Оценка результатов работы на основе показателей KPI – широко распространенная сегодня методика. KPI (Key Performance Indicators) — набор ключевых показателей эффективности деятельности компании в целом или ее отдельной структурной единицы, который способствует в достижении поставленных стратегических и тактических целей. Применяются показатели KPI  следующим образом:

• для сотрудника или подразделения задаются цели, определяются сроки их выполнения;
• по завершению выбранного периода, достигнутый результат сопоставляется с планом;
• в зависимости от реализации плана по показателям KPI определяется соответствующее вознаграждение.

Данная система позволяет сделать оценку работы сотрудников максимально эффективной. Важным условием в успешном применении показателей KPI является формат поставленных целей. Они должны быть четкими, ограниченными временными рамками, реальными и достижимыми.

KPI активно используются в работе ИТ подразделений. В частности, и для структурных единиц, связанных с информационной безопасностью (далее ИБ). Ключевой целью в деятельности любой компании является получение прибыли. На основе этого принципа определяются показатели KPI в классическом подходе к этой методике. На первый взгляд деятельность служб ИБ нельзя напрямую связать с показателями прибыльности бизнеса и соответственно выразить их результаты количественно. При этом роль ИБ в успешном и стабильном функционировании бизнеса огромна. Поскольку эффективная превентивная работа ИБ защищает ИТ-инфраструктуру от простоев, потери и утечки данных. Исходя из этого нужно формировать KPI для ИБ.

Структура и значение KPI показателей для служб ИБ может иметь свои особенности в зависимости от сферы деятельности компании. В обобщенном виде можно выделить следующие процентные и количественные показатели KPI для служб ИБ.

Процентные показатели KPI для ИБ:

• Серверы, на которых регулярно выполняется обновление программного обеспечения
• Рабочие станции, на которых регулярно выполняется обновление программного обеспечения
• Закрытые уязвимости в соотношении к их общему выявленному числу
• Пользователи без административных прав
• Серверы с активной антивирусной защитой и актуальным обновление базы образцов угроз
• Рабочие станции с активной антивирусной защитой и актуальным обновление базы образцов угроз

Количественные показатели KPI для ИБ:

• Зарегистрированные инциденты ИБ
• Инциденты ИБ, по которым было проведено и завершено расследование
• Выполненные заявки
• Инструктаж по ИБ
• Проведение оценки рисков ИБ
• Проведение аудитов ИБ
• Политики ИБ, которые были разработаны