"La sécurité des réseaux est aujourd'hui le principal défi de gouvernance d'entreprise, environ 87 % des cadres supérieurs et des membres des conseils d'administration n'ont pas confiance dans les capacités de sécurité des réseaux de leur entreprise. De nombreux responsables de la sécurité des informations et bureaux de services informatiques se concentrent sur la mise en œuvre de normes et de cadres, mais si la conformité n'améliore pas votre résilience globale en matière de cybersécurité, à quoi sert la conformité ?" – Institut CMMI
De nombreuses organisations disposent de programmes de sécurité de l'information, mais de nombreux dirigeants et conseils d'administration ne savent pas comment mesurer les progrès de ces programmes. Par conséquent, ils sont réticents à croire que tout investissement dans la technologie atténuera les risques perçus ou même inconnus. Certaines organisations utilisent des normes de conformité réglementées. Cependant, ces normes ne couvrent pas entièrement l'environnement des risques de l'entreprise car elles se concentrent uniquement sur des domaines de risque spécifiques ou sur des principes généraux de sécurité.
De nombreuses organisations confondent sécurité de l'information et technologie de l'information. Les demandes de nouvelles solutions sont considérées comme des améliorations ou des éléments de liste de souhaits. Par exemple, les demandes d'ajout d'employés à temps plein sont considérées comme des dépenses d'exploitation, et non comme des améliorations du FAI. La différence est que le risque est associé à ces demandes et finalement reflété dans le CMMI. Il existe un lien direct entre les personnes, les processus et la technologie et le CMMI.
L’ISACA (Information Systems Audit and Control Association) a créé le CMMI pour mesurer la maturité et les performances des entreprises dans un format pouvant être présenté à la direction. Mais ces dernières années, des violations très visibles et leur impact ont incité les conseils d’administration à commencer à comprendre la maturité des FAI d’une organisation.
CMMI répond à ce besoin. Selon l'Institut CMMI (une filiale de l'ISACA), il s'agit d'un « ensemble éprouvé de meilleures pratiques mondiales qui stimulent les performances des entreprises en créant et en évaluant des capacités clés ». Il a été créé à l'origine pour le ministère américain de la Défense afin d'évaluer la qualité et les capacités de ses sous-traitants en logiciels. Les modèles CMMI peuvent désormais aider toute industrie à développer, améliorer et mesurer les capacités et les performances.
Le modèle CMMI gagne en popularité. Ils aident l'équipe de sécurité de l'information à former l'équipe de direction sur le support et la maintenance des FAI. De plus, ils peuvent continuer à fournir une protection efficace contre les menaces internes et externes.
En résumé, le modèle CMMI fournit un pont permettant à une organisation de comprendre l'équipe de sécurité de l'information chargée d'identifier, de communiquer et d'anticiper les risques futurs et de développer une justification complète et éprouvée lors de la demande de financement pour de futures solutions.
Heure de publication : 2022-02-28 00:00:00
