Key Performance Indicators (KPI’s) of in het Nederlands kritieke prestatie-indicatoren, zijn indicatoren om de prestaties van een organisatie te monitoren, te analyseren en te verbeteren in een continu proces. Mits nauwgezet gemeten en van nabij opgevolgd vormen KPI’s een ‘early warning system’ – naast het obligate permanente risicobeheer zodat men vroegtijdig ziet waar het security beleid moet worden bijgestuurd.
In deze blog legt onze security expert Hendrik Decroos uit waarom het zo belangrijk is betekenisvolle KPI’s voor informatiebeveiliging te meten en hoe deze te bepalen.
KPI's versus strategische doelen
Doelstellingen kunnen uitgedrukt worden als ‘kritische succesfactoren’, bijvoorbeeld ‘gegarandeerde dienstverlening’. KPI’s kunnen die kritische succesfactoren meetbaar maken door monitoring en meting.
Een KPI met de daarbij horende streef- of drempelwaarde (KPI-norm) geeft aan waar het beter kan. Een set goed uitgekozen KPI’s vergroot de zichtbaarheid en voorspelbaarheid van (sleutel)processen en draagt bij aan betere governance.
KPI's: minder maar scherper
Volgende vuistregels kunnen helpen bij het bepalen van betekenisvolle KPI’s voor informatieveiligheid.
1) Be SMART
KPI’s moeten “SMART” zijn:
- Specifiek: eenduidig bepaald/beschreven;
- Meetbaar: uitgedrukt in meetbare of vaststelbare voorwaarden, vorm of eenheden;
- Acceptabel: aanvaardbaar voor de organisatie;
- Realistisch: haalbaar voor de organisatie;
- Tijdsgebonden: dient binnen een bepaalde periode (of tegen een deadline) te worden bereikt.
Een KPI heeft niet noodzakelijk een cijferwaarde of een percentage als resultaat, ja/neen kan ook. Het resultaat moet wel “meetbaar” zijn. Een KPI “De IT systemen hebben een beschikbaarheid van 99,8%” kan SMART-gewijs herschreven worden als: “De fileserver moet voor alle key users 99,8% van het jaar beschikbaar te zijn’. Nog scherper gesteld: “Het elektronisch patiëntdossier mag op jaarbasis maximaal 12 uur niet-geplande ongeschikbaarheid voor gebruikers hebben”. Verdere detaillering maakt beter meetbare resultaten mogelijk.
2) Kies gepaste KPI's voor UW organisatie
KPI’s moeten op de eigen organisatie zijn afgestemd en de opvolging ervan dient een meerwaarde te zijn voor het managen volgens de doelstellingen van de organisatie. De ISO/IEC 27001 norm voor informatieveiligheid begint niet toevallig met het bepalen van de context van de organisatie.
3) Beperk het aantal KPI's
KPI’s voor informatieveiligheid worden vaak gehaald uit vereisten en aanbevelingen van ISO/IEC 27001 en ISO/IEC27002, CIS-controls, OWASP, SANS, CSA, NIST, … Dit blijven belangrijke inspiratiebronnen, in de eerste plaats voor het opzetten van de noodzakelijk monitoren en meten. Kies KPI’s zorgvuldig.
4) Kies KPI's die prestatie-uitdagend zijn en voldoende specifiek
Sommige organisaties scoren quasi ‘perfect’ op al hun KPI’s terwijl belangrijke specifieke prestatie-indicatoren ontbreken. Het doel mag niet zijn om KPI’s te bepalen die eenvoudig te halen zijn, maar om KPI’s te bepalen die de prestaties van een security beleid continu monitoren en in vraag stellen.
5) Vermijd indicatoren die er minder toe doen of zelfs de aandacht afleiden van de kern
Niet alle KPI’s meten in financiële termen. Naast het kostenplaatje (bv. ROI van de IT helpdesk, kostprijs door niet-behaalde SLA-eisen, …) moet gezocht worden naar andere kwalitatieve en kwantitatieve KPI’s – zowel opvolgende als voorspellende. Het is beter achteraf te moeten constateren dat omzet of klantenbereik daalden door een ontoereikende ITSM-tool of inefficiënte leveranciersopvolging.
Een vaak gehanteerde KPI is “het aantal IT-incidenten gemeld bij de helpdesk”. Iets beter is “de volgens SLA opgeloste incidentmeldingen” of “het percentage niet-gehaalde inproductiestellingen”. Een dergelijke KPI kan preciezer worden uitgewerkt: “het percentage van IT-incidenten dat leidde tot een onderbreking van >= 10 minuten van de dienstverlening”.
Andere voorbeelden van goed gekozen KPI’s:
- In het tweede kwartaal van 2022 moet de nieuwe ITSM tool een 20% snellere doorlooptijd van opgeloste IT-incidenten van niveau P2 en P3 mogelijk maken.
- Het aantal vastgestelde veiligheidsincidenten met niet-gelockte mobiele werkstations in het ziekenhuis moet minder dan 1% bedragen.
- Het percentage nieuwe medewerkers die niet binnen 5 dagen na indiensttreding een opleiding Informatieveiligheid en privacy hebben voltooid moet minder dan 5% bedragen.
6) Geen KPI's zonder eigenaar
Bepaal voor doelstellingen en bijhorende KPI’s een ‘eigenaar’ (verantwoordelijke) die ook eindverantwoordelijke wordt voor uitvoering van monitoring. Van belang is dat de resultaten bij één persoon of (beveiligings-)team gerapporteerd worden om zicht te krijgen op het totaalplaatje van de status van informatieveiligheid.
7) KPI's evolueren
KPI’s moeten mee evolueren met de context en dienen dus regelmatig te worden herzien. Soms gelden ze maar 1 jaar, bijvoorbeeld ”het ISO/IEC 27001 certificaat behalen”. Herevaluatie dient gekoppeld aan een blijvend actief zoeken naar (nog) betere KPI’s.
Hendrik Decroos
Senior Information Security, GRC & Privacy Consultant
CISM, CRISC, CISA, CDPSE, ISO 27001 LA, DPO