编者按: 近年来,网络成熟度的概念得到了越来越多的关注, 虽然在整个行业的许多圈子里还没有被很好地理解. Kelly Hood, CISSP, CDPSE, Optic Cyber Solutions网络安全工程师, 最近访问了ISACA现在,提供了她对网络成熟度的看法——为什么它很重要,以及组织如何在网络成熟度之旅中取得和衡量进展. 以下是采访实录. 有关更多网络成熟度资源,请参见 ISACA CMMI的® Cybermaturity平台.
ISACA现在:为什么网络成熟度的概念对组织如此重要?
KH: 重要的是要考虑组织网络安全计划的成熟度,以了解他们所拥有的能力的复杂性. 有很多方法可以实现网络安全功能,很明显,有一种规模可以实现 不 适合所有人. 网络成熟度为公司提供了一种机制,可以根据其特定需求定义“合适的规模”,并展示其网络安全实践的增长. 对于组织来说,重要的是要考虑他们独特的风险,并确定在适当的成熟度级别上管理网络安全风险所需的“适当规模”的能力和流程.
ISACA现在:组织在网络能力方面最常见的差距是什么?
KH: 在实施网络安全能力时,公司需要考虑他们的 人, 流程, 技术 确保他们有一个全面可靠的计划. 许多公司主要关注 技术 实践,因为它们经常提供非常切实的结果,并且可以自动化地简化工作流程. 近年来,我们看到各方更加一致地关注 人, 确保员工意识到他们的网络安全责任,并提供足够的培训,以防止网络安全事件. 然而,大多数公司往往会忽略这一点 流程, 如果技术配置得当并且他们的人员做得很好, 那么文档化的过程就没有必要了. 这在组织中引起了问题,因为由于对目标和优先级的不同理解,它经常导致功能的实现不一致.
ISACA现在:组织通常需要多长时间才能在解决这些差距方面取得有意义的进展?
KH: 要使组织的网络安全计划走向成熟,通常需要数年时间才能取得有意义的进展. 小的改进可以很快完成,但是整个项目的成熟需要时间. 通常, 缩小差距和实施改进最困难的部分来自于获得利益相关者的支持,以获得资金和培训人员,以接受新的网络安全文化.
ISACA现状:框架在促进组织网络成熟度方面可以发挥什么作用?
KH: 框架通过定义期望的网络安全结果,在组织计划的成熟过程中发挥着有意义的作用. 框架通常定义“什么”需要发生, 但是组织需要更进一步,通过评估他们的风险来确定他们需要“多少”或“多成熟”. 经常, 网络成熟度被用作衡量网络安全框架能力实现的尺度.
ISACA现在:您认为哪种类型的报告对高管和董事会解释其组织在这一过程中的位置最有帮助和可操作性?
KH: 关于网络成熟度的最佳报告清楚地定义了组织现在所处的位置,以及他们需要达到的位置或他们来自哪里. 与任何大型项目一样, 里程碑和目标对于衡量网络安全改进的进展非常重要. 建立这些里程碑设定了整个组织的期望和改进的步伐. 监控和沟通这些里程碑有助于组织保持正轨,并意识到他们今天所处的位置. 这可以通过多种方式实现, 从显示成熟度等级比较的条形图, 对其网络安全计划中基于风险的差距的描述. 因为选择了特定类型的报告, 重要的是要记住高管们在寻找什么,以及你的报告如何与他们的优先事项相关联,以推动降低网络安全风险的可操作结果.
