Noções sobre segurança cibernética modelos de maturidade – Caçador

Março 3, 2020

A segurança Cibernética Modelo de Maturidade de Certificação (CMMC), é uma iniciativa liderada pelo Gabinete do Secretário Assistente de Defesa para Aquisição de dentro do Departamento de Defesa (DoD). Impõe requisitos aos empreiteiros e subempreiteiros do DOD para ajudar a salvaguardar informações dentro da cadeia de abastecimento de defesa dos EUA. Este post é o segundo de uma série em que analisamos o CMCC e olhamos para como você pode alcançar o cumprimento ou usá-lo como base de seu próprio programa de segurança da informação. Você pode ler o primeiro post que dá uma visão geral do CMMC, aqui.

vamos começar por olhar por que os modelos de maturidade de segurança cibernética existem e como eles ajudam as organizações a orientar seus processos de negócios (como a gestão de segurança da Informação) contra uma rotação de monitoramento, avaliação e melhoria contínua. Esta visão histórica de onde modelos de maturidade têm originado é importante para a segurança cibernética equipes como a base de cada nível de maturidade, a lógica subjacente aplicada à segurança cibernética e CMMC 17 domínios específicos ajuda você a tomar melhores decisões de segurança e avaliar o que precisa ser feito para progredir entre os níveis.

obtenha uma visão imediata dos seus efeitos no controlo de segurança-veja o vídeo curto

 Auditor 8 visão geral curta

o que são modelos de maturidade?

modelos de maturidade têm sido usados na engenharia de software desde 1986. Originalmente, o modelo Capability Maturity Model (CMM) foi desenvolvido para avaliar a maturidade do processo do Departamento de defesa dos Estados Unidos, como uma bitola quanto à probabilidade que eles são para entregar um projeto de software de sucesso; quanto maior a pontuação de maturidade, melhor seus processos e maior probabilidade que eles usam processos estabelecidos para o projeto, desenvolvimento, garantia de qualidade (teste) e construção de software.

a maturidade de prazo refere-se a aspectos específicos da avaliação, em que o nível de estabelecimento e de optimização de cada processo pode variar de Ad hoc a formalmente definidos e optimizados. Desde que esta abordagem inicial CMM foi destinada a melhorar os processos de desenvolvimento de software, sua aplicabilidade foi um pouco limitada, então em 2006, o Instituto de Engenharia de Software (SEI) da Universidade Carnegie Mellon reformulou-o para criar integração de modelos de maturidade de capacidade (CMMI), que agora substituiu o framework original CMM.Desde então, modelos de maturidade de capacidades apareceram em todos os tipos de disciplinas, tais como infraestrutura de TIC, gestão de serviços, gestão de processos de negócios, fabricação, engenharia civil e cibersegurança.O framework Capability Maturity Model Integration (CMMI) é um meta-framework de medição e melhoria de processos que ajuda as organizações a medir a eficácia dos seus processos e a identificar como melhorá-los ao longo do tempo.

the U. S. O departamento de Defesa financiou e ajudou no desenvolvimento do CMMI, que foi o precursor da ferramenta CMMC que estamos olhando nesta série de blogs. O CMMI é administrado pelo CMMI Institute, comprado em 2016 pela ISACA.

CMMI é agora usado em todo o mundo, tanto na engenharia de software e na gestão de serviços de TIC. As organizações que fornecem produtos ou serviços governamentais são frequentemente convidadas a cumprir o Nível 3 do CMMI em todos os seus principais processos de entrega, um nível de maturidade que requer o uso de métodos formais de concepção, desenvolvimento, ensaio e entrega. O CMMI tem cinco níveis de maturidade, sendo o nível 5 o estado-alvo ideal onde os processos são totalmente otimizados em todo o negócio e geridos sob um regime de melhoria contínua do processo.

