Tornar al Blog Seguretat

KRI en seguretat IT — com mesurar el risc abans que es converteixi en incident

Zespół ESKOM.AI 2026-05-19 Temps de lectura: 6 min

KPI vs KRI — la diferència bàsica

Moltes organitzacions confonen els indicadors d'eficàcia (KPI) amb els indicadors de risc (KRI). El KPI mesura el que ja ha passat: el nombre d'incidents del darrer trimestre, el temps mitjà de resposta a una incidència. El KRI, en canvi, mesura senyals d'alerta — dades que indiquen una probabilitat creixent d'un incident futur. És la diferència entre un termòmetre i un baròmetre.

Característiques d'un KRI efectiu

Un bon indicador de risc IT ha de complir diversos criteris. Primer, ha de ser mesurable quantitativament i recollible de manera automatitzada — els indicadors que requereixen informes manuals es converteixen ràpidament en ficció. Segon, ha d'anticipar els incidents amb prou temps per permetre una reacció. Tercer, ha de ser comprensible per al receptor — la direcció necessita una visió simplificada, l'equip tècnic necessita detalls.

Exemples de KRI en àrees de seguretat IT

  • Gestió de vulnerabilitats — percentatge de sistemes amb vulnerabilitats crítiques sense aplicar pedacos de més de 30 dies; tendència del nombre de vulnerabilitats descobertes setmanalment.
  • Gestió d'accessos — nombre de comptes amb contrasenyes no canviades des de fa més de 90 dies; nombre de comptes privilegiats sense propietaris actius.
  • Còpies de seguretat — percentatge de sistemes crítics amb recuperabilitat no testada; temps des de l'última prova de recuperació per a cada sistema.
  • Consciència dels treballadors — taxa de clics en phishing simulat en campanyes de prova; percentatge de treballadors amb formacions no completades.
  • Configuració de seguretat — percentatge de dispositius no conformes amb la configuració base (baseline); nombre d'excepcions a la política de seguretat.

Llindars d'alarma i escalada

Recollir indicadors no és suficient — el clau és definir llindars que desencadenin accions. El model de tres colors (verd-groc-vermell) és clar, però insuficient per a sistemes dinàmics. Un enfocament millor són els llindars basats en la tendència: un augment de l'indicador de més del 20% en una setmana hauria de desencadenar una revisió, independentment del valor absolut.

Automatització de la recollida i visualització de KRI

La recollida manual de dades en fulls de càlcul és la raó més freqüent per la qual els programes de KRI fracassen. Els sistemes multiagent d'ESKOM.AI poden obtenir automàticament dades de diverses fonts — sistemes de gestió de vulnerabilitats, registres d'accés, resultats d'escaneigs de configuració — i agregar-les en un quadre de comandament unificat de risc. L'informe generat arriba als destinataris adequats en cicles ajustats a les necessitats: diàriament al CISO, setmanalment a la direcció.

KRI i requisits regulatoris

NIS2 i DORA exigeixen a les organitzacions un enfocament documentat de gestió del risc IT. Un programa de KRI ben definit proporciona no només dades operatives, sinó també evidències de compliance per a auditories. Documentar els canvis dels indicadors al llarg del temps demostra als reguladors que l'organització identifica les amenaces i hi respon de manera sistemàtica.

#KRI #risk management #IT security #metrics #GRC

Related Services & Products

Auditoria d'Infraestructura Crítica
Analítica i BI
Monitoratge de Compliment Continu
HybridCrew
Tornar al Blog