Kuruluşların siber güvenlik duruşlarını ölçmek için gereken KPI’lar neler?

QNB Invest Bilgi Güvenliği Yöneticisi Emre Erkıran şunları söyledi:

KPI (Anahtar Performans Göstergeleri) yönetim açısından büyük önem taşır. İçeride herhangi bir yatırım yapılacaksa veya bir risk yönetimine dikkat çekilmesi gerekiyorsa, KPI’ları kullanarak durumu açıklamak ve ikna etmek gereklidir. Örneğin, bir olaya müdahale süresi, zafiyet sayısı, hangi zafiyetlerin en hızlı kapandığı, yamaların uygulanıp uygulanmadığı gibi konular KPI’lar ile takip edilebilir. Ayrıca, içerideki regülasyonlara ve politikalara uyum, hassas verilerin şifrelenme oranı, çalışanların farkındalık eğitimlerini tamamlama oranları, sosyal mühendislik testleri ve bunların sonuçları da önemli metriklerdir.

Bu metrikler, kurumdan kuruma farklılık gösterebilir. Ancak, genel olarak hem üst yönetimi ikna etme hem de kurumun bilgi güvenliği seviyesinin ne durumda olduğunu belirleme açısından kritik bir rol oynar. KPI’lar, görünürlük sağlayarak yönetim süreçlerini daha etkili hale getirir ve stratejik kararların alınmasına yardımcı olur.