Maturity Levels

CMMI has five maturity levels, which follow the original guidelines of CMM. Estes níveis são os seguintes::

  1. inicial: os processos são algo ad hoc e indefinidos, além da documentação localizada.
  2. gerido: Os processos são geridos de acordo com as métricas acordadas, mas não há foco em avaliar a eficácia ou recolher feedback e enquanto os processos são seguidos não há noção do seu sucesso. Os processos não são consistentes em todo o negócio.
  3. definido: os processos são bem definidos e reconhecidos como processos de Negócio padrão, e são divididos em procedimentos mais detalhados, instruções de trabalho e registros (artefatos) utilizados para registrar as saídas de processo.
  4. gestão quantitativa: As métricas são recolhidas a partir de cada processo e devolvidas a um comitê de governança do processo que analisa e informa sobre a eficácia do processo.
  5. otimizar: a gestão de processos inclui um foco em otimização disciplinada e melhoria contínua de processos, e uma equipe completa de analistas de negócios medem e avaliam todos os aspectos do negócio para possíveis questões e oportunidades de melhoria.

uma vez que a cibersegurança tem um foco tão aguçado nos processos de negócios, faz sentido que um framework CMMI sob medida para a maturidade de segurança veio junto.

modelos de maturidade da cibersegurança

CMMI é flexível e se aplica a todos os processos de negócio, assim, adaptar o quadro para a gestão da segurança da informação foi um passo óbvio. Um exemplo de uma solução de CMMI adaptada para a cibersegurança é a plataforma Cybermaturity do CMMI Institute, uma ferramenta projetada para medir sua maturidade global de segurança contra o modelo original. Outro modelo adaptado especificamente para a segurança operacional, é o SOC-CMM, que adiciona uma camada extra de maturidade abaixo da camada “inicial” original especificada pelo CMMI. É aqui que os processos SOC nunca foram estabelecidos, consequentemente avaliados como “inexistentes”.”O aperfeiçoamento adicional da SOC-CMM faz dela um modelo de maturidade contínua, uma vez que a maioria dos processos de segurança devem ser continuamente avaliados e melhorados em relação a outros padrões de qualquer maneira, como a ISO 27001.Como vimos, o Departamento de defesa dos EUA tem tido um grande interesse na maturidade do processo, por isso não é surpresa que tenham lançado a sua própria abordagem à maturidade da cibersegurança no quadro do CMMC. O CMMC também tem cinco níveis de certificação que medem a maturidade do processo cibernético, com cada nível a desenvolver-se sobre o anterior com requisitos técnicos específicos. Os processos são divididos em 17 domínios de segurança separados, alinhados de muito perto com o quadro de cibersegurança NIST (CSF), assim, CMMC pode ser usado em conjunto com o CSF para projetar, entregar e executar um programa de segurança otimizado e continuamente melhorando. Os níveis de CMMC, semelhantes aos níveis de CMMI, passam do Inicial Ao otimizado, mas as definições de cada nível são específicas à cibersegurança, como se segue: :

  1. Nível 1: Executar práticas básicas de higiene cibernética, tais como o uso de software antivírus e garantir que os funcionários mudam senhas regularmente (como exemplos).
  2. Level 2: Document certain “intermediate cyber hygiene” practices to start protecting Controlled Unclassified Information (CUI) through the implementation of U. S. Department of Commerce National Institute of Standards and Technology’s Special Publication 800-171 Revision 1 (NIST 800-171 r1) security requirements.
  3. Nível 3: Plano de gestão institucionalizado para implementar boas práticas de higiene cibernética para salvaguardar a CUI, incluindo todos os requisitos de segurança NIST 800-171 r1 e normas adicionais.
  4. Nível 4: implementação de processos para analisar e medir a eficácia das práticas, bem como estabelecido o adicional de boas práticas que detectar e responder a mudanças de táticas, técnicas e procedimentos de Ameaças Persistentes Avançadas (APTs).
  5. nível 5: Processos normalizados e optimizados e práticas reforçadas adicionais que proporcionam capacidades sofisticadas para detectar e responder às TPA.

como você pode ver a partir destes níveis, o continuum segue o mesmo modelo que CMMI, mas é especificamente adaptado para a cibersegurança. Os assessores podem agora usar CMMC para avaliar e creditar os EUA. A cadeia de suprimentos do Departamento de defesa, que é um regime poderoso para estabelecer, pois torna a barreira à entrada para organizações menores relativamente fácil de alcançar, uma vez que a mudança e melhoria em organizações menores é muitas vezes mais fácil de implementar do que organizações maiores com estruturas mais complexas e requisitos de negócios.

próximas etapas-olhando para domínios CMCC

neste post, nós olhamos para a história por trás do framework CMMC e por que é importante na cibersegurança que adotemos um modelo como este para garantir que nós continuamente melhoramos nossa postura de segurança. Em futuros posts vamos olhar para uma seleção de domínios e acompanhar a progressão da maturidade do mais baixo para o mais alto nível, fornecendo contexto e exemplos de como você pode cumprir as capacidades e práticas.

Deixe uma resposta

O seu endereço de email não será publicado.