- Home >
- Services >
- Access to Knowledge >
- Trend Monitor >
- Domain of Application >
- Trend snippet: Use the available measures to secure your OT
Trends in Security Information
The HSD Trendmonitor is designed to provide access to relevant content on various subjects in the safety and security domain, to identify relevant developments and to connect knowledge and organisations. The safety and security domain encompasses a vast number of subjects. Four relevant taxonomies (type of threat or opportunity, victim, source of threat and domain of application) have been constructed in order to visualize all of these subjects. The taxonomies and related category descriptions have been carefully composed according to other taxonomies, European and international standards and our own expertise.
In order to identify safety and security related trends, relevant reports and HSD news articles are continuously scanned, analysed and classified by hand according to the four taxonomies. This results in a wide array of observations, which we call ‘Trend Snippets’. Multiple Trend Snippets combined can provide insights into safety and security trends. The size of the circles shows the relative weight of the topic, the filters can be used to further select the most relevant content for you. If you have an addition, question or remark, drop us a line at info@securitydelta.nl.
visible on larger screens only
Please expand your browser window.
Or enjoy this interactive application on your desktop or laptop.
Use the available measures to secure your OT
3.2 Beschikbare basismaatregelen OT-security
Er bestaan basismaatregelen voor veilige OT en deze zijn bij velen bekend. De uitdaging is om vast te stellen wat er nodig is voor de eigen organisatie. Idealiter vloeit dit voort uit informatie vanuit risicomanagement en het doel om het primaire proces draaiende te houden. Hiermee kan bewust gekeken worden naar hoe standaarden of andere maatregelen in te regelen en wat hiervoor nodig is.
3.2.1 Gebruik bestaande maatregelen voor eigen organisatie
Het is van belang om kennis te nemen en gebruik te maken van bestaande maatregelen, om deze makkelijk aan te sluiten bij de organisatie en de mensen die er mee werken.
Standaarden omzetten naar eigen organisatie.
Uit alle interviews komt naar voren dat de standaarden de juiste onderwerpen beslaan, maar dat standaarden niet altijd direct te gebruiken zijn. Elke organisatie heeft de keuze welke standaarden te gebruiken en moet daarna zelf uitpluizen hoe deze standaarden helpen bij het veilig maken en houden van de eigen OT. Het is nodig om de bestaande standaarden naar de wensen en eisen van de eigen organisatie te vertalen. Dit vergt tijd, kennis en kunde. De ervaring is dat als dit de eerste keer zorgvuldig wordt gedaan en hieruit voor de organisatie zelf stappen en activiteiten worden geformuleerd, men hier jaren profijt van heeft. Belangrijk om hierin mee te nemen is dat er een keuze gemaakt moet worden aan welke normen men wil voldoen.
Succesfactor. Kies de relevante standaard(en) en vertaal deze op basis van de wensen en eisen naar de eigen organisatie. Dit vergt kennis, tijd en geld maar het belang om dit zorgvuldig te doen wordt door de respondenten benadrukt.
Praktijkvoorbeeld. Een OT-security manager gaf aan het Capability Maturity Model Integration (CMMI) te hanteren. Ondanks dat het CMMI voornamelijk in de IT gebruik wordt zag hij/zij meerwaarde in de toepassing ervan op de OT. De respondent heeft niet verteld op welke manier het model toegepast is. De toegevoegde waarde voor hem/haar was dat middels het model de organisatie beter in staat was om het actuele en toekomstige OT-security maturiteitsniveau te bepalen.
Praktijkvoorbeeld. Uit standaarden zijn doelstellingen afgeleid voor de organisatie waarvoor het management verantwoordelijkheid moet afleggen. Bijvoorbeeld het behalen van het WEF maturity model niveau 3 (WEF, 2012). Hierdoor kreeg het management een gemeenschappelijk referentiekader om de organisatiedoelstellingen en OT(-security) doelstellingen met elkaar te verbinden.
Werk met bestaande frameworks en standaarden.
Aangezien er al veel frameworks en standaarden beschikbaar zijn, wordt herhaaldelijk benadrukt dat organisaties met deze bekende frameworks of standaarden moeten werken. Dit geldt ook voor de eigen bedrijfsprocessen en procedures. Dit betekent dat men ook intern moet kijken welke processen en procedures al lopen om nieuwe maatregelen of standaarden hier op aan te laten sluiten. Dit zorgt dat er aansluiting is bij de medewerkers die er mee moeten werken en dat het gemakkelijker is om het in te bedden in de organisatie.
Succesfactor. Kies bestaande frameworks/standaarden en leer gezamenlijk tijdens het toepassen ervan op de eigen organisatie.
Praktijkvoorbeeld. Om bestaande frameworks en standaarden te hanteren hebben enkele bedrijven de brancheorganisaties aangesproken. Door in dergelijke verbanden bij elkaar te komen wordt kennis uitgewisseld. Dit leverde ook toegevoegde waarde op in de contracten met leveranciers. Men kon gezamenlijk bepalen en beoordelen welke frameworks en standaarden verplicht gesteld zouden moeten worden, waardoor er tussen de opdrachtgever en leverancier supplier assurance optrad. Door bundeling van krachten in een branche of sector ontstaan meer mogelijkheden om leveranciers aan te sporen tot meer focus op cybersecurity verbeteringen. Daarnaast bezitten bedrijven in een branche of sector vergelijkbare apparatuur en zijn de frameworks en standaarden direct voor vele bedrijven van toepassing.
Security-by-design.
Er is een trend gaande om bij het ontwikkelen of vervangen van OT security-by-design na te streven. Hiermee worden de eigen organisatie, leveranciers en fabrikanten gemotiveerd (vrijblijvend en niet vrijblijvend) om bijvoorbeeld bestaande normen als basis of leidraad te gebruiken en in samenwerking met de opdrachtgever in gesprek te gaan over aanvullende functionele-, beheers- en veiligheidseisen. Het gesprek kan bijvoorbeeld vormgegeven worden door security-by-design principes (OWASP, 2016).
Succesfactor. Medewerkers en management zijn op de hoogte van de kansen die ontstaan wanneer OT vervangen of ontwikkeld wordt. Dit is het moment in de life cycle van OT om security-by-design te implementeren.
Inbedding in de organisatie
Het belang van security kan afgelezen worden uit de manier waarop het geborgd is in een organisatie. OT-security kan als project of programma opgepakt worden, terwijl andere organisaties er een aangewezen persoon of afdeling voor hebben.
Van stapsgewijs naar structureel.
Het is van belang om stapsgewijs te komen tot OT-security, bijvoorbeeld door te voldoen aan normen uit standaarden of bewustzijn te creëren. Het beperkt houden van de omvang van implementatie-projecten helpt om stapsgewijs uit te breiden en stagnatie in de ontwikkeling of uitbouw van OTsecurity te voorkomen. Hierbij is het heel belangrijk dat voor verdere ontwikkeling en professionalisering van OT-security, er een moment moet zijn dat OT-security structureel ingebed wordt in plaats van op projectbasis uitgevoerd blijft.9 Door sommige respondenten is geuit dat OT-security nu in een project opgepakt is, terwijl anderen een OT-security afdeling bezitten. Beide organisaties uitten nadrukkelijk de behoefte om het onderwerp structureel te borgen in de organisatie.