Powrót do Bloga Bezpieczeństwo

KRI w bezpieczeństwie IT — jak mierzyć ryzyko zanim stanie się incydentem

Zespół ESKOM.AI 2026-05-19 Czas czytania: 6 min

KPI a KRI — podstawowa różnica

Wiele organizacji myląco utożsamia wskaźniki efektywności (KPI) ze wskaźnikami ryzyka (KRI). KPI mierzy to, co już się wydarzyło: liczbę incydentów w minionym kwartale, średni czas odpowiedzi na zgłoszenie. KRI natomiast mierzy sygnały ostrzegawcze — dane, które wskazują na rosnące prawdopodobieństwo incydentu w przyszłości. To różnica między termometrem a barometrem.

Cechy skutecznego KRI

Dobry wskaźnik ryzyka IT powinien spełniać kilka kryteriów. Po pierwsze, musi być mierzalny ilościowo i zbieralny w sposób zautomatyzowany — wskaźniki wymagające ręcznego raportowania szybko stają się fikcją. Po drugie, powinien wyprzedzać incydenty o wystarczający czas, by umożliwić reakcję. Po trzecie, musi być zrozumiały dla odbiorcy — zarząd potrzebuje uproszczonego widoku, zespół techniczny szczegółów.

Przykłady KRI w obszarach bezpieczeństwa IT

  • Zarządzanie podatnościami — odsetek systemów z niezałatanymi lukami krytycznymi starszymi niż 30 dni; trend liczby odkrytych podatności tygodniowo.
  • Zarządzanie dostępem — liczba kont z niezmienionymi hasłami ponad 90 dni; liczba kont uprzywilejowanych bez aktywnych właścicieli.
  • Kopie zapasowe — odsetek systemów krytycznych z nieprzetestowaną odtwarzalnością; czas od ostatniej próby odtworzenia dla każdego systemu.
  • Świadomość pracowników — wskaźnik kliknięć w symulowane phishing w kampaniach testowych; odsetek pracowników z nieukończonymi szkoleniami.
  • Konfiguracja bezpieczeństwa — odsetek urządzeń niezgodnych z bazową konfiguracją (baseline); liczba wyjątków od polityki bezpieczeństwa.

Progi alarmowe i eskalacja

Samo zbieranie wskaźników nie wystarczy — kluczowe jest zdefiniowanie progów triggujących działania. Model trójkolorowy (zielony-żółty-czerwony) jest przejrzysty, ale niewystarczający dla systemów dynamicznych. Lepszym podejściem są progi bazujące na trendzie: wzrost wskaźnika o więcej niż 20% w ciągu tygodnia powinien wyzwalać przegląd, niezależnie od wartości bezwzględnej.

Automatyzacja zbierania i wizualizacji KRI

Ręczne zbieranie danych do arkuszy kalkulacyjnych jest najczęstszym powodem, dla którego programy KRI zawodzą. Systemy wieloagentowe ESKOM.AI mogą automatycznie pobierać dane z różnych źródeł — systemów zarządzania podatnościami, logów dostępu, wyników skanów konfiguracji — i agregować je do zunifikowanego dashboardu ryzyka. Wygenerowany raport trafia do właściwych odbiorców w cyklach odpowiadających potrzebom: codziennie do CISO, tygodniowo do zarządu.

KRI a wymagania regulacyjne

NIS2 i DORA wymagają od organizacji udokumentowanego podejścia do zarządzania ryzykiem IT. Dobrze zdefiniowany program KRI dostarcza nie tylko danych operacyjnych, ale też dowodów compliance na potrzeby audytów. Dokumentowanie zmian wskaźników w czasie pokazuje regulatorom, że organizacja identyfikuje zagrożenia i reaguje na nie systematycznie.

#KRI #risk management #IT security #metrics #GRC

Powiązane usługi i produkty

Audyt KRI / OUK
Analityka i BI
Ciągły monitoring zgodności
HybridCrew
Powrót do Bloga