Uyumluluk etkinliğini ölçmek için KPI'lar

Temel Performans Göstergelerini (KPI) ölçmek 1996'da bugün olduğundan daha kolaydı. Tek ihtiyacınız olan, belgeleri gözden geçirecek ve çok kısa sürede puan verecek birisi. Bir öğrencinin performansını sadece notlarına bakarak anlatmaya benziyordu.

Bugün süreç, bilginin karmaşıklığı ve güvenlik uyumluluğunun maliyetleri ile gelişmiştir. Günümüzde uyumluluğun etkinliğini ölçmek, veri ortamının ne kadar iyi korunduğunu anlamak için sürekli içgörüler içerir.

KPI'lara Giriş

Üst yönetim, KPI'lara dayalı doğru kararlar verebilir. Çoğu durumda, göstergeler nitel, diğerlerinde ise niceldir. Gözlemler ve ölçümlerin birleşimi, yöneticilere şirketleri için nesnel ve değerli veriler sağlar.

Şehrinizdeki hız sınırı saatte mil olarak ölçülürken aracınızın hız göstergesi saatte kilometreyi gösteriyorsa, büyük olasılıkla sınırları ihlal edeceksiniz. KPI'lar aynı düşünceyi kullanır - İşinizle ilgili doğru araçlarla performansı ölçmeniz gerekir.

Uyumluluk için KPI'ların önemi

Anketler ve denetimler tek bir anda içgörü sağlar. Bu, veri koruması için yeterli bir güvence değildir. Kötü niyetli bilgisayar korsanları, verilerinize erişmek için sürekli olarak av peşindedir. Her durumda satıcı, anketler ancak iş ortaklarınıza güvenirseniz kusursuz olabilir. Ne yazık ki, ticari güven ve dostluk, üçüncü taraf denetimlerini doğrulamanızı da gerektirir.

Risk Yönetimi ve KPI'lar

Veri güvenliğinizin KPI'ları tek başına duramaz. Açık iş hedefleri belirleyerek başlayan risk yönetimi prosedürleriyle desteklenmeleri gerekir. Temel hedefler, etkinliği ölçmenizi sağlar, bu nedenle zor soruları sormanız gerekir.

Organizasyonel Hedeflerin Belirlenmesi

Mevcut veri koruma kimlik bilgilerinizi gözden geçirin ve daha sonra ne yapmak istediğinizi belirleyin. Geleceği düşünürken bugünü düşünürken, uyumluluk için doğru KPI'lar belirleyeceksiniz.

Bir Hizmet olarak yazılım sağlayıcısı farklı pazarlar hakkında düşünürken, bir finans kurumu müşterilerinin paraya nasıl eriştiğini dikkate alır. Aşağıdaki soruları sormanız ve doğru cevaplar vermeniz gerekmektedir.

• Farklı departmanlar için ne gibi hedefleriniz var?
• Hangi risk yönetimi prosedürleri iş performansını artırır?
• Öngörülemeyen olaylar operasyonların verimliliğini nasıl azaltır?
• Hangi olası gelir akışlarından yararlanabilirsiniz?
• Yukarıdaki gelirlerin karşı karşıya olduğu riskler nelerdir?
• Gelecekte ne gibi yeni riskler öngörüyorsunuz?

Riskleri değerlendirmek

Ölçtüğünüz her şeyin bir temeli olmalıdır. Yaptığınız kilometre sayısını ölçerken, yolculuğun başlangıcında arabanızın kilometresini kaydetmeniz gerekir. Aşağıdaki soruları yanıtlamak, bir temel oluşturmanıza yardımcı olur.

• Bilgi varlıklarınız nelerdir?
• Varlıklarınız nerede tutuluyor?
• Veri varlıklarına kimin erişimi var?
• Bilgi varlıklarını nasıl koruyorsunuz?
• Bu korumaların başarısız olma olasılığı nedir?
• İş hedefleriniz için en kritik olan varlıklar nelerdir?
• Bilgisayar korsanları için hangi varlıklar daha önemlidir?
• Veriler ne tür riskler oluşturuyor?

