In mijn vorige blog heb ik uitgelegd wat het C2M2 volwassenheidsmodel inhoudt en waarvoor je het kunt gebruiken. Daar lees je meer over de opbouw in domeinen, doelstellingen en 'Maturity Indicator Levels' (MIL's). Deze blog kan je zien als een vervolg daarop en gaat nader in op de verschillen tussen de volwassenheidsniveaus (MIL's) binnen alleen het domein RISK. Zo start je met de juiste activiteiten bij het op poten zetten van risicomanagement voor informatiebeveiliging (Cbw!).

Duale groei = verplicht

Volwassenheid in aanpak én beheer

Binnen elk domein van het C2M2 model zijn de 'practices' per domein (in totaal 10) uitgewerkt langs twee doelen. Voor de leesbaarheid vertaal ik 'practices' vanaf hier met 'activiteiten'.

  • Approach Objectives (Aanpakdoel): Deze doelen zijn uniek voor elk domein en richten zich op de inhoudelijke uitvoering van activiteiten op het gebied van informatiebeveiliging. Ze beschrijven de volledigheid, grondigheid en de mate van ontwikkeling van de technische en operationele processen. Het gaat hier dus primair om wat je doet en hoe goed je dat doet.
  • Management Objectives (Beheerdoel): Elk domein bevat ook één specifiek beheerdoel, die vrijwel identiek is voor alle 10 domeinen. Deze doelstelling richt zich op de institutionalisering van de activiteiten: hoe diep zijn de ze verankerd in de dagelijkse bedrijfsvoering? Het gaat hier niet om wat je doet, maar om hoe je de activiteiten beheer(s)t via beleid, middelen en toezicht.

De schaal van volwassenheid binnen C2M2

Het C2M2 model hanteert een schaal van MIL0 tot en met MIL3, waarbij elk niveau cumulatief is; je moet alle activiteiten van de lagere niveaus beheersen om een hoger niveau te bereiken. Dit is ideaal voor het prioriteren. Merk op dat MIL0 eigenlijk betekent dat je niets doet en daarmee is het eigenlijk (nog) geen niveau.

  1. MIL0 – Niet uitgevoerd: De activiteiten binnen een domein worden niet toegepast.
  2. MIL1 – Ad hoc: De basisactiviteiten worden uitgevoerd, maar vaak op een ongeorganiseerde manier die afhankelijk is van individueel initiatief. Er is weinig organisatorische sturing.
  3. MIL2 – Gedocumenteerd: De aanpak is geavanceerder en activiteiten zijn formeel in gedocumenteerde procedures. Bovendien stelt de organisatie voldoende middelen (mensen, tools en budget) beschikbaar.
  4. MIL3 – Beheerd: Op dit hoogste niveau worden activiteiten gestuurd door formeel beleid . Verantwoordelijkheden zijn duidelijk toegewezen, het personeel is bekwaam en de effectiviteit van de activiteiten wordt continu geëvalueerd en bijgehouden.

Approach Objectives (Aanpakdoel)

de inhoudelijke diepgang van je risicomanagement

Het aanpakdoel richt zich op de volledigheid, grondigheid en de mate van ontwikkeling van de activiteiten binnen een domein. Voor het domein RISK betekent dit bijvoorbeeld de ontwikkeling van de manier waarop je risico's identificeert, analyseert en daarop reageert.

  • MIL1 – Ad hoc: Op dit niveau worden de basis activiteiten uitgevoerd, maar vaak zonder centrale sturing. Een organisatie heeft wel een strategie voor risicomanagement, maar deze is ad hoc ontwikkeld, niet breed bekend (laat staan gedragen) en wordt amper beheerd. Risico's worden (deels) geïdentificeerd en behandeld - zoals mitigeren of accepteren - wanneer dat nodig lijkt, maar zonder een vastgestelde methode.
  • MIL2 – Gedocumenteerd: Hier wordt de aanpak professioneler. Er is een gedefinieerde methode om risico's te identificeren en de resultaten worden vastgelegd in een risicoregister. Risico's worden geprioriteerd op basis van vastgestelde criteria, zoals de impact op de organisatie of de waarschijnlijkheid van een dreiging.
  • MIL3 – Beheerd: Op het hoogste niveau is de aanpak volledig verweven met de rest van de organisatie. De risico-identificatie maakt nu gebruik van informatie uit andere domeinen, zoals de registratie van bedrijfsmiddelen uit het ASSET domein en dreigingsinformatie uit het THREAT domein. Bovendien worden de risicoanalyses periodiek herzien en getriggerd door veranderingen in de omgeving, zoals nieuwe wetgeving of technische wijzigingen.
"Over 'Approach Objectives': Het gaat hier dus primair om wat je doet en hoe goed je dat doet."

