Demuestre el Valor de su Programa: Cree un Informe de Métrica de Seguridad Convincente
Demuestre el Valor de su Programa: Cree un Informe de Métrica de Seguridad Convincente
Desarrollar y mantener una gestión de riesgos de seguridad de alta calidad o un programa de resiliencia empresarial requiere la dedicación de aquellos de nosotros encargados de estas responsabilidades. Se necesita planificación, revisión, mejora continua. En mi artículo a principios de este año sobre la comunicación del riesgo de seguridad a los ejecutivos de negocios, hablé sobre la necesidad de proporcionar información cuantitativa y objetiva para su audiencia comercial. Entonces, ¿cómo les demuestras eso? Si se parece a miles de directores de programas en nuestra industria, intentará comunicar que está haciendo un buen trabajo a través de un Informe de métricas. Si usted es como miles de patrocinadores ejecutivos en todas nuestras empresas, su respuesta a estos informes bastante tradicionales es a menudo ... "¿Y qué?"
El propósito de las métricas
¿Por qué tantos de nosotros en administración de programas pasamos tanto tiempo recolectando, organizando y presentando datos, solo para que nuestros informes sean descartados con poca o ninguna atención prestada?
El propósito de un informe de métricas es (o debería ser) educar al lector; para decirles algo que necesitan saber; para informarles de algo que tendrá un impacto en sus vidas (negocios o de otro tipo). ¿Tus informes hacen eso? ¿Tiene algún informe o comunicación diaria / semanal que realmente le guste leer? ¿Qué tienen en común? ¿Qué los hace valer tu tiempo?
Un ejemplo personal de un informe que me encanta y espero recibir es un informe financiero *. Cada mañana me entero de las tendencias y direcciones en los mercados del día anterior, recibo algunas noticias rápidas y digeribles sobre lo que causó esas tendencias y lo que podrían significar para mí en el futuro, y luego recojo uno o dos puntos de datos interesantes que no esperaba, pero que me enseñan algo, no obstante.
Eso es. Muy simple. Me da información sobre un tema que impacta mi vida y mis activos. Puede hacer lo mismo con su informe a sus partes interesadas sobre cómo está impactando sus activos. Mi ejemplo ni siquiera es un "informe corporativo", ¡pero es un GRAN informe! No se sienta atado a los métodos tradicionales de informes que ha visto en su organización. Si encuentra la manera correcta de conectarse con su audiencia, estarán más inclinados a leer su informe.
Cuando desarrolle un informe de métricas, puede hacerse algunas preguntas:
- ¿Quién es la audiencia para mi informe?
- ¿Que es lo que les importa?
- ¿Qué aspectos de mi programa afectan las cosas que les importan?
- ¿Qué datos mostrarán ese impacto y demostrarán el valor para ellos?
Adaptando su informe a su audiencia
En general, cuando diseña un informe para una audiencia ejecutiva, querrá escribirlo a nivel estratégico, en lugar de táctico. Una buena regla es que cuanto más "alto" esté su público en la organización, "más grande" debe ser la imagen. Los detalles de eventos y acontecimientos individuales darán paso a gráficos e imágenes que muestran tendencias a lo largo del tiempo o puntos de referencia en comparación con organizaciones similares.
Si su audiencia ejecutiva está en I + D o marketing, y está muy interesado en el riesgo de robo interno de propiedad intelectual, ¿qué puede proporcionarles que muestre el valor de lo que está sucediendo en su programa?
La métrica de la cantidad de dispositivos perdidos o robados y la tendencia de esas pérdidas a lo largo del tiempo es buena para mostrar la eficacia de su programa. Si tiende esos datos y los correlaciona con las horas / fechas / ubicaciones de cualquier sesión de entrenamiento que realice, aún mejor.
El mismo tipo de historia se puede mostrar con datos relacionados con cualquier actividad de mitigación y el riesgo que está mitigando. ¿Ha instalado un nuevo sistema de control de acceso para responder a un riesgo de intrusión externa? Todas estas historias, si están respaldadas por datos, muestran más a las partes interesadas de sus activos que simplemente informar sobre la cantidad de horas trabajadas por el equipo de seguridad o un recuento de la cantidad de veces que se completó una actividad como una patrulla.
Fuentes de datos
¿Qué lleva a la pregunta de dónde podría encontrar esos datos? Si no realiza un seguimiento de los incidentes, los tipos, los tiempos y el resultado de ellos, está en desventaja. Si no está siguiendo de cerca las actividades que realiza su equipo para mitigar los riesgos para la empresa, también tendrá dificultades para contar la "historia de valor". Los datos que pueden ayudar a contar su historia están en todas partes, en todos los sistemas. Simplemente necesita saber dónde y cómo encontrarlo, luego juntarlo para hablar directamente sobre las cosas que le interesan a su audiencia.
Cuando desarrolle un informe de métricas, puede hacerse algunas preguntas:
- Registros electrónicos del sistema de seguridad.
- Planes y objetivos de negocios. Propietarios de negocios de activos clave / críticos
- Evaluaciones de riesgo
- Resultados del ejercicio BCP / DRP
- Informes de incidentes.
- Revisiones post mortem
- Informes de operación en curso.
- Inteligencia de código abierto
La recopilación de estos datos se logra más fácilmente en una de las muchas plataformas de software en el mercado diseñadas para rastrear y recopilar esta información. Los informes manuales y el seguimiento con hojas de cálculo e informes manuales de incidentes hacen que recopilar y adaptar informes a su audiencia sea mucho más difícil.
Diseñando el Informe
Al crear informes para una audiencia de nivel ejecutivo, tenga en cuenta que han recibido muchos otros informes de métricas ese mismo día y que solo tienen unos minutos para darles a cada uno de ellos. Algunos consejos para diseñar los informes y cómo decidir exactamente qué poner en ellos:
- Asegúrese de que sus datos tengan una razón para estar en el informe: está comunicando el punto deseado al lector.
- Asegúrese de que sea claro, conciso y relevante
- Use gráficos para presentar la información numérica tanto como sea posible, en lugar de tablas y cuadrículas
- Mantenga las narraciones cortas y al punto.
- Presente datos similares en un horario regular para mostrar tendencias a lo largo del tiempo
- Use solo información actualizada en los informes, evite las estimaciones tanto como sea posible.
Ejemplo
Aquí hay un ejemplo rápido de un posible informe del equipo de seguridad al director de tecnología. Las tendencias se centran en cuestiones de TI y tecnología, y se ajustan a lo que nuestro CTO imaginario ha expresado su interés. Es una página, pero les brinda los datos que necesitan saber para comprender que el departamento de seguridad está haciendo lo que se le encarga.
Rachelle Loyear
Enterprise Security Risk Management
Es la actual gerente de programa del programa ASIS ESRM, es miembro y presidente reciente del ASIS Crisis Management and Business Continuity Council, y es miembro del ASIS IT Security Council. Es Gerente Certificado de Seguridad de la Información (CISM) a través de ISACA, Master Professional Continuity Professional (MBCP) a través de DRI International, Miembro Asociado de Business Continuity International (AFBCI), y Certificado Profesional de Gestión de Proyectos (PMP) a través del Project Management Institute (PMI)