KPI e metriche della compilazione
1) Perché le metriche della compilazione
Le metriche trasformano i requisiti e i rischi in obiettivi gestiti. Buon sistema KPI/KRI:- rende lo stato di conformità trasparente e paragonabile nel tempo
- collega il funzionamento della compliance al risultato aziendale (riduzione delle perdite/multe/ritardi di rilascio);
- consente di gestire priorità e risorse per fatti e non per sensazioni
- semplifica l'ispezione: ci sono formule tracciabili, sorgenti e manufatti invariati (evidence).
- KPI - Prestazioni (efficienza dei processi).
- KRI - indicatori di rischio (probabilità/impatto degli eventi).
- SLO/SLA - target di servizio/obbligo di scadenza.
- Leader vs Lagging - Indicatori di anticipo e ritardo (lagging).
2) Mappa delle metriche per dominio (matrice arbitrale)
3) Stelle del Nord (North Star) della compilazione
1. Audit-ready per N ore (tutte le evidence raccolte automaticamente).
2. Zero Critical Violations (zero discrepanze critiche per sicurezza/regolazione).
3. ≥ il 90% di Coverage con controlli automatizzati (policy-as-code + CCM).
4) Tassonomia metriche
4. 1 Coverage (copertura)
Controllo Coverage: sistemi controllati/tutti i sistemi critici.
Evidence Coverage - I manufatti sono raccolti/in base al foglio di controllo.
Policy Adoption: processi in cui i requisiti sono stati implementati/tutti i processi di destinazione.
4. 2 Efficieness (efficienza dei controlli)
Test di controllo Pass Rate completati/tutti i test del periodo.
FPR/TPR (falso). per le regole dei detective.
Indizi Prevented: valigette evitate dai controlli preventivi.
4. 3 Efficiency (costi/velocità)
MTTD/MTTR violazioni: tempo fino al progetto/risoluzione.
Cost per Case (AML/DSAR): ore x tasso + costi di infrastruttura.
Automation Ratio: soluzioni auto/tutte le soluzioni.
4. 4 Timelover( tempistiche)
SLA esecuzione (DSAR/STRR/training): entro/tutto.
Regole Lead Time - Dal trigger alla pubblicazione.
Change Lead Time (DevSecOps-gates) - Dal PR al comunicato durante i controlli di compilazione.
4. 5 Quality (qualità dati/processi)
Evidence Integrity:% di manufatti in WORM con dashboard hash.
Dati definiti come errori di report/report.
Training Score: punteggio medio del test,% dalla prima volta.
4. 6 Risk Impatto (impatto sul rischio)
Risk Reduction Index (Risk Reduction Index): mostra il rischio-scansione totale dopo la rimediazione.
Regolatory Exposure - I gap critici vs aperti richiedono licenze/certificazioni.
$ Avoided Loss (stimato): multe/perdite evitate dalla chiusura dei gap.
5) Formule e esempi di calcolo
5. 1 DSAR SLA
'DSAR _ SLA = (numero di richieste di rimborso chiuso 30 giorni )/( numero di richieste totale)'
Obiettivo: 98%; zona rossa <95%, giallo 95-97. 9.
5. 2 Access Hygiene
«AH = diritti obsoleti (nessun proprietario/scaduto )/tutti i _ diritti»
Soglia 2% (zona rossa> 5%).
5. 3 Drift Rate (IaC/Cloud)
«DR = deriva (non corrispondenze )/mes»
Il trend è di un costante calo di 3 mesi consecutivi.
5. 4 Time-to-Remediate (по severity)
La mediana dura 30 giorni; Critical, 7 giorni. Ritardo dell'escalation dell'auto.
5. 5 AML FPR
'FPR = falsi alert/tutti gli alert '
Bilanciare con TPR e perdita di elaborazione.
5. 6 Evidence Coverage
'EC = manufatti raccolti/obbligatori _ per _ assegno-fogliò
Obiettivo: 100% entro la data D del controllo; L'obiettivo operativo è sempre il 95%.
6) Fonti di dati e prove (evidence)
Vetrina Compliance DWH: DSAR, Legale Hold, TTL, verifiche, alert.
IAM/IGA ruoli, proprietari, campagne di certificazione.
CI/CD/DevSecOps: SAST/DAST/SCA, segreto-scan, licenze, gate.
Cloud/IaC: slot di configure, deriva-ripetizione, KMS/HSM.
SIEM/SOAR/DLP/EDRM: correlazioni, playbook, blocchi.
GRC: registro dei requisiti, controlli, waivers e revisioni.
WORM/Object Lock - Archivio degli artefatti + hash invariato.