Management Objectives (Beheerdoel)

de verankering van risicomanagement in je organisatie

Het beheerdoel zegt iets over hoe diep de activiteiten zijn ingebed in de dagelijkse bedrijfsvoering. Dit wordt ook wel institutionalisering genoemd. Het zorgt ervoor dat risicomanagement ook onder druk of bij personeelswisselingen consistent wordt uitgevoerd. Voor het domein RISK betekent dit bijvoorbeeld de mate van vastlegging van risicomanagementprocessen en het monitoren en evalueren van de effectiviteit van risicobehandelingen (=NIS2, art. 21, lid 2f).

  • MIL1 – Ad hoc: Op dit niveau zijn er geen specifieke activiteiten gedefinieerd die horen bij een beheerdoel. De nadruk ligt puur op het uitvoeren van de inhoudelijke taken, vaak afhankelijk van de inzet van individuele experts. Er is dus feitelijk geen verankering (nodig).
  • MIL2 – Gedocumenteerd: De organisatie borgt de continuïteit door voor alle RISK activiteiten gedocumenteerde procedures op te stellen en te volgen. Belangrijker nog: de organisatie stelt expliciet middelen beschikbaar, zoals gekwalificeerd personeel, budget en tools (bijvoorbeeld software voor risicomanagement), om de activiteiten te ondersteunen.
  • MIL3 – Beheerd: Risicomanagement wordt gestuurd door formeel vastgesteld en organisatiebreed geldend beleid. De verantwoordelijkheden en mandaten voor risicomanagement zijn duidelijk toegewezen aan specifieke functionarissen. Daarnaast wordt de effectiviteit van alle risicomanagement activiteiten continu geëvalueerd en bijgehouden.
"Over 'Management Objectives': Het gaat hier niet om wat je doet, maar om hoe je de activiteiten beheer(s)t via beleid, middelen en toezicht."

C2M2 en de BIO2

Kunnen het uitstekend vinden samen

De duale groei die C2M2 voorstaat dwingt je om op twee fronten tegelijk te groeien. Je kunt een technisch briljante risicoanalyse uitvoeren (hoge 'Approach Progression'), maar als dit proces niet is vastgelegd in beleid en processen, of als er geen structureel budget voor is, is je organisatie alsnog kwetsbaar op de lange termijn (lage Management Progression). Want iemand vertrekt of een collega komt met een 'nog betere' analysemethode terwijl de rest van de organisatie verdwaasd achterblijft. Om over de sturende rol van het management nog maar te zwijgen.

En dit sluit uitstekend aan bij de BIO2. Die stelt immers het inrichten en hebben van een Information Security Management System (ISMS) conform ISO 27001 verplicht, naast het implementeren van de overheidsmaatregelen. Het implementeren van al deze overheidsmaatregelen kan je zien als de 'approach objective' (wat je doet en hoe goed je dat doet). En het inrichten van een ISMS kan je zien als de 'management objective' (hoe je de activiteiten beheer(s)t via beleid, middelen en toezicht).

En juist hierom startte ik met de content collecties: risicomanagement, normenkaders (zoals BIO2) en ISMS. En hoe volwassenheidsmodellen en frameworks kunnen helpen bij het 'over het werk heen kijken', prioriteren en structureren ervan.

Deze link maakt onderdeel uit van een content collectie. Wat dat is leg ik hier uit. Via onderstaande button vind je alle content rondom het onderwerp risicomanagement bij elkaar.

Ga naar de Risicomanagement content collectie