GH GambleHub

KPI'lar ve uyumluluk metrikleri

1) Neden uyumluluk metrikleri

Metrikler, gereksinimleri ve riskleri yönetilebilir hedeflere dönüştürür. İyi KPI/KRI sistemi:
  • Uyumluluk durumunu zaman içinde şeffaf ve karşılaştırılabilir hale getirir;
  • İş sonuçlarına uygunluk (kayıpların/para cezalarının/sürümlerin gecikmelerinin azaltılması);
  • Öncelikleri ve kaynakları duygulara değil gerçeklere dayanarak yönetmenize izin verir;
  • denetimi basitleştirir: izlenebilir formüller, kaynaklar ve değişmez eserler (kanıt) vardır.
Şartlar:
  • KPI - performans göstergeleri (süreç verimliliği).
  • KRI - risk göstergeleri (olayların olasılığı/etkisi).
  • SLO/SLA - hedef hizmet seviyeleri/dönem taahhütleri.
  • Lider vs Lagging: öncü ve gecikmeli göstergeler.

2) Etki alanına göre metrik haritası (referans matrisi)

DomainKPI/KRIYazıFormül (kısa)Amaç (örnek)
Politikalar/EğitimDeğerlendirmelerin kapsamıKPIcompleted _ course/must _ complete≥ %95/çeyrek
MTTU PolitikasıKPIt_publikatsii − t_triggera≤ 30 gün
Erişimler/IAMErişim hijyeniKPIeskimiş _ haklar/tüm _ haklar≤ 2%
SoD İhlalleriKRIToksik kombinasyon sayısı0 (kritik)
Veri/gizlilikZamanında DSAR SLAKPI_ terimde/toplamda≥ 98%
TTL İhlalleriKRI_ over _ TTL nesneleriSıfıra ↓
Infra/Bulut/IaCDrift hızıKPIsürüklenmeler/ay↓ trendi
Şifreleme KapsamıKPI_ encrypted _ resources/tüm100%
DevSecOps/koduRepos SırlarıKRIsırların _ sızıntıları/ay0 kritik
Lisans UyumluluğuKPIpackages _ with _ non _ license0
AML/İşlemlerSTR/SAR ZamanlamasıKPI_ terimde/toplamda≥ 99%
Yanlış Pozitif Oran AMLKPIyanlış/tüm uyarılar≤ %10 (içerikle birlikte)
Olaylar/DenetimlerDüzeltilmesi Gereken Zaman BulgularıKPIMedyan t_zakrytiya≤ 30 gün Yüksek
Bulguları tekrarlayınKRI12 ayda % tekrarlama≤ 5%

3) Uyum Kuzey Yıldızı

1. N saat içinde denetime hazır (tüm kanıtlar otomatik olarak toplanır).
2. Sıfır kritik ihlal.
3. Otomatik kontrollerle (kod olarak ilke + CCM) %90 Kapsama ≥.

4) Metriklerin taksonomisi

4. 1 Kapsama alanı

Kontrol Kapsamı: kontrollü sistemler/tüm kritik sistemler.
Kanıt Kapsamı: toplanan eserler/denetim kontrol listesi tarafından.
Politikanın Benimsenmesi: gereksinimlerin uygulandığı süreçler/tüm hedef süreçler.

4. 2 Etkililik (kontrollerin etkinliği)

Geçiş Kontrol testlerinin oranı: geçti/toplam dönem testleri.
Dedektiflik kuralları için FPR/TPR (false/true).
Önlenen Olaylar: Önleyici kontrollerle önlenen durumlar.

4. 3 Verimlilik (maliyet/hız)

MTTD/MTTR ihlalleri: tespit/eleme zamanı.
Kasa Başına Maliyet (AML/DSAR): saat × oranı + altyapı maliyetleri.
Otomasyon Oranı: Otomatik çözümler/tüm çözümler.

4. 4 Zamanlılık

Yürütme SLA (DSAR/STR/eğitim): zamanında/toplam.
Kurşun Zamanı politikaları: tetikleyiciden yayına.
Değişim Teslim Süresi (DevSecOps kapıları): PR'den uyumluluk kontrolleri için serbest bırakmaya kadar.

4. 5 Kalite (veri/süreç kalitesi)

Kanıt Bütünlüğü: Özet özetiyle WORM'deki eserlerin yüzdesi.
Veri Kusurları: reg raporlama/raporlardaki hatalar.
Eğitim Puanı: Ortalama test puanı, ilk kez %.

4. 6 Risk etkisi

Risk Azaltma İndeksi: İyileştirme sonrası toplam risk oranının ∆.
Düzenleyici Maruziyet: Açık Kritik Boşluklar vs Lisans/Sertifika Gereksinimleri.
Kaçınılan Kayıplar (tahmini): Boşlukları kapatarak önlenen cezalar/kayıplar.

