KPI ja KRI — perustavanlaatuinen ero
Monet organisaatiot sekoittavat harhaanjohtavasti suorituskykymittarit (KPI) riskimittareihin (KRI). KPI mittaa jo tapahtunutta: poikkeamien lukumäärää edellisellä neljänneksellä, keskimääräistä vastausaikaa ilmoitukseen. KRI sen sijaan mittaa varoitussignaaleja — dataa, joka osoittaa poikkeaman kasvavaa todennäköisyyttä tulevaisuudessa. Se on ero lämpömittarin ja ilmapuntarin välillä.
Tehokkaan KRI:n ominaispiirteet
Hyvän IT-riskimittarin on täytettävä useita kriteerejä. Ensinnäkin sen on oltava määrällisesti mitattavissa ja kerättävissä automatisoidusti — manuaalista raportointia vaativat mittarit muuttuvat nopeasti fiktioksi. Toiseksi sen on ennakoitava poikkeamia riittävän ajoissa reagoinnin mahdollistamiseksi. Kolmanneksi sen on oltava ymmärrettävä vastaanottajalle — johto tarvitsee yksinkertaistetun näkymän, tekninen tiimi yksityiskohdat.
Esimerkkejä KRI:stä IT-turvallisuuden osa-alueilla
- Haavoittuvuuksien hallinta — yli 30 päivää vanhojen kriittisten korjaamattomien haavoittuvuuksien osuus järjestelmistä; havaittujen haavoittuvuuksien viikoittainen trendi.
- Pääsynhallinta — yli 90 päivää muuttumattomalla salasanalla olevien tilien määrä; aktiivista omistajaa vailla olevien etuoikeutettujen tilien lukumäärä.
- Varmuuskopiot — testaamattomalla palautettavuudella olevien kriittisten järjestelmien osuus; viimeisimmän palautusyrityksen ajankohta kullekin järjestelmälle.
- Henkilöstön tietoisuus — klikkausten osuus simuloiduissa phishing-kampanjoissa; koulutukset suorittamatta jättäneiden työntekijöiden osuus.
- Turvallisuuskonfiguraatio — peruskonfiguraatiosta (baseline) poikkeavien laitteiden osuus; turvallisuuspolitiikasta myönnettyjen poikkeusten lukumäärä.
Hälytysrajat ja eskalointi
Pelkkä mittareiden kerääminen ei riitä — ratkaisevaa on toiminnan laukaisevien raja-arvojen määrittely. Kolmen värin malli (vihreä-keltainen-punainen) on selkeä mutta riittämätön dynaamisille järjestelmille. Parempi lähestymistapa on trendiin perustuvat rajat: mittarin kasvu yli 20 % viikon aikana tulisi laukaista katselmuksen riippumatta absoluuttisesta arvosta.
KRI:n keruun ja visualisoinnin automatisointi
Manuaalinen tiedon kerääminen taulukkolaskentaan on yleisin syy KRI-ohjelmien epäonnistumiseen. ESKOM.AI:n moniagenttijärjestelmät voivat automaattisesti hakea dataa eri lähteistä — haavoittuvuuksien hallintajärjestelmistä, pääsylokeista, konfiguraatioskannausten tuloksista — ja koostaa ne yhtenäiseksi riskikojelaudaksi. Luotu raportti toimitetaan oikeille vastaanottajille tarpeita vastaavissa sykleissä: päivittäin CISO:lle, viikoittain johdolle.
KRI ja sääntelyvaatimukset
NIS2 ja DORA edellyttävät organisaatioilta dokumentoitua IT-riskienhallintaa. Hyvin määritelty KRI-ohjelma tuottaa operatiivisen datan lisäksi myös compliance-todisteet auditointitarpeisiin. Mittareiden muutosten dokumentointi ajassa näyttää sääntelyviranomaisille, että organisaatio tunnistaa uhkat ja reagoi niihin systemaattisesti.