5.6.14 Prestatie Indicatoren Kwetsbaarhedenbeheer 3.0

Om de efficiëntie en effectiviteit van een proces te kwalificeren en waar nodig bij te sturen wordt een proces gemeten aan de hand van prestatie-indicatoren. De belangrijkste indicatoren worden KPI’s of Key Performance Indicatoren genoemd. Per KPI wordt een norm afgesproken en de rapportering gebeurt per periode, bvb maandelijks of halfjaarlijks. 

KPI’s worden ook gebruikt om bij outsourcing en externe dienstverlening de kwaliteit van het uitbestede proces op te volgen. Deze KPI’s worden dan ook vaak opgenomen in de SLA. 

Voorbeelden van KPI’s voor het proces kwetsbaarhedenbeheer zijn: 

• Aantal geïdentificeerde kwetsbaarheden per periode; 

• Aantal uitgevoerde vulnerability scans per periode; 

• Aantal openstaande kwetsbaarheden; 

• Risicoprioriteit van kwetsbaarheden; 

• Tijd tot identificatie (Time to Detect); 

• Tijd tot mitigatie/oplossing (Time to Mitigate/Resolve); 

• Percentage resterende kwetsbaarheden na herscan; 

• Kosten per opgeloste kwetsbaarheid; 

• Aantal kwetsbaarheden gedecteerd door externe partijen (responsible disclosure); 

• Aantal kwetsbaarheden geïntroduceerd door nieuwe releases; 

• Aantal false positives door scans. 

Het vastleggen van de juiste prestatie-indicatoren is een moeilijke klus die de nodige aandacht vraagt: een teveel aan KPI’s zal de organisatie (te) veel werk bezorgen, maar te weinig of onjuiste KPI’s schetsen geen goed beeld van de kwaliteit van het incident beheerproces. 

De doelgroep voor de rapportering bepaalt tevens het type KPI: zo zal de incident manager of CISO belang stellen in andere prestatie-indicatoren dan bvb de directie.