KPI versus KRI — põhierinevus
Paljud organisatsioonid ajavad ekslikult segamini tõhususnäitajad (KPI) ja riskinäitajad (KRI). KPI mõõdab seda, mis on juba juhtunud: intsidentide arvu eelmisel kvartalil, keskmist reageerimisaega teavitusele. KRI seevastu mõõdab hoiatussignaale — andmeid, mis viitavad tulevase intsidendi kasvavale tõenäosusele. See on vahe termomeetri ja baromeetri vahel.
Tõhusa KRI omadused
Hea IT riskinäitaja peaks vastama mitmele kriteeriumile. Esiteks peab see olema kvantitatiivselt mõõdetav ja automatiseeritult kogutav — käsitsi aruandlust nõudvad näitajad muutuvad kiiresti fiktsiooniks. Teiseks peaks see eelnema intsidentidele piisava ajaga, et võimaldada reageerimist. Kolmandaks peab see olema adressaadile arusaadav — juhatus vajab lihtsustatud vaadet, tehniline meeskond üksikasju.
KRI näited IT turvalisuse valdkondades
- Haavatavuste haldamine — üle 30 päeva vanade parandamata kriitiliste turvaaukudega süsteemide osakaal; nädalas avastatud haavatavuste arvu trend.
- Juurdepääsuhaldus — üle 90 päeva muutmata paroolidega kontode arv; aktiivsete omaniketata privilegeeritud kontode arv.
- Varundamine — testimata taastamisvõimega kriitiliste süsteemide osakaal; iga süsteemi viimase taastamiskatse aeg.
- Töötajate teadlikkus — simuleeritud andmepüügi kampaaniates linkidel klõpsamise määr; lõpetamata koolitustega töötajate osakaal.
- Turvakonfiguratsioon — baaskonfiguratsiooniga (baseline) mittevastavate seadmete osakaal; turvapolitika erandite arv.
Häirekünnised ja eskaleerimine
Pelgalt näitajate kogumine ei piisa — oluline on määratleda tegevusi käivitavad künnised. Kolmevärviline mudel (roheline-kollane-punane) on selge, kuid dünaamiliste süsteemide jaoks ebapiisav. Parem lähenemine on trendipõhised künnised: näitaja tõus üle 20% nädala jooksul peaks käivitama ülevaatuse, olenemata absoluutväärtusest.
KRI kogumise ja visualiseerimise automatiseerimine
Käsitsi andmete kogumine tabelarvutusprogrammidesse on kõige levinum põhjus, miks KRI programmid ebaõnnestuvad. ESKOM.AI mitmeagentsüsteemid suudavad automaatselt tõmmata andmeid erinevatest allikatest — haavatavuste haldussüsteemid, juurdepääsulogid, konfiguratsiooniskaneerimise tulemused — ja agregeerida need ühtseks riski töölauaks. Genereeritud aruanne jõuab õigetele adressaatidele vajadustele vastavates tsüklites: igapäevaselt CISO-le, iganädalaselt juhatusele.
KRI ja regulatiivsed nõuded
NIS2 ja DORA nõuavad organisatsioonidelt dokumenteeritud lähenemist IT riskijuhtimisele. Hästi määratletud KRI programm pakub mitte ainult operatiivandmeid, vaid ka vastavustõendeid auditite jaoks. Näitajate muutuste dokumenteerimine ajas näitab regulaatoritele, et organisatsioon tuvastab ohte ja reageerib neile süstemaatiliselt.