O modelo de maturidade da capacidade de segurança cibernética (C2M2) é uma ferramenta para avaliar e melhorar a segurança cibernética. Foi desenvolvido em 2012 pelo setor de energia dos EUA e pelo Departamento de Energia (DOE). O C2M2 é gerenciado pelo Escritório de Cibersegurança, Segurança Energética e Resposta de Emergência (CESER) e Divisão de Segurança Cibernética para Sistemas de Entrega de Energia (CEDS) do DOE. A divisão CEDS da CESER avança em pesquisa, desenvolvimento e implantação de tecnologias, ferramentas e técnicas inovadoras para reduzir o risco para a infraestrutura de energia do país.

O objetivo do C2M2 é ajudar organizações de todos os setores, tipos e tamanhos a avaliar e fazer melhorias em seus programas de segurança cibernética e fortalecer sua resiliência operacional. O C2M2 se concentra na implementação e gerenciamento de práticas de segurança cibernética associadas a ativos de tecnologia da informação (TI) e tecnologia de operações (OT) e aos ambientes em que operam.

Um modelo de maturidade é:

• Uma maneira organizada de transmitir um caminho de experiência, sabedoria, perfeição ou aculturação

• O assunto de um modelo de maturidade pode ser características, práticas ou processos

C2M2 Versão 2.0 Ferramentas e Recursos

Faça o download da versão mais recente (julho de 2021) do Cybersecurity Capability Maturity Model (C2M2).

Obtenha as ferramentas de autoavaliação C2M2:

• Solicite a ferramenta PDF: C2M2@hq.doe.gov

• Faça o download da ferramenta baseada em HTML

O que há de novo no C2M2 versão 2.0?

O Cybersecurity Capability Maturity Model (C2M2) Versão 2.0 (V2.0) foi lançado em julho de 2021. A atualização aborda tecnologias emergentes e o cenário de ameaças cibernéticas em evolução. A atualização foi orientada pelo Grupo de Trabalho C2M2 do Setor de Energia, que compreende 145 profissionais de segurança cibernética do setor de energia, representando 77 organizações. O grupo foi formado como um esforço colaborativo por meio do Conselho de Coordenação do Subsetor de Energia Elétrica e do Conselho de Coordenação do Subsetor de Petróleo e Gás Natural.

Como parte desta atualização, o DOE e o Grupo de Trabalho também formaram uma parceria com o Instituto Nacional de Padrões e Tecnologia (NIST) para garantir que o C2M2 V2.0 esteja alinhado com a Estrutura de Segurança Cibernética (CSF) do NIST.

A atualização C2M2 V2.0 inclui as seguintes melhorias:

• Estabelecimento de um domínio de Arquitetura de Cibersegurança

• Melhorias nas práticas de segurança cibernética em todo o modelo

• Mudanças significativas nos domínios de gerenciamento de risco e gerenciamento de risco de terceiros

• Integração de atividades de compartilhamento de informações nos domínios de Gerenciamento de Ameaças e Vulnerabilidades e Consciência Situacional
• Adição de um objetivo de acesso físico ao domínio de gerenciamento de identidade e acesso

• Racionalização das práticas de gestão da cibersegurança

• Maior uso de linguagem comum em todo o modelo

Comunidade de usuários C2M2

Desde 2012, o DOE respondeu a mais de 2.200 solicitações da ferramenta C2M2. O C2M2 foi amplamente adotado por organizações em todo o país norte americano, incluindo proprietários e operadoras em todos os setores de infraestrutura crítica. Os gráficos abaixo ilustram a distribuição das solicitações do C2M2 nos setores de infraestrutura crítica dos EUA em maio de 2021. O número de solicitações da ferramenta do C2M2 sugere um interesse crescente em medir e melhorar os recursos de segurança cibernética.

Além dos usuários domésticos, parceiros internacionais também estão adotando o C2M2. Mais de 650 do total de solicitações da ferramenta C2M2 foram feitas por entidades internacionais.

