KPI versus KRI — het fundamentele verschil
Veel organisaties verwarren prestatieIndicatoren (KPI's) met risico-indicatoren (KRI's). Een KPI meet wat al is gebeurd: het aantal incidenten in het afgelopen kwartaal, de gemiddelde responstijd op een melding. Een KRI daarentegen meet waarschuwingssignalen — gegevens die wijzen op een toenemende waarschijnlijkheid van een incident in de toekomst. Het is het verschil tussen een thermometer en een barometer.
Kenmerken van een effectieve KRI
Een goede IT-risico-indicator moet aan meerdere criteria voldoen. Ten eerste moet deze kwantitatief meetbaar en geautomatiseerd verzamelbaar zijn — indicatoren die handmatige rapportage vereisen, worden snel fictie. Ten tweede moet deze incidenten voldoende ver van tevoren voorspellen om reactie mogelijk te maken. Ten derde moet deze begrijpelijk zijn voor de ontvanger — het management heeft een vereenvoudigd overzicht nodig, het technische team details.
Voorbeelden van KRI's in IT-beveiligingsgebieden
- Kwetsbaarheidsbeheer — percentage systemen met ongepatche kritieke kwetsbaarheden ouder dan 30 dagen; trend van het aantal wekelijks ontdekte kwetsbaarheden.
- Toegangsbeheer — aantal accounts met ongewijzigde wachtwoorden langer dan 90 dagen; aantal geprivilegieerde accounts zonder actieve eigenaren.
- Back-ups — percentage kritieke systemen met ongeteste herstelbaarheid; tijd sinds de laatste herstelpoging voor elk systeem.
- Medewerkersbewustzijn — klikpercentage in gesimuleerde phishingcampagnes; percentage medewerkers met onvoltooide trainingen.
- Beveiligingsconfiguratie — percentage apparaten die niet voldoen aan de basisconfiguratie (baseline); aantal uitzonderingen op het beveiligingsbeleid.
Alarmdrempels en escalatie
Het verzamelen van indicatoren alleen is niet voldoende — cruciaal is het definiëren van drempels die acties triggeren. Het driekleurenmodel (groen-geel-rood) is overzichtelijk maar onvoldoende voor dynamische systemen. Een betere benadering zijn trendgebaseerde drempels: een stijging van een indicator met meer dan 20% in een week moet een review triggeren, ongeacht de absolute waarde.
Automatisering van KRI-verzameling en -visualisatie
Handmatige dataverzameling in spreadsheets is de meest voorkomende reden waarom KRI-programma's falen. Multi-agentsystemen van ESKOM.AI kunnen automatisch gegevens ophalen uit verschillende bronnen — kwetsbaarheidsbheersystemen, toegangslogs, configuratiescanresultaten — en deze aggregeren tot een geünificeerd risicodashboard. Het gegenereerde rapport bereikt de juiste ontvangers in cycli die aansluiten bij hun behoeften: dagelijks voor de CISO, wekelijks voor het management.
KRI's en regulatoire vereisten
NIS2 en DORA vereisen van organisaties een gedocumenteerde aanpak van IT-risicobeheer. Een goed gedefinieerd KRI-programma levert niet alleen operationele data, maar ook compliance-bewijzen voor audits. Het documenteren van indicatorveranderingen in de tijd toont toezichthouders dat de organisatie bedreigingen identificeert en er systematisch op reageert.