KPI vs KRI — oinarrizko desberdintasuna
Erakunde askok nahasigarri identifikatzen dituzte eraginkortasun-adierazleak (KPI) arrisku-adierazleekin (KRI). KPIak dagoeneko gertatu dena neurtzen du: azken hiruhilekoko intzidenteen kopurua, jakinarazpen baten batezbesteko erantzun-denbora. KRIak, berriz, alerta-seinaleak neurtzen ditu — etorkizunean intzidente baten probabilitate geroago eta handiagoa adierazten duten datuak. Termometro eta barometro baten arteko aldea da.
KRI eraginkorraren ezaugarriak
IT arrisku-adierazle onak hainbat irizpide bete behar ditu. Lehenik, modu kuantitatiboan neurgarria eta automatizatuki batzeko modukoa izan behar da — eskuzko txostenak behar dituzten adierazleak azkar fikzioan bihurtzen dira. Bigarrenik, intzidenteak erantzun ahalbidetzeko adina denbora aurretik aurreikusi behar ditu. Hirugarrenik, jasotzailearentzat ulergarria izan behar da — zuzendaritzak ikuspegi sinplifikatua behar du, talde teknikoak xehetasunak.
KRI adibideak IT segurtasun-arloetan
- Ahultasunen kudeaketa — 30 egun baino gehiagoko ahultasun kritiko adabakirik gabeko sistemen ehunekoa; astero aurkitutako ahultasunen kopuruaren joera.
- Sarbide-kudeaketa — 90 egun baino gehiagotan pasahitza aldatu ez duten kontuen kopurua; jabe aktiborik gabeko kontu pribilegiatuen kopurua.
- Segurtasun-kopiak — berreskurapena frogatu gabeko sistema kritikoen ehunekoa; sistema bakoitzerako azken berreskuratze-saiakerako denbora.
- Langileen kontzientzia — proba-kanpainetan simulatutako phishing-ean klik-tasa; prestakuntza osatu gabeko langileen ehunekoa.
- Segurtasun-konfigurazioa — oinarri-konfigurazioarekin (baseline) bat ez datozen gailuen ehunekoa; segurtasun-politikako salbuespenen kopurua.
Alarma-atalaseak eta eskalada
Adierazleak biltzea ez da nahikoa — funtsezkoa ekintzak abiarazten dituzten atalaseak definitzea da. Hiru koloreetako eredua (berdea-horia-gorria) argia da, baina ez da nahikoa sistema dinamikoetarako. Ikuspegi hobea joeretan oinarritutako atalaseak dira: adierazlearen ehuneko 20ko igoera astebete batean berrikusketa bat abiarazi beharko luke, balio absolutua gorabehera.
KRIen bilketa eta bistaratzearen automatizazioa
Datuak eskuz kalkulu-orritan biltzea KRI programak huts egiteko arrazoi ohikoena da. ESKOM.AI-ren sistema multiagenteek automatikoki lor ditzakete datuak iturri ezberdinetatik — ahultasunen kudeaketa-sistemak, sarbide-erregistroak, konfigurazio-eskaneoen emaitzak — eta arrisku-aginte-taula bateratuan agregatu. Sortutako txostena hartzaile egokiengana iristen da beharretara egokitutako zikloetan: egunero CISOarengana, astero zuzendaritzarengana.
KRI eta eskakizun erregulatzaileak
NIS2 eta DORAk IT arriskuaren kudeaketarako ikuspegi dokumentatua eskatzen diete erakundeei. Ondo definitutako KRI programak datu operatiboak ez ezik auditoria-betetze frogak ere ematen ditu. Adierazleen aldaketak denboran zehar dokumentatzeak erregulatzaileei erakusten die erakundeak mehatxuak identifikatzen dituela eta modu sistematikoan erantzuten diela.