用於衡量合規有效性的 KPI

已發表: 2018-09-26

1996 年的關鍵績效指標 (KPI) 比現在更容易衡量。您所需要的只是有人在很短的時間內審查文件並授予分數。這就像看一個學生的成績就知道他的表現一樣。

今天，隨著信息的複雜性和安全合規成本的增加，該過程已經發展。今天衡量合規性的有效性需要持續深入了解數據環境的保護程度。

KPI 簡介

高級管理層可以根據 KPI 做出準確的決策。在大多數情況下，指標是定性的，而在其他情況下，它們是定量的。觀察和指標的結合為管理人員提供了他們公司的客觀和有價值的數據。

如果您所在城鎮的限速以每小時英里數為單位，而您的汽車車速表讀數為每小時公里數，那麼您很可能會違反限制。 KPI 採用相同的思路——您需要使用與您的業務相關的正確工具來衡量績效。

KPI 對合規性的重要性

問卷調查和審計可以一次性提供洞察力。這不足以保證數據保護。惡意黑客一直在尋找對您數據的訪問權限。在任何情況下，如果您信任您的業務合作夥伴，調查問卷只能是萬無一失的。不幸的是，商業信任和友誼也需要您驗證第三方控制。

風險管理和 KPI

您的數據安全 KPI 不能孤立存在。他們需要得到風險管理程序的支持，首先要設定明確的業務目標。基線目標使您能夠衡量有效性，因此您必須提出難題。

建立組織目標

查看您當前的數據保護憑證並確定下一步要做什麼。在考慮未來的同時考慮現在，您將設置準確的 KPI 以確保合規性。

軟件即服務提供商考慮不同的市場時，金融機構考慮其客戶如何獲取資金。您需要提出以下問題並提供準確的答案。

您對不同部門有什麼目標？
哪些風險管理程序可以提高業務績效？
不可預見的事件如何降低運營效率？
您可以利用哪些潛在的收入來源？
上述收入面臨哪些風險？
您預計未來會有哪些新風險？

評估風險

無論您測量什麼，都必須有一個基線。在測量您已行駛的公里數時，您需要記錄您的汽車在旅程開始時的里程數。回答以下問題有助於您建立基線。

你的信息資產是什麼？
您的資產存放在哪裡？
誰有權訪問數據資產？
您如何保護信息資產？
這些保護措施失敗的可能性有多大？
哪些資產對您的業務目標最重要？
哪些資產對黑客更重要？
數據構成什麼類型的風險？

合規官的重要 KPI

在信息安全領域之外，網絡安全的表現看起來是無形的。技術術語會混淆信息安全 KPI 與其他類型的指標類似的簡單想法。他們專注於價值、時間和金錢。

從技術語言到業務語言的 KPI 解釋有助於做出更好的合規決策。找到準確的指標來確定合規性問題通常涉及以下內容。

平均故障間隔時間 (MTBF) – 這是自系統發生故障以來的天數的度量。如果這個數字很高，那麼您正在保持健康的保護。
MBTF 的百分比差異：與其他系統相比，您每月遇到的某些數據保護系統的故障是否更多？如果答案是肯定的，你肯定需要補救。
平均修復時間 (MTTR)：這是對解決問題並使您恢復正常所需的平均小時數的度量。如果時間太長，請重新考慮資源和/或人員配置。
系統可用性：將所有系統實際可供所有員工使用的分鐘數除以它們應該可用的分鐘數。考慮修復您的數據可訪問性。
計劃活動導致的停機時間百分比：將您的 IT 職能部門用於計劃維護的分鐘數除以特定時間範圍內的總分鐘數。
計劃維護活動未命中百分比：您應該將在給定時間段內未提供服務的計算機和服務器的數量除以計劃服務的總數。對您的員工進行更多的合規培訓或僱用更多的 IT 員工。
沒有最新補丁的關鍵系統百分比：將沒有最近更新的關鍵系統的數量除以關鍵系統設備和系統的總數。如果缺少補丁的關鍵系統的百分比，您就有遭受 CVE 攻擊的風險。

投資於正確的 SaaS 工具，以加快聚合信息的步伐。這些工具使 IT 團隊和管理層能夠更快地交換見解。從風險評估模塊開始，然後逐步升級到責任圖形，以減少耗時的流程。

你都有些什麼想法呢？ 讓我們在評論中知道！

編輯推薦：

現在每個人都可以購買 Google 的 Titan 安全密鑰來保護他們的帳戶
安全問題如何損害您的電子商務銷售
安全研究人員發現 Nintendo Switch 的不可修補漏洞

Ken Lynch 是一位企業軟件初創公司的資深人士，他一直著迷於推動員工工作的因素以及如何讓工作更具吸引力。 Ken 創立 Reciprocity 就是為了追求這一點。 他推動了 Reciprocity 的成功，這一基於使命的目標是讓員工參與公司的治理、風險和合規目標，以培養更多具有社會意識的企業公民。 Ken 在麻省理工學院獲得計算機科學和電氣工程學士學位。