KPI-uri și măsurători de conformitate
1) De ce măsurătorile de conformitate
Valorile traduc cerințele și riscurile în obiective ușor de gestionat. Sistem bun KPI/KRI:- face ca starea de conformitate să fie transparentă și comparabilă în timp;
- corelează respectarea rezultatului activității (reducerea pierderilor/amenzilor/întârzierilor eliberărilor);
- vă permite să gestionați prioritățile și resursele bazate pe fapte, nu pe sentimente;
- simplifică auditul: există formule trasabile, surse și artefacte invariabile (dovezi).
- KPI - indicatori de performanță (eficiența procesului).
- IRC - indicatori de risc (probabilitatea/impactul evenimentelor).
- SLO/SLA - niveluri țintă de servicii/angajamente pe termen lung.
- Leading vs Lagging: indicatori de conducere și lagging.
2) Harta metrică după domeniu (matrice de referință)
3) Conformitate North Star
1. Gata de audit în N ore (toate probele colectate automat).
2. Zero încălcări critice.
3. ≥ 90% Acoperire cu comenzi automate (policy-as-code + CCM).
4) Taxonomia metricii
4. 1 Acoperire
Acoperire de control: sisteme controlate/toate sistemele critice.
Dovezi Acoperire: artefacte colectate/prin lista de verificare a auditului.
Adoptarea politicilor: procese în care sunt implementate cerințele ,/toate procesele țintă.
4. 2 Eficacitatea (eficacitatea controalelor)
Rata de trecere a testelor de control: a trecut/total teste de perioadă.
FPR/TPR (fals/adevărat) pentru regulile de detectivi.
Incidente Prevenite: cazuri prevenite prin controale preventive.
4. 3 Eficiență (cost/viteză)
Încălcări MTTD/MTTR: timp pentru detectare/eliminare.
Cost per caz (AML/DSAR): ore × rată + costuri de infrastructură.
Raport de automatizare: auto-solutii/toate solutiile.
4. 4 Promptitudinea
Executie SLA (DSAR/STR/training): la timp/total.
Politicile timpului de plumb: de la declanșare la publicare.
Modificați timpul de plată (porțile DevSecOps): de la PR la eliberare pentru verificări de conformitate.
4. 5 Calitate (calitate date/proces)
Integritatea dovezilor:% din artefactele din WORM cu rezumat hash.
Defecte de date: erori în raportarea/rapoartele reg.
Scor de antrenament: scor mediu de testare,% de la prima dată.
4. 6 Impactul riscului
Indicele de reducere a riscului: ∆ ratei de risc total după remediere.
Expunerea la reglementare: Deschideți lacunele critice vs cerințele de licență/certificare.
$ Evited Loss (estimat): Penalități/pierderi evitate prin închiderea lacunelor.
5) Formule și exemple de calcule
5. 1 DSAR SLA
'DSAR _ SLA = (numărul de aplicații închise ≤ 30 de zile )/( numărul total de aplicații)'
Obiectiv: ≥ 98%; roşu <95%, galben 95-97. 9.
5. 2 Igiena accesului
'AH = învechite _ rights (no owner/past due )/all _ rights'
Prag: ≤ 2% (zona roșie> 5%).
5. 3 Rata de derivă (IaC/Cloud)
'DR = drifturi (IaC↔fakt nepotriviri )/luna'
Tendință: scădere constantă timp de 3 luni la rând.
5. 4 Timp până la remediere (severitate по)
Mare: mediană ≤ 30 de zile; Critic: ≤ 7 zile. Întârziere → auto-escaladare.
5. 5 FPR AML
'FPR = fals-pozitiv _ alerte/all _ alterss'
Echilibru cu TPR și pierderi de manipulare.
5. 6 Acoperirea dovezilor (audit)
'CE = colected _ artefacts/obligatory _ by _ checklist'
Obiectiv: 100% până la data D a auditului; obiectiv operațional - ≥ 95% continuu.
6) Surse de date și dovezi (dovezi)
Conformitate caseta de prezentare DWH: DSAR, Legal Hold, TTL, jurnalele de audit, alerte.
IAM/IGA: roluri, proprietari, campanii de atestare.
CI/CD/DevSecOps: SAST/DAST/SCA, scanare secretă, licențe, porți.
Cloud/IaC: instantanee de configurații, rapoarte derivă, jurnale KMS/HSM.
SIEM/SOAR/DLP/EDRM: corelații, cărți de redare, încuietori.
GRC: registrul cerințelor, controalelor, derogărilor și auditurilor.
WORM/Object Lock: arhivă neschimbabilă a artefactelor + rezumat hash.
