Risiko-baseret sikkerhedsrådgivning 2018-08-22T11:59:53+00:00

Risiko-baseret sikkerhedsrådgivning i forhold til dit ICS miljø

Hvad ville der ske, hvis…. ?

Hvordan opdager vi det?

Hvor stor vil konsekvensen være… ?

Hvor sårbare er vi egentlig ?

Hvem gør hvad, hvis… ?

Har du svarerne i disse spørgsmål ?

Hvis ikke, SecuriOT kan hjælpe jer dig med at få overblik og træffe de rigtige beslutninger.

SecuriOT anvender forskellige sikkerheds standarder og “guidelines” til at sikre at udbytte bliver optimalt for kundens videre anvendelse af de “findings”, som en risk assessment viser.

I dag finder der en række forskellige standarder, og det er i samarbejde med kunden at vi finder frem til rette reference model.

I SecuriOT arbejder vi primært med NIST Framework, ISO27001 og ISA62443 samt forskellige danske vejledninger til specifikke brancher.

Teknisk Risiko Vurdering

SecuriOT tilbyder en teknisk risiko vurdering af jeres ICS-systemer. De primære fokus områder vil være:

  • Teknisk gennemgang af jeres ICS-netværk og ICS-arkitektur med fokus på opbygning og konfiguration
  • Netværk og protokoller imellem forretning-IT og ICS-systemer
  • Review af Firewall setup
  • Vurdering af forbindelser til og fra IT-miljøer samt 3.part netværk.
  • Sikkerhed og “harding af ICS devices (PLC, Scada, HMI, etc.)
  • kortlægning af kendte sårbarheder i de anvendte produkter og løsninger.

Input til denne analyse er:

  • fysiske netværkstegninger
  • “Discovery” værktøjer, som kan tegne et “real-life” billede af netværket og tilhørende “assets”.
  • Interview med relevante personer
  • Fysisk gennemgang af lokationer.

Output og værdi for kunden:

konkret risikovurdering af det tekniske setup

  • Konkret risikovurdering
  • Anbefalinger til ”Hardening” af netværk, systemer og enheder
  • Anbefalinger til ændringer i setup

Fase-opdelt approach:

  • Fase 1: Opstarts-workshop :
    • Hvad er “scope”, succeskriterier og ansvarsfordeling ved denne assessment?
    • Hvilke opgaver skal udføres inden opstart?
    • Tidsplan.
  • Fase 2: Indsamling af data og information
    • Indsamling af data påbegyndes af SecuriOT’s medarbejdere i samarbejde med kundens ansvarlig
  • Fase 3: Rapportudarbejdelse
    • Analyse af “findings” gennemføres og udarbejdes en rapport.
  • Fase 4: Præsentation
    • SecuriOT vil gennemgå rapportens for kundens repræsentanter

En Assessement tager fra 4 dage afhængig  af størrelse og “scope”

Processmæssig risiko vurdering

SecuriOT tilbyder en processmæssig risiko vurdering i forhold til jeres ICS-systemer. De primære fokus områder vil være:

  • forankring af risk management i virksomheden
  • forankring af processer og ansvarsfordeling og systemejere
  • Process for opdagelse af nye fundne sårbarheder og tilhørende risikvurdering
  • Process for løbende opdateringer og patchning
  • Rettighedsstyring ift adgang til til ICS-systemer (Både interne “admin”-rettigheder og eksterne brugere)
  • Eksisterende beredskabsplaner ift. ICS-systemer
  • Samarbejde imellem forretningsIT og ICS-systemer

Input til denne analyse er:

  • Interview med relevante personer
  • Dokumentation for politikker og processer.

Output og værdi for kunden:

konkret risikovurdering af det tekniske setup

  • Konkret risikovurdering
  • Anbefalinger til forberedringer af eksisterende processer.

Fase-opdelt approach:

  • Fase 1: Opstarts-workshop :
    • Hvad er “scope”, succeskriterier og ansvarsfordeling ved denne assessment?
    • Hvilke opgaver skal udføres inden opstart?
    • Tidsplan.
  • Fase 2: Indsamling af data og information
    • Indsamling af data påbegyndes af SecuriOT’s medarbejdere i samarbejde med kundens ansvarlig
  • Fase 3: Rapportudarbejdelse
    • Analyse af “findings” gennemføres og udarbejdes en rapport.
  • Fase 4: Præsentation
    • SecuriOT vil gennemgå rapportens for kundens repræsentanter

En Assessement tager fra 3 dage afhængig  af størrelse og “scope”

Begge tilgange giver en vigtig visibilitet som er nyttig for din virksomhed.

SecuriOT vil levere konkrete anbefalinger til jer, som sikre en hurtig effekt af analyserne.