KPI vs KRI — a diferenza básica
Moitas organizacións confunden os indicadores de eficacia (KPI) cos indicadores de risco (KRI). O KPI mide o que xa pasou: o número de incidentes do último trimestre, o tempo medio de resposta a unha incidencia. O KRI, pola contra, mide sinais de alerta — datos que indican unha probabilidade crecente dun incidente futuro. É a diferenza entre un termómetro e un barómetro.
Características dun KRI efectivo
Un bo indicador de risco IT debe cumprir varios criterios. Primeiro, debe ser medible cuantitativamente e recollible de forma automatizada — os indicadores que requiren informes manuais convértense rapidamente en ficción. Segundo, debe anticipar os incidentes con abondo tempo para permitir unha reacción. Terceiro, debe ser comprensible para o receptor — a dirección necesita unha visión simplificada, o equipo técnico necesita detalles.
Exemplos de KRI en áreas de seguridade IT
- Xestión de vulnerabilidades — porcentaxe de sistemas con vulnerabilidades críticas sen parchear de máis de 30 días; tendencia do número de vulnerabilidades descubertas semanalmente.
- Xestión de accesos — número de contas con contrasinais non mudados desde hai máis de 90 días; número de contas privilexiadas sen propietarios activos.
- Copias de seguridade — porcentaxe de sistemas críticos con recuperabilidade non probada; tempo desde a última proba de recuperación para cada sistema.
- Conciencia dos traballadores — taxa de clics en phishing simulado en campañas de proba; porcentaxe de traballadores con formacións non completadas.
- Configuración de seguridade — porcentaxe de dispositivos non conformes coa configuración base (baseline); número de excepcións á política de seguridade.
Limiares de alarma e escalada
Recoller indicadores non é suficiente — o clave é definir limiares que desencadeen accións. O modelo de tres cores (verde-amarelo-vermello) é claro, pero insuficiente para sistemas dinámicos. Un enfoque mellor son os limiares baseados na tendencia: un aumento do indicador de máis do 20% nunha semana debería desencadear unha revisión, independentemente do valor absoluto.
Automatización da recollida e visualización de KRI
A recollida manual de datos en follas de cálculo é a razón máis frecuente pola que os programas de KRI fracasan. Os sistemas multiaxente de ESKOM.AI poden obter automaticamente datos de diversas fontes — sistemas de xestión de vulnerabilidades, rexistros de acceso, resultados de escaneados de configuración — e agregalos nun cadro de mando unificado de risco. O informe xerado chega aos destinatarios axeitados en ciclos axustados ás necesidades: diariamente ao CISO, semanalmente á dirección.
KRI e requisitos regulatorios
NIS2 e DORA esixen ás organizacións un enfoque documentado de xestión do risco IT. Un programa de KRI ben definido proporciona non só datos operativos, senón tambén evidencias de compliance para auditorías. Documentar os cambios dos indicadores ao longo do tempo demostra aos reguladores que a organización identifica as ameazas e responde a elas de forma sistemática.