最近我们经常听到“网络成熟度”这个词,但它是什么意思呢? 网络成熟度是一种描述复杂程度的状态, 或者严格, 一个人的网络安全能力和流程. 换句话说, 这是为了防止违反机密而采取的充分的防御措施, 完整性或可用性. 然而, 要真正理解所需的复杂程度, 我们首先需要知道一个人是如何变得网络成熟的. 这可以使用基于风险的安全方法来实现.
让我们从了解我们拥有什么以及我们正在努力保护什么开始——数据. 了解哪些数据需要保护的一个重要步骤是了解您拥有哪些数据. 每个组织都以不同的方式使用数据. 对组织所消耗的数据的分析, 收集和产生的数据将为哪些数据需要保护以及哪些数据最重要奠定蓝图. 因为不是所有的数据都是一样的, 保护它的方式和注意程度取决于它对组织(或攻击者)的重要性。. 识别组织数据的价值有助于更好地理解保护需求. 像任何有价值的东西一样,数据也有丢失的风险.g.(财务、声誉). 确定与数据相关的风险是了解构建网络安全计划成熟程度的关键第一步.
数据风险是通过分析产生负面影响的事件发生的可能性来确定的.g., ransomware, 自然灾害, 盗窃)和有害事件将对组织产生的影响(例如.g.、收入损失、客户信任度下降). 一旦确定了风险, 开发了组织网络安全能力所需状态的基准, 称为目标成熟度级别. 成熟度模型提供了分层的方法, 每一层都建立在前一层的基础上, 制定一个组织可以衡量其网络安全计划的综合规模. 目标成熟度级别提供了正确保护数据和最小化风险所需的安全功能的复杂程度的度量. 一些组织会发现他们的成熟度目标比其他组织低. 记住,不是每家银行都要像诺克斯堡那样. 相关风险越低, 可能成熟度目标越低, 可以想象,适当管理风险所需的能力也会减少.
具有为网络安全计划定义的成熟度目标和方向, 组织必须深入了解其能力的当前状态. 对网络安全计划当前状态的评估提供了对现有防御的认识,并发展了对当前测量的成熟度水平的理解. 将度量的成熟度级别与目标成熟度级别进行比较,以辨别它们之间的差距. 这些差距本质上是如何构建一个更健壮的, 或成熟, 网络安全计划,以最好地管理风险和发展能力,以达到目标成熟度水平.
一旦我们了解了如何衡量网络成熟度, 评估我们的目标成熟度并确定我们当前的成熟度, 我们可以开始完善我们的网络安全计划. 网络安全项目的成熟是一个持续的过程. 一个组织拥有多少数据啊, 需要什么保护和需要什么级别的保护是组织的各个方面,随着时间的推移而变化. 这通常会使评估和管理网络安全计划的成熟度成为一项具有挑战性的任务. 并非每个组织都有时间或资源来充分分析其程序,因为有些组织可能只是缺乏专业知识. 考虑到这一点, 重要的是要了解,有一些工具可以帮助组织评估其独特的网络成熟度水平,并为如何建立更强大的网络成熟度提供见解, 更严格的网络安全能力.
网络安全计划的成熟已经有一段时间了,并且存在各种模型来帮助组织构建更好的计划. 的 能力成熟度模型(CMM) 1986年开发的就是这样一个框架. 利用CMM, 成熟度的概念为组织提供了一种参照行业标准进行基准测试的方法, 制定路线图以加强安全功能,并更好地与涉众就组织的需求进行沟通.
ISACA的CMMI网络成熟度平台(CCP) 建立在CMM的基础上,可以帮助组织利用基于行业标准的基于风险的解决方案开发复杂的网络安全计划. CCP易于使用的架构简化了安全缺口分析,并提供了适合任何组织的风险优先级改进路线图. 路线图通过确定必须实现以满足成熟度目标的特定实践,帮助组织实现其目标成熟度. CCP还包含组织的度量成熟度与目标成熟度的图形表示. 这样就可以轻松地与利益相关者就安全需求进行沟通,以缩小任何差距,并实现网络安全计划预期方向的清晰可视化.
