/
5.2.5. Prestatie Indicatoren (Logging en Monitoring - SIEM) 3.0.1

5.2.5. Prestatie Indicatoren (Logging en Monitoring - SIEM) 3.0.1

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

Om de efficiëntie en effectiviteit van een proces te kwalificeren en waar nodig bij te sturen wordt een proces gemeten aan de hand van prestatie-indicatoren. De belangrijkste indicatoren worden KPI’s of Key Performance Indicatoren genoemd. Per KPI wordt een norm afgesproken en de rapportering gebeurt per periode, bvb maandelijks of halfjaarlijks. 

KPI’s worden ook gebruikt om bij outsourcing en externe dienstverlening de kwaliteit van het uitbestede proces op te volgen. Deze KPI’s worden dan ook vaak opgenomen in de SLA. 

Voorbeelden van KPI’s voor het proces veiligheidslogging en monitoring zijn: 

  • Incidentdetectietijd (MTTD – Mean Time to Detect)
    Tijd tussen optreden van het incident en detectie door monitoringproces 

  • Incidentresponstijd (MTTR – Mean Time to Respond)
    Tijd tussen detectie van incident en start van beheersingsmaatregelen 

  • Aantal waarschuwingsmeldingen (False Positives vs. True Positives)
    Verhouding valse alarmen tgo correcte alarmen 

  • Geautomatiseerd detectiepercentage
    Percentage van incidenten dat automatisch door het system wordt gedetecteerd zonder menselijke tussenkomst 

Het vastleggen van de juiste prestatie-indicatoren is een moeilijke klus die de nodige aandacht vraagt: een teveel aan KPI’s zal de organisatie (te) veel werk bezorgen, maar te weinig of onjuiste KPI’s schetsen geen goed beeld van de kwaliteit van het incident beheerproces. 

De doelgroep voor de rapportering bepaalt tevens het type KPI: zo zal de incident manager of CISO belang stellen in andere prestatie-indicatoren dan bvb de directie.