Om de digitale weerbaarheid van je organisatie te verbeteren wil je niet alleen maar losse maatregelen nemen, maar ook je cybersecurityvolwassenheid als geheel een niveau omhoog tillen. In deze publicatie gaan we in op bestaande volwassenheidsmodellen en helpen we je om uit te vinden waar je organisatie staat en wat je kunt doen om verder te komen.
Het streven naar volwassenheid is het verlangen om de cybersecurity in je organisatie tot een antifragiel-systeem te maken: een geheel aan processen waarbij ieder incident niet alleen geen schade aanricht, maar zelfs bijdraagt aan het verder verbeteren van het geheel.
Doelgroep:
Deze publicatie is voor CISO’s van organisaties die hun cybersecuritymaatregelen nog ad hoc en ongestructureerd toepassen, en willen groeien in hun cybersecurityvolwassenheid.
Definitie: CybersecurityvolwassenheidCybersecurityvolwassenheid is de mate waarin een organisatie werkt volgens vastgestelde cybersecurityprocessen. Een volwassen organisatie past die processen overal onverkort toe en verbetert ze continu.
Achtergrond
De weerbaarheid van je organisatie op orde brengen is meer dan alleen het nemen van de juiste maatregelen. Je wilt je aanpak zo goed mogelijk in je bedrijfsprocessen borgen zodat het niet afhankelijk is van individuele personen of je weerbaarheid op niveau blijft.
Misschien neem je al jaren losstaande, schijnbaar effectieve maatregelen, maar is het steeds ad hoc en weet je niet wanneer je volledig bent. Dat kan leiden tot een vals gevoel van veiligheid; je hebt je bekende aanvalsoppervlak beschermd, maar ergens buiten je zicht staat een achterdeur wijd open.
Om je cybersecurity-aanpak goed op orde te krijgen is het belangrijk dat je organisatie groeit in volwassenheid. Daarvoor zijn er allerlei volwassenheidsmodellen te vinden. Met deze publicatie word je wegwijs in die volwassenheidsmodellen, kun je er een kiezen die het beste past bij de behoefte van jouw organisatie, bepaal je waar je zelf staat en stel je vast wat de volgende stappen zijn om te groeien. Houd er rekening mee dat het gewenste volwassenheidsniveau mede bepaald wordt door wet- en regelgeving en eisen van toezichthouders. Ga na wat hiervoor in jouw situatie van toepassing is.
We houden in deze publicatie Nassim Talebs concept van antifragiel* voor ogen om de volwassenheid van je digitale weerbaarheid aan te toetsen. Antifragiel verwijst naar dingen, in deze situatie naar systemen, die daadwerkelijk voordeel halen en sterker worden van volatiliteit, toeval en wanorde, in tegenstelling tot systemen die kwetsbaar zijn en kapotgaan onder dergelijke omstandigheden.
Antifragiel is het tegenovergestelde van kwetsbaar. Kwetsbare systemen zijn vatbaar voor cyberaanvallen en andere dreigingen, terwijl antifragiele systemen verbeteren en sterker worden als gevolg daarvan.
De wereld van cybersecurityvolwassenheidsmodellen
Wat is een volwassenheidsmodel?
Een volwassenheidsmodel is een raamwerk om te beoordelen hoe volwassen je organisatie is. Volwassen zijn betekent in staat zijn om te werken volgens vastgestelde processen en die continu te verbeteren. Volwassenheid kan soms onderdeel zijn van een breder raamwerk, zie ook onze publicatie over risicomanagementraamwerken.
Het model maakt je groeiproces daarin overzichtelijk. Vaak wordt een aantal niveaus gegeven, waarbij elk niveau je organisatie een stap richting zelfredzaamheid helpt. Op het hoogste niveau zijn alle operationele cybersecuritytaken van je organisatie in een proces geborgd. Dat geeft een CISO de gelegenheid om zich bezig te houden met de strategische zaken, in de geruststelling dat de kleine incidenten worden afgehandeld.
Welke volwassenheidsmodellen zijn er?
Er zijn veel verschillende soorten volwassenheidsmodellen. Enkele generieke volwassenheidsmodellen die je kunt overwegen om toe te passen zijn de volgende, welke je kiest hangt af van factoren die we hierna bespreken.
Naast generieke modellen bestaan er specifiekere modellen voor bepaalde branches of toepassingsgebieden. Zoek daarom uit wat er nog meer te vinden is en praat met branche- of ketengenoten over ervaringen die mensen hebben.
