用于衡量合规有效性的 KPI

已发表: 2018-09-26

1996 年的关键绩效指标 (KPI) 比现在更容易衡量。您所需要的只是有人在很短的时间内审查文件并授予分数。这就像看一个学生的成绩就知道他的表现一样。

今天，随着信息的复杂性和安全合规成本的增加，该过程已经发展。今天衡量合规性的有效性需要持续深入了解数据环境的保护程度。

KPI 简介

高级管理层可以根据 KPI 做出准确的决策。在大多数情况下，指标是定性的，而在其他情况下，它们是定量的。观察和指标的结合为管理人员提供了他们公司的客观和有价值的数据。

如果您所在城镇的限速以每小时英里数为单位，而您的汽车车速表读数为每小时公里数，那么您很可能会违反限制。 KPI 采用相同的思路——您需要使用与您的业务相关的正确工具来衡量绩效。

KPI 对合规性的重要性

问卷调查和审计可以一次性提供洞察力。这不足以保证数据保护。恶意黑客一直在寻找对您数据的访问权限。在任何情况下，如果您信任您的业务合作伙伴，调查问卷只能是万无一失的。不幸的是，商业信任和友谊也需要您验证第三方控制。

风险管理和 KPI

您的数据安全 KPI 不能孤立存在。他们需要得到风险管理程序的支持，首先要设定明确的业务目标。基线目标使您能够衡量有效性，因此您必须提出难题。

建立组织目标

查看您当前的数据保护凭证并确定下一步要做什么。在考虑未来的同时考虑现在，您将设置准确的 KPI 以确保合规性。

软件即服务提供商考虑不同的市场时，金融机构考虑其客户如何获取资金。您需要提出以下问题并提供准确的答案。

您对不同部门有什么目标？
哪些风险管理程序可以提高业务绩效？
不可预见的事件如何降低运营效率？
您可以利用哪些潜在的收入来源？
上述收入面临哪些风险？
您预计未来会有哪些新风险？

评估风险

无论您测量什么，都必须有一个基线。在测量您已行驶的公里数时，您需要记录您的汽车在旅程开始时的里程数。回答以下问题有助于您建立基线。

你的信息资产是什么？
您的资产存放在哪里？
谁有权访问数据资产？
您如何保护信息资产？
这些保护措施失败的可能性有多大？
哪些资产对您的业务目标最重要？
哪些资产对黑客更重要？
数据构成什么类型的风险？

合规官的重要 KPI

在信息安全领域之外，网络安全的表现看起来是无形的。技术术语会混淆信息安全 KPI 与其他类型的指标类似的简单想法。他们专注于价值、时间和金钱。

从技术语言到业务语言的 KPI 解释有助于做出更好的合规决策。找到准确的指标来确定合规性问题通常涉及以下内容。

平均故障间隔时间 (MTBF) – 这是自系统发生故障以来的天数的度量。如果这个数字很高，那么您正在保持健康的保护。
MBTF 的百分比差异：与其他系统相比，您每月遇到的某些数据保护系统的故障是否更多？如果答案是肯定的，你肯定需要补救。
平均修复时间 (MTTR)：这是对解决问题并使您恢复正常所需的平均小时数的度量。如果时间太长，请重新考虑资源和/或人员配置。
系统可用性：将所有系统实际可供所有员工使用的分钟数除以它们应该可用的分钟数。考虑修复您的数据可访问性。
计划活动导致的停机时间百分比：将您的 IT 职能部门用于计划维护的分钟数除以特定时间范围内的总分钟数。
计划维护活动未命中的百分比：您应该将在给定时间段内未提供服务的计算机和服务器的数量除以计划服务的总数。对您的员工进行更多的合规培训或雇用更多的 IT 员工。
没有最新补丁的关键系统百分比：将没有最近更新的关键系统的数量除以关键系统设备和系统的总数。如果缺少补丁的关键系统的百分比，您就有遭受 CVE 攻击的风险。

投资于正确的 SaaS 工具，以加快聚合信息的步伐。这些工具使 IT 团队和管理层能够更快地交换见解。从风险评估模块开始，然后逐步升级到责任图形，以减少耗时的流程。

你都有些什么想法呢？ 让我们在评论中知道！

编辑推荐：

现在每个人都可以购买 Google 的 Titan 安全密钥来保护他们的帐户
安全问题如何损害您的电子商务销售
安全研究人员发现 Nintendo Switch 的不可修补漏洞

Ken Lynch 是一位企业软件初创公司的资深人士，他一直着迷于推动员工工作的因素以及如何让工作更具吸引力。 Ken 创立 Reciprocity 就是为了追求这一点。 他推动了 Reciprocity 的成功，这一基于使命的目标是让员工参与公司的治理、风险和合规目标，以培养更多具有社会意识的企业公民。 Ken 在麻省理工学院获得计算机科学和电气工程学士学位。