7) Dashboard (set minimo)
1. Compliance Heatmap - Sistemi x normativa x stato.
2. SLA Center - DSAR/TR/apprendimento - deadline, ritardo, prognosi.
3. Access & SoD - ruoli tossici, account orphan, progressi di certificazione.
4. Retention & Deletion - violazioni TTL, blocchi legali, trend.
5. Infra/Cloud Draft - IaC, crittografia, segmentazione.
6. Findings Pipeline - Aperto/scaduto/chiuso per proprietario e severity.
7. Verifiche di controllo - Rivestimento evidence e tempo fino a quando il pulsante è pronto.
- Verde - obiettivo raggiunto/stabile.
- Giallo - rischio di deviazione, serve un piano.
- Deviazione critica rossa, escalation immediata.
8) Connettività OKR (esempio di trimestre)
Obiettivo: Ridurre i rischi regolatori e operativi senza rallentare i rilasci.
KR1: Aumenta i controlli automatizzati di Coverage dal 72% all '88%.
KR2: riduce Access Hygiene da 4. 5% → ≤ 2%.
KR3: 99% DSAR a tempo; La mediana della risposta è durata 10 giorni.
KR4: Draft Rate cloud - 40% QoQ.
KR5: Time-to-Audit-Ready 8 ore (dry-run).
9) RACI per metriche
10) Frequenza e procedure di misurazione
Ogni giorno, alert CCM, deriva, segreti, incidenti critici.
Settimanale: SLA DSAR/TR, DevSecOps gate, Access Hygiene.
Mensilmente: pass rate controlling, ripetuti findings, Evidence Coverage.
Trimestrale: Riepilogo OKR, Risk Reduction Index, controllo-prova (dry-run).
Procedura di revisione delle soglie: analisi di trend, costi e rischi; Cambia le soglie attraverso il board.
11) Qualità delle metriche: regole
Un unico semantico è un dizionario di termini e modelli SQL.
Versioning delle formule: metrica come codice (repository + review).
Controllo di riproduzione: script di riperforma per i revisori.
Immutabilità degli artefatti: WORM + catene hash.
Privacy: minimizzazione, occultamento, controllo dell'accesso alle vetrine KPI.
12) Casi di query (SQL/pseudo)
12. 1 DSAR SLA (30 giorni):
sql
SELECT
COUNTIF(closed_at <= created_at + INTERVAL 30 DAY) / COUNT() AS dsar_sla_rate
FROM dsar_requests
WHERE created_at BETWEEN @from AND @to;12. 2 Access Hygiene:
sql
SELECT
SUM(CASE WHEN owner IS NULL OR expires_at < CURRENT_DATE THEN 1 END)
/ COUNT() AS access_hygiene
FROM iam_entitlements
WHERE system_critical = TRUE;12. 3 Draft (Terraform vs dato):
sql
SELECT COUNT() AS drifts
FROM drift_detections
WHERE detected_at BETWEEN @from AND @to
AND severity IN ('high','critical');13) Valori di soglia (esempi di riferimento, adattare)
14) Antipattern
Metriche per report senza proprietario o piano di azione.
La miscelazione delle versioni delle formule consente di confrontare le tendenze.
Copertura senza efficienza: elevato Coverage, ma alto draft e findings ripetuti.
Ignora il costo dei falsi funzionamenti (FPR) in AML/CCM.
Metriche senza contesto di rischio (nessuna relazione con KRI e licenze).
15) Assegno fogli
Avvio del sistema KPI
- Dizionario di metriche e un unico repository di metriche come codice.
- Assegnazione dei proprietari (RACI) e delle frequenze di aggiornamento.
- Sorgenti e vetrina Compliance collegate.
- Sono configurati dashboard e zone colore, SLO/SLA e scalate.
- Archivio WORM e hash report.
- Dry-run per il controllo con ripercorso.
Prima del rapporto trimestrale
- Verifica delle formule, controllo delle anomalie.
- Aggiorna le soglie di oregolazione.
- Analisi cost/benefit FPR vs TPR.
- Piano di miglioramento per le aree rosse.
16) Modello di maturità delle metriche (M0-M4)
M0 Contabilità manuale: tabelle Excel, report non regolari.
M1 Catalogo: vetrina unica, SLA base e trend.
M2 Automatizzato: dashboard in tempo reale, escalation.
M3 Orchestrated: policy-as-code, CCM, auto-evidence, reperimento.
M4 Continuous Assurance: «audit-ready», metriche di rischio (ML).
17) Articoli wiki collegati
Monitoraggio continuo della conformità (CCM)
Automazione della compilazione e del reporting
Controllo orientato al rischio
Ciclo di vita di regole e procedure
Legale Hold e congelamento dei dati
Query dati DSAR
Grafici per la conservazione e l'eliminazione dei dati
Totale
I forti KPI della compilazione sono formule comprensibili, fonti affidabili, proprietari e soglie, vetrine automatizzate e azioni di deviazione. In questo modo la compilazione diventa un servizio prevedibile con un impatto misurabile sul rischio e sulla velocità aziendale.