Ein zuverlässiges IT-Security-Programm erfordert einen fortlaufenden Prozessrahmen zur Bewertung der jeweiligen Maßnahmen zur Cybersicherheit. Dies ermöglicht es den Unternehmen, regelmäßig Risiken und Herausforderungen zu erkennen, sodass entsprechende Maßnahmen angepasst und ergriffen werden können, um so die gesteckten Ziele zu erreichen.

Da jedes Unternehmen auf einem unterschiedlichen Security-Status steht, müssen zunächst einmal die verschiedenen Entwicklungsstufen der Sicherheitslevels bewertet und mögliche Maßnahmen davon abgeleitet werden. Zusätzlich sollten als weitere Kriterien geeignete Vergleichsunternehmen aus der jeweiligen Branche als Referenzen dienen.

Unternehmen auf diesem Level verfügen über keine formalen Sicherheitsrichtlinien oder funktionierende Security-Governance. Obwohl die meisten Unternehmen über einem solchen Anfangsniveau punkten, gibt es nach wie vor Organisationen, die sich auf diesem Sicherheitslevel befinden.

Eine Bewertung auf dieser Ebene ist für jedes Unternehmen, das IT-Assets besitzt, verwaltet und gegenüber Aktionären, Investoren, Aufsichtsbehörden oder Steuerzahlern Verpflichtungen hat, inakzeptabel. Für die Sicherheits-Roadmap als Starter empfehlen sich Crash-Programme, um eine starke CISO-Position oder ähnliches aufzubauen, Sicherheits-Governance-Ausschüsse einzurichten und Personal für Sicherheitsinfrastruktur-Positionen aufzustocken.

Ein typisches Unternehmen in dieser Entwicklungsphase hat bereits ein Security-Programm, einige Security-Prozesse sowie Infrastruktur-Elemente, die effektiv funktionieren, in der Entwicklung. Solche Unternehmen neigen jedoch dazu, in grundlegenden Bereichen wie beispielsweise Netzwerk-Segmentierung bzw. Zonierung Schwächen aufzuweisen. Daher punkten sie beim allgemeinen Identitäts- und Zugriffsmanagement (IAM) relativ gering.

In dieser Phase findet man auch eher selten ein hohes Maß an Verantwortlichkeiten sowie Automatisierung hinsichtlich Sicherheitsprozesse oder fortschrittlicher Technologien für das Schwachstellen-Management, Aktivitäten zur Verhinderung von Datenverlusten (DLP) oder des Sicherheitsinformations- und Ereignismanagements (SIEM).

Für die Sicherheits-Roadmap auf dieser Stufe sollten die größten identifizierten Lücken auch geschlossen werden. Hierzu empfiehlt sich in verschiedenen Schritten vorzugehen, indem erst die Grundlagen und im Anschluss dazu die erweiterten Funktionen vollständig bereitgestellt werden. Aus diesem Grunde sollte die Implementierung anspruchsvoller DLP- und SIEM-Funktionen oder die umfassende Bereitstellung eines Privileged Access Management (PAM) in der Regel erst dann erfolgen, wenn sich die Einführung grundlegender IT-Funktionen wie beispielsweise Service-Ticketing, Asset-Management und IAM bewährt haben.

Unternehmen, die sich in der Reifegrad-Phase befinden, haben bereits eine umfassende Reihe von Sicherheitsprozessen, Richtlinien und dokumentierten technischen Kontrollen eingeführt. Allerdings verlassen sie sich meist weiterhin zu sehr auf individuelle Bemühungen. Prozesse wie Change Management, Audit und Security der Lieferketten müssen noch verbessert werden. Darüber hinaus sollten die Unternehmen noch aktiver werden, um das Wissen und das Bewusstsein für die Sicherheit in den einzelnen Aufgabenbereichen zu erhöhen sowie die Sicherheitsüberwachung, die Analyse und die Kontrolle der Verwaltung des privilegierten Zugriffs zu verfeinern.

Für die Sicherheits-Roadmap auf dieser Stufe liegt der Schwerpunkt auf Audit, Change Management, erweiterte Sicherheitsüberwachung und Instrumentarien, um den Schutz im Hinblick auf Verifizierung und Verantwortlichkeiten zu verbessern. Mit einer grundlegenden Prozess- und Technologieinfrastruktur können Risikomanagement, Schwachstellenmanagement, SIEM und PAM dann auf Hochtouren laufen.

Unternehmen mit „Reifegrad“ sollten sich noch mehr auf folgende Instrumentarien konzentrieren: Kennzahlen (KPI) und Risikokennzahlen (KRI), die in der Anfangs- oder Entwicklungsphase eingeführt wurden, müssen nun überprüft und erweitert werden. Denn optimierte Instrumentarien verbessern auch die Rechenschaftspflicht hinsichtlich einer Risiko- bzw. Finanzperspektive.

Unternehmen in dieser Entwicklungsphase verfügen bereits über umfassende Maßnahmen an Personen-, Prozess- und Technologie-Kontrollen. Sie sind jedoch nach wie vor auf manuelle Prozesse angewiesen und stehen angesichts der ständigen Veränderungen der Bedrohungs-, Regulierungs-, Technologie- und Geschäftssituation vor neuen Herausforderungen, um das Security-Programm am Laufen zu halten.

Daher müssen sich Sicherheits-Roadmaps auf dieser Stufe darauf konzentrieren, den Automatisierungsgrad der Infrastruktur und der Prozesse zu erhöhen, durch die das Security-Programm kostengünstiger bzw. skalierbarer werden soll. So könnten beispielsweise komplexe Funktionen wie beispielsweise ein Schwachstellen-Management oder eine Sicherheitsüberwachung zunehmend über hybride Public/Private-Cloud-Umgebungen hinweg orchestriert werden.