当你在网上搜索“网络安全”这个词时, 你得到了大约170亿张挂锁和盾牌的图像——但这到底是在试图传达什么? 经常, 当我们考虑如何保护我们的公司时, 我们通过购买产品来获得技术解决方案, 或者运行渗透测试. 虽然这些都是拼图的重要部分, 考虑我们的商业价值和我们努力实现的目标也很重要. 在直接跳到解决方案之前,我们需要了解我们试图解决的问题. 这就是成熟的网络治理和风险管理能力如此重要的原因.
任何组织都没有无限的时间和资源来解决问题, 尤其是当它们与公司利润没有直接联系的时候. 除非是从事网络安全业务的公司, 网络安全通常不被视为一个关键的业务优先事项——它不应该被视为! 但是,应该根据网络安全为组织减轻的风险来考虑和管理网络安全. 这是通过实现流程和功能来实现有效决策的, 确保这些有限的资源得到有效利用,并产生预期的结果. 那么,我们怎么做呢? 我们定义我们的优先级,并创建治理过程来支持它们.
根据公司的商业目标来评估公司,可以帮助我们理解 应该 推动我们的决策过程. 最终, 我们希望确保公司采取的每一项行动都支持其关键业务目标,并始终如一地实现,从而为相关利益相关者提供信心. 这可以在不同的成熟度级别上使用许多不同的方法来完成. 那么,我们怎么知道从哪里开始呢?
具有强大治理计划的成熟组织可能有适当的政策和过程来定义涉众组(例如.g.(董事会,最高管理层)为组织做决定. 通常, 当执行这些决策时,这些组织将为员工定义最终的期望,以确保它们能够可靠地实现. 然而,即使在非常小的组织中,通常也存在非正式的治理系统. 虽然这些过程可能没有记录, 员工通常都知道决策来自哪里. 无论是由主管提供的指导,还是在政策中正式记录的指示, 总是要做出决定. 那么问题就变成了这些决策是否对组织最有利.
随着公司的成长, 它们通常使治理能力成熟,以获得基于可用信息和资源做出最佳决策的信心. ISACA的 网络成熟度平台(CCP) 正在扩展其治理指南,以包括CCP模型中定义的所有五个成熟度级别的能力, 从只在网络成熟度的最高级别可用过渡. 此更新旨在帮助中小型公司更好地了解如何通过利用可能已经存在的非正式流程来改进其治理能力. 通过将这些能力的定义扩展到更低的成熟度级别, 更广泛的组织将能够利用这些能力来确定他们现在所处的位置, 即使是非正式的, 看到一条通往更大网络成熟度的道路,而不会被形式所压倒.
有关CCP的更多资料,请浏览 http://kebv.ngskmc-eis.net/enterprise/cmmi-cybermaturity-platform.