5) Formüller ve hesaplama örnekleri

5. 1 DSAR SLA

'DSAR _ SLA = (30 gün ≤ kapatılan başvuru sayısı )/( toplam başvuru sayısı)'

Hedef: ≥ %98; Kırmızı <%95, sarı 95-97. 9.

5. 2 Erişim hijyeni

'AH = modası geçmiş _ haklar (sahibi/vadesi geçmiş )/all _ rights'

Eşik: ≤ %2 (kırmızı bölge> %5).

5. 3 Sürüklenme Oranı (IaC/Bulut)

'DR = sürüklenmeler (IaC↔fakt uyumsuzluklar )/ay'

Trend: Arka arkaya 3 ay boyunca istikrarlı düşüş.

5. 4 Remediate Zamanı (по şiddeti)

Yüksek: Medyan ≤ 30 gün; Kritik: ≤ 7 gün. Delay - otomatik yükseltme.

5. 5 AML FPR

'FPR = false-positive _ alerts/all _ alters'

TPR ile denge ve kayıpları ele alma.

5. 6 Kanıt Kapsamı (denetim)

'EC = collected _ artifacts/mandatory _ by _ checklist'

Amaç: Denetimin D tarihine kadar %100; Operasyonel hedef - sürekli %95 ≥.

6) Veri ve kanıt kaynakları (kanıt)

Uyumluluk DWH vitrini: DSAR, Yasal Bekletme, TTL, denetim günlükleri, uyarılar.
IAM/IGA: roller, sahipler, tasdik kampanyaları.
CI/CD/DevSecOps: SAST/DAST/SCA, gizli tarama, lisanslar, kapılar.
Bulut/IaC: yapılandırmaların anlık görüntüleri, sürüklenme raporları, KMS/HSM günlükleri.
SIEM/SOAR/DLP/EDRM: korelasyonlar, oyun kitapları, kilitler.
GRC: Gereksinimlerin, kontrollerin, feragatlerin ve denetimlerin kaydı.
WORM/Nesne Kilidi: değiştirilemez artefaktlar arşivi + özet özet.

7) Gösterge panoları (minimum set)

1. Uyumluluk Isı Haritası - Sistemler × düzenlemeler × durum.
2. SLA Merkezi - DSAR/STR/eğitim: son tarihler, gecikmeler, tahmin.
3. Erişim ve SoD - toksik roller, yetim hesapları, tasdik ilerlemesi.
4. Saklama ve Silme - TTL ihlalleri, Yasal Bekletme kilitleri, eğilimler.
5. Infra/Cloud Drift - IaC tutarsızlıkları, şifreleme, segmentasyon.
6. Bulgular Boru hattı - açık/süresi dolmuş/sahipleri ve ciddiyet tarafından kapalı.
7. Denetim Hazırlığı - kanıt kapsamı ve "düğmede" hazır olma süresi.

Renk bölgeleri (örnek):
  • Yeşil - hedef tutturuldu/sabit.
  • Sarı - sapma riski, gerekli plan.
  • Kırmızı - kritik sapma, hemen tırmanma.

8) OKR bağlantısı (örnek çeyrek)

Amaç: Salımları yavaşlatmadan düzenleyici ve operasyonel riskleri azaltmak.

KR1: Otomatik kontrollerin kapsamını %72'den %88'e çıkarın.
KR2: Erişim Hijyenini 4'ten azaltın. 5% → ≤ 2%.
KR3: Zamanında %99 DSAR; Ortanca yanıt 10 gün ≤.
KR4: Drift Oranı bulutları − %40 QoQ.
KR5: Denetime Hazır Süre ≤ 8 saat (kuru çalışma).

9) Metrikler için RACI

RolSorumluluk alanı
Uyum/DPO Başkanı (A)Hedef KPI/KRI seçimi, eşikler ve raporlama güncellemeleri
Uyumluluk Analizi (R)Modeller, formüller, veri mart, panolar
Veri Platformu (R)Boru hatları, veri kalitesi, WORM arşivi kanıtı
SecOps/Bulut Sec (C)Sürüklenme, şifreleme, SOAR oyun kitapları
IAM/IGA (C)Değerlendirmeler, SoD'ler, Erişim Sahipleri
Ürün/DevSecOps (C)Kapılar, güvenlik açıkları, gizli tarama
GRC (R/C)Gereksinimlerin/kontrollerin kaydı, feragatler
İç denetim (I)Hesaplamaların ve kaynakların doğrulanması

10) Ölçüm sıklığı ve prosedürleri

Günlük: CCM uyarıları, sürüklenme, sırlar, kritik olaylar.
Haftalık: SLA DSAR/STR, DevSecOps kapıları, Erişim Hijyeni.
Aylık: geçiş oranı kontrolleri, tekrarlanan bulgular, Kanıt Kapsamı.
Üç ayda bir: OKR-özet, Risk Azaltma Endeksi, denetim-prova (kuru çalışma).

