Begrebet “modenhed” inden for cyber- og informationssikkerhed har en lille og lemfældig plads i branchen. Og det er en skam, for der er store muligheder i at tage en disciplineret tilgang til at styre modenhed.

At vurdere ens modenhed og sammenholde modenheden med trusselsbilledet kan for mange organisationer være nøglen til en reel risikobaseret tilgang til sikkerhed.

Alt for ofte ser vi, at compliance bliver en papirøvelse, som handler om at gøre det hele, hvorfor det hele bliver til en meget lav standard, mens IT-afdelingen, der skal sikre organisationen mod angreb, ikke har andet at gå efter end CVSS-scoren på de sårbarheder, som bliver meldt ind. 

Det giver en fragmenteret og ineffektiv tilgang til cyber- og informationssikkerhed. Hvis man derimod har et system for at vurdere, hvor man ligger og bør ligge modenhedsmæssigt, kan man arbejde parallelt inden for både GRC og teknisk sikkerhed.