Het meten van volwassenheid op het gebied van informatiebeveiliging is lastig. Het is minder grijpbaar dan een IT-audit en een volwassenheidsmodel heeft in zichzelf ook niets 'normerends'. Wel kan het helpen je digitale weerbaarheid (beter) te meten en met behulp van C2M2 zelfs op een consistentie en min of meer objectieve manier. In deze blog leg ik uit wat het C2M2 model is en hoe je het kunt gebruiken.

Wat is een volwassenheidsmodel?

Ideaal instrument voor strategie en prioritering

Het Amerikaanse Department of Energy ontwikkelde in 2012 het Cybersecurity Capability Maturity Model (C2M2). Inmiddels wordt het model wereldwijd gebruikt, ook buiten de energiesector. Maar voordat ik inga op C2M2 , eerst de vraag: wát is een volwassenheidsmodel eigenlijk?. Zo'n (maturity) model is een gestructureerde manier om te laten zien hoe goed een organisatie bepaalde processen of activiteiten heeft ingericht. Je ziet het vaak als een stappenplan: van 'net (ad hoc) beginnen' naar 'gestructureerd en gedefinieerd' naar 'constant(e) inzicht en optimalisatie'.

Het voordeel? Je krijgt inzicht in waar je nu staat, waar je naar toe wilt en welke stappen je moet zetten. Analoog aan een mensen kan je volwassen worden niet afdwingen en daarin fases overslaan. Je voortgang is echter wél consistent te meten, ook over een langere periode. Dat maakt een volwassenheidsmodel een ideaal instrument voor strategie en prioritering.

"Je voortgang is echter wél consistent te meten, ook over een langere periode. Dat maakt een volwassenheidsmodel een ideaal instrument voor strategie en prioritering."

C2M2: van energiesector naar universeel model

Het C2M2 model ontstond uit een concreet probleem. Het Witte Huis wilde in 2012 weten hoe het stond met de cybersecurity van de Amerikaanse elektriciteitsector. Het Department of Energy ontwikkelde daarom samen met de energie-industrie een model om 'cybersecurity capabilities' te meten. Het resultaat: het C2M2.

Waar het model aanvankelijk specifiek gericht was op de energiesector, is het inmiddels veel breder inzetbaar. Organisaties uit allerlei sectoren gebruiken het C2M2 om hun cybersecurity te meten, evalueren en verbeteren. De laatste versie 2.1 dateert van juni 2022. Het model is volledig gratis te gebruiken. Het Department of Energy stelt alle documenten, tools en handreikingen zonder kosten beschikbaar. Uiteraard is alles wel Engelstalig.

De opbouw van het C2M2

Domeinen, doelstellingen en MIL's

Het C2M2 bestaat uit ruim 350 concrete 'practices' (laat zich wat lastig vertalen) die zijn gegroepeerd in 10 domeinen. Die domeinen dekken samen het vakgebied cybersecurity af, maar ik zal vanaf hier zoveel mogelijk de term informatiebeveiliging blijven gebruiken.

  • Asset, Change, and Configuration Management - Het beheren van IT- en OT-assets
  • Cybersecurity Architecture - Het ontwerpen van veilige systemen en netwerken
  • Cybersecurity Program Management - Het aansturen van het cybersecurityprogramma
  • Event and Incident Response, Continuity of Operations - Het reageren op incidenten
  • Identity and Access Management - Het beheren van toegang tot systemen
  • Risk Management - Het identificeren en behandelen van cyberrisico's
  • Situational Awareness - Het monitoren van de beveiligingssituatie
  • Third-Party Risk Management - Het managen van leveranciersrisico's
  • Threat and Vulnerability Management - Het identificeren en adresseren van kwetsbaarheden en dreigingen
  • Workforce Management - Het ontwikkelen van cybersecurity kennis en vaardigheden

Binnen elk domein vind je één of meerdere doelstellingen (objectives). Het domein Risk Management heeft bijvoorbeeld vijf objectives: van het opzetten van een risicomanagementproces tot het daadwerkelijk analyseren en behandelen van risico's. Die objectives worden vervolgens uitgewerkt in concrete practices.

Wat C2M2 een volwassenheidsmodel maakt zit 'm in de Maturity Indicator Levels (MIL's). Elke practice krijgt een MIL-niveau: MIL 1 (Initiated) betekent dat je de praktijk ad-hoc uitvoert, MIL 2 (Performed) betekent dat het een terugkerend proces is, en MIL 3 (Managed) betekent dat het proces volledig geborgd en gestandaardiseerd is (ook wel: geïnstitutionaliseerd). Zo zie je direct welke practices horen bij een beginnende, gevorderde of volwassen organisatie.

Hoe gebruik je het C2M2?

De eerste én grootste stap is het uitvoeren van een zelfevaluatie

De eerste stap is het uitvoeren van een zelfevaluatie. Ook wel nulmeting of GAP-analyse. Het Department of Energy biedt daar twee gratis tools voor aan: een HTML-versie (online beschikbaar via c2m2.doe.gov) en een PDF-versie (op aanvraag). Beide tools helpen je stap voor stap door de zelfevaluatie heen en genereren automatisch een (grafisch) rapport.

