Zdaniem Berta Miuccio, szefa CIS, finalna wersja przewodnika po nowych zasadach powinna być gotowa do końca bieżącego roku - wtedy organizacja zamierza opublikować efekty swoich prac. "Wcześniej istniały już pewne zasady oceniania bezpieczeństwa - zwykle chodziło zmierzenie kilku podstawowych czynników - poziomu przeszkolenia pracowników, dopracowania procedur itp. Ale wiele osób wciąż ma problemy ze zrozumieniem wagi inwestycji w bezpieczeństwo. Dlatego chcemy stworzyć metodologię oceny poziomu bezpieczeństwa - ułatwi to planowanie wydatków i ocenę działań" - tłumaczy Miucco.

Przedstawiciel CIS tłumaczy, że metoda opracowywana właśnie przez organizację ma pozwolić na uzyskiwanie w pełni jednoznacznych wyników. Podczas oceny będzie branych pod uwagę 8 podstawowych kryteriów:

- Średni czas pomiędzy incydentami z zakresu bezpieczeństwa;

- Średni czas przywracania sprawności infrastruktury po incydencie;

- Odsetek systemów skonfigurowanych tak, by spełniały określone standardy bezpieczeństwa;

- Odsetek systemów w pełni uaktualnionych;

- Odsetek systemów z zainstalowanym oprogramowaniem antywirusowym;

- Odsetek aplikacji biznesowych, które przeszły proces oceny ryzyka;

- Odsetek aplikacji biznesowych, które przeszły testy penetracyjne;

- Odsetek kodu aplikacji, który przeszedł proces audytu/analizy bezpieczeństwa lub analizę modelu zagrożenia.

Bert Miuccio dodał też, że Center for Internet Security nie zamierza rezygnować z przygotowywania testów bezpieczeństwa dla popularnych aplikacji - organizacja zamierza wkrótce udostępnić nowe benchmarki dla Microsoft Office, SharePoint, Tomcata, a także trzech najpopularniejszych przeglądarek - Internet Explorera, Opery oraz Firefoksa.

Warto odnotować, że obecnie istnieją już standard oceny bezpieczeństwa danej infrastruktury informatycznej - np. opracowana przez amerykańską Narodową Agencję Bezpieczeństwa procedura Information Security Assurance Capability Maturity Model (IA-CMM). W ramach tej procedury firma czy instytucja może po przejściu odpowiedniego audytu otrzymać ocenę bezpieczeństwa - w skali od 1 do 5. Kryteria IA-CMM są niezwykle surowe - najwyższą przyznaną do tej pory oceną jest 4. Otrzymała ją tylko jedna firma - International Network Services.

Przedstawiciele Center for Internet Security nie podważają skuteczności IA-CMM - twierdzą wręcz, że standard ten jest "doskonałym narzędziem do planowania strategii bezpieczeństwa". Bert Miuccio zastrzega jednak, że IA-CMM nie jest narzędziem kompletnym. Jego zdaniem procedury oceny opracowane przez CIS będą komplementarne dla systemu stworzonego przez Narodową Agencję Bezpieczeństwa.