KPI kontra KRI — den grundläggande skillnaden
Många organisationer förväxlar prestationsindikatorer (KPI) med riskindikatorer (KRI). En KPI mäter det som redan har hänt: antalet incidenter under det senaste kvartalet, genomsnittlig svarstid på en anmälan. En KRI mäter däremot varningssignaler — data som pekar på en ökande sannolikhet för en incident i framtiden. Det är skillnaden mellan en termometer och en barometer.
Egenskaper hos en effektiv KRI
En bra IT-riskindikator bör uppfylla flera kriterier. För det första måste den vara kvantitativt mätbar och automatiserat insamlingsbar — indikatorer som kräver manuell rapportering blir snabbt fiktion. För det andra bör den föregå incidenter med tillräcklig tid för att möjliggöra reaktion. För det tredje måste den vara begriplig för mottagaren — ledningen behöver en förenklad vy, det tekniska teamet detaljer.
Exempel på KRI inom IT-säkerhetsområden
- Sårbarhetshantering — andel system med opatchade kritiska sårbarheter äldre än 30 dagar; trend i antal upptäckta sårbarheter per vecka.
- Åtkomsthantering — antal konton med oförändrade lösenord i över 90 dagar; antal privilegierade konton utan aktiva ägare.
- Säkerhetskopior — andel kritiska system med oprövad återställbarhet; tid sedan senaste återställningstest för varje system.
- Medarbetarmedvetenhet — klickfrekvens i simulerade phishing-kampanjer; andel medarbetare med ofullständiga utbildningar.
- Säkerhetskonfiguration — andel enheter som inte uppfyller baskonfigurationen (baseline); antal undantag från säkerhetspolicyn.
Larmtrösklar och eskalering
Att enbart samla indikatorer räcker inte — avgörande är att definiera trösklar som triggar åtgärder. Trefärgsmodellen (grön-gul-röd) är överskådlig men otillräcklig för dynamiska system. En bättre ansats är trendbaserade trösklar: en ökning av indikatorn med mer än 20% under en vecka bör trigga en granskning, oavsett absolut värde.
Automatisering av KRI-insamling och visualisering
Manuell datainsamling i kalkylblad är den vanligaste orsaken till att KRI-program misslyckas. Multi-agentsystem från ESKOM.AI kan automatiskt hämta data från olika källor — sårbarhetshanteringssystem, åtkomstloggar, konfigurationsskanresultat — och aggregera dem till en enhetlig riskpanel. Den genererade rapporten når rätt mottagare i cykler som matchar deras behov: dagligen till CISO, veckovis till ledningen.
KRI och regulatoriska krav
NIS2 och DORA kräver att organisationer har ett dokumenterat tillvägagångssätt för IT-riskhantering. Ett väldefinierat KRI-program levererar inte bara operativ data utan även compliance-bevis för revisioner. Att dokumentera indikatorförändringar över tid visar tillsynsmyndigheter att organisationen identifierar hot och reagerar på dem systematiskt.