[Segurança] Cybersecurity Culture Maturity Model

O pessoal do MIT criou um modelo para identificar o nível de maturidade do programa de conscientização em segurança das empresas. Batizado de "Cybersecurity Culture Maturity Model"

Eles consideram que a cultura de segurança de uma organização passa por 4 níveis de maturidade:

1. "Not My Job" - ninguém da organização se preocupa com segurança;
2. "IT will take care it" - Considera a segurança cibernética como uma responsabilidade da área de tecnologia (TI);
3. "Managers will make the business secure" - Avalia os riscos de segurança cibernética durante a tomada de decisões de negócios;
4. "Cybersecurity is everyone’s job" - Os processos e políticas relacionados à segurança cibernética estão integrados a todos os aspectos da organização.

O SANS Institute, por sua vez, considera 5 estágios de maturidade para o programa de conscientização: não existente, focado em atender necessidades de compliance, programas que promovem uma mudança no comportamento, aqueles que promovem uma mudança cultural na empresa, e por último, aqueles maduros o suficiente a ponto de possuir métricas. Me parece que estes 2 últimos estágios de maturidade do SANS correspondem ao último estágio de maturidade na visão do MIT.

Para saber mais:

• Cybersecurity Culture Maturity Model
• "How Companies Can Create a Cybersafe Culture at Work"