História do modelo C2M2

O Modelo de Maturidade da Capacidade de Segurança Cibernética do Subsetor de Eletricidade (ES-C2M2) Versão 1.0 foi desenvolvido em 2012 em apoio a uma iniciativa da Casa Branca liderada pelo Departamento de Energia (DOE), em parceria com o Departamento de Segurança Interna (DHS), e em colaboração com especialistas da indústria, do setor privado e do setor público. O modelo foi desenvolvido em colaboração com um grupo consultivo do setor por meio de uma série de sessões de trabalho e revisado com base no feedback de especialistas do setor e avaliações piloto. O grupo consultivo para a iniciativa incluiu representantes de associações do setor, serviços públicos e governo. Além disso, mais de 40 especialistas no assunto (PMEs) da indústria participaram do desenvolvimento do modelo.

Pequenas atualizações foram lançadas em 2014, incluindo ES-C2M2 versão 1.1, o modelo de maturidade de capacidade de cibersegurança do subsetor de petróleo e gás natural (ONG-C2M2) versão 1.1 e o modelo de maturidade de capacidade de cibersegurança (C2M2) versão 1.1.

Componentes do C2M2

O C2M2 compreende domínios, objetivos, práticas e MILs (níveis de indicadores de maturidade). Cada componente é discutido nas seções a seguir.

Domínios

Um domínio é uma lista de práticas de segurança cibernética com foco em uma área de assunto específica. Cada um dos 10 domínios do modelo contém um conjunto estruturado de práticas de segurança cibernética. Cada conjunto de práticas representa as atividades que uma organização pode realizar para estabelecer e amadurecer a capacidade no domínio. Por exemplo, o domínio Gerenciamento de risco é um grupo de práticas que uma organização pode realizar para estabelecer e amadurecer a capacidade de gerenciamento de risco cibernético.

Objetivos

As práticas dentro de cada domínio são organizadas em objetivos, que representam as conquistas de segurança cibernética que podem ser alcançadas com a implementação das práticas no domínio. Por exemplo, o domínio Gestão de Risco compreende cinco objetivos:

1. Estabelecer e manter a estratégia e o programa de gerenciamento de risco cibernético

2. Identificar Risco Cibernético

3. Analisar o risco cibernético

4. Responder ao risco cibernético

5. Atividades de gestão

Práticas

As práticas são o componente mais fundamental do C2M2. Cada prática é uma breve declaração que descreve uma atividade de segurança cibernética que pode ser realizada por uma organização. O objetivo dessas atividades é atingir e manter um nível apropriado de segurança cibernética, compatível com o risco para a infraestrutura crítica e os objetivos organizacionais. As práticas dentro de cada domínio são organizadas para progredir ao longo de uma escala de maturidade.

Níveis Indicadores de Maturidade (MILs)

Para medir a progressão, o C2M2 usa uma escala de 1-3 de níveis de indicadores de maturidade. Cada nível representa os atributos de maturidade, que são descritos na tabela a seguir. As organizações que implementam as práticas de segurança cibernética em cada MIL alcançam esse nível. Ter estados de transição mensuráveis ​​entre os níveis permite que uma organização use a escala para definir o estado atual e um estado futuro mais maduro; e identificar as capacidades que deve atingir para atingir esse estado futuro.

Autoavaliação facilitada

Além disso, se solicitado, o DOE pode facilitar uma autoavaliação C2M2 gratuita para organizações do setor de energia dos EUA. Envie um e-mail para C2M2@hq.doe.gov para obter mais informações.

Fonte: Cybersecurity Capability Maturity Model (C2M2)

Posts relacionados: NIST – Estrutura de Gerenciamento de Risco / NIST apresenta Framework para Desenvolvimento Seguro de Software e ONS – Nova rotina de Cibersegurança para o setor elétrico