Eşik inceleme prosedürü: eğilim, maliyet ve risk analizi; eşikleri değiştirme - Yönetim Kurulu aracılığıyla.

11) Metriklerin kalitesi: kurallar

Birleşik semantik: terimler ve SQL şablonları sözlüğü.
Formül sürümü: "Kod olarak metrik" (depo + inceleme).
Tekrarlanabilirlik kontrolü: denetçiler için reperform senaryoları.
Eserlerin değişmezliği: WORM + hash zincirleri.
Gizlilik: KPI vitrinlerine erişimin en aza indirilmesi, maskelenmesi, kontrolü.

12) Sorgu örnekleri (SQL/pseudo)

12. 1 DSAR SLA (30 gün):

sql
SELECT
COUNTIF(closed_at <= created_at + INTERVAL 30 DAY) / COUNT() AS dsar_sla_rate
FROM dsar_requests
WHERE created_at BETWEEN @from AND @to;

12. 2 Erişim hijyeni:

sql
SELECT
SUM(CASE WHEN owner IS NULL OR expires_at < CURRENT_DATE THEN 1 END)
/ COUNT() AS access_hygiene
FROM iam_entitlements
WHERE system_critical = TRUE;

12. 3 Sürüklenme (Terraform vs gerçek):

sql
SELECT COUNT() AS drifts
FROM drift_detections
WHERE detected_at BETWEEN @from AND @to
AND severity IN ('high','critical');

13) Eşikler (referans örnekleri, uyum)

MetriklerYeşilSarıKırmızı
DSAR SLA≥ 98%95–97. 9%< 95%
Erişim hijyeni≤ 2%2. 01–5%> 5%
Sürüklenme Oranı (yüksek/crit)≤ 5/ay6-15/ay> 15/ay
Kanıt kapsamı100%95–99. 9%< 95%
Geçiş hızı kontrolleri≥ 97%90–96. 9%< 90%
Denetime Hazır Zaman≤ 8 saat8-24 saat> 24 h

14) Antipatterns

Metrikler sahibi ve eylem planı olmadan "rapor için".
Formül sürümlerini karıştırma - farklı eğilimler.
Verimlilik olmadan kapsama: Yüksek kapsama, ancak yüksek sürüklenme ve tekrarlanan bulgular.
AML/CCM'deki yanlış pozitiflerin (FPR) maliyetini göz ardı eder.
Risk bağlamı olmayan metrikler (KRI ve lisanslarla ilişkisi yoktur).

15) Kontrol listeleri

KPI sistem başlatma

  • Metrik sözlüğü ve tek "kod olarak metrik" deposu.
  • Atanmış sahipler (RACI) ve yenileme oranları.
  • Kaynaklar ve Uyumluluk vitrini bağlantılıdır.
  • Gösterge panoları ve renk bölgeleri, SLO/SLA'lar ve yükselmeler yapılandırılmıştır.
  • WORM arşiv ve rapor karma.
  • Reperform ile denetim için kuru çalışma.

Üç aylık rapordan önce

  • Formüllerin doğrulanması, anomali kontrolü.
  • Yakın düzenleyici eşiklerin güncellenmesi.
  • Maliyet/fayda analizi FPR vs TPR.
  • Kırmızı Bölge İyileştirme Planı.

16) Metrik olgunluk modeli (M0-M4)

M0 Manuel muhasebe: Excel tabloları, düzensiz raporlar.
M1 Kataloğu: tek vitrin, temel SLA'lar ve trendler.
M2 Otomatik: gerçek zamanlı gösterge panoları, eskalasyon.
M3 Orkestralı: Kod olarak politika, CCM, otomatik kanıt, reperform.
M4 Sürekli Güvence: "denetime hazır düğme", öngörücü (ML) risk ölçümleri.

17) İlgili wiki makaleleri

Sürekli Uyumluluk İzleme (CCM)

Uyumluluk ve raporlama otomasyonu

Risk bazlı denetim

Politikalar ve Prosedürler Yaşam Döngüsü

Yasal Tutma ve Veri Dondurma

DSAR: kullanıcı veri istekleri

Veri Saklama ve Silme Çizelgeleri

Toplam

Güçlü uyumluluk KPI'ları açık formüller, güvenilir kaynaklar, sahipler ve eşikler, otomatik bir vitrin ve sapma eylemleridir. Bu, uyumluluğu iş riski ve hızı üzerinde ölçülebilir bir etkiye sahip öngörülebilir bir hizmet haline getirir.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.