Let op de volgende eigenschappen die terugkomen in diverse modellen. Ze bieden een leidraad om een model goed te kunnen begrijpen en de meerwaarde ervan in te schatten. Onderzoek dit voor meerdere modellen om er een te vinden die het beste aansluit bij je organisatiebehoefte.
Duidelijke structuur en niveaus
Een volwassenheidsmodel bestaat uit duidelijke en herkenbare niveaus (bijvoorbeeld van "onvolwassen" tot "geoptimaliseerd") die de groei of ontwikkeling van een proces, organisatie of competentie beschrijven.
Meetbaarheid
Elk niveau moet meetbare criteria bevatten, zodat je objectief kunt bepalen waar een organisatie of proces zich bevindt. Dit kan via KPI’s, assessments of audits.
Relevantie en toepasbaarheid
Het model moet aansluiten bij de context waarin het wordt gebruikt. Het moet praktisch toepasbaar zijn en aansluiten bij de doelen van de organisatie.
Helder taalgebruik
De beschrijvingen van de niveaus en criteria moeten begrijpelijk zijn voor alle betrokkenen, zodat het model breed gedragen wordt.
Ondersteuning van continue verbetering
Een goed model stimuleert organisaties om te groeien naar hogere niveaus van volwassenheid en biedt handvatten voor verbetering.
Flexibiliteit
Het model moet aanpasbaar zijn aan verschillende organisaties, sectoren en groottes. Geen “one size fits all”, maar ruimte voor maatwerk.
Validatie en betrouwbaarheid
Het model moet gebaseerd zijn op onderzoek, best practices of bewezen methodologieën. Dit verhoogt de geloofwaardigheid en acceptatie.
Visuele ondersteuning
Een visuele weergave (zoals een matrix of groeipad) helpt bij het communiceren van het model en maakt het toegankelijker.
Welke volwassenheidsniveaus zijn er?
De meeste cybersecurityvolwassenheidsmodellen kennen drie tot vijf niveaus van volwassenheid. De niveaus komen onderling vaak met elkaar overeen, waarbij een aantal kenmerken vaker terugkeert.
Alle cybersecuritytaken worden ad hoc uitgevoerd zonder proces, structuur of beleid. De organisatie is volledig afhankelijk van de individuele kennis van specifieke medewerkers. Maatregelen zijn niet geborgd en kunnen ongemerkt ongedaan worden gemaakt wanneer iemand anders daartoe om andere redenen besluit. Bij ieder incident wordt de afhandeling geïmproviseerd.
Sommige modellen tellen volledige onvolwassenheid mee als het laagste niveau, met nummer 0 of 1, maar sommige modellen laten dat niveau erbuiten en beginnen pas bij een basisniveau van volwassenheid.
De eerste trede op de volwassenheidsladder begint meestal met het vaststellen van processen. Er is een cybersecuritybeleid dat de taken van afdelingen en medewerkers beschrijft. Er is een begin gemaakt met risicomanagement om belangen en dreigingen te identificeren. Maatregelen worden uitgevoerd onder wijzigingsbeheer. Er zijn responsplannen voor veelvoorkomende incidenten.
De volgende stap van volwassenheid vraagt om het breder toepassen van het cybersecuritybeleid door de gehele organisatie. Het cybersecuritybeleid is op bestuursniveau vastgesteld. Op verschillende afdelingen worden dezelfde processen gehanteerd. Er is sprake van integraal risicomanagement waarbij risicoanalyses in een vaste cadans worden herhaald. Maatregelen zijn geborgd en kunnen niet zonder meer worden gewijzigd. Incidenten worden tijdig opgemerkt en afgehandeld.
Alle benodigde kennis van individuele medewerkers is vastgelegd en het HR-beleid zorgt voor tijdige vervanging van benodigde expertise. Cybersecurity is volledig procesmatig ingericht en alle activiteiten worden periodiek herhaald. De organisatie past zich hierdoor voortdurend aan op veranderingen in het dreigingslandschap. Alle securityoperaties zoals patchmanagement en incidentrespons zijn onderdeel van de dagelijkse gang van zaken.
Wat is een gepast niveau?
Niet iedere organisatie kan het maximale niveau bereiken. Dat is vaak simpelweg een kwestie van budget; een klein bedrijf gaat bijvoorbeeld geen volledig security operations center inrichten. Aan de andere kant is het voor kleine organisaties soms juist makkelijker om organisatie brede beheersmaatregelen te treffen omdat er minder uiteenlopende belangen meespelen.
