Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1
Agenda • • • •
Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management – Wat is het? – ISA99/IEC 62443 – De voordelen
• Manier van aanpak
Introductie spreker • Arjan Meijer – Security Consultant Hudson Cybertec – Gecertificeerd ISA trainer • ISA99/IEC 62443
– Ervaring in verschillende security domeinen – Uitgebreide kennis ISA95, ISA99/IEC 62443
Introductie ISA • International Society of Automation (ISA) • Leidende wereldwijde non-profit organisatie – Wereldwijd netwerk van ruim 30.000 leden
• Ontwikkelt standaarden voor automatisering – Meer dan 150 internationale industriestandaarden – Bv ISA-84; ISA-88; ISA-95; ISA-98; ISA-99; ISA-100; ISA-101
• Certificeert en traint industrie professionals – O.a. Cyber Security Fundamentals Specialist
De 3 pijlers van security
De 3 pijlers van security • Mens • Organisatie Mens
• Techniek Organisatie
6-10-2014
Techniek
De 3 pijlers van security • Maatregelen moeten in balans zijn – Zorg voor een brede aanpak – Focus op alle pijlers
• Gestandaardiseerde aanpak kan helpen – ISA99/IEC 62443
• Verhoogt de – Efficiëntie van de maatregelen – Kosten effectiviteit
IT versus OT
Security belangen IT vs. OT • Verschillende systemen, protocollen, aanvallers, aanvallen – Verschillende prioriteiten: CIA vs. AIC
Confidentiality
OT: IT: CIA Triangle
Integrity
Availability
Cyber Security Management Wat is het?
Cyber Security management • Beheersbaar maken van Cyber Security – Risk analysis • Inventariseer actuele dreigingsniveau en potentiële business impact van incidenten
– Cyber Security Management System • Maak ICS / TA Security tot integraal deel van het operationele management
– Risk Management • Koppel cyber risks aan bedrijfsprocessen • Maak ICS / TA security onderdeel van nieuwe project requirements
Cyber Security Management ISA99/IEC 62443 standaard
ISA99/IEC 62443 Cyber Security standaard • Security standaard voor Industrial Automation & Control Systems • Aandacht voor – – – – – –
Technologie Fysieke security Organisatie structuur Personele vaardigheden Beleid Procedures
Cyber Security Framework • • • • •
ISA99/IEC 62443 ISO/IEC27001 NIST SP800-53 COBIT 5 CCS-CSC
ISA99/IEC 62443 Cyber Security Management (1/3) Voorbeeld: firewall technologie
Firewall misconfigurations
• Impact van netwerk veranderingen
Time
ISA99/IEC 62443 Cyber Security Management (2/3) Voorbeeld: firewall technologie
• ISA99/IEC 62443 helpt met: – Security beleid, organisatie en awareness • Staf training & security awareness • Security beleid en procedures
– Geselecteerde security tegenmaatregelen • • • •
Personele security Fysieke en omgevings beveiliging Netwerk segmentatie Access control – Administratie, Authenticatie & Autorisatie
ISA99/IEC 62443 Cyber Security Management (3/3) Voorbeeld: firewall technologie
• ISA99/IEC 62443 helpt met: – Implementatie • Risk management en implementatie • Systeem ontwikkeling en onderhoud – Ontwikkel & implementeer een change management system – Bepaal alle risico’s voor vernaderingen aan het IACS – Vereis security beleid voor systeem ontwikkeling of onderhoudsveranderingen – Review en onderhoud policies en procedures
• Informatie en document management • Incident planning en respons
Security management Preventie Baseline measurement Awareness Network Segmentation (Physical) Access Controls Antivirus Firewalls Backup & Restore …
Recovery Recovery & Re-instatement Emergency Response Incident Management Escalation Controls …
Cyber Security Management De voordelen
Minimale inspanning, Maximaal resultaat
Kosten (€)
Optimalisatie van kosten
Security by Design No Security by Design
Tijd
Quick Wins • Resultaten assessment leiden tot quick-wins – Focus op prioriteiten – Effectief gebruik resources – Meetbare en controleerbare resultaten
• Beheersbare cyber security • Verbetert de ROI • Vergroot de effectiviteit van maatregelen
Manier van aanpak
Manier van aanpak (1/2) • Integrale aanpak door ISA99/IEC 62443 framework – Geeft richting – Verankert security in organisatie – Helpt bij Security by Design
Manier van aanpak (2/2) • Security Awareness programma – Operationeel, management
• Security Snapshot, Assessment – Nulmeting van huidige security status – Nodige maatregelen voor Mens, Organisatie en Techniek
• ICS netwerk monitoring • Beleid ICS security • Kennis: Training!
Met Cyber Security Management houdt u de controle over uw eigen proces!