Co jsou KRI a proč na nich záleží
Key Risk Indicators jsou měřitelné metriky, které signalizují rostoucí pravděpodobnost nebo dopad bezpečnostního incidentu. Na rozdíl od KPI, které měří úspěch, KRI měří riziko. Procento serverů s opožděnými záplatami, průměrná doba reakce na alert, počet účtů se zvýšenými oprávněními bez revize — to vše jsou KRI, které mohou varovat před incidentem týdny před jeho výskytem.
Návrh efektivních KRI
Dobrý KRI splňuje několik kritérií: je měřitelný automaticky, má jasný práh, koreluje s reálnými incidenty, je aktuálně relevantní a je srozumitelný pro ne-technické vedení.
Kategorie KRI pro IT bezpečnost
- Zranitelnosti: procento systémů s nezáplatovanými kritickými CVE, průměrná doba záplatování, počet systémů na konci životnosti bez náhradního plánu
- Přístup: počet privilegovaných účtů, procento účtů bez MFA, počet opuštěných účtů
- Detekce: průměrná doba detekce incidentu (MTTD), poměr falešných poplachů, procento pokrytí monitoringem
- Reakce: průměrná doba reakce na incident (MTTR), procento incidentů bez playbooku, počet eskalací na management
- Lidský faktor: procento zaměstnanců po bezpečnostním školení, míra úspěšnosti phishingových simulací
Vizualizace a reporting
KRI mají hodnotu pouze tehdy, když je vidí správní lidé ve správný čas. Dashboard s teplotní mapou aktuálních KRI, trendy za posledních 90 dní a automatickými alerty při překročení prahů. Měsíční report pro vedení s top 5 KRI vyžadujícími pozornost a doporučeními na mitigaci. Klíčové je vyhnout se informačnímu přetížení — vedení potřebuje 5–10 klíčových indikátorů, ne 50 podrobných metrik.