CISO – Mest it sikkerheds for pengene
En CISOs rolle og dermed Peventio CISO-services, er at sikre ”mest it-sikkerhed for pengene”, samt hjælpe virksomheder med at udstikke den operationelle, taktiske og strategiske retning, hvor sidstnævnte også binder ind i virksomhedens øvrige strategi, for eksempelvis digitalisering, global rækkevidde, cloudstrategi, produktudvikling og opkøb.
For at kunne gøre dette, er det nødvendigt blandt andet at definere virksomhedens nuværende It-sikkerhedsmæssige modenhedsniveau (CMMI score 1-5), således at der kan skabes rammer, planer og strategi, for opfyldelse af de fremtidige ønsker og målsætninger om modenhedsniveau (CMMI score).
CISO - Værdi: Peventio CISO-services giver virksomheden stor værdi, i forhold til rådgivning og korrekt prioritering af de It-sikkerhedsmæssige indsatser. Peventio CISO-service hjælper med implementeringer af It-sikkerhedsmæssige strategier, løsninger, samt de processer og arbejdsgange, der eventuelt er nødvendige at indføre i organisationen.
CISO – CMMI score
Capability Maturity Model Integration (CMMI) er et internationalt anerkendt program og model, som kan bruges til at se på hvor virksomheden aktuel er og hvor den skal hen i forhold til sin It-sikkerhed. Peventio CISO-service med CMMI score, kan både leveres til mindre og helt store projekter og virksomheder.
Hos Peventio starter CMMI-arbejdet, som regel med en analyse af øjebliksbilledet (hvor er vi?). Herefter udarbejdes i samarbejde med kunden, en samlet plan for ønsker og målsætninger i forhold til modenhedsniveau af It-sikkerheden. Dette bliver også sammenholdt med den øvrige relevante virksomhedsstrategi. (Hvor skal vi hen?).
Med CMMI som arbejdsredskab kombineret med Peventio CISO-service, bliver det langt lettere at gå i dybden. Et eksempel kan være at bruge ISO 2700x som rammeværktøj og CMMI som måleværktøj. Det vil ligeledes også være lettere at gennemføre Business Criticality Assessments samt Risk Overview/Assessments for at afdække, hvad virksomheden primært skal beskytte, samt hvad den skal beskytte sig imod. Endvidere er det muligt, med virksomhedens topledelse, at fastlægge virksomhedens It-sikkerhedsmæssige risikoappetit altså målsætninger for modenhedsniveau.
Ydermere kan CMMI score, grundet dens globale udbredelse, bruges af virksomheden til at sammenligne sit modenhedsniveau med sidestillede typer af virksomheder og industrier.
Modenheds niveauer
Niveau 2 (Ad hoc Managed) Ad hoc managed niveauet kendes ved, at der er mangel på dokumenterede processer, samt at de operationelle og taktiske processer, regler og arbejdsgange skiftes og tilpasse fra gang til gang.
Niveau 3 (Repeatable defined) Repeatable niveauet kendes ved at de operationelle og taktiske processer, regler og arbejdsgange, er godt dokumenteret. Der er ligeledes en synlig form for gentagelse af processerne. Virksomheden opnår derfor en hvis from implementering og for vedværende brug af de udarbejde processer.
Niveau 4 (Quantitatively Managed) Quantitatively Manage processerne nu er fuldt ud dokumenteret og skrives ind i de færdige processer.
Niveau 5 (Optimizing) Optimizing niveauet kendes ved at processerne generelt er bredt accepterede. De er derfor fuldt dokumenteret og kan styres og opdateres.
| CMMI Model Core Process | Kategori | Niveau 2 | Niveau 3 | Niveau 4 | Niveau 5 |
|---|---|---|---|---|---|
| Configuration Management | Support | ||||
| Measurement and Analysis | Support | ||||
| Project Monitoring and Control | Project Management | ||||
| Project Planning | Project Management | ||||
| Process and Product Quality Assurance | Support | ||||
| Requirements Management | Project Management | ||||
| Supplier Agreement Management | Support | ||||
| Decision Analysis and Resolution | Support | ||||
| Integrated Project Management | Project Management | ||||
| Organizational Process Definition | Process Management | ||||
| Organizational Process Focus | Process Management | ||||
| Organizational Training | Process Management | ||||
| Risk Management | Project Management | ||||
| Organizational Process Performance | Process Management | ||||
| Quantitative Project Management | Project Management | ||||
| Causal Analysis and Resolution | Support | ||||
| Organizational Performance Management | Process Management |