指导OT网络安全治理的五项原则

OT网络安全治理:谁有权力?谁负责?这可能是降低网络运营风险的两个最重要的问题。有“大G”治理问题，如:谁应该制定整体OT网络安全议程?应该达到哪些指标?谁应该有权做出最终的风险权衡?如果发生事故，谁来负责?

还有一些“小g”治理问题，例如:谁将决定是否修补特定设备或创建缓解计划?企业将使用哪些工具来应对某些网络风险?是否应该因为固件过期而更换某个设备，或者是否可以等到下一个升级周期?如果我们要成功地保卫关键基础设施，治理是最基本的决定，而不是人才、工具或战术。

我们经常听到关于IT vs. OT．应该由CISO、运营主管还是CIO负责?谁应该控制工厂或SCADA环境中OT资产的安全决策?如果CISO是负责任的，他或她不应该有权力做出决定吗?如果他或她有权力和责任，预算和资源不应该与这些保持一致吗?

OT网络安全治理的三大主题:

首先，没有放之四海而皆准的答案。正确的治理结构取决于组织其余部分的文化和现有模型。其次，上述所有决策都不存在单一的权威和问责制。正确的治理包括跨IT、安全/风险管理、运营和财务的协调和共享决策权。尽管有一个将责任和权力赋予一个人或组织职能的标准结构是很好的，但考虑到管理运营、资产和流程的现实，这几乎是不可能的。第三，大多数公司在获得领导层对管理风险的实际补救策略的认同方面都步履蹒跚。

从2019年到2021年OT漏洞数量增加50-60%，但随着风险的增加，员工人数和资源减少。随着OT/ICS安全中各种威胁行为者和外部力量的出现，对于工业组织来说，采用OT治理模型以快速在OT网络安全项目中取得进展至关重要。

那么，如何为特定的组织设计正确的方法呢?

为您的行业组织建立正确的OT网络安全治理模型的五个原则:

1.从顶部对齐开始

要实现正确的治理模型，需要高层对运营的实际风险、高级团队和董事会的风险偏好、实现不同级别安全成熟度的成本粗略估计，以及高级团队将如何在这些领域的关键权衡上做出决策。

这项工作的自然领导者是CISO。在CISO必须戴的所有帽子中，这可能是最重要的。这并不是说CISO将有权做出所有的决定。相反，在我们所看到的大多数成功的实践中，CISO在使高级团队在最佳前进道路上保持一致方面发挥了影响作用，而不是决定性作用，同时考虑到整个业务的各种权衡。

尽管具体的治理模型通常侧重于定义权限和责任所在的位置，但我们已经看到了许多RACI(负责、负责、咨询和知情)图表除非高层对目标和优先级有真正的共同理解，否则就变成纸上谈兵。

这种一致性确保了预算、指标和资源是基于一组商定的目标。许多组织发现他们在OT网络安全之旅中有些落后，但在高层没有明确的路线。在大多数情况下，最好的选择是重新设置，并确保团队花时间建立理解的基础，否则未来的进展可能会放缓。

2.顺应当前组织风格的潮流，而不是与之相反

我们所看到的最成功的OT网络安全执行之一来自一家拥有业务单元独立和结果所有权文化的公用事业控股公司。该公司的在位治理模型使用经典的分布式业务单元损益所有权模型，该模型多年来由艾默生电气、伊利诺伊工具工厂、丹纳赫和许多其他工业公司所闻名。原则是围绕“什么”，即目标和目标，明确问责。然后，让每个业务部门的管理层对“如何”——也就是战略和战术——拥有完全的权力。

在网络安全方面，高级团队建立了一个非常明确的自上而下的指令，关于他们期望每个业务单元实现的目标和标准(在这种情况下是CSC前18个控件)，直至每个子控件的特定成熟度级别。他们制定了一个全公司范围内的审查流程，以确保实现目标的进展。

首席信息信息官在帮助制定目标和过程方面非常参与。然后，“如何”就留给了每个业务部门。诸如部署什么工具、如何平衡补偿控件、实现最低权限设置的特定方法、事件响应的特定方法等决策都归结于业务单元，但都是在一组目标和度量的整体构造中。

我已经听到了对这种方法的抱怨:重复工作、底层工具的低效使用、没有将公司一流的方法应用到每个业务部门、在网络人才有限的世界中需要重复的网络安全专业知识、过于关注一套标准，而不是真正的“安全”、减少威胁或补救时间。

