Comprendere i modelli di maturità della sicurezza informatica-Huntsman

Marzo 3, 2020

La Cybersecurity Maturity Model Certification (CMMC) è un’iniziativa statunitense guidata dall’Ufficio del Segretario aggiunto alla Difesa per l’acquisizione all’interno del Dipartimento della Difesa (DoD). Impone requisiti agli appaltatori e ai subappaltatori del DOD per aiutare a salvaguardare le informazioni all’interno della catena di fornitura della difesa statunitense. Questo post è il secondo di una serie in cui analizziamo il CMMC e vediamo come si potrebbe raggiungere la conformità o usarlo come base del proprio programma di sicurezza delle informazioni. Potete leggere il primo post che dà una panoramica di CMMC, qui.

Iniziamo osservando perché esistono modelli di maturità della cyber security e come aiutano le organizzazioni a orientare i loro processi aziendali (come la gestione della sicurezza delle informazioni) contro una rotazione di monitoraggio, valutazione e miglioramento continuo. Questa visione storica di dove hanno avuto origine i modelli di maturità è importante per i team di sicurezza informatica come base di ogni livello di maturità, la logica di fondo applicata alla sicurezza informatica e 17 domini specifici di CMMC aiuta a prendere decisioni di sicurezza migliori e valutare ciò che deve essere fatto per progredire tra i livelli.

Ottieni una visione immediata del tuo controllo di sicurezza effectivenss-guarda il breve video

Essential 8 Auditor breve panoramica video

Che cosa sono i modelli di maturità?

I modelli di maturità sono stati utilizzati nell’ingegneria del software fin dal 1986. Originariamente, il Capability Maturity Model (CMM) è stato sviluppato per valutare la maturità dei processi degli appaltatori del Dipartimento della Difesa degli Stati Uniti, come indicatore di quanto sia probabile che forniscano un progetto software di successo; maggiore è il punteggio di maturità, migliori sono i loro processi e maggiore è la probabilità che utilizzino processi stabiliti per la progettazione, lo sviluppo,

La scadenza si riferisce ad aspetti specifici della valutazione, in cui il livello di definizione e ottimizzazione di ciascun processo può variare da ad hoc a definito e ottimizzato formalmente. Poiché questo primo approccio CMM era finalizzato a migliorare i processi di sviluppo del software, la sua applicabilità era alquanto limitata, quindi nel 2006, il Software Engineering Institute (SEI) della Carnegie Mellon University lo ha rielaborato per creare Capability Maturity Model Integration (CMMI), che ora ha sostituito il framework CMM originale.

Da allora, i modelli di maturità delle capacità sono apparsi in tutti i tipi di discipline, come l’infrastruttura ICT, la gestione dei servizi, la gestione dei processi aziendali, la produzione, l’ingegneria civile e la sicurezza informatica.

CMMI

Il framework Capability Maturity Model Integration (CMMI) è un meta-framework di misurazione e miglioramento dei processi che aiuta le organizzazioni a misurare l’efficacia dei loro processi e identificare come migliorarli nel tempo.

Gli Stati Uniti Dipartimento della Difesa finanziato e assistito nello sviluppo di CMMI, che è stato il precursore dello strumento CMMC che stiamo guardando in questa serie di blog. CMMI è amministrato dal CMMI Institute, acquistato nel 2016 da ISACA.

CMMI è ora utilizzato in tutto il mondo, sia nell’ingegneria del software che nella gestione dei servizi ICT. Alle organizzazioni che forniscono prodotti o servizi governativi viene spesso chiesto di soddisfare il livello CMMI 3 attraverso i loro processi di consegna principali, un livello di maturità che richiede l’uso di metodi formali di progettazione, sviluppo, test e consegna. CMMI ha cinque livelli di maturità, con il livello 5 che è lo stato obiettivo ideale in cui i processi sono completamente ottimizzati in tutta l’azienda e gestiti in un regime di miglioramento continuo dei processi.

Livelli di maturità

CMMI ha cinque livelli di maturità, che seguono le linee guida originali di CMM. Questi livelli sono i seguenti:

  1. Iniziale: i processi sono in qualche modo ad hoc e indefiniti a parte la documentazione localizzata.
  2. Gestito: I processi sono gestiti in conformità con le metriche concordate, ma non vi è alcun focus sulla valutazione dell’efficacia o sulla raccolta di feedback e mentre i processi sono seguiti non vi è alcuna nozione del loro successo. I processi non sono coerenti in tutta l’azienda.
  3. Definito: I processi sono ben definiti e riconosciuti come processi aziendali standard e sono suddivisi in procedure più dettagliate, istruzioni di lavoro e registri (artefatti) utilizzati per registrare gli output dei processi.
  4. Gestito quantitativamente: Le metriche vengono raccolte da ciascun processo e trasmesse a un comitato di governance del processo che analizza e riferisce sull’efficacia del processo.
  5. Ottimizzazione: la gestione dei processi include un focus sull’ottimizzazione disciplinata e il miglioramento continuo dei processi, e un team completo di analisti aziendali misura e valuta ogni aspetto del business per possibili problemi e opportunità di miglioramento.