De zelfevaluatie kun je in principe in twee dagen doorlopen. Het vraagt wel voorbereiding. Je hebt de juiste mensen nodig: CISO, security officers, IT-managers, OT-specialisten en risk managers. Mogelijk nog meer. Samen loop je de practices door en bepaal je per practice of die geïmplementeerd is (zie blauw kader hieronder). Hoe meer practices je geïmplementeerd hebt, hoe groter de kans dat je al een bepaald MIL-niveau hebt behaald. En zo niet, dan weet je (per domein) wat je eerst te doen hebt: naar het eerstvolgende MIL komen en pas daarná de rest. Het resultaat is dus een helder beeld van je huidige volwassenheidsniveau per domein.

💡
Je kan de implementatiestatus van de practices verder differentiëren t.o.v. een eenvoudige 'wel geïmplementeerd' en 'niet geïmplementeerd'. Bijvoorbeeld: 1) volledig geïmplementeerd, 2) grotendeels geïmplementeerd, 3) deels geïmplementeerd en 4) niet geïmplementeerd. Als iets niet geïmplementeerd is omdat je het ook niet hoeft/wilt (te) doen kan je 5) niet van toepassing invullen.

Vervolgens kun je kiezen welk MIL-niveau je per domein wilt bereiken. Niet elk domein hoeft (uiteindelijk) MIL 3 te zijn. Dat hangt af van je risico's, je bedrijfsprocessen en je middelen. Een kleinere organisatie met beperkte OT-systemen kiest misschien voor MIL 1 in het domein Asset Management, maar voor MIL 2 in Risk Management. Maatwerk dus, per domein.

"Niet elk domein hoeft (uiteindelijk) MIL 3 te zijn. Dat hangt af van je risico's, je bedrijfsprocessen en je middelen."

Waarom zou je het C2M2 gebruiken?

Een volwassenheidsmodel heeft zeker vier voordelen

Het C2M2 biedt een aantal voordelen. Ten eerste geeft het een gestructureerde manier om je activiteiten en processen op het gebied van informatiebeveiliging te meten. Je hebt een objectieve benchmark, geen aannames of onderbuikgevoel. Ten tweede helpt het bij prioritering. Door te werken met MIL-niveaus - per domein specifiek gemaakt - zie je direct waar je nog stappen moet zetten en in welke volgorde.

Ten derde sluit het C2M2 goed aan op andere frameworks. Er zijn mappings beschikbaar naar het NIST Cybersecurity Framework en naar de CMMC (voor organisaties die werken met het Amerikaanse ministerie van Defensie). Dat maakt C2M2 veelzijdig en dus ook te gebruiken in de Nederlandse context. Ja ik weet het, je hebt ook het NBA/NOREA volwassenheidsmodel.

Tot slot biedt het een gemeenschappelijke taal. Als je met andere organisaties, ketenpartners of toezichthouders praat over informatiebeveiliging, helpt het C2M2 om concrete afspraken te maken over verwachte volwassenheidsniveaus. Maar dat is nog toekomstmuziek (wat mij betreft).

Een paar aandachtspunten

Zodat de verwachtingen goed zijn

Het C2M2 is geen standaard of certificeringsschema. Je kunt er niet voor 'slagen' of 'afgekeurd' worden. Het is een hulpmiddel voor zelfevaluatie en continue (proces)verbetering. Dat betekent ook dat je er zelf discipline voor nodig hebt om het serieus te nemen. Niemand kijkt mee, dus je kunt jezelf makkelijk te positief inschatten. Daar heb je overigens vooral jezelf mee, denk ik dan.

Een ander punt: het model is behoorlijk omvangrijk. Met 350+ praktijken verdeeld over 10 domeinen is het niet iets dat je er even tussendoor doet. Het vraagt tijd, aandacht en een gedegen voorbereiding. Plan je zelfevaluatie tijdig in, zorg dat de juiste mensen aanwezig zijn (eventueel in deelsessies) en neem de tijd om de practices goed te begrijpen. Uiteraard hoef je binnen een domein/doelstelling niet alle MIL3 practices langs te lopen als je gaandeweg vaststelt dat je amper op MIL1 zit.

Tot slot over C2M2

Toch maar eens proberen?

Het C2M2 is een zeer degelijk hulpmiddel om je volwassenheid op het gebied van informatiebeveiliging te meten en (daarmee) te (kunnen) verbeteren. Het biedt structuur, een heldere opbouw en concrete handvatten. En misschien wel het belangrijkste: het is gratis beschikbaar, goed gedocumenteerd en te mappen naar het NIST-CSF. Met het C2M2 kun je in elk geval objectief vaststellen op welke 'trede' van volwassenheid (MIL) je zit, en welke stap je als volgende zou moeten zetten.

Meer informatie vind je op de website van het Department of Energy.

Deze link maakt onderdeel uit van een content collectie. Wat dat is leg ik hier uit. Via onderstaande button vind je alle content rondom het onderwerp volwassenheid bij elkaar.

Ga naar de Volwassenheid content collectie