Een goed volwassenheidsmodel is modulair en stelt organisaties zo in staat om op verschillende deelgebieden een ander niveau te halen. Welk niveau in welke situatie het hoogst haalbare is, valt niet van tevoren vast te stellen. Dat is een doorlopend proces van ontdekken, leren en verbeteren.
Ga zelf aan de slag met een volwassenheidsmodel
Maak een plan van aanpak om te groeien in je cybersecurityvolwassenheid. Onderstaande stappen helpen je op weg met het vaststellen van zo’n plan. Je kiest een volwassenheidsmodel op basis van je doelstelling, je bepaalt op welk niveau je al staat en je groeit daarna in kleine stappen.
Met iedere stap word je er behendiger in, en je groeicurve zal stijgen. Na verloop van tijd kom je terecht in een opwaartse spiraal van continue verbetering.
Bepaal als eerste wat je doel is om aan je volwassenheid te werken. Kijk naar je bredere organisatiedoelstellingen en praat met je bestuur om prioriteiten vast te stellen. De behoefte aan meer volwassenheid kan zowel van binnen als van buiten komen. Ga alle mogelijkheden na. Soms is er meer dan één aanleiding.
Denk bij een interne behoefte aan de volgende aanleidingen:
Je organisatie groeit, en je ziet daarin een kans om cybersecurity gestructureerder aan te pakken.
Je merkt dat je veel tijd kwijt bent aan ad-hocwerkzaamheden en brandjes blussen, terwijl je de behoefte hebt aan een breder overzicht. Je wilt je organisatie zelfredzamer maken.
Uit een risicoanalyse is gebleken dat het verhogen van je volwassenheid een sterke bijdrage levert aan je weerbaarheid.
Je weet wel dat je organisatie op diverse plaatsen maatregelen heeft genomen, maar je hebt nog geen zicht op waar de juiste maatregelen niet zijn genomen, en of ze niet naderhand worden teruggedraaid. Je wilt je maatregelen beter borgen.
Uit de evaluatie van incidenten in het verleden is de aanbeveling gekomen om je volwassenheid aan te pakken.
Denk bij een externe behoefte aan de volgende aanleidingen:
Klanten of opdrachtgevers van je organisatie willen je cybersecurityaanpak in afspraken vastleggen, of je organisatie ziet een kans om meerwaarde ten opzichte van concurrenten te bieden aan die relaties.
Er zijn regionale of sectorbrede afspraken gemaakt om collectief de volwassenheid te verhogen.
Je moet voldoen aan een wettelijke zorgplicht.
Leg je doel vast in je plan van aanpak.
Maak een keuze voor een volwassenheidsmodel. Kies een model dat het beste aansluit op je doel, de grootte van je organisatie en budget, en je eigen oordeel over de haalbaarheid en schaalbaarheid in de toekomst.
Kijk ook naar je omgeving; mogelijk is er een bepaald model al veelgebruikt bij andere organisaties in jouw sector of keten. In dat geval weegt het mee dat het meerwaarde heeft om bij een heersende standaard aan te sluiten. Soms is de keuze voor een model echter niet aan jou, maar wordt dit bepaald door een (contractuele) afspraak of wettelijke regeling.
Leg je keuze voor een volwassenheidsmodel vast in je plan van aanpak.
Ga na op welk niveau van je gekozen volwassenheidsmodel je organisatie zelf staat. Hiervoor bestaan veel zelfevaluatie-tools. Afhankelijk van het gekozen model en de tool kun je hier veel inzichten uit verkrijgen. Een zelfevaluatie kan worden aangeboden door de eigenaar van het model, maar er zijn ook tools van derde partijen beschikbaar. Onderzoek wat er beschikbaar is, wat voor inzichten het oplevert en hoeveel tijd het kost om die te verwerken. Investeer die tijd als het de uitkomsten waard is.
Sommige tools bieden je ook handvatten bij het zetten van je volgende stappen in volwassenheid. Gebruik die tools waar ze meerwaarde bieden, maar laat je niet te veel leiden door één bron. Als er meer zelfevaluaties van hetzelfde model bestaan, gebruik die dan ook. Verzamel je inzichten uit meerdere bronnen, en vul het aan met eigen onderzoek als je beeld nog niet compleet is.
Vat de uitkomsten van je zelfevaluatie samen in je plan van aanpak.
