IT Security
Unter dem Begriff «IT Security» sind viele Aspekte zusammengefasst. Vom einfachen Viren- / Malwareschutz zur komplexen Webapplication- Firewall oder einer Phishing-Awareness Kampagne: die IT Security muss überall präsent sein.
Auch in der IT Security soll ein Top-Down Ansatz angestrebt werden:
- Definition der Verantwortlichkeiten
- Definition der Bedürfnisse der Geschäftsbereiche
- Definition des Schutzbedürfnisses
- Definition der Massnahmen
Die Verantwortlichen der Geschäftsbereiche sind häufig nicht in der Lage konkrete IT- Schutzbedürfnisse zu formulieren, da dies schlichtweg nicht ihr Arbeitsbereich ist.
Es ist daher die Aufgabe von uns in der IT, die Anforderungen der Geschäftsbereiche abzuholen und konkrete Schutzmassnahmen abzuleiten.
Diese sind wiederum in verständlichen, ans Business angelehnten Beschreibungen mit den Geschäftsbereichen zu diskutieren damit zu einem gemeinsamen Entscheid gekommen werden kann.
Sofern nicht gesetzliche Vorgaben verletzt werden, so liegt der Entscheid für oder gegen die Massnahmen immer beim Geschäftsbereich. Es ist wichtig, dies immer im Bewusstsein zu halten, die Verantwortlichen aber auch auf mögliche Konsequenzen hinzuweisen.
Unsere Stärke liegt nicht zuletzt darin, die Vermittler-Rolle zwischen Business und IT wahrzunehmen und auf beiden Seiten die Anforderungen der jeweils anderen Partei zu erklären.
Security in der Energiebranche
Durch unsere Erfahrungen in der Energie-Branche, insbesondere in der Strombranche, können wir mit Ihnen zusammen die grundsätzlichen Herausforderungen angehen.
Insbesondere die Integration der Steuerungs- und Leitsysteme bedingt eine frühzeitige Diskussion der Rahmenbedingungen. Betriebs- Teams wie auch Lieferanten werden in diese Diskussionen von Beginn weg stark eingebunden.
- Wie können die Leitsysteme geschützt werden
- Wie kann die Verbindung zwischen Leitsystemen und den Steuerkomponenten geschützt werden
- Welche Massnahmen sind notwendig für den Schutz der Gateways, RTUs und IEDs
Um diese Fragen beantworten zu können ist auch hier ein strukturiertes Vorgehen notwendig:
- Definition der Verantwortlichkeiten
- Definition der Bedürfnisse der Geschäftsbereiche an die Leitsysteme und die involvierten Komponenten / Applikationen
- Definition des Schutzbedürfnisses
- Definition der Massnahmen
Massnahmen können wie immer technischer oder organisatorischer Natur sein. Es ist nicht immer notwendig eine neue Applikation zum Zweck von Schutz einzuführen, manchmal genügt es auch wenn die Mitarbeiter regelmässig gewisse Tasks manuell ausführen.
Den Konsens zwischen Nutzerfreundlichkeit, Sicherheit und Anforderungen von Business Seite zu finden ist in diesem Umfeld zugegebenermassen nicht immer einfach.
Mit unseren Kenntnissen in den Bereichen ISO 27'001/27'002 und NERC-CIP sowie der Ausbildung als Elektro-Ingenieure können wir Ihnen helfen diese Brücken zu schlagen.
Security Audits
Architektur, Design und Prozesse zu definieren und umzusetzen ist das eine, sicherzustellen, dass alles auch wie angedacht umgesetzt wurde, ist das andere.
Auch wenn es nicht das Ziel ist, eine Zertifizierung zu erlangen, lohnt es sich in der Regel einen internen Audit nach ISO 27'001/27'002 oder nach einem anderen Standard durchzuführen. Dabei werden wichtige Erkenntnisse gewonnen wie:
- Ist eine IT Security Organisation vorhanden und sinnvoll umgesetzt
- Ist das Management involviert und engagiert
- Sind die Mitarbeitenden geschult
- Weiss jeder wofür er verantwortlich ist
- Ist der Zugriff auf Geräte und Applikationen definiert und den Verantwortlichen bekannt
- Sind die wichtigen Prozesse vorhanden
Es ist dabei der falsche Ansatz eine Zertifizierung als Ziel anzuschauen (obwohl dies oft gemacht wird). Eine Zertifizierung und ein Audit sind grundsätzlich dafür da um zu schauen wie weit eine Organisation ist und wo sie sich noch verbessern muss.
Auch hier gilt es, die Ressourcen optimal einzusetzen und dort zu konzentrieren wo es für die Geschäftsfelder wichtig ist.
Wir unterstützen Sie gerne bei Ihren internen Security Audits auf der Basis der Standards ISO 27'001/2 und NERC-CIP. Unsere Mitarbeitenden sind auf ISO 27'001/27'002 ausgebildet und zertifiziert und haben ein breites Wissen im Bereich NERC-CIP.