isms

Inhoud Hoe veilig is procesautomatisering? Waterschappen, energiebedrijven, fabrieken, logistieke organisaties: het klinkt als organisaties die niet veel gemeen hebben. Toch zijn er nadrukkelijke overeenkomsten: ze maken allemaal gebruik van machines die aangestuurd worden door IT. De zogenaamde Operationele Techniek (OT). En dat is nadrukkelijk een specifieke en andere tak van sport! Het uitvallen of gehackt worden van OT, ook wel procesautomatisering genoemd, kan desastreuze gevolgen hebben. Denk aan het door criminelen openzetten van sluizen, ransomware in de systemen van fabrieken, infecties in waterleidingsystemen.   Hacks We hebben het de afgelopen jaren vaker gezien. Zo werd een Noors aluminiumbedrijf gehackt en onlangs een drinkwaterbedrijf in Florida, USA. Voor het Noorse bedrijf betekende het dat zij wekenlang hun productie moesten staken en hun IT van de grond af opnieuw op moesten bouwen. De schade was naar schatting € 31.1 miljoen. Voor het waterbedrijf in Florida waren de mogelijke gevolgen nog groter: de hackers verhoogden de hoeveelheid chemicaliën met meer dan 100 keer, wat desastreuze gevolgen kon hebben voor de gezondheid van de bevolking. De verhoging werd op tijd gezien door een medewerker van het drinkwaterbedrijf en weer teruggedraaid. De complexiteit van technische installaties neemt hand over hand toe. Niet alleen in fabrieken, maar denk ook aan Internet of Things (IoT). Dat sluit aan bij een steeds breder toepassingsgebied: denk bijvoorbeeld aan Smart City initiatieven die nu opgezet zijn en uitgerold worden. Maar hoe zorg je dan dat de security van productieomgevingen op orde is en blijft?   Toetsingskader Er zijn frameworks en toetsingskaders die zorgen dat je op het gebied van procesautomatisering je informatiebeveiliging op orde kan brengen. De IEC 62443 is daar een goed voorbeeld van. De IEC 62443 is een internationale reeks normen voor industriële communicatienetwerken. De norm is onderverdeeld in verschillende secties en beschrijft zowel technische als procesgerelateerde aspecten van industriële cybersecurity. Waar de ISO27001 een meer generieke aanpak voor informatiebeveiliging behelst, is de IEC 62443 specifiek voor IACS-toepassingen. Het mooie van deze aanpak is dat deze zich richt op twee groepen gebruikers: de eindgebruikers en de solution providers: de softwarebedrijven die leveren, de system integrators en vendors. Gelukkig gaat de IEC 62443 verder dan een boodschappenlijst met maatregelen: de ruggengraat is het Cyber Security Management System (CSMS), vergelijkbaar met het Information Security Management System (ISMS) wat in de ISO27001 is beschreven. Voor veel organisaties is de OT-security een gebied waar de technische security hoogtij viert en waar een goed en doordacht management framework nog wordt gemist. De IEC 62443 kan hierin veel structuur geven. Goed om te zien is dat ook in Nederland steeds meer organisaties de IEC 62443 omarmen. Ik kan het dan ook van harte aanbevelen om de IEC62443 in te zetten, te meten en verbeteren. Combineer dit met een uitstekende governance rondom de ISO27000 en NEN7510 want alleen zo kom je echt in control over de security van je procesautomatisering!   Auteur, Jorrit van de Walle | Audittrail   Over de auteur Jorrit van de Walle is oprichter van Audittrail, een audit- en adviesbureau op het gebied van cyber security, privacy en compliance. Jorrit heeft meer dan 20 jaar ervaring als security auditor en – manager.  

Inhoud Zes jaar geleden is een samenwerkingsverband opgezet inzake Applicatie Portfolio Management met verschillende ministeries. Tot op de dag van vandaag komen deze partijen tweewekelijks bij elkaar om het palet van portfolio management uit te breiden en generiek in te richten voor de aangesloten organisaties. Naast de permanente leden haken regelmatig ook andere overheden aan voor kennisuitwisseling op het gebied van portfoliomanagement. In dit samenwerkingsverband is Mavim van het begin ‘trusted partner’ geweest bij de doorontwikkeling van het portfolio. Het huidige palet aan portfoliomanagement bestaat uit de volgende onderdelen: Project Portfolio Management, Information Security Management System (BIO/AVG), Enterprise Architectuur, Procesmanagement, Applicatie Portfolio Management en Product Portfolio Management.   Portfoliomanagement onderdelen In de zomer van 2020 is het samenwerkingsverband verder doorontwikkeld naar een 2.0 versie. Dit was nodig omdat veel overheden zich in een geleidelijke transitie bevinden van on-premises software naar cloud services en daarnaast is de monitoring van informatiebeveiliging en privacy een steeds significanter onderdeel van het portfolio.   Transitie Een volgende belangrijke stap zal worden de transitie van Applicatie Portfolio Management naar Applicatie Lifecycle Management. Inmiddels hebben de aangesloten partijen namelijk wel goed in kaart welke IT-componenten men als departement in beheer heeft. Vanaf nu gaat het er om de levenscyclus van de betreffende IT goed te managen. De omgeving van overheid verandert steeds sneller, hierop zal de strategische IT-visie continu moeten worden aangepast. Simpelweg software aanschaffen is niet meer genoeg, telkens zal weer moeten worden nagegaan of de functionaliteit van de betreffende software wel voldoet aan de veranderende eisen.’   Wil jij hierover meer informatie ontvangen? Neem dan contact op met Mavim Team Overheid.   Auteur: Dhammika van Gent, Value Engineer bij Mavim