Implementing a Framework for Continuous Improvement in Cybersecurity

Abstract

Saint-Gobain is a French multinational company, founded in 1665, present in 75 countrieswith over 166,000 employees. It designs, produces and distributes materials and solutionsthat are fundamental to the well-being of each and every one of us. These solutions canbe found in buildings, transports and many industrial applications.As other large multinationals, such as Maersk or Merck, in 2017, Saint-Gobain, suffereda cyberattack due to the NotPetya ransomware, causing a significant disruption in thedaily operations of its subsidiaries around the world. Since then and until the end of 2020,a strong and resilient cyber-defence plan has been followed with the main objective to better prepare the group’s infrastructure for future cyberattacks. In 2021, after the last external audit, it was concluded by the auditors that the group has now a stable level of security. In many aspects, better prepared compared to similar companies. As a result, the group decided to move from a “Build” phase to a "Run" phase, following a set of controls inspired by the CIS Critical Controls version 8. This allowed the group to strengthen their security level and adapt their posture to evolving threats, materialised by the Cybersecurity Continuous Improvement Plan (CCIP).In this internship we defined a strategy that allowed us to follow the CCIP and in parallel develop in-depth some of the objectives that this CCIP addresses. For this, we defined a main objective which is to implement a control framework for continuous improvement and two others that derive from the main one.The main contributions towards these objectives were to familiarise with the subject andthe state of the art regarding control frameworks, identifying the key requirements toundertake this internship and analysing the existing methodologies used by Saint-Gobain.Implement and monitor the controls defined for our perimeter, analysing and remediatingthe gaps found, thus obtaining the evidence for each of these controls in order to verifytheir compliance with the policies defined by the group.Follow a "Security by Design" methodology in all Information Technology andOperational Technology projects, identifying the main associated risks, as well asfollowing the best practices from the very beginning of a project.Develop and establish a Security Awareness Program that include all the relevant aspectsthat could help the reduction of unsecure behaviours by users with a special focus onphishing campaigns and user awareness sessions. Last but not least, a compilation of allthe main recommendations and good practices learnt during this internship, which anysmall and medium company can follow.

A Saint-Gobain é uma empresa multinacional francesa, fundada em 1665, presente em75 países com mais de 166.000 funcionários. Concebe, produz e distribui materiais esoluções que são fundamentais para o bem-estar de cada um de nós. Estas soluções podemser encontradas em edifícios, transportes e muitas aplicações industriais.Como outras grandes multinacionais, como a Maersk ou a Merck, em 2017, Saint-Gobain,sofreu um ataque cibernético devido ao ransomware NotPetya, causando uma perturbaçãosignificativa nas operações diárias das suas filiais em todo o mundo. Desde então e até ao final de 2020, foi seguido um plano de ciberdefesa forte e resistente com o objetivoprincipal de melhor preparar a infraestrutura do grupo para futuros ciberataques. Em2021, após a última auditoria externa, os auditores concluíram que o grupo tem agora umnível de segurança estável. Em muitos aspetos, melhor preparado em comparação comempresas similares. Como resultado, o grupo decidiu passar de uma fase "Build" parauma fase "Run", seguindo um conjunto de controlos inspirados nos CIS Critical SecurityControls na sua oitava versão. Isto permitiu ao grupo reforçar o seu nível de segurança eadaptar a sua postura à evolução das ameaças, materializada pelo Plano de MelhoriaContínua da Cibersegurança (CCIP).Neste estágio definimos uma estratégia que nos permitiu seguir o CCIP e, paralelamente,desenvolver em profundidade alguns dos objetivos ele contempla. Para tal, definimos umobjetivo principal que é o de implementar uma framework de controlos para a melhoriacontínua e dois outros que derivam do principal.As principais contribuições para estes objetivos consistiram na familiarização com o temae o estado da arte no que diz respeito às frameworks de controlos, a identificação dosrequisitos-chave para realizar este estágio e a análise das metodologias existentesutilizadas pela Saint-Gobain.Implementar e monitorizar os controlos definidos para o nosso perímetro de atuação,analisando e remediando as lacunas encontradas, obtendo assim as evidências para cadaum desses controlos a fim de verificar a sua conformidade com as políticas definidas pelogrupo.Seguir uma metodologia de "Security by Design" em todos os projetos nas áreas dasTecnologias da Informação (IT) e Tecnologias Operacionais (OT), identificando osprincipais riscos associados, bem como seguir as melhores práticas desde a fase inicial de um projeto.Desenvolver e estabelecer um Programa de Sensibilização para a Segurança que incluatodos os aspetos relevantes que possam ajudar a reduzir comportamentos inseguros porparte dos utilizadores, com especial ênfase em campanhas de phishing e sessões desensibilização aos utilizadores. Por último, mas não menos importante, uma compilaçãode todas as principais recomendações e boas práticas aprendidas durante este estágio, quequalquer pequena e média empresa pode seguir.