Quali metriche chiave dovrebbero fare affidamento su un CIO per valutare l'entità dell'esposizione al rischio IT?

Da ISACA CGEIT (Certificate in Governance of Enterprise IT) le categorie chiave sono:

1. Rispondere ai requisiti aziendali in allineamento con la strategia aziendale
2. Rispondere ai requisiti di governance in linea con la direzione della tavola
3. Garantire la soddisfazione degli utenti finali con offerte di servizi e servizio livelli
4. Ottimizza l'uso delle informazioni
5. Crea agilità IT
6. Definisci come funziona il business e i requisiti di controllo sono tradotti in modo efficace ed efficiente automatizzato Le soluzioni
7. Acquisire e mantenere integrato e sistemi di applicazione standardizzati
8. Acquisire e mantenere un integrato e infrastruttura IT standardizzata
9. Acquisisci e mantieni le tue capacità IT rispondere alla strategia IT
10. Garantire la soddisfazione reciproca del terzo  relazioni di partito
11. Garantire una perfetta integrazione di  applicazioni nel mondo degli affari  processi
12. Garantire la trasparenza e  comprensione dei costi IT, benefici,  strategia, politiche e servizio  livelli
13. Garantire un uso e prestazioni corretti  delle applicazioni e della tecnologia  Le soluzioni
14. Account e protezione di tutto l'IT  attivi
15. Ottimizza l'infrastruttura IT,      risorse e capacità
16. Riduci la soluzione e il servizio  difetti di consegna e rilavorazione
17. Proteggi il successo dell'IT  obiettivi
18. Stabilire chiarezza di business  impatto dei rischi sugli obiettivi IT  e risorse
19. Assicurati che sia critico e  le informazioni riservate sono  trattenuto da coloro che non dovrebbero  avere accesso ad esso
20. Garantisci quell'attività automatizzata  transazioni e informazioni  gli scambi possono essere considerati affidabili
21. Garantire che i servizi IT e  l'infrastruttura può resistere adeguatamente  e recuperare dai guasti dovuti a  errore, attacco intenzionale o  disastro
22. Garantire un impatto aziendale minimo in  l'evento di un servizio IT  interruzione o modifica
23. Assicurati che i servizi IT siano  disponibile come richiesto
24. Migliora l'efficienza dei costi dell'IT e  il suo contributo alle imprese  redditività
25. Consegna i progetti in tempo e oltre  budget, rispettando gli standard di qualità
26. Mantenere l'integrità di  informazione ed elaborazione  infrastrutture
27. Garantisci la conformità IT alle leggi,  regolamenti e contratti
28. Garantire che l'IT dimostri costi  qualità del servizio efficiente,  miglioramento continuo e  disponibilità per il cambiamento futuro

È interessante notare che solo nove di questi hanno a che fare con la sicurezza IT, e di questi, cinque riguardano la resilienza, quindi la visione del rischio del CIO non è la stessa di quella di un professionista della sicurezza IT.

Quindi realisticamente, le statistiche richieste sarebbero in riferimento a:

protezione delle risorse - attacchi rilevati su risorse contro attacchi riusciti controllo degli accessi - violazioni del controllo degli accessi, mancata inclusione degli utenti nella politica, ecc fiducia nei processi automatizzati - flag di controllo, errori di controllo Garantire la continuità aziendale: test di successo dei piani BC / DR Riduzione dell'impatto - analisi post analisi attacchi (con successo o altro) Conformità - risultati audit / regolatore

• numero di incidenti all'anno, per tipo, in interi positivi
• Tempo / risorse necessarie per gestire gli incidenti (investigare, ripulire, analizzare / rivedere / post mortem, ecc.), in numero di ore lavorative (ogni incidente dovrebbe avere i propri dati corrispondenti)
• Copertura (in percentuale) su metastruttura e infostruttura in termini di analisi forense, gestione dei registri, gestione dei processi / programmi di risposta agli incidenti e formazione del gestore degli incidenti
• Qualità della medicina legale, gestione dei registri, gestione dei processi / gestione degli incidenti e formazione del gestore degli incidenti, per categoria (informazioni / metastruttura) e sottocategoria (ad esempio per-app, per-BU, per-data-center, ecc.) , misurato da un valutatore esterno (una volta all'anno, misurato come una sorta di scala che può essere controllata nel tempo, probabilmente da 1 a 100 e gradi ma non come FISMA)