GH GambleHub

KPI y métricas de cumplimiento

1) Por qué las métricas de cumplimiento

Las métricas traducen los requisitos y riesgos en objetivos gestionados. Buen sistema KPI/KRI:
  • hace que el estado de conformidad sea transparente y comparable en el tiempo;
  • relaciona el trabajo de cumplimiento con el resultado comercial (reducción de pérdidas/multas/retrasos en lanzamientos);
  • permite gestionar las prioridades y los recursos por hechos y no por sensaciones;
  • simplifica la auditoría: hay fórmulas rastreables, fuentes y artefactos invariables (evidence).
Términos:
  • KPI - Indicadores de ejecución (eficiencia de procesos).
  • KRI - Indicadores de riesgo (probabilidad/impacto de eventos).
  • SLO/SLA - Niveles de servicio/compromiso de tiempo objetivo.
  • Leading vs Lagging: indicadores de anticipación (leading) y retraso (lagging).

2) Mapa de métricas por dominio (matriz de referencia)

DominioKPI/KRITipoFórmula (breve)Objetivo (ejemplo)
Políticas/formaciónCoverage de las certificacionesKPIcompletado _ curso/debe _ completar≥ 95 %/trimestre
Política MTTU (velocidad de actualización)KPIt_publikatsii − t_triggera≤ 30 días
Accesos/IAMAccess HygieneKPIderechos _ obsoletos/todos _ derechos≤ 2%
SoD ViolationsKRIcol-en combinaciones tóxicas0 (crítico)
Datos/privacidadDSAR SLA a tiempoKPIen _ plazo/total≥ 98%
TTL ViolationsKRIobjetos _ más _ TTL↓ a cero
Infra/nube/IaCDrift RateKPIderiva/mes↓ tendencia
Encryption CoverageKPIrecursos _ con _ cifrado/todos100%
DevSecOps/códigoSecrets in ReposKRIfugas _ secretos/mes0 crítico
License ComplianceKPIpaquetes _ con _ noc _ licencia0
AML/transaccionesSTR/SAR TimelinessKPIen _ plazo/total≥ 99%
False Positive Rate AMLKPIfalsas/todas las alertas≤ 10% (con contexto)
Incidentes/auditoríaTime-to-Remediate FindingsKPImediana t_zakrytiya≤ 30 días de alta
Repeat FindingsKRI% de repeticiones en 12 meses≤ 5%

3) «Northern Stars» (North Star) de cumplimiento

1. Audit-ready en N horas (todas las evidence se recogen automáticamente).
2. Zero Critical Violations (cero inconsistencias críticas en seguridad/regulación).
3 ≥ 90% Coverage controles automatizados (policy-as-code + CCM).

4) Taxonomía métrica

4. 1 Cobertura (cobertura)

Control Coverage: sistemas controlados/todos los sistemas críticos.
Evidence Coverage: los artefactos se recogen/en la lista de comprobación de cuentas.
Policy Adoption: procesos donde se implementan los requisitos ,/todos los procesos de destino.

4. 2 Effectiveness (eficacia de los controles)

Pass Rate pruebas de control: completado/todas las pruebas de período.
FPR/TPR (es falso ./es verdadero.) para las reglas detectivescas.
Incidents Prevented: casos evitados por controles preventivos.

4. 3 Eficacia (costos/velocidad)

MTTD/MTTR infracciones: tiempo antes de la detección/eliminación.
Costo por caso (AML/DSAR): horas × tarifa + costos de infraestructura.
Automation Ratio: soluciones automáticas/todas las soluciones.

4. 4 Timeliness (plazos)

SLA de ejecución (DSAR/AMB/entrenamiento): a tiempo/total.
Políticas de tiempo de respuesta: desde el desencadenante hasta la publicación.
Change Lead Time (DevSecOps-gates): desde PR hasta lanzamiento en las verificaciones de cumplimiento.

4. 5 Calidad (calidad de datos/procesos)

Evidence Integrity:% de los artefactos en WORM con resumen hash.
Defectos de datos: errores en los informes/informes de registro.
Puntuación de formación: puntuación media de la prueba,% desde la primera vez.

