„Netzwerksicherheit ist heute die größte Herausforderung für die Unternehmensführung. Ungefähr 87 % der Führungskräfte und Vorstandsmitglieder haben kein Vertrauen in die Netzwerksicherheitsfähigkeiten ihres Unternehmens. Viele Chief Information Security Officers und Computing Services Offices konzentrieren sich auf die Implementierung von Standards und Frameworks, aber wenn Compliance Ihre allgemeine Cybersicherheitsresistenz nicht verbessert, welchen Nutzen hat Compliance dann?“ – CMMI-Institut
Viele Organisationen verfügen über Informationssicherheitsprogramme, aber viele Führungskräfte und Vorstände wissen nicht, wie sie den Fortschritt dieser Programme messen können. Daher zögern sie, zu glauben, dass jede Investition in Technologie wahrgenommene oder sogar unbekannte Risiken mindern wird. Einige Organisationen verwenden regulierte Compliance-Standards. Diese Standards decken jedoch die Risikoumgebung des Unternehmens nicht vollständig ab, da sie sich nur auf bestimmte Risikobereiche oder allgemeine Sicherheitsprinzipien konzentrieren.
Viele Organisationen verwechseln Informationssicherheit mit Informationstechnologie. Anfragen nach neuen Lösungen gelten als Verbesserungen oder Wunschlistenelemente. Anfragen zur Einstellung von Vollzeitmitarbeitern gelten beispielsweise als Betriebskosten und nicht als ISP-Erweiterungen. Der Unterschied besteht darin, dass mit diesen Anfragen ein Risiko verbunden ist und sich letztendlich im CMMI widerspiegelt. Es besteht eine direkte Verbindung zwischen Menschen, Prozessen und Technologie und CMMI.
Die Information Systems Audit and Control Association (ISACA) hat das CMMI ins Leben gerufen, um die Geschäftsreife und -leistung in einem Format zu messen, das der Geschäftsleitung vorgelegt werden kann. Doch in den letzten Jahren haben deutlich sichtbare Verstöße und die Auswirkungen dieser Verstöße dazu geführt, dass Vorstände begonnen haben, den Reifegrad der ISPs einer Organisation zu verstehen.
CMMI erfüllt diesen Bedarf. Nach Angaben des CMMI Institute (einer Tochtergesellschaft von ISACA) handelt es sich um „eine bewährte Reihe globaler Best Practices, die die Geschäftsleistung durch den Aufbau und das Benchmarking von Schlüsselfähigkeiten steigern“. Ursprünglich wurde es für das US-Verteidigungsministerium entwickelt, um die Qualität und Leistungsfähigkeit seiner Software-Auftragnehmer zu bewerten. CMMI-Modelle können jetzt jeder Branche dabei helfen, Fähigkeiten und Leistung aufzubauen, zu verbessern und zu messen.
Das CMMI-Modell erfreut sich zunehmender Beliebtheit. Sie helfen dem Informationssicherheitsteam dabei, das Führungsteam in der ISP-Unterstützung und -Wartung zu schulen. Darüber hinaus können sie weiterhin wirksamen Schutz vor internen und externen Bedrohungen bieten.
Zusammenfassend bietet das CMMI-Modell einer Organisation eine Brücke, um das Informationssicherheitsteam zu verstehen, das für die Identifizierung, Kommunikation und Antizipation künftiger Risiken verantwortlich ist, und eine umfassende und bewährte Begründung für die Beantragung von Finanzmitteln für zukünftige Lösungen zu entwickeln.
Postzeitpunkt: 28.02.2022 00:00:00
