Att kunna mäta sina framsteg inom cybersäkerhet är viktigt – oaktat vilken ambitionsnivå som råder. Många organisationer tampas med frågeställningar som: På vilken nivå befinner sig vår strategiska informationssäkerhet? Vilka är våra absolut största risker? Vart och mot vad ska vi skifta fokus och resurser? Sällan görs dock en tydlig utvärdering eller mätning av dessa frågeställningar, varför det också blir svårt att veta om organisationen gör rätt saker i sitt informationssäkerhetsarbete eller inte.
Ett sätt att ta reda på vilka insatser som skall prioriteras är via en mognadsutvärdering. I detta blogginlägg förklarar jag vad en mognadsutvärdering är och hur detta koncept kan användas för att förbättra organisationers informationssäkerhetsarbete.
Så vad är en mognadsutvärdering egentligen?
Generellt är en mognadsutvärdering ett verktyg för att bedöma hur effektiv en organisation är att uppnå ett specifikt mål. Det är en möjlighet för organisationer att identifiera vart i verksamheten bristfälligheter finns, vilka praxis som inte fungerar tillfredsställande och tvärtom.
Inom informationssäkerhet hjälper mognadsutvärderingar att skilja på vart informationssäkerhetsarbetet fungerar bra och vart det brister – nyanserat utifrån krav indelat i olika mognadsnivåer. Resultatet visar organisationens förmåga att arbeta med vissa frågor.
Det viktiga med en mognadsutvärdering är att den följer en modell som gör att resultatet från utvärderingen kan användas på ett bra sätt för att förbättra informationssäkerheten. Exempel på saker som modellen skall ta hänsyn till är vilka krav som skall ingå och hur kraven skall grupperas. Inom informationssäkerhet finns flera etablerade standards för krav och kravområden, exempel är ISO27000, NIST Cyber Security Framework och MSB:s rekommendationer. Kraven bör sedan delas upp beroende på var åtgärderna skall sättas in. En bra indelning innebär att man skiljer på styrande, organisatoriska och tekniska åtgärder men det kan krävas ytterligare uppdelning beroende på organisation.
Hur används en mognadsutvärdering för att förbättra organisationens informationssäkerhetsarbete?
En av de huvudsakliga anledningarna till en mognadsutvärdering är att kartlägga ett nuläge i förhållande till önskat läge och på så sätt identifiera och prioritera rätt aktiviteter.
Ytterligare ett sätt att använda mognadsutvärderingar är att genomföra dem återkommande och genom det skapa ett verktyg för att mäta organisationens progress och insatser för att höja informationssäkerheten. Med rätt modell innefattar det både strategiskt informationssäkerhetsarbete och operativt arbete.
En mognadsmodell beskriver ett spektrum av informationssäkerhetsförmågor som förväntas finnas inom en organisation. Förmågorna kan inkludera effektivt ledarskap, styrning av informationssäkerhetsarbete, behörighetsstyrning samt hantering av informationssäkerhetsrisker.
Varje mognadsnivå har en beskrivning av vilka typer av aktiviteter och processer som förväntas finnas i en organisation. Organisationen ställer helt enkelt sin egen förmåga mot förmågor som modellen innehåller.
För att en mognadsutvärdering ska vara värdeskapande är det oerhört viktigt att bedömningarna byggs upp på verkliga data och inte bara uppskattningar, både för att återspegla verkligheten och för att bli ett bra underlag för prioritering av aktiviteter.
För att klargöra resonemanget kan ett exempel vara insiktsfullt. I en mognadsutvärdering skulle en förmåga kunna vara ”Förståelsen för informationssäkerhet är god hos våra medarbetare” och grupperas under ”Medarbetare”. I sådana fall fokuserar förmågan på att identifiera åtgärder för att höja medarbetarnas förståelse för informationssäkerhet. En åtgärd kan vara utbildning, ett annat kan vara informationsmaterial och en tredje tillgänglighet av information på ett intranät. Om mognadsutvärderingen sker återkommande kan vi även se hur effektiva åtgärderna varit för att höja förmågan.
Det är alltså individuella bedömningar av specifika områden som utgör helhetsbedömningen. Att dissekera organisationens cybersäkerhetsförmåga per kravområde eller förmåga ger förståelse i hur aktiviteter ska prioriteras, och hur handlingsplaner ska utformas. Kort och gott är det en effektiv metod för att skapa navigatorn i hur förbättringsarbetet ska fortlöpa i organisationen.
DirSys Compare® Informationssäkerhet
Med DirSys Compare® Informationssäkerhet har vi på DirSys samlat all vår erfarenhet av systematiskt informationssäkerhetsarbete och skapat en mognadsmodell som bygger på etablerade standards och krav. När vi genomför en mognadsutvärdering utgår vi ifrån organisationens förmågor grupperade utifrån:
- Styrning & ägarskap
- Processer & rutiner
- Medarbetare
- IT och teknik
Förutom en heltäckande mognadsutvärdering som täcker in hela organisationens informationssäkerhetsarbete får ni med DirSys Compare® Informationssäkerhet även hjälp att identifiera rätt åtgärder som är unika just för er organisation.
Vill ni ta reda på hur mogen er organisation är? Välkommen att kontakta oss här.