4. 6 Risk Impact (impacto en el riesgo)

Índice de reducción de riesgo: ∆ de riesgo total después de la remediación.
Regulatory Exposure: gaps críticos abiertos vs requisitos de licencias/certificaciones.
$ Avoided Losses (estimado): multas/pérdidas evitadas por el cierre de gaps.

5) Fórmulas y ejemplos de cálculos

5. 1 DSAR SLA

'DSAR _ SLA = (solicitudes cerradas ≤ 30 días )/( solicitudes en total)'

Objetivo: ≥ del 98%; zona roja <95%, amarilla 95-97. 9.

5. 2 Access Hygiene

'AH = derechos anticuados (ningún propietario/pasado el plazo )/todos _ derechos'

Umbral: ≤ 2% (zona roja> 5%).

5. 3 Drift Rate (IaC/Cloud)

'DR = deriva (inconsistencias IaC↔fakt )/mes'

Tendencia: descenso sostenido durante 3 meses consecutivos.

5. 4 Time-to-Remediate (по severity)

Alta: mediana ≤ 30 días; Crítico: ≤ 7 días. Retraso → escalamiento automático.

5. 5 AML FPR

'FPR = falsos positivos _ alertas/todos _ alertas'

Equilibre con TPR y pérdidas de procesamiento.

5. 6 Evidence Coverage (auditoría)

'EC = recogidos _ artefactos/obligatorios _ por _ lista de cheques'

Objetivo: 100% para la fecha D de la auditoría; objetivo operativo - ≥ 95% permanentemente.

6) Fuentes de datos y pruebas (evidence)

Escaparate Compliance DWH: DSAR, Legal Hold, TTL, registros de auditoría, alertas.
IAM/IGA: roles, propietarios, campañas de certificación.
CI/CD/DevSecOps: SAST/DAST/SCA, secreto-escaneado, licencias, gates.
Cloud/IaC: snapshots de confites, reportes a la deriva, registros KMS/HSM.
SIEM/SOAR/DLP/EDRM: correlaciones, playbooks, bloqueos.
GRC: registro de requisitos, controles, waivers y auditorías.
WORM/Object Lock: archivo inmutable de artefactos + resumen hash.

7) Dashboards (conjunto mínimo)

1. Compliance Heatmap - Sistemas × regulaciones × estado.
2. Centro de SLA - DSAR/NAT/formación: DLIN, retraso, predicción.
3. Access & SoD - roles tóxicos, cuentas orphan, progreso de las certificaciones.
4. Retention & Deletion - Infracciones TTL, Bloqueo Legal Hold, Tendencias.
5. Infra/Cloud Drift: inconsistencias de IaC, cifrado, segmentación.
6. Findings Pipeline - Abierto/vencido/cerrado por propietario y severity.
7. Audit Readiness - Cobertura de evidence y tiempo hasta que esté listo «por botón».

Zonas de color (ejemplo):
  • Verde - objetivo alcanzado/estable.
  • Amarillo - riesgo de desviación, se requiere un plan.
  • Rojo - desviación crítica, escalada inmediata.

8) Paquete OKR (trimestre de ejemplo)

Objeto: Reducir el riesgo regulatorio y operativo sin ralentizar las liberaciones.

KR1: Aumentar la cobertura de controles automatizados con 72% → 88%.
KR2: Reducir Access Hygiene de 4. 5% → ≤ 2%.
KR3: 99% DSAR a tiempo; mediana de respuesta ≤ 10 días.
KR4: Drift Rate Cloud −40% QoQ.
KR5: Time-to-Audit-Ready ≤ 8 horas (dry-run).

9) RACI por métricas

FunciónZona de responsabilidad
Head of Compliance / DPO (A)Selección de KPI/KRI de destino, umbrales y aprujos de informes
Compliance Analytics (R)Modelos, fórmulas, escaparates de datos, dashboards
Data Platform (R)Pipelines, calidad de los datos, archivo WORM de la evidencia
SecOps/Cloud Sec (C)Deriva, cifrado, SOAR playbooks
IAM/IGA (C)Certificaciones, SoD, propietarios de accesos
Product/DevSecOps (C)Gates, vulnerabilidades, secreto-escaneo
GRC (R/C)Registro de requisitos/controles, waivers
Internal Audit (I)Verificación de cálculos y fuentes

10) Frecuencia y procedimientos de medición

Diariamente: alertas CCM, deriva, secretos, incidentes críticos.
Semanalmente: SLA DSAR/AMB, DevSecOps Gates, Access Hygiene.
Mensualmente: control de velocidad de pase, recíprocos findings, Coverage de Evidence.
Trimestral: Resumen OKR, Índice de Reducción de Riesgo, Ensayo de Auditoría (dry-run).