7) Tablouri de bord (set minim)
1. Conformitate Heatmap - Sisteme × reglementări × stare.
2. SLA Center - DSAR/STR/training: termene limită, delincvențe, prognoză.
3. Access & SoD - roluri toxice, conturi orfane, progresul atestării.
4. Retenție și ștergere - încălcări TTL, încuietori legale, tendințe.
5. Infra/Cloud Drift - inconsecvențe IaC, criptare, segmentare.
6. Constatările conductei - deschis/expirat/închis de proprietari și severitate.
7. Audit Readiness - acoperirea dovezilor și timpul de pregătire „pe buton”.
- Verde - țintă îndeplinită/stabilă.
- Galben - riscul de abatere, planul necesar.
- Roșu - deviere critică, escaladare imediată.
8) OKR link (exemplu trimestru)
Obiectiv: Reducerea riscului de reglementare și operațional fără încetinirea eliberărilor.
KR1: Creșterea acoperirii comenzilor automate de la 72% → 88%.
KR2: Reduceți igiena accesului de la 4. 5% → ≤ 2%.
KR3: 99% DSAR la timp; răspuns median ≤ 10 zile.
KR4: Drift Rata de nori − 40% QoQ.
KR5: Time-to-Audit-Ready ≤ 8 ore (dry-run).
9) RACI pentru măsurători
10) Frecvența și procedurile de măsurare
Zilnic: alerte CCM, derivă, secrete, incidente critice.
Săptămânal: SLA DSAR/STR, porțile DevSecOps, igiena accesului.
Lunar: controlul ratei de trecere, constatările repetate, acoperirea dovezilor.
Trimestrial: OKR-rezumat, Indicele de reducere a riscului, audit-repetiție (uscat-run).
Procedura de revizuire a pragului: tendință, analiză a costurilor și a riscurilor; schimbarea pragurilor - prin intermediul Consiliului.
11) Calitatea măsurătorilor: reguli
Semantică unificată: dicționar de termeni și șabloane SQL.
Formula versioning: „metric as code” (depozit + recenzie).
Verificare reproductibilitate: reperforma scripturi pentru auditori.
Imutabilitatea artefactelor: lanțuri de hash WORM +.
Confidențialitate: minimizare, mascare, controlul accesului la vitrinele KPI.
12) Exemple de interogare (SQL/pseudo)
12. 1 DSAR SLA (30 zile):
sql
SELECT
COUNTIF(closed_at <= created_at + INTERVAL 30 DAY) / COUNT() AS dsar_sla_rate
FROM dsar_requests
WHERE created_at BETWEEN @from AND @to;12. 2 Igiena accesului:
sql
SELECT
SUM(CASE WHEN owner IS NULL OR expires_at < CURRENT_DATE THEN 1 END)
/ COUNT() AS access_hygiene
FROM iam_entitlements
WHERE system_critical = TRUE;12. 3 Drift (Terraform vs fapt):
sql
SELECT COUNT() AS drifts
FROM drift_detections
WHERE detected_at BETWEEN @from AND @to
AND severity IN ('high','critical');13) Praguri (exemple de referință, adaptare)
14) Antipattern
Valori „pentru raport” fără proprietar și plan de acțiune.
Amestecarea versiunilor de formulă → tendințe disparate.
Acoperire fără eficiență: acoperire ridicată, dar derivă ridicată și constatări repetate.
Ignoră costul pozitivelor false (FPR) în AML/CCM.
Valori fără context de risc (fără asociere cu KRI și licențe).
15) Liste de verificare
Pornire sistem KPI
- Metrics dicționar și un singur „metrics as code” depozit.
- Proprietarii alocați (RACI) și ratele de reîmprospătare.
- Sursele și caseta de prezentare a conformității sunt conectate.
- Sunt configurate tablouri de bord și zone de culoare, SLO/SLA și escaladări.
- Arhiva WORM și raportul hash.
- Dry-run pentru audit cu reperform.
Înainte de raportul trimestrial
- Verificarea formulelor, controlul anomaliilor.
- Actualizarea pragurilor apropiate de reglementare.
- Analiza costuri/beneficii FPR vs TPR.
- Planul de îmbunătățire a zonei roșii.
16) Modelul scadenței metrice (M0-M4)
M0 Contabilitate manuală: tabele Excel, rapoarte neregulate.
M1 Catalog: vitrină unică, SLA-uri de bază și tendințe.
M2 Automatizat: tablouri de bord în timp real, escaladare.
M3 Orchestrated: policy-as-code, CCM, auto-dovezi, reperforme.
M4 Continuous Assurance: „audit-ready by button”, valori de risc predictive (ML).
17) Articole wiki înrudite
Monitorizarea continuă a conformității (CCM)
Automatizarea conformității și raportării
Audit bazat pe risc
Ciclul de viață al politicilor și procedurilor
Păstrarea legală și înghețarea datelor
DSAR: solicitări de date pentru utilizatori
Programele de păstrare și ștergere a datelor
Total
KPI-urile puternice de conformitate sunt formule clare, surse fiabile, proprietari și praguri, o vitrină automată și acțiuni de deviere. Acest lucru face conformitatea un serviciu predictibil, cu un impact măsurabil asupra riscului și vitezei de afaceri.