使组织结构与IT/OT治理保持一致的三个注意事项已经进行了大量讨论。让我们来看看前西门子工业安全服务全球负责人的一些观点,他负责监督其服务的开发,以保护工业客户免受网络攻击。在过去几年中,大多数大型企业在定义其运营技术(OT)治理战略和在降低风险方面取得了重大进展方面取得了长足进步。除了技术创新之外,最重要的成功因素是治理计划的结构和执行方式。最重要的是驱动战略的组织结构的指导原则。你是什??么意思?在制造、石油和天然气以及制药等拥有大量网络物理系统(CPS)足迹的组织中,CISO及其安全团队需要与OT工程团队协作来定义和执行OT策略。虽然大多数组织在CISO的领导下对OT网络安全进行了集中治理和责任,但问题在于他们如何定义和实施它的细节。实施的细节以及组织的结构属于一个范围-从对安全团队的“控制”更少到更多。多个变体效果很好,并且相信关键是要清楚地了解每个团队的边界和职责。在重新设计组织或简单地使用继承的内容时,至少需要考虑三个主要方面,以便创建可以有效降低风险的策略。其中包括预算编制、实施和持续报告。预算。许多公司正在转向OT网络安全项目的集中预算分配,但这在实践中意味着什么可能千差万别。发现以下问题有多少答案:?谁拥有预算??易于分配?一方面,OT网络安全项目的预算可能只是安全团队预算中的成本中心项目。这里的风险是项目的推出取决于OT的批准和实施,并且预算可能无法在与其可用性一致的时间范围内分配。在另一个极端,每个站点都有自己的预算,这阻碍了整个攻击面的全球部署和连续性,从而难以使用一致的基线进行管理。无论您的预算流程如何,请确保它切实支持合并后团队的决策结构和时间表。实施。鉴于OT网络安全的日益成熟,大多数组织都处于理解并同意需要实施的风险缓解类别的阶段。挑战通常来自实际的推出和实施。组织需要了解并在以下方面保持一致:?谁可以(远程和物理)访问部署新技术的CPS和网络??谁来设计部署?新技术将如何融入企业的其他安全工具?成功最终归结为一组非常具体的IT和OT组合技能,这些技能通常很难找到。一些公司花时间和精力对他们的团队进行交叉培训或试图从外部招聘,这也是一项艰巨而长期的工作。鉴于OT网络安全人才缺口,交叉培训可能更具时间和成本效益。需要了解技术的操作方面以及部署新技术时要考虑的任何限制的人。对现有员工的投资提供了职业发展的机会,并创造了在团队之间建立关系的额外好处。继续报道。这可能是最重要的方面。需要有能力持续监控CPS的网络态势,将该信息与组织的其他网络态势叠加,然后继续调查事件。沿着这条路走下去有几个方面需要解决:?谁使用来自CPS和网络的安全遥测??该数据是否与来自其他网络的安全遥测和洞察相关??如何解释数据以及谁采取行动?部分要求是协调信息流,部分要求是拥有一层对CPS有足够了解的SOC分析师,他们可以对警报进行分类。当需要更深入地了解这些系统及其正常模式时,分析师还需要接触OT工程师。连接性和协作受到组织结构和团队之间培养的非正式关系的影响。最常见和有效的组织设计由安全团队中的一个小型专门团队组成,该团队被指定直接与OT工程一起工作,具有不同程度的权限来实施CPS环境中的更改(通常间接通过工程团队)。典型的实施是“二合一”模型——安全工程师和OT工程师共同负责每个站点的实施。虽然正式的组织结构推动了OT治理策略和风险缓解方面取得有意义的进展,但一个关键的成功因素是IT和OT组织之间的非正式关系。这需要信任,而信任需要时间,所以不要拖延。
