O Modelo de Maturidade de Segurança da Informação (MMSI) proporciona a identificação, compreensão e adaptação de melhores práticas observadas em empresas que possuem uma reconhecida reputação de liderança no gerenciamento dos processos de segurança da informação.

Como parte da metodologia, também são realizadas comparações com os controles utilizados por outras organizações do mesmo segmento, previamente avaliadas pela EPSEC, presentes em nossa base de dados.

O processo de benchmarking desenvolvido pela EPSEC contempla 5 fases: planejamento, coleta de dados, análise, adaptação e implementação. A metodologia MMSI apresenta as seguintes etapas:

1. Identificar empresas

A equipe da EPSEC estabelece ligações com diversas empresas que possuem uma reconhecida reputação de liderança no gerenciamento dos processos de segurança da informação ou pré-determinadas por você. Por exemplo, vamos imaginar que a sua empresa atua no ramo industrial. Utilizando o software EP75, com o apoio da equipe da EPSEC, você pode avaliar com rapidez se um processo de segurança da informação de outras indústrias pode ter aplicações para a sua empresa, com custo e recursos mínimos.

Nesta etapa, vamos compilar com você uma lista de parceiros para a realização do benchmarking.

2. Coletar dados

O software EP75, além de coletar os dados necessários para a realização da comparação dos processos, irá fornecer dados quantitativos para fundamentar o desempenho alegado pela empresa que foi avaliada pela equipe da EPSEC.

3. Determinar a lacuna de desempenho

A meta final de todas as técnicas de benchmarking consiste na identificação dos pontos fracos dos processos de segurança da informação.

Com o relatório emitido pelo software EP75, a equipe da EPSEC irá debater, com você e sua equipe, a visão inicial da comparação dos processos de segurança da informação. Durante esta reunião, é provável que se acrescentem algumas informações quantitativas, a fim de completar a descrição da situação atual do processo avaliado.

4. Projetar níveis de desempenho futuro

Após determinarmos a lacuna entre os processos analisados, é possível elaborar o Plano de Crescimento (longo e curto prazo) para refletir o nível máximo ao qual a sua empresa deseja chegar e o prazo para implementação das melhorias para seus processos, apresentando as ações que irão possibilitar o crescimento da maturidade. Em termos de benchmarking, isso significa identificar quais gaps serão melhorados e prever o tempo necessário para transformar os pontos fracos em pontos fortes. 

5. Comunicar o Plano de Crescimento e obter aceitação

O Plano de Crescimento irá demonstrar, com clareza, para o conselho administrativo e a alta direção, que a organização identificou a melhor prática em relação a determinados processos de segurança da informação e deverá implementar as melhorias de acordo com o plano de longo e curto prazo, bem como monitorar o desempenho dos processos.

6. Elaborar o plano de ação

O software EP75 possui um formulário para execução e controle de tarefas onde são atribuídas as responsabilidades e determinado como a melhoria do processo deverá ser realizada, assim como o responsável pela implementação e o prazo para conclusão.

7. Implementar ações e monitorar progresso

Após terem sido aprovados o Plano de Crescimento e o plano de ação, a organização direciona os esforços para a melhoria dos processos de segurança da informação.

É importante que a organização continue trabalhando na melhoria contínua. O software EP75 permite a manutenção da base de dados para monitorar o progresso dos processos de segurança da informação da sua empresa e apresenta o nível de maturidade em relação ao Sistema de Gestão da Segurança da Informação (SGSI).