中层管理人员可能成为网络安全威胁

中层管理人员可能意识到安全需求的增加，也可能没有意识到，但当涉及到在其领域内实施和促进安全时，他们是一个障碍。虽然这种想法一开始似乎没有意义，但它非常有意义，中层经理的薪酬和绩效目标——无论是一条生产线、整个工厂还是介于两者之间的任何目标——都集中在绩效上。在严格牢记纯性能目标的情况下，安全性往往会被抛在一边。

aeSolutions工业网络安全总监John Cusimano表示，一个典型的例子是，一家石油和天然气巨头的首席信息安全官(CISO)在一次仅受邀请的会议上告诉约50名ICS网络安全专家，他从首席执行官那里得到的目标之一是让中层管理人员采用并遵循安全流程。CISO的使命是使安全成为文化的一部分。

这位首席信息官表示，他最大的问题是中层管理人员。不是那些在战壕里的工人，而是中层管理者。

Cusimano说:“我在其他客户那里看到过这样的情况，即使是工程、运营甚至IT部门的高层(如副总裁)也可能不接受OT网络安全计划。”“这样一个项目要想成功，就需要这三个方面的支持。不出所料，这些争斗更多的是关乎公司政治。”

Cusimano说:“我的一个客户是一家全球性的化学公司，他们运营着一个非常成功的OT网络安全项目。“然而，由于内部政治原因，他们在项目最初形成时确实很挣扎。该项目由一位从工程开始职业生涯的运营人员主持。他可以轻松地让工程师加入，但很难让IT加入，因此整个团队都朝着同一个方向前进。

“他让我的公司来帮助培训团队，并为团队制定战略。一开始，你可以看到并感受到房间里的紧张气氛，因为不同的小组面对面地站在桌子的两边。在这一点上，拥有一个既了解自动化又了解IT，并且有与复杂组织合作经验的中立第三方会很有帮助。

“我们能够帮助他们了解公司(而不仅仅是他们的部门)面临的风险，并在没有指责的情况下确定弱点(漏洞)。几个月后，该小组制定了一项战略和计划，对样本设施进行若干场址脆弱性评估，以便收集更详细的资料。

“该计划中最精彩的部分是，委员会主席将IT人员带入实地，对几个设施进行为期一周的‘参观’。这是他们中的大多数人第一次到工厂来。这让他们大开眼界，看到了一个真实的化工厂，看到了运营面临的日常挑战，亲眼看到了他们的It基础设施如何与工厂基础设施相互作用。他们很喜欢。几天后，IT和OT人员携手工作，收集我们需要的信息，每天晚餐时的对话都是生动而富有建设性的。最值得注意的是，当我们回来召开下一次委员会会议时，一切都变了。没有紧张的气氛，取而代之的是同志情谊，大家围坐在桌子旁。这是我参与过的最有价值的项目之一，因为我能够见证并参与将IT和OT团队结合在一起解决共同的问题，”Cusimano说。

中层管理人员阻碍安全文化和项目的想法是一个需要克服的巨大障碍。作为角落办公室和董事会的高管，他们非常清楚这个问题，就像那些在战壕里处理日常问题的人一样。但这些中层管理人员仍然是个问题，上周在伦敦市中心举行的2015年CBI网络安全会议上，The Security Company董事长兼创始人、安全意识特别兴趣小组主席马丁·史密斯(Martin Smith)说。

在一个以绩效衡量和奖励中层管理人员的世界里，安全最终将成为IT问题。史密斯说:“(他们只想)以业务表现而不是网络安全表现来衡量。”史密斯说，他们还没有接受网络安全不再只是一个技术问题，而是一个商业问题的观点。

很多时候人们会说意识不是必要的，因为人们已经意识到了。当真正的觉知和理解发生时，这实际上是不正确的，因为这一点不断地被反复强调，直到它成为第二天性。

格雷戈里·黑尔是《工业安全和安全来源》的编辑和创始人(ISSSource.com)，这是一个新闻资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource．由CFE Media数字项目经理Joy Chang编辑，jchang@cfemedia.com．

原始内容可以在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。