ИБ уменьшает риски, чистых KPI не существует, как и нет способа точно определить насколько вы своими действиями эти риски снизили, но есть операционные метрики, которые покажут генеральному, что незря платит: количество пойманных зловредов антивирусами, количество установленных патчей, сокращение времени между обнаружением дыры и ее устранением, уменьшение портов торчащих в мир, закрытие пунктов комплаенса. Короче из каждого контроля что-то вытащить, но это не будет KPI в чистом виде. Например уменьшение пойманных зловредов, может значить как хорошую работу по осведомлению, так и кривую настройку антивируса.
И ещё, нельзя защитить, то чего не видно. Уменьшение "слепых зон" тоже метрика. Часто в крупных конторах бывает, что есть десятки и сотни серверов, о предназначении которых никто не знает, доступы не аудировались, софт не обновлялся. Уменьшение таких зон – тоже метрика. Настроил сбор логов, обновился, заблочил аккаунты – плюсик себе в карму поставил, шефу отчитался.