Neem je aanpak voor volwassenheid op in je cybersecurity- of informatiebeveiligingsbeleid. Er kan sprake zijn van een veranderende structuur of werkwijze. Het is soms nodig om je beleid significant te herschrijven. Onderzoek daarom wat er nodig is om je volwassenheid goed in je organisatiebeleid te borgen. Kijk ook naar andere beleidsterreinen, mogelijk moet je risicobeleid ook bijgewerkt worden.
Betrek alle mogelijke belanghebbenden bij je beleidsaanpassingen, zoals het bestuur, auditors en HR-, IT- en risicomanagers. Zij wijzen je mogelijk op bestaande processen. Probeer zo veel mogelijk op de bestaande processen aan te sluiten en borg de verantwoordelijkheid hiervoor bij de proceseigenaar.
Neem de stappen voor je herziening op in je plan van aanpak.
Plan de doorlooptijd van je voorbereidingstraject, en vervolgens van de groeistappen die je daarna gaat nemen. Hoe lang de doorlooptijd van de diverse stappen is, hangt af van je organisatiegrootte, de complexiteit van je organisatieomgeving en de keuzes die je hebt gemaakt. Identificeer de mijlpalen die bij je planning horen. Denk hierbij aan de volgende momenten:
Plan goedgekeurd door het bestuur
Eerste zelfevaluatie voltooid
Beleidsaanpassingen doorgevoerd
Eerste deelgebied voor verbetering gekozen en aanpak daarvoor geïdentificeerd
Eerste deelgebied naar het volgende volwassenheidsniveau getild
Naast een planning in doorlooptijd heb je ook budget en mensuren nodig. Maak een schatting van hoe veel mensuren je nodig hebt, van zowel je eigen afdeling als andere afdelingen in je organisatie. Mogelijk is het nodig om extra menskracht voor de uitvoering aan te nemen of in te huren. Misschien wil je medewerkers een cursus laten volgen over het gekozen model en de werkwijze die daarbij hoort.
Neem je planning en de benodigde investeringen op in je plan van aanpak.
Kies een deelgebied om je eerste groeistap te zetten. Uit je zelfevaluatie heb je geleerd waar de grootste hiaten zitten. Op basis van die informatie kun je een keuze maken om verschillende deelgebieden stapsgewijs aan te pakken.
Het lijkt verleidelijk om alle verbeteracties die nodig zijn meteen te plannen, of meteen meerdere tegelijk in gang te zetten. Houd het echter beheersbaar en overzichtelijk. Neem in het begin één stap tegelijk, en kies de eerste stap niet alleen op basis van waar de grootste winst te behalen valt, maar ook waar de minste projectrisico’s zitten. Liever een haalbare kleine stap, dan een te grote stap waardoor je struikelt.
Er zijn waarschijnlijk veel verbeteracties nodig op diverse gebieden, maar bedenk dat een stapsgewijze aanpak betekent dat je uiteindelijk overal aan toekomt. Na elke ronde kun je evalueren, leren en je aanpak verbeteren en uitbreiden. Plan daarom nog niet alles tot het einde door, maar wees flexibel in je stappen na de eerste ronde.
Leg je keuze voor de eerste ronde vast in je plan van aanpak.
Betrek je bestuur bij je aanpak. Laat hun het plan van aanpak goedkeuren en het vernieuwde beleid onderschrijven. Met hun commitment wordt je organisatie bewust van de wens tot verbetering, en krijg je iedereen die je nodig hebt makkelijker mee.
Tot slot
Je cybersecurityvolwassenheid verhogen lijkt een grote uitdaging. Waar moet je beginnen? En heb je wel de mensen en de middelen om het goed aan te pakken? Maar je kunt de hulp inschakelen van een volwassenheidsmodel dat je door het proces loodst. Neem steeds één stap tegelijk. Met een groeiende volwassenheid wordt ook je aanpak van je volwassenheid zelf steeds makkelijker. Je belandt in een opwaartse spiraal en voor je het weet sta je bovenaan de ladder.
Wanneer je de hoogste trede hebt bereikt is cybersecurity een tweede natuur voor je organisatie en verbetert het zichzelf na ieder incident. Je bent op een niveau van antifragiliteit beland – je zou een aanvaller haast willen uitnodigen om een poging te wagen, je wordt er alleen maar beter van.
* Nassim Nicholas Taleb (2012). Antifragile: Things That Gain from Disorder. Random House. ISBN 9781400067824
