KPI i wskaźniki zgodności
1) Dlaczego wskaźniki zgodności
Metryka przekłada wymagania i zagrożenia na cele, którymi można zarządzać. Dobry system KPI/KRI:- czyni status zgodności przejrzystym i porównywalnym w czasie;
- powiązanie zgodności z wynikami działalności (zmniejszenie strat/grzywien/opóźnień w zwolnieniach);
- pozwala zarządzać priorytetami i zasobami w oparciu o fakty, a nie uczucia;
- upraszcza audyt: istnieją możliwe do zidentyfikowania wzory, źródła i niezmienne artefakty (dowody).
- KPI - wskaźniki wydajności (efektywność procesu).
- KRI - wskaźniki ryzyka (prawdopodobieństwo/wpływ zdarzeń).
- SLO/SLA - docelowe poziomy usług/zobowiązania okresowe.
- Leading vs Lagging: wiodące i opóźnione wskaźniki.
2) Mapa mierników według domeny (macierz referencyjna)
3) Zgodność North Star
1. Audyt gotowy w godzinach N (wszystkie zebrane dowody automatycznie).
2. Zero naruszeń krytycznych.
3. ≥ 90% Zasięg z zautomatyzowanymi sterownikami (policy-as-code + CCM).
4) Taksonomia mierników
4. 1 Pokrycie
Zasięg sterowania: systemy kontrolowane/wszystkie systemy krytyczne.
Pokrycie dowodów: artefakty zebrane/za pomocą listy kontrolnej.
Przyjęcie polityki: procesy, w których wdrażane są wymogi ,/wszystkie procesy docelowe.
4. 2 Skuteczność (skuteczność kontroli)
Pass Szybkość testów kontrolnych: przeszedł/całkowity okres testów.
FPR/TPR (fałszywe/prawdziwe) dla przepisów detektywistycznych.
Zapobiegane incydenty: przypadki zapobiegane przez kontrole prewencyjne.
4. 3 Efektywność (koszt/prędkość)
Naruszenia MTTD/MTTR: czas do wykrycia/wyeliminowania.
Koszt przypadkowy (AML/DSAR): godziny × stawka + koszty infrastruktury.
Wskaźnik automatyzacji: automatyczne rozwiązania/wszystkie rozwiązania.
4. 4 Aktualność
Wykonanie SLA (DSAR/STR/szkolenie): na czas/razem.
Polityka Lead Time: od uruchomienia do publikacji.
Zmiana czasu realizacji (bramy DevSecOps): od PR do zwolnienia do kontroli zgodności.
4. 5 Jakość (jakość danych/procesów)
Integralność dowodów:% artefaktów w WORM z podsumowaniem hash.
Wady danych: błędy w raportowaniu/raportowaniu reg.
Wynik szkolenia: średni wynik testu,% od pierwszego razu.
4. 6 Wpływ na ryzyko
Wskaźnik redukcji ryzyka: w przypadku całkowitego wskaźnika ryzyka po rekultywacji.
Ekspozycja regulacyjna: Otwarte luki krytyczne vs Wymagania licencyjne/certyfikacyjne.
$ Avoided Losses (szacunkowe): Kary/straty zniwelowane poprzez usunięcie luk.
5) Wzory i przykłady obliczeń
5. 1 DSAR SLA
„DSAR _ SLA = (liczba wniosków zamkniętych ≤ 30 dni )/( liczba wniosków ogółem)”
Cel: ≥ 98%; czerwony <95%, żółty 95-97. 9.
5. 2 Dostęp do higieny
„AH = nieaktualne _ prawa (brak właściciela/przeszłość należne )/all _ rights”
Próg: ≤ 2% (strefa czerwona> 5%).
5. 3 Szybkość dryfowania (IaC/chmura)
"DR = dryfuje (IaC" niedopasowanie faktyczne )/miesięcznie "
Trend: stały spadek przez 3 miesiące z rzędu.
5. 4 Czasowo-do-remediatu (- ciężkość)
Wysoka: mediana ≤ 30 dni; Krytyczny: ≤ 7 dni. Opóźnienie → automatyczna eskalacja.
5. 5 AML FPR
„FPR = false-positive _ alerts/all _ alters”
Saldo z TPR i straty manipulacyjne.
5. 6 Zakres dowodów (audyt)
„EC = zebrane _ artefakty/obowiązkowe _ by _ checklista”
Cel: 100% do dnia D audytu; cel operacyjny - ≥ 95% w sposób ciągły.
6) Źródła danych i dowodów (dowody)
Prezentacja zgodności DWH: DSAR, Legal Hold, TTL, dzienniki audytu, wpisy.
IAM/IGA: role, właściciele, kampanie atestacyjne.
CI/CD/DevSecOps: SAST/DAST/SCA, tajne skanowanie, licencje, bramy.
Cloud/IaC: migawki konfiguracyjne, raporty dryfujące, dzienniki KMS/HSM.
SIEM/SOAR/DLP/EDRM: korelacje, playbooks, blokady.
GRC: rejestr wymogów, kontroli, zwolnień i audytów.
WORM/Object Lock: niezmienne archiwum artefaktów + podsumowanie hash.
