Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1

Agenda • • • •

Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management – Wat is het? – ISA99/IEC 62443 – De voordelen

• Manier van aanpak

Introductie spreker • Arjan Meijer – Security Consultant Hudson Cybertec – Gecertificeerd ISA trainer • ISA99/IEC 62443

– Ervaring in verschillende security domeinen – Uitgebreide kennis ISA95, ISA99/IEC 62443

Introductie ISA • International Society of Automation (ISA) • Leidende wereldwijde non-profit organisatie – Wereldwijd netwerk van ruim 30.000 leden

• Ontwikkelt standaarden voor automatisering – Meer dan 150 internationale industriestandaarden – Bv ISA-84; ISA-88; ISA-95; ISA-98; ISA-99; ISA-100; ISA-101

• Certificeert en traint industrie professionals – O.a. Cyber Security Fundamentals Specialist

De 3 pijlers van security

De 3 pijlers van security • Mens • Organisatie Mens

• Techniek Organisatie

6-10-2014

Techniek

De 3 pijlers van security • Maatregelen moeten in balans zijn – Zorg voor een brede aanpak – Focus op alle pijlers

• Gestandaardiseerde aanpak kan helpen – ISA99/IEC 62443

• Verhoogt de – Efficiëntie van de maatregelen – Kosten effectiviteit

IT versus OT

Security belangen IT vs. OT • Verschillende systemen, protocollen, aanvallers, aanvallen – Verschillende prioriteiten: CIA vs. AIC

Confidentiality

OT: IT: CIA Triangle

Integrity

Availability

Cyber Security Management Wat is het?

Cyber Security management • Beheersbaar maken van Cyber Security – Risk analysis • Inventariseer actuele dreigingsniveau en potentiële business impact van incidenten

– Cyber Security Management System • Maak ICS / TA Security tot integraal deel van het operationele management

– Risk Management • Koppel cyber risks aan bedrijfsprocessen • Maak ICS / TA security onderdeel van nieuwe project requirements

Cyber Security Management ISA99/IEC 62443 standaard

ISA99/IEC 62443 Cyber Security standaard • Security standaard voor Industrial Automation & Control Systems • Aandacht voor – – – – – –

Technologie Fysieke security Organisatie structuur Personele vaardigheden Beleid Procedures

Cyber Security Framework • • • • •

ISA99/IEC 62443 ISO/IEC27001 NIST SP800-53 COBIT 5 CCS-CSC

ISA99/IEC 62443 Cyber Security Management (1/3) Voorbeeld: firewall technologie

Firewall misconfigurations

• Impact van netwerk veranderingen

Time

ISA99/IEC 62443 Cyber Security Management (2/3) Voorbeeld: firewall technologie

• ISA99/IEC 62443 helpt met: – Security beleid, organisatie en awareness • Staf training & security awareness • Security beleid en procedures

– Geselecteerde security tegenmaatregelen • • • •

Personele security Fysieke en omgevings beveiliging Netwerk segmentatie Access control – Administratie, Authenticatie & Autorisatie

ISA99/IEC 62443 Cyber Security Management (3/3) Voorbeeld: firewall technologie

• ISA99/IEC 62443 helpt met: – Implementatie • Risk management en implementatie • Systeem ontwikkeling en onderhoud – Ontwikkel & implementeer een change management system – Bepaal alle risico’s voor vernaderingen aan het IACS – Vereis security beleid voor systeem ontwikkeling of onderhoudsveranderingen – Review en onderhoud policies en procedures

• Informatie en document management • Incident planning en respons

Security management Preventie Baseline measurement Awareness Network Segmentation (Physical) Access Controls Antivirus Firewalls Backup & Restore …

Recovery Recovery & Re-instatement Emergency Response Incident Management Escalation Controls …

Cyber Security Management De voordelen

Minimale inspanning, Maximaal resultaat

Kosten (€)

Optimalisatie van kosten

Security by Design No Security by Design

Tijd

Quick Wins • Resultaten assessment leiden tot quick-wins – Focus op prioriteiten – Effectief gebruik resources – Meetbare en controleerbare resultaten

• Beheersbare cyber security • Verbetert de ROI • Vergroot de effectiviteit van maatregelen

Manier van aanpak

Manier van aanpak (1/2) • Integrale aanpak door ISA99/IEC 62443 framework – Geeft richting – Verankert security in organisatie – Helpt bij Security by Design

Manier van aanpak (2/2) • Security Awareness programma – Operationeel, management

• Security Snapshot, Assessment – Nulmeting van huidige security status – Nodige maatregelen voor Mens, Organisatie en Techniek

• ICS netwerk monitoring • Beleid ICS security • Kennis: Training!

Met Cyber Security Management houdt u de controle over uw eigen proces!