KPI: er för att mäta efterlevnadseffektivitet

KPI: er för att mäta efterlevnadseffektivitet

Key Performance Indicators (KPI) var lättare att mäta 1996 än de är idag. Allt du behöver är någon som granskar dokument och tilldelar poäng på mycket kort tid. Det liknade att berätta för en student bara genom att titta på hans betyg.

Idag har processen utvecklats med den sofistikerade informationen och kostnaderna för säkerhetsöverensstämmelse. Att mäta effektiviteten av efterlevnad idag innebär kontinuerlig insikt för att förstå hur väl datamiljön är skyddad.

Introduktion till nyckeltal

Ledande befattningshavare kan fatta exakta beslut baserat på nyckeltal. I de flesta fall är indikatorer kvalitativa medan de i andra är kvantitativa. Kombinationen av observationer och mätvärden ger chefer objektiv och värdefull information för sina företag.

Om hastighetsgränsen i din stad mäts i miles per timme medan din bils hastighetsmätare läser kilometer per timme är det mycket troligt att du bryter gränserna. KPI använder samma tänkande – Du måste mäta prestanda med rätt verktyg som är relevanta för ditt företag.

Betydelsen av KPI för efterlevnad

Frågeformulär och revisioner ger insikter i ett enda ögonblick. Detta är inte tillräcklig försäkran om dataskydd. Skadliga hackare letar ständigt efter åtkomst till dina data. I vilket fall som helst säljare kan frågeformulär endast vara idiotsäkra om du litar på dina partners i affärer. Tyvärr kräver företagsförtroende och vänskap också att du kontrollerar tredjeparts kontroller.

Riskhantering och nyckeltal

KPI: erna för din datasäkerhet kan inte stå ensamma. De måste backas upp av riskhanteringsförfaranden, som börjar med att fastställa tydliga affärsmål. Baslinjemål gör att du kan mäta effektivitet, så du måste ställa de hårda frågorna.

Upprättande av organisatoriska mål

Granska dina nuvarande uppgifter för dataskydd och avgöra vad du vill göra nästa. När du tänker på nuet medan du överväger framtiden kommer du att ställa in korrekta KPI: er för efterlevnad.

Medan en programvaru-som-tjänst-leverantör tänker på olika marknader, överväger en finansiell institution hur sina kunder får tillgång till pengar. Du måste ställa följande frågor och ge korrekta svar.

Vilka mål har du för olika avdelningar? Vilka riskhanteringsförfaranden förbättrar affärsresultaten? Hur minskar oförutsedda händelser effektiviteten i verksamheten? Vilka framtida intäktsströmmar kan du utnyttja? Vilka risker står inför ovanstående intäkter? Vilka nya risker räknar du med i framtiden?

Bedöma riskerna

Oavsett vad du mäter måste du ha en baslinje. När du mäter antalet kilometer som du har kört måste du registrera din bils körsträcka i början av resan. Att svara på följande frågor hjälper dig att skapa en baslinje.

Vilka är dina informationstillgångar? Var förvaras dina tillgångar? Vem har tillgång till datatillgångar? Hur skyddar du informationstillgångar? Vad är sannolikheten för att dessa skydd skyddas? Vilka tillgångar är mest kritiska för dina affärsmål? Vilka tillgångar är viktigare till hackare? Vilka typer av risker innebär informationen?

Viktiga nyckeltal för efterlevnadsansvariga

Utförandet av cybersäkerhet ser immateriellt utanför informationssäkerhetsarenan. Tekniskt jargong orsakar en förvirring av den annars enkla tanken att KPI: er för informationssäkerhet liknar andra typer av mätvärden. De fokuserar på värde, tid och pengar.

Att förklara KPI från tekniskt till affärsspråk ger bättre beslut om efterlevnad. Att hitta de korrekta mätvärdena för att fastställa efterlevnadsproblem innebär vanligtvis följande.

Medeltid mellan fel (MTBF) – Det här är ett mått på antalet dagar sedan du hade ett systemfel. Om siffran är hög behåller du ett hälsosamt skydd.Procent skillnad i MBTF: Upplever du fler fel med vissa dataskyddssystem än med andra system från månad till månad? Om svaret är ja behöver du definitivt avhjälpa.Medeltid för reparation (MTTR): Detta är en mätning av det genomsnittliga antalet timmar som det tar för att åtgärda ett problem och få dig tillbaka till normalitet. Om tiden är för lång, tänk om resurser och / eller bemanning.Systemtillgänglighet: Dela upp antalet minuter som alla dina system har var faktiskt tillgänglig för hela personalen med antalet minuter de borde ha varit tillgängliga. Överväg att åtgärda din datatillgänglighet.Procent av stillestånd på grund av schemalagda aktiviteter: Dela antalet minuter som din IT-funktion har spenderat på schemalagt underhåll med det totala antalet minuter inom den specifika tidsramen.Andel schemalagda underhållsaktiviteter Miss: Du bör dela antalet datorer och servrar som inte betjänades under en viss period med det totala antalet schemalagda tjänster. Träna dina anställda mer om efterlevnad eller anställa mer IT-personal.Andel kritiska system utan uppdaterade korrigeringar: Dela upp antalet kritiska system utan uppdateringar till det totala antalet kritiska systemenheter och system. Om andelen kritiska system med saknade korrigeringar riskerar du att få en CVE-attack.

Investera i rätt SaaS-verktyg för att öka takten på aggregerad information. Dessa verktyg gör det möjligt för IT-team och ledning att utbyta insikter snabbare. Börja med riskbedömningsmoduler och examen sedan till ansvarsgrafik för mindre tidskrävande processer.

Redaktörens rekommendationer: