Als rode draad door uw organisatie het Cyber Management Systeem
Cyber Security Management Systeem
De ISA-62443 standaard beschrijft welke elementen aandacht behoeven bij het adresseren van cybersecurity in industriële omgevingen. Het geheel van deze elementen wordt een Cybersecurity Management System (CSMS) genoemd en omvat de volledige cybersecurity livecycle.
Assess – Develop & Implement – Maintain
Aksi Automatisering kan u ondersteunen bij het ontwikkelen van een CSMS.
Beleid en Procedures
Op basis van de risico’s die zijn geconstateerd in een gedetailleerd risico-onderzoek, zullen passende maatregelen genomen moeten worden. Naast de implementatie van technologische maatregelen zijn er ook beleidsmaatregelen nodig, die het juiste gebruik van de assets voorschrijven in de vorm van Beleid & Procedures. Denk hierbij bijvoorbeeld aan wachtwoord beleid, patch strategie, accountmanagement, etc. Dit beleid & procedures moeten uitgedragen en geadopteerd worden in uw organisatie. Met onze ervaring kunnen we u helpen bij het opstellen van dit beleid en procedures en het trainen van uw medewerkers voor het volgen van dit beleid en de daar bijbehorende procedures.
Bescherming
Nog steeds vormen insiders de grootste bedreiging als het gaat om cybersecurity. Daarom is het van het grootste belang om medewerkers te trainen op bewustwording. Daarbij is dit een kans om goodwill te kweken voor het noodzakelijke cybersecuritybeleid en de procedures. Het doel is enerzijds de mensen te informeren over realistische bedreiging en scenario’s en anderzijds te betrekken bij de verdediging daartegen. Dit resulteert in meedenkende collega’s die gezond achterdochtig zijn, het beleid en de procedures adopteren en zelf met verbetervoorstellen komen in plaats van maatregelen te omzeilen.
Een awareness training wordt in overleg met u samengesteld afhankelijk van het niveau van uw medewerkers op het gebied van cybersecurity en het beleid en procedures die van toepassing zijn in uw organisatie.
System Hardening
Industriële systemen zijn ontworpen met het oog op betrouwbaarheid over een levensduur van 10 tot 15 jaar. De gebruikte technologie was vooral gericht op stabiliteit en beschikbaarheid. Cybersecurity speelde geen rol, omdat er geen serieuze bedreigingen werden onderkend. Dit heeft geresulteerd in bijzonder kwetsbare systemen met talloze security lekken. Nu steeds meer systemen met elkaar geïntegreerd zijn, is het niet langer verantwoord deze systemen onbeschermd te laten.
Onder System Hardening verstaan we een scala aan maatregelen om de veiligheidsrisico’s te verkleinen. Denk hierbij aan het installeren van patches, verwijderen of uitschakelen van ongebruikte user accounts, (netwerk) services, beveiligen van remote access, inschakelen van logging, etc.
We maken hierbij onder andere gebruik van de Best Practices die door de NIST zijn gepubliceerd in “Guide to ICS Security 800-82”.
Defence in Depth
Een goede beveiliging is opgebouwd uit meerdere lagen. Dit is niet alleen noodzakelijk vanwege de diversiteit van bedreigingen. Het voorkomt ook dat assets aan bedreigingen worden blootgesteld nadat één enkele beveiliging is gepasseerd.
Ons baserend op de uitkomsten van de risicoanalyse maken we een opzet van een gelaagde beveiliging.