Uyumluluk görevlileri için önemli KPI'lar

Siber güvenliğin performansı, bilgi güvenliği alanının dışında soyut görünüyor. Teknik jargon, bilgi güvenliği KPI'larının diğer metrik türlerine benzer olduğu aksi halde basit olan fikrin karıştırılmasına neden olur. Değer, zaman ve paraya odaklanırlar.

Teknik dilden iş diline kadar KPI'ları açıklamak, daha iyi uyum kararları sağlar. Uyumluluk sorunlarını belirlemek için doğru metrikleri bulmak genellikle aşağıdakileri içerir.

• Arızalar Arasındaki Ortalama Süre (MTBF) – Bu, bir sistem arızasından bu yana geçen gün sayısının bir ölçümüdür. Rakam yüksekse, sağlıklı koruma sağlıyorsunuz.
• MBTF'de Yüzde Farkı: Aydan aya bazında bazı veri koruma sistemlerinde diğer sistemlere göre daha fazla hata mı yaşıyorsunuz? Cevabınız evet ise, kesinlikle iyileştirmeye ihtiyacınız var.
• Ortalama Onarım Süresi (MTTR): Bu, bir sorunu çözmek ve sizi normale döndürmek için geçen ortalama saat sayısının bir ölçümüdür. Süre çok uzunsa kaynakları ve/veya personeli yeniden gözden geçirin.
• Sistem Kullanılabilirliği : Tüm sistemlerinizin tüm personel tarafından gerçekten kullanılabilir olduğu dakika sayısını, kullanılabilir olması gereken dakika sayısına bölün. Veri erişilebilirliğinizi düzeltmeyi düşünün.
• Planlanmış Faaliyetler Nedeniyle Kapalı Kalma Yüzdesi: BT işlevinizin planlı bakım için harcadığı dakika sayısını, belirli bir zaman dilimindeki toplam dakika sayısına bölün.
• Planlı Bakım Faaliyetlerinin Yüzdesi Kaçırılan : Belirli bir dönemde hizmet verilmeyen bilgisayar ve sunucuların sayısını, toplam planlanmış hizmet sayısına bölmeniz gerekir. Çalışanlarınızı uyumluluk konusunda daha fazla eğitin veya daha fazla BT personeli işe alın.
• Güncel Yamalar Olmayan Kritik Sistemlerin Yüzdesi : Son güncellemeler olmayan kritik sistem sayısını, toplam kritik sistem cihazları ve sistemleri sayısına bölün. Eksik yamalara sahip kritik sistemlerin yüzdesi, bir CVE saldırısı alma riskiniz vardır.

Bilgi toplama hızını artırmak için doğru SaaS araçlarına yatırım yapın. Bu araçlar, BT ekiplerinin ve yönetiminin daha hızlı bilgi alışverişinde bulunmasını sağlar. Risk değerlendirme modülleriyle başlayın ve daha az zaman alan süreçler için sorumluluk grafiklerine geçin.

Düşüncelerin nelerdir? Yorumlarda bize bildirin!

Editörün Önerileri:

• Artık herkes hesaplarını korumak için Google'ın Titan Güvenlik Anahtarını satın alabilir
• Güvenlik endişeleri e-ticaret satışlarınıza nasıl zarar veriyor?
• Güvenlik araştırmacıları tarafından bulunan Nintendo Switch için çözülemez istismar

Ken Lynch, çalışanları çalışmaya neyin teşvik ettiği ve işin nasıl daha ilgi çekici hale getirileceği konusunda her zaman büyülenmiş bir kurumsal yazılım başlangıç ​​uzmanıdır. Ken, tam da bunu sürdürmek için Karşılıklılık'ı kurdu. Daha sosyal düşünen kurumsal vatandaşlar yaratmak için çalışanları şirketlerinin yönetişim, risk ve uyum hedefleriyle ilişkilendirmeye yönelik bu misyon temelli hedefle Reciprocity'nin başarısını destekledi. Ken, lisans derecesini MIT'den Bilgisayar Bilimi ve Elektrik Mühendisliği alanında almıştır.