Poiché la cybersecurity si concentra così fortemente sui processi aziendali, è logico che sia arrivato un framework CMMI su misura per la maturità della sicurezza.

Cybersecurity Maturity Models

CMMI è flessibile e si applica a qualsiasi processo aziendale, quindi personalizzare il framework per la gestione della sicurezza delle informazioni è stato un passo ovvio. Un esempio di una soluzione CMMI adattata per la sicurezza informatica è la piattaforma Cybermaturità del CMMI Institute, uno strumento progettato per misurare la maturità complessiva della sicurezza rispetto al modello originale. Un altro modello su misura specificamente per la sicurezza operativa, è il SOC-CMM, che aggiunge un ulteriore livello di maturità al di sotto del livello “iniziale” originale specificato da CMMI. È qui che i processi SOC non sono mai stati stabiliti, di conseguenza valutati come ” inesistenti.”L’ulteriore perfezionamento del SOC-CMM lo rende un modello di maturità continua, poiché la maggior parte dei processi di sicurezza dovrebbe essere continuamente valutata e migliorata rispetto ad altri standard, come ISO 27001.

Come abbiamo visto, il Dipartimento della Difesa degli Stati Uniti ha preso un vivo interesse per la maturità dei processi, quindi non sorprende che abbiano rilasciato il proprio approccio alla maturità della sicurezza informatica nel framework CMMC. CMMC ha anche cinque livelli di certificazione che misurano la maturità del processo informatico, con ogni livello che si sviluppa sul precedente con requisiti tecnici specifici. I processi sono suddivisi in 17 domini di sicurezza separati, allineati molto strettamente al quadro di sicurezza informatica NIST (CSF), quindi CMMC può essere utilizzato di concerto con il CSF per progettare, fornire ed eseguire un programma di sicurezza ottimizzato e in continuo miglioramento. I livelli CMMC, simili ai livelli CMMI, vanno dall’iniziale all’ottimizzato, ma le definizioni di ciascun livello sono specifiche per la sicurezza informatica, come segue:

  1. Livello 1: eseguire pratiche di igiene informatica di base, come l’utilizzo di software antivirus e garantire che i dipendenti cambino le password regolarmente (come esempi).
  2. Livello 2: Documentare alcune pratiche “intermediate cyber hygiene” per iniziare a proteggere le informazioni controllate non classificate (CUI) attraverso l’implementazione dei requisiti di sicurezza del Dipartimento del Commercio degli Stati Uniti National Institute of Standards and Technology 800-171 Revision 1 (NIST 800-171 r1).
  3. Livello 3: Piano di gestione istituzionalizzato per implementare buone pratiche di cyber igiene per salvaguardare CUI, compresi tutti i requisiti di sicurezza NIST 800-171 r1 e gli standard aggiuntivi.
  4. Livello 4: processi implementati per la revisione e la misurazione dell’efficacia delle pratiche, nonché ulteriori pratiche avanzate stabilite che rilevano e rispondono alle mutevoli tattiche, tecniche e procedure delle minacce persistenti avanzate (APT).
  5. Livello 5: Processi standardizzati e ottimizzati e ulteriori pratiche avanzate che forniscono funzionalità sofisticate per rilevare e rispondere agli APT.

Come si può vedere da questi livelli, il continuum segue lo stesso modello di CMMI, ma è specificamente su misura per la sicurezza informatica. I valutatori possono ora utilizzare CMMC per valutare e accreditare gli Stati Uniti. La supply chain del Dipartimento della Difesa, che è un potente regime da stabilire in quanto rende la barriera all’ingresso per le organizzazioni più piccole relativamente facile da raggiungere, poiché il cambiamento e il miglioramento nelle organizzazioni più piccole sono spesso più facili da implementare rispetto alle organizzazioni più grandi con strutture e requisiti aziendali più complessi.

Prossimi passi – guardando i domini CMMC

In questo post, abbiamo esaminato la storia dietro il framework CMMC e perché è importante nella sicurezza informatica che adottiamo un modello come questo per garantire che miglioriamo continuamente la nostra posizione di sicurezza. Nei post futuri esamineremo una selezione di domini e seguiremo la progressione della maturità dal livello più basso al più alto, fornendo contesto ed esempi di come è possibile soddisfare le capacità e le pratiche.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.