Implementeren van âsecurityâ in industriĂ«le automatisering hoeft helemaal niet zoân zware last te zijn als -wij techneuten- vaak denken.
Deze week heb ik dat in verschillende sessies laten inzien aan operators en PA beheerders in een drinkwater bedrijf. In de 3 uur die per sessie beschikbaar was kun je natuurlijk niet diepgaand door normen gaan en allemaal details aan de orde laten komen. Het doel was daarom om inzicht te verschaffen om zo de mindset te veranderen en discussie op te wekken.
Met behulp van eenvoudige tekeningen en het gebruik van behapbare parallellen uit de tijd van ridders, kastelen en gevangenissen, lukte het al snel om de groepen te laten inzien dat informatiebeveiliging niet een hoofdzakelijk technisch aspect is. Onderlinge discussies over âis apparaat A nu beter en veiliger dan apparaat Bâ waar de sessies mee aanvingen, maken al snel plaats voor strategisch denken. âWe moeten verschillende soorten hindernissen inbouwenâ en zelfs het andere uiterste van het spectrum âwe kunnen ze toch ook opvangen met een tegenaanvalâ. De term âdefence in depthâ is nu ineens door de groep goed te begrijpen. Hoe meer verdedigingslinies worden gemaakt in systemen, hoe meer mogelijkheden je hebt om bedreigingen buiten de deur te houden of de impact te beperken.
Als vanzelf stuurt de groep met dit beeld in gedachten aan op het gevoel dat het graven van slotgrachten, bouwen van ophaalbruggen, plaatsen van kanonnen en het dragen van harnassen een stuk lastiger uit te voeren is aan een bestaand kasteel dan wanneer er rekening mee wordt gehouden gedurende het ontwerp en bouw. De stap naar het begrip âsecurity by designâ is hiermee gemaakt. PA beheerders schuiven naadloos in de architecten rol en veel bruikbare ontwerpen zijn de rest van de sessie voorbij gekomen.
Taaie en niet âhippeâ materie als die van de ANSI/ISA 62443 en met name hoe je die taaie materie gewoon in het dagelijks leven moet en kan toepassen gaat leven en blijkt toch heel veel mensen aan te spreken.
Fantastisch mooi om dit proces voor je ogen te zien ontstaan. Als Consultant is dat ook een onderdeel van je werk bij Gain. Kennis en informatie waar je over beschikt zodanig omvormen dat een grote groep kan volgen waar het over gaat en in een paar uur transformeert van âhakken in het zandâ naar aan de slag gaan met kansen en mogelijkheden die op de radar zijn verschenen.
Heeft dit blog je geïnspireerd?
Wil je werken bij Gain of weten of wij ook jou kunnen helpen bij jouw verbetertraject? Neem gerust contact met ons op.