7) Deski rozdzielcze (minimalny zestaw)
1. Zgodność Heatmap - Systemy × regulacje × status.
2. SLA Center - DSAR/STR/szkolenie: terminy, przestępstwa, prognoza.
3. Dostęp & SoD - role toksyczne, konta osierocone, postęp w certyfikacji.
4. Retention & Deletion - naruszenia TTL, blokady blokad prawnych, trendy.
5. Infra/Cloud Drift - niespójności IaC, szyfrowanie, segmentacja.
6. Ustalenia Rurociąg - otwarty/wygasły/zamknięty przez właścicieli i dotkliwość.
7. Gotowość audytu - zakres dowodów i czas na gotowość „na przycisku”.
- Zielony - cel spełniony/stabilny.
- Żółty - ryzyko odchylenia, wymagany plan.
- Czerwone - odchylenie krytyczne, natychmiastowa eskalacja.
8) OKR link (przykład kwartał)
Cel: Zmniejszenie ryzyka regulacyjnego i operacyjnego bez spowalniania uwolnień.
KR1: Zwiększenie zasięgu automatycznego sterowania z 72% → 88%.
KR2: Zmniejszyć higienę dostępu z 4. 5% → ≤ 2%.
KR3: 99% DSAR na czas; mediana odpowiedzi ≤ 10 dni.
KR4: Chmury dryfujące - 40% QoQ.
KR5: Czas do audytu-Gotowy ≤ 8 godzin (suchy).
9) RACI dla mierników
10) Częstotliwość pomiaru i procedury
Codziennie: powiadomienia CCM, dryfowanie, sekrety, krytyczne incydenty.
Tygodnik: SLA DSAR/STR, bramy DevSecOps, higiena dostępu.
Miesięcznie: kontrola wskaźnika przejścia, powtarzające się ustalenia, zakres dowodów.
Kwartał: podsumowanie OKR, wskaźnik redukcji ryzyka, próba audytu (sucha).
Procedura przeglądu progów: tendencja, analiza kosztów i ryzyka; zmiana progów - poprzez Board.
11) Jakość mierników: zasady
Ujednolicona semantyka: słownik terminów i szablonów SQL.
Wersioning wzoru: „metric as code” (repozytorium + recenzja).
Kontrola odtwarzalności: skrypty reperform dla audytorów.
Niezmienność artefaktów: WORM + łańcuchy hash.
Prywatność: minimalizacja, maskowanie, kontrola dostępu do prezentacji KPI.
12) Przykłady zapytań (SQL/pseudo)
12. 1 DSAR SLA (30 dni):
sql
SELECT
COUNTIF(closed_at <= created_at + INTERVAL 30 DAY) / COUNT() AS dsar_sla_rate
FROM dsar_requests
WHERE created_at BETWEEN @from AND @to;12. 2 Higiena dostępu:
sql
SELECT
SUM(CASE WHEN owner IS NULL OR expires_at < CURRENT_DATE THEN 1 END)
/ COUNT() AS access_hygiene
FROM iam_entitlements
WHERE system_critical = TRUE;12. 3 Drift (Terraform vs fakt):
sql
SELECT COUNT() AS drifts
FROM drift_detections
WHERE detected_at BETWEEN @from AND @to
AND severity IN ('high','critical');13) Progi (przykłady referencyjne, dostosować)
14) Antypattery
Metryka „do raportu” bez właściciela i planu działania.
Mieszanie wersji formuły → różnice trendów.
Zasięg bez wydajności: wysoki zasięg, ale wysoki dryf i powtarzające się odkrycia.
Ignoruje koszt fałszywych pozytywów (FPR) w AML/CCM.
Metryka bez kontekstu ryzyka (brak powiązania z KRI i licencjami).
15) Listy kontrolne
Uruchomienie systemu KPI
- Słownik metryki i pojedyncze repozytorium „metryki jako kod”.
- Przypisani właściciele (RACI) i wskaźniki odświeżania.
- Źródła i prezentacja zgodności są połączone.
- Deski rozdzielcze i strefy kolorów, SLO/SLA i eskalacje są skonfigurowane.
- Archiwum WORM i hash raportu.
- Dry-run do audytu z reperform.
Przed raportem kwartalnym
- Weryfikacja wzorów, kontrola anomalii.
- Aktualizacja bliskich progów regulacyjnych.
- Analiza kosztów i korzyści FPR vs TPR.
- Plan poprawy czerwonej strefy.
16) Model dojrzałości metryki (M0-M4)
M0 Księgowość ręczna: tablice Excel, raporty nieregularne.
Katalog M1: pojedyncza prezentacja, podstawowe SLA i trendy.
M2 Zautomatyzowane: deski rozdzielcze w czasie rzeczywistym, eskalacja.
M3 Orchestrated: policy-as-code, CCM, auto-evidence, reperform.
M4 Ciągłe zapewnienie: „audyt gotowy za pomocą przycisku”, prognostyczne (ML) wskaźniki ryzyka.
17) Powiązane artykuły wiki
Ciągły monitoring zgodności (CCM)
Automatyzacja zgodności i sprawozdawczości
Audyt oparty na ryzyku
Polityka i procedury Cykl życia
Prawne przechowywanie i zamrażanie danych
DSAR: żądanie danych przez użytkownika
Harmonogramy przechowywania i usuwania danych
Razem
Mocna zgodność KPI to jasne formuły, wiarygodne źródła, właściciele i progi, zautomatyzowana prezentacja i działania odchylenia. Dzięki temu zgodność jest przewidywalną usługą o wymiernym wpływie na ryzyko i szybkość prowadzenia działalności.