L'International Cyber Security Practice di KPMG ha definito un modello di Cyber Maturity Assessment ("CMA") per la misurazione e valutazione della postura di sicurezza di una Società in ambito Cyber Security. Il CMA sviluppato da KPMG è articolato in 6 macro-aree di analisi (“domini CMA”), che contribuiscono a fornire una visione globale del livello di maturità della Società e consentono di presidiare a 360° gli aspetti di governo e gestione della sicurezza delle informazioni e cyber dell’Organizzazione.

I domini di cui si compone l’attività di Cyber Maturity Assessment sono i seguenti:

• Legal and Compliance: Norme e standard di sicurezza internazionale rilevanti.

• Leadership and Governance: Diligenza doverosa, responsabilità ed effettiva gestione del rischio.

• Human Factors: Integrazione di una cultura della sicurezza che autorizza e garantisce le persone, le competenze, la cultura e la conoscenza.

• Information Risk Management: L’approccio per ottenere una gestone dei rischi completa ed efficace delle informazioni all’interno dell’organizzazione e dei suoi partner.

• Business Continuity: Preparativi per un evento di sicurezza e capacità di prevenire o ridurre al minimo l’impatto attraverso una gestione efficace delle crisi delle parti interessate.

• Operations and Technology: Preparativi per un evento di sicurezza e capacità di prevenire o ridurre al minimo l’impatto attraverso una gestione efficace delle crisi delle parti interessate.

Ad ogni dominio, a seguito dell’analisi, viene assegnato un livello di maturità (da 1 a 5) sulla base di un set di metriche standard strutturate, compatibilmente con le logiche del modello Capability Maturity Model Integration (CMMI). Tali metriche vengono declinate all’interno di ogni specifica macro-area di analisi, al fine di permettere alla Società di identificare il "profilo corrente" e il "profilo target" che la caratterizza e prioritizzare il set di azioni di adeguamento tenendo in considerazione gli obiettivi strategici e le priorità dell'Organizzazione.

L’esecuzione dell’attività permette il conseguimento di molteplici obiettivi tra cui:

• ottenere una comprensione iniziale dell'attuale stato di pervasività dei sistemi ed il grado di efficacia delle misure di sicurezza implementate;

• identificare le principali aree di business esposte maggiormente al rischio «cyber» e verificare che siano considerate coerentemente all’interno del profilo di rischio condiviso ai fini assicurativi, considerando in aggiunta l’attività di assessment eseguita precedentemente per la stipula della polizza;

• identificare le aree di priorità su cui indirizzare azioni di miglioramento al fine di garantire il raggiungimento di un livello di maturità target.

L’attività Cyber Maturity Assessment viene svolta seguendo le fasi indicate di seguito:

• Fase 1: Preliminary Activities

- Definizione della matrice dei controlli da concordare con i Cliente,

- Richiesta della documentazione che dovrà essere esaminata.

• Fase 2 : Workshop

- Analisi documentazione ricevuta per ogni dominio CMA,

- Interviste con i referenti per ogni dominio CMA.

• Fase 3 : Review e Deliverables

- Omogenizzazione dei risultati e definizione del livello di maturità AS-IS e TO-BE per ogni dominio del CMA,

- Workshop di Review (per ogni dominio del CMA),

- Supporto per la definizione della Cyber Roadmap con la stima delle tempistiche di remediation per ogni attività definita,

- Condivisione Deliverables.