Standard-Reifegradmodelle für die IT-Security

1. Standard-Reifegradmodelle für die IT-Security
2. Zu den gängigen Reifegradmodellen, die meist als Goldstandard gelten, gehören beispielsweise das NIST Cybersecurity Framework, ISO 27000 und CIS 20. Weitere sind beispielsweise die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, der Payment Card Industry Data Security Standard (PCI DSS) und der Health Insurance Portability and Accountability Act (HIPAA).
3.  
4. Jedes Reifegradmodell erfordert umfassende Kenntnisse über die IT-Security eines digitalen Ökosystems. Als weltweit führende Plattform für Sicherheitsbewertungen bietet beispielsweise BitSight die Transparenz, die einem Unternehmen dabei helfen kann, ihre Sicherheits- und Risikoprogramme zu verfeinern.
5.  
6. NIST-Cybersicherheits-Framework: Das National Institute of Standards and Technology (NIST) ist ein Reifegradmodell für IT-Security, das nicht nur von US-Organisationen und Unternehmen verwendet wird. In diesem Modell ist die Etablierung und Kommunikation von Risikotoleranz der Schlüssel zur Erhöhung der Sicherheit. Das NIST-Framework berücksichtigt eine sich schnell entwickelnde Bedrohungslandschaft und rät Sicherheitsteams, ihre Überwachungstechniken und Abhilfestrategien an die jeweiligen Bedrohungen anzupassen.
7. ISO 27000: ISO 27000 ist eine internationale Norm, die von der Internal Standardization Organization (ISO) erstellt wurde, um Best Practices für IT-Security-Managementsysteme zu skizzieren. Dieses Reifegradmodell erfreut sich in der Europäischen Union größerer Beliebtheit und konzentriert sich mit ihren drei Hauptschwerpunkten auf Personen, Prozesse und Technologien, um IT-Security-Managementprogramme weiterzuentwickeln.
8. CIS 20: Dieses Reifegradmodell, das vom Center for Internet Security (CIS) erarbeitet wurde, besteht aus 20 kritischen Kontrollmechanismen zum Schutz eines Netzwerks vor Hacker-Angriffen. Das CIS 20-Modell ist so konzipiert, dass es allumfassend ist und daher große Aufmerksamkeit für die Cybersicherheits-Managementprozesse einer Organisation erfordert.
9. Der Weg zur Reife in der IT-Security
10. Im Folgenden sind die einzelnen Schritte eines ausgereiften IT-Security-Programms und deren Indikatoren als Beispiel skizziert, die jeweils wiederum auf die Notwendigkeit einer größeren Reife hinweisen:
11.  
12. Organisationen mit niedrigem Reifegrad
13.  
14. Merkmale einer Level-1-Reife
15.  
16. Unvorhersehbare Prozesse bzw. Ad-hoc-Prozesse.
17. Schlechte und inkonsistente Kontrollen.
18. Mangel an Betriebs- oder Governance-Modellen.
19. Geringe Qualifikationstiefe der Mitarbeiter oder zu kleines Team.
20. Minimale Automatisierung oder Tool-Implementierung.
21. Schlechte Asset-Verwaltung.
22. Minimale oder fehlende Maßnahmen oder Überwachung.
23. Wesentliche Maßnahmen
24.  
25. Identifizierung und Priorisierung der Sicherheitsrisiken und Schwachstellen.
26. Etablierung eines umsetzbaren Plans, um dringende Sicherheitslücken zu schließen.
27. Entwicklung eines Organisations- und Governance-Modells.
28. Dies ist das Level, das die größten Risiken birgt. Das Unternehmen ist gerade erst im Begriff zu erkennen, dass sein „Programm“ eher reaktiv als proaktiv und standardisiert ist. Hier besteht das wesentliche Ziel erst einmal darin, ein Risikoprofil zu erstellen, einen Plan für den Aufbau des Programms zu erarbeiten und Lücken im Bereich des Security-Knowhows zu schließen. Es empfiehlt sich, externen CISO-Support oder Überwachung der IT-Security auf dieser Ebene zu nutzen.
29.  
30. Organisationen mit mittlerem Reifegrad
31.  
32. Merkmale einer Level-2-Reife
33.  
34. Viele kodifizierte Prozesse und Richtlinien.
35. Inkonsistente Maßnahmen und Überwachung.
36. Qualifikationslücken in verschiedenen Domänen.
37. Fehlende Sicherheitsfunktionen.
38. Suboptimales Bedrohungs- und Schwachstellen-Management.
39. Lücken im Konfigurations-Management.
40. Compliance- und Audit-Probleme.
41. Datenschutzbezogene Herausforderungen beim Testdaten-Management.
42. Wesentliche Maßnahmen
43.  
44. Klarer Kurs zum angestrebten Reifegrad.
45. Ressourcen werden systematisch eingesetzt.
46. Reduzierte Kosten und verbesserter ROI für IT-Security-Maßnahmen.
47. Metriken und Überwachungsberichte werden implementiert.
48. Auf dieser Ebene verfügt das Unternehmen bereits über ein etabliertes Programm mit einer Governance-Struktur sowie Richtlinien und Verfahren. Die Fähigkeit, Bedrohungen zu erkennen und Verstöße zu verhindern, muss jedoch gestärkt werden, ebenso wie IT-Security-Metriken zu überwachen und darüber zu berichten. Hier geht es darum, durch Leistungsindikatoren Stärke aufzubauen, Compliance zu erreichen, Ressourcen strategisch einzusetzen und mehr Effizienz zu erreichen. Viele Unternehmen nutzen zunächst die Unterstützung externer CISOs, bevor sie ihren ersten CISO einstellen.
49.  
50. Organisationen mit höherem Reifegrad
51.  
52. Merkmale einer Level-3-Reife
53.  
54. Formalisierte Richtlinien, Verfahren und Prozesse.
55. Risiken werden gemessen und konsequent überwacht.
56. Wiederkehrende Risiko- und Lückenbewertungen und –behebung.
57. Suche nach Outsourcing-Möglichkeiten.
58. Integration von Sicherheitsoperationen in Unternehmenssystemen und -funktionen.
59. Konzentration auf die Reduzierung von IT-Kosten und ROI bei gleichzeitiger Aufrechterhaltung einer ausgereiften Risiko-Überwachung.
60. Wesentliche Maßnahmen
61.  
62. Aufrechterhaltung und Verbesserung des positiven Compliance-Status.
63. Verbesserung des ROI für Sicherheitsoperationen durch Outsourcing.
64. Realisierung von erweiterten Metriken und Überwachungsfunktionen.
65. Implementierung einer Risiko-Analyse.
66. Formelle Berichterstattung auf C-Level.
67. Langfristige Managed Security Service Provider (MSSP)-Beziehung.
68. Auf dieser Ebene hat das Unternehmen IT-Leadership, Governance und kontinuierliche Überwachung und Reaktion auf wiederkehrende Bedrohungen etabliert. Das ausgereifte Security-Programm optimiert die Effizienz und den ROI. Die Security-Prozesse und -aufgaben sind automatisiert.
69.  
70. Das Unternehmen möchte sicherstellen, dass seine digitalen Produkte, Dienstleistungen und IT-Infrastruktur ein Sicherheitsniveau aufweisen, das es ihm ermöglicht, wettbewerbsfähiger zu werden, neue zu Kunden gewinnen und neue Märkte zu erschließen. Viele Unternehmen nutzen externe Unterstützung, damit sich das interne Team auf strategische IT-Initiativen konzentrieren kann.