IT安全性基准测试:如何衡量IT安全性的成熟度

Anonim

他们说,恐惧是一个糟糕的指南。 然而,这是围绕安全性的许多辩论的主题。 许多安全供应商制造商和供应商都迅速将恐怖情况描绘在墙上。 他们不乏黑客,勒索木马或安全漏洞之类的例子。 谁想成为下一个? 因此,在进入报纸之前,最好先进行快速投资。 但是,安全性远非CIO所追求的唯一目标。 相反,重要的是不要忽视足够性,客户和用户导向,成本或数字化要求。

但是如何衡量成功呢? 在精英运动中,世界上最好的个人学科为运动员提供指导。 海拔,时间和距离的基准是众所周知的。 IT安全性不同。 哪些学科需要有针对性的进一步发展以消除弱点? 哪些性能值是市场领导者的基准? 哪里已经​​提供顶级表演?

规范和技术安全

正如将顶级运动员的个人训练单元纳入全面训练计划以实现最佳速度,耐力和力量一样,IT安全措施也应纳入严格的行动计划中。 因此, 规范安全规范定义了技术安全的具体设计。 该行动计划经过平衡并与信息安全策略,风险管理和IT业务连续性管理保持一致,可提供360度全方位的安全需求和目标视图。 这是成功的信息安全的基础。 在此基础上,得出并实施了具体的安全体系结构和技术措施。 规范安全性方面的差距通常会导致技术IT安全方面的差距。

因此,基准测试的主题是信息安全的两个领域-规范和技术安全。

Die acht Disziplinen der normativen und technischen Informationssicherheit.
规范和技术信息安全的八个学科。
照片:LEXTA顾问组

治理中 ,定义了信息安全(IS)策略和基本原理,并将其嵌入管理系统(ISMS)中以进一步开发信息安全。 风险管理是现代安全管理系统的重要组成部分,由于其高度相关性,因此被单独考虑。 这也适用于业务连续性管理 。 两者均规定了要求并提供了技术安全的框架。 例如,使用防火墙的被动网络安全是否足够?是否需要主动监视和嵌入安全信息和事件管理(SIEM)中?

spoods.de

这些具体的实现将在技术安全领域进行检查。 身份和访问管理或安全监控等综合方面的成熟度如何? 用户的设备如何受到保护? 基础设施和业务应用程序的安全性如何? 通过安全的开发流程,今天是否可以避免明天的安全漏洞?

信息安全基准测试如何工作?

基准测试的过程遵循以下模式:在完成必要的项目 (进度表和参与者的协调)以及基准测试范围的最终定义之后 ,将收集实际数据。 这包括详细服务 (超过200个单独项目), 成本 ,相关数量结构服务水平和任何特殊功能的记录。 数量结构应理解为在基准范围内收集的一组定义的数量。 它们构成了以后关键人物分析的基础,并且从调查的安全事件数到进行的风险分析数以及每门学科使用的外部人员能力不等。

在信息安全基准中, 对每种服务的实施程度进行了评估。 该基准基于评分模型,记录了信息安全中每个流程的成熟度,使用范围以及对技术IT安全服务体系结构的集成。

Ein Scoring-Modell zur Erfassung des Umsetzungsgrades.
记录实施程度的评分模型。
照片:LEXTA顾问组

此过程通常需要大约四个星期,因此是八个星期项目周期的一半,因此,单个持续时间在很大程度上取决于客户的数据情况。 所有相关数据一起在技术领域与联系人进行访谈时收集,并从信息管理,内容和实施方面与市场进行比较,以得出可靠的评分。

在接下来的两个阶段中,将确保可比性。 正确的数据基础和正确的比较公司的选择在这里发挥了作用。 一方面,这是通过标准化任何差异(例如成本分配中的差异)来完成的。 另一方面,从基准数据库中选择合适的参考组。 这包括八到十二家公司,它们受到可比的要求并具有相似的数量级。 这些数据通常由基准顾问在可比较的项目中直接记录并保证质量。 只有确保了公司之间的可比性,结果才有意义。 如果公司要符合CRITIS的要求,则与来自不受管制区域的公司相比,应采用不同级别的安全性。 拥有50, ​​000个用户的公司的成本结构与拥有1, 000个用户的公司不同。

在最后两个阶段,将评估基准并显示优化潜力。