Na pewno nie da się na nie odpowiedzieć jednym zdaniem, mimo że czasami na spotkaniach podejmujemy takie próby. Rozwiązaniem jest plan osiągnięcia docelowej dojrzałości bezpieczeństwa organizacji - strategia bezpieczeństwa usług kluczowych/cyfrowych. 

W ramach usługi wykonujemy audyt zerowy, w ramach którego prosimy o wyjaśnienie i pokazanie mechanizmów obecnie funkcjonujących w organizacji. Podstawą audytu są krajowe akty prawne dotyczące cyberbezpieczeństwa, w tym najważniejszy z nich - Ustawa o krajowym systemie cyberbezpieczeństwa oraz wymagania i wytyczne RCB w interesującym nas zakresie. Uwzględniamy również ideę dyrektywy NIS. 

Nie ma cyberbezpieczeństwa bez wdrożenia skutecznego systemu bezpieczeństwa, o którym mowa w ustawie. Dlatego podstawę kryteriów stanowi dla nas standard ISO/IEC 27001 oraz normy i standardy stosowane w krajach, w których cyberbezpieczeństwo jest ważne, takie jak chociażby standardy NIST stosowane w USA. 

Całość pozwoli nam zdiagnozować i opisać poziom dojrzałości organizacji. Podkreślamy jednak, że najważniejszym produktem, będzie zdefiniowanie przyszłego kształtu zarządzania cyberbezpieczeństwem oraz określenie kamieni milowych i projektów niezbędnych do wdrożenia, aby docelowy poziom dojrzałości osiągnąć w skończonym i akceptowalnym terminie.