผู้บริหารสามารถแลกเปลี่ยนข้อมูลเชิงลึกได้เร็วขึ้น เริ่มต้นด้วยโมดูลการประเมินความเสี่ยงแล้วเปลี่ยนไปใช้กราฟิกความรับผิดชอบเพื่อกระบวนการที่ใช้เวลาน้อยลง

คุณคิดยังไง? แจ้งให้เราทราบในความคิดเห็น!

คำแนะนำของบรรณาธิการ:

  • ทุกคนสามารถซื้อ Titan Security Key ของ Google เพื่อปกป้องบัญชีของตนได้แล้ว
  • ข้อกังวลด้านความปลอดภัยส่งผลกระทบต่อยอดขายอีคอมเมิร์ซของคุณอย่างไร
  • ช่องโหว่ที่ไม่สามารถแก้ไขได้สำหรับ Nintendo Switch ที่ค้นพบโดยนักวิจัยด้านความปลอดภัย

Ken Lynch เป็นผู้เชี่ยวชาญในการเริ่มต้นใช้งานซอฟต์แวร์ระดับองค์กร ผู้ซึ่งหลงใหลในสิ่งจูงใจให้พนักงานทำงานอยู่เสมอ และวิธีทำให้งานมีส่วนร่วมมากขึ้น Ken ก่อตั้ง Reciprocity เพื่อไล่ตามสิ่งนั้น เขาได้ขับเคลื่อนความสำเร็จของ Reciprocity ด้วยเป้าหมายตามภารกิจในการมีส่วนร่วมกับพนักงานด้วยเป้าหมายด้านการกำกับดูแล ความเสี่ยง และการปฏิบัติตามข้อกำหนดของบริษัท เพื่อสร้างพลเมืององค์กรที่มีใจรักในสังคมมากขึ้น เคนสำเร็จการศึกษาระดับปริญญาตรีสาขาวิทยาการคอมพิวเตอร์และวิศวกรรมไฟฟ้าจาก MIT