Procedimiento de revisión de umbrales: análisis de tendencias, costos y riesgos; cambiar los umbrales - a través de la Junta.

11) Calidad métrica: reglas

Semántica única: diccionario de términos y plantillas SQL.
Versificación de fórmulas: «métrica como código» (repositorio + rugido).
Comprobación de la reproducibilidad: scripts de réperforme para auditores.
Inmutabilidad de artefactos: WORM + hash chain.
Privacidad: minimizar, enmascarar, controlar el acceso a los escaparates de KPI.

12) Ejemplos de consultas (SQL/pseudo)

12. 1 DSAR SLA (30 días):

sql
SELECT
COUNTIF(closed_at <= created_at + INTERVAL 30 DAY) / COUNT() AS dsar_sla_rate
FROM dsar_requests
WHERE created_at BETWEEN @from AND @to;

12. 2 Access Hygiene:

sql
SELECT
SUM(CASE WHEN owner IS NULL OR expires_at < CURRENT_DATE THEN 1 END)
/ COUNT() AS access_hygiene
FROM iam_entitlements
WHERE system_critical = TRUE;

12. 3 Drift (Terraform vs hecho):

sql
SELECT COUNT() AS drifts
FROM drift_detections
WHERE detected_at BETWEEN @from AND @to
AND severity IN ('high','critical');

13) Umbrales (ejemplos de referencia, adaptar)

MétricaVerdeAmarilloRojo
DSAR SLA≥ 98%95–97. 9%< 95%
Access Hygiene≤ 2%2. 01–5%> 5%
Drift Rate (high/crit)≤ 5/mes6-15/mes> 15/mes
Evidence Coverage100%95–99. 9%< 95%
Control de la tasa de paso≥ 97%90–96. 9%< 90%
Time-to-Audit-Ready≤ 8 h8-24 h> 24 horas

14) Antipattern

Métricas «para el informe» sin propietario y plan de acción.
La mezcla de versiones de fórmulas → la incomparecencia de las tendencias.
Cobertura sin eficiencia: alto Coverage, pero alto drift y re-findings.
Ignore el costo de los falsos positivos (FPR) en AML/CCM.
Métricas sin contexto de riesgo (sin relación con KRI y licencias).

15) Hojas de cheques

Inicio del sistema KPI

  • Diccionario de métricas y repositorio único de «métricas como código».
  • Propietarios asignados (RACI) y frecuencia de actualización.
  • Fuentes conectadas y escaparate «Compliance».
  • Se han configurado dashboards y zonas de color, SLO/SLA y escaladas.
  • Archivo WORM y confirmación hash de informes.
  • Dry-run para auditoría con réperforme.

Antes del informe trimestral

  • Verificación de fórmulas, control de anomalías.
  • Actualización de los umbrales de regulación cercana.
  • Análisis costo/benefit FPR vs TPR.
  • Plan de mejoras para las zonas «rojas».

16) Modelo de madurez métrica (M0-M4)

M0 Contabilidad manual: Tablas Excel, informes irregulares.
Catálogo M1: escaparate único, SLA básicos y tendencias.
M2 Automatizado: dashboards en tiempo real, escaladas.
M3 Orchestrated: policy-as-code, CCM, auto-evidence, réperformes.
M4 Continuous Assurance: «audit-ready on the botón», métricas de riesgo predictivas (ML).

17) Artículos relacionados wiki

Monitoreo continuo de cumplimiento (CCM)

Automatización del cumplimiento y los informes

Auditoría orientada al riesgo

Ciclo de vida de políticas y procedimientos

Legal Hold y congelación de datos

DSAR: solicitudes de datos de los usuarios

Gráficos de almacenamiento y eliminación de datos

Los KPI de cumplimiento fuertes son fórmulas comprensibles, fuentes confiables, propietarios y umbrales, escaparate automatizado y acciones de desviación. Así que el cumplimiento se convierte en un servicio predecible con un impacto medible en el riesgo y la velocidad del negocio.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.