KPI versus KRI — den grundlæggende forskel
Mange organisationer forveksler præstationsindikatorer (KPI) med risikoindikatorer (KRI). En KPI måler, hvad der allerede er sket: antallet af hændelser i det forløbne kvartal, gennemsnitlig svartid på en anmeldelse. En KRI derimod måler advarselssignaler — data, der peger på en stigende sandsynlighed for en hændelse i fremtiden. Det er forskellen mellem et termometer og et barometer.
Egenskaber ved en effektiv KRI
En god IT-risikoindikator bør opfylde flere kriterier. For det første skal den være kvantitativt målbar og automatiseret indsamlelig — indikatorer, der kræver manuel rapportering, bliver hurtigt fiktion. For det andet bør den forudse hændelser med tilstrækkelig tid til at muliggøre reaktion. For det tredje skal den være forståelig for modtageren — ledelsen har brug for et forenklet overblik, det tekniske team detaljer.
Eksempler på KRI i IT-sikkerhedsområder
- Sårbarhedsstyring — andel systemer med ikke-patchede kritiske sårbarheder ældre end 30 dage; trend i antal opdagede sårbarheder pr. uge.
- Adgangsstyring — antal konti med uændrede adgangskoder i over 90 dage; antal privilegerede konti uden aktive ejere.
- Sikkerhedskopier — andel kritiske systemer med ikke-testet gendannelsesevne; tid siden seneste gendannelsestest for hvert system.
- Medarbejderbevidsthed — klikrate i simulerede phishing-kampagner; andel medarbejdere med ufuldstændige uddannelser.
- Sikkerhedskonfiguration — andel enheder, der ikke overholder basiskonfigurationen (baseline); antal undtagelser fra sikkerhedspolitikken.
Alarmtærskler og eskalering
Blot at indsamle indikatorer er ikke nok — afgørende er at definere tærskler, der udløser handlinger. Trefarvesmodellen (grøn-gul-rød) er overskuelig, men utilstrækkelig for dynamiske systemer. En bedre tilgang er trendbaserede tærskler: en stigning i indikatoren på mere end 20% i løbet af en uge bør udløse en gennemgang, uanset den absolutte værdi.
Automatisering af KRI-indsamling og -visualisering
Manuel dataindsamling i regneark er den hyppigste årsag til, at KRI-programmer fejler. Multi-agentsystemer fra ESKOM.AI kan automatisk hente data fra forskellige kilder — sårbarhedsstyringssystemer, adgangslogfiler, konfigurationsscanresultater — og aggregere dem til et samlet risikodashboard. Den genererede rapport når de rette modtagere i cyklusser, der matcher deres behov: dagligt til CISO, ugentligt til ledelsen.
KRI og regulatoriske krav
NIS2 og DORA kræver af organisationer en dokumenteret tilgang til IT-risikostyring. Et veldefineret KRI-program leverer ikke kun driftsdata, men også compliance-beviser til revisioner. At dokumentere indikatorændringer over tid viser tilsynsmyndigheder, at organisationen identificerer trusler og reagerer på dem systematisk.