所有这些限制都是绝对真实的，并通过其他措施加以解决。然而，该组织没有集中式专家的文化，也没有共享工具或基础设施的自上而下的指令。创建这样一个模型意味着要违背组织的主要运作模式。如果CISO试图朝这个方向推进，他很可能最终会失败，因为这不是组织的DNA。

他知道没有什么治理模式是完美的。成功的OT网络安全领导者会花时间了解其组织的整体治理文化，并建立一个与流程相适应的模型，而不是试图强行适应理论上更好的治理模型。然后，他们解决该方法特有的差距，以确保限制不会成为障碍。

3.跟着钱走

网络安全治理最具挑战性的方面之一是确保预算与问责制保持一致。在许多组织中，与网络安全相关的支出分布在整个公司-工厂可能负责其OT系统的预算，包括更新、补丁和管理;然而，企业IT部门可以管理网络设备和细分市场的预算;CISO可能会设法在特定于安全的举措上进行投资，例如反恶意软件或监控威胁检测日志;人力资源可能有培训和意识发展的预算;设施管理可能负责建筑系统，如仓库，冷冻机，冰柜等，这可能是至关重要的操作。在这种分布式环境中，很难获取与网络安全相关的当前支出，以及优先考虑新的保护或检测措施上的额外支出。

我们看到客户以不同的方式适应这种情况。一些公司创建了一个影子会计系统，将不同业务部门的支出汇总成一个整体的网络安全预算。其他公司则建立了明确的目标，并要求业务部门实现这些目标，同时按照典型的逐年增长管理其总体预算，基本上是在网络安全支出与其他项目的支出之间进行权衡。不过，还有一些公司在工厂层面管理安全合规性，并确保工厂的预算将网络安全作为衡量标准的一个关键因素。

无论使用上述模型之一还是其他替代模型，组织首先需要获得总体网络安全支出的可见性，其次需要将预算权限与安全问责制相一致，以有效地管理风险。

4.采用运营部门使用平衡计分卡和kpi

成功的运营组织是根据度量标准、目标、详细的程序和每小时、每天和每周监控的战术结果运行的。通常情况下，网络安全目标是微妙的或理想的:减少漏洞，识别潜在的恶意软件，识别攻击者，将事件响应提高X%等。成功的OT网络安全方法将与运营管理流程一起工作，并将这些微妙的目标转化为非常具有战术意义的目标和指标，可以在简单的红、黄、绿图表上显示。

一个Verve客户采用NIST CSF作为他们的网络安全框架然后进入下一步，实施了一套可以每周、每月和每季度跟踪的措施。每个控制区域都有一组目标和指标(例如，未部署的关键补丁的数量、过去一周中没有备份的机器的数量、假阳性警报的数量、操作人员响应假警报所花费的时间，等等)。

重要的是，他们将分析威胁数据的公司SOC视为上游材料供应商。他们的目标与威胁检测质量和及时性有关。这些数据在运营部门和SOC之间定期共享，以确保团队之间相互负责。当项目不是“绿色”时，就会实施补救计划，如果这是产品质量或吞吐量指标，就会实施补救计划。

运营部门用于管理kpi的平衡计分卡，而不仅仅是生产数量和成本。他们已经管理职业安全、环境质量、产品质量等，与他们的运营指标并行。通过与流程合作，并将网络安全作为平衡计分卡的额外元素，组织可以将问责制与分配资源和采取行动的权威结合起来。

5.获得战术

如果我们考虑NIST网络安全框架，它包含五个核心领域和98个具体子类别。CSC 20有超过140个子控件。一个高级治理模型要成功跨越所有这些子元素是不现实的。正如操作所做的，团队需要构建详细的程序，以确定负责方及其围绕特定可交付成果的权限级别。

治理往往在微观层面上崩溃。例如，在NIST CSF的已识别组件中:谁负责使用所需的信息维护资产数据库?IT团队可能认为应该这样做，但OT可能认为在OT网络上运行IT工具既不安全也不合适。此外，在一些组织中，从网络安全管理的角度来看，工厂级别所需的资产信息可能远远超过公司所需的资产信息。或者在另一个例子中，我们几乎每天都在与客户进行争论，是决定立即修补关键设备，还是将其搁置到停机，或者可能是半永久性地搁置到设备可以升级。

在关键的作业中，一个错误的(甚至是正确的，但延迟的)决策可能会导致生产损失、伤害甚至死亡，这些详细的决策权是事先分配的关键。成功的操作员不仅会花时间详细记录决策权，还会记录谁将在维护或质量等领域采取必要的行动。

-这最初出现在神韵工业的网站．神韵工业是CFE媒体和技术内容合作伙伴。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。