KPI срещу KRI — основната разлика
Много организации погрешно отъждествяват индикаторите за ефективност (KPI) с индикаторите за риск (KRI). KPI мери това, което вече се е случило: брой инциденти за изминалото тримесечие, средно време за отговор на заявка. KRI обаче мери предупредителни сигнали — данни, които показват нарастваща вероятност от инцидент в бъдеще. Това е разликата между термометър и барометър.
Характеристики на ефективен KRI
Добър индикатор за IT риск трябва да отговаря на няколко критерия. Първо, трябва да бъде количествено измерим и да може да се събира автоматизирано — индикатори, изискващи ръчно отчитане, бързо стават фикция. Второ, трябва да изпреварва инцидентите с достатъчно време, за да позволи реакция. Трето, трябва да бъде разбираем за получателя — ръководството се нуждае от опростен изглед, техническият екип от детайли.
Примери за KRI в области на IT сигурността
- Управление на уязвимости — процент системи с непатчнати критични уязвимости по-стари от 30 дни; тенденция в броя на откритите уязвимости на седмица.
- Управление на достъпа — брой акаунти с непроменени пароли над 90 дни; брой привилегировани акаунти без активни собственици.
- Резервни копия — процент критични системи с непроверена възстановимост; време от последния тест за възстановяване за всяка система.
- Осведоменост на служителите — процент на кликвания при симулирани phishing кампании; процент служители с незавършени обучения.
- Конфигурация на сигурността — процент устройства, несъответстващи на базовата конфигурация (baseline); брой изключения от политиката за сигурност.
Алармени прагове и ескалация
Самото събиране на индикатори не е достатъчно — ключово е дефинирането на прагове, задействащи действия. Триколорният модел (зелен-жълт-червен) е прегледен, но недостатъчен за динамични системи. По-добър подход са праговете, базирани на тенденции: нарастване на индикатора с повече от 20% за седмица трябва да задейства преглед, независимо от абсолютната стойност.
Автоматизация на събирането и визуализацията на KRI
Ръчното събиране на данни в електронни таблици е най-честата причина за провал на KRI програмите. Многоагентните системи на ESKOM.AI могат автоматично да събират данни от различни източници — системи за управление на уязвимости, логове за достъп, резултати от конфигурационни сканирания — и да ги агрегират в унифициран dashboard за риска. Генерираният доклад стига до правилните получатели в цикли, съответстващи на потребностите: ежедневно до CISO, ежеседмично до ръководството.
KRI и регулаторни изисквания
NIS2 и DORA изискват от организациите документиран подход към управлението на IT риска. Добре дефинирана KRI програма предоставя не само оперативни данни, но и доказателства за compliance за целите на одитите. Документирането на промените в индикаторите с течение на времето показва на регулаторите, че организацията идентифицира заплахите и реагира на тях систематично.