构建ICS/OT路线图的三个步骤

公司意识到他们需要加强网络安全足迹，但往往不知道如何开始。重点介绍了构建路线图的三个步骤。

通过德拉格 2022年7月11日

图片由Brett Sayles提供

Gartner估计，到2023年，75%的组织将重组风险和安全治理以满足融合信息技术(IT)、运营技术(OT)、物联网(IoT)和物理安全需求——从2021年的不到15%增长。

这一急剧加速表明，人们日益认识到OT在组织网络安全中发挥着关键作用。然而，数据还显示，对于大多数公司来说，这是一个重大转变。从A点到B点需要什么?

为什么高管、董事会和团队突然开始关注It和OT的融合?有五个关键因素:

越来越多的组织认识到ICS/OT安全的重要性，但这并不意味着追求它就没有挑战。波耐蒙研究所最近的一项调查提出了一些继续阻碍组织发展的常见问题。这些障碍包括:

怎样才能克服这些挑战呢?一个有方向性的、透明的、适应性强的路线图。

一个好的路线图应该看似简单。这不是一个多年的50步计划;它可以而且应该每年根据动态变化进行重新评估。路线图应使您的业务目标与网络风险相一致，优先考虑项目和程序性改进，并提供对资源需求的见解。它被广泛分享并在上下文中创建，与当前威胁趋势和事件有关。

路线图不是什么?路线图不是可审计的标准。它不会取代其他网络风险治理模型，而是与它们协同工作。当然，这并不是一成不变的——在一个发展如此迅速的行业中，路线图必须能够适应。

考虑到这些护栏，实现可持续ICS/OT安全计划的路线图是什么样子的?首先要了解你的风险。

了解你的风险和影响。问自己一个关键的问题:“糟糕的一天是什么样的?”然后看看“轰”的左右。确定在“繁荣”之前和之后你可以做些什么来降低它发生的风险，并在它发生时减少影响。
使用历史和假设的场景来理解影响。这不是非此即彼的问题。将真实事件的数据纳入您的影响评估，以及可能合理发生的假设但貌似合理的事件。这种方法可以让您更深入地了解在您的特定组织中，潜在的糟糕一天会是什么样子。
运行场景规模注意事项。考虑针对不同规模的事件的预防和检测策略。随着时间的推移，从大规模的一个场景到小规模的多个场景，评估这些可能性有助于您更好地构建全面的ICS/OT安全策略。

一旦您通过理解风险和影响建立了路线图的基础，您就可以确定成熟度和差距。我们推荐一种“爬、走、跑”的方法，使处于任何OT安全成熟度级别的公司都能取得可证明的、持续的进展。

哪个阶段最能描述你的业务?

没有错误的答案。关键是要诚实地了解你的人员、流程和技术的能力，这样你就可以决定在哪里投资你的时间、金钱和资源。

一旦您了解您的组织在ICS/OT安全计划的多个方面的成熟程度，您就可以优先考虑下一步的工作。实现帮助您缩小A点到B点之间的差距，而测量从A点到B点的距离使您能够展示您的进展。

衡量成功的方法有很多。选项包括:

记住，这个过程是关于持续改进的，而不是“一次就完成了”。不要陷入这样的陷阱:对问题的欣赏超过了你正在解决的问题。我们发现，团队中每个人的3-4个指标是“最佳点”，既能证明持续改进，又能专注于重要的事情。

每个组织的起点都不一样。通过清楚地了解您的风险和影响、成熟度和差距，您可以创建路线图，指导您的团队在一年或更短的时间内制定可持续的ICS/OT安全计划。

原始内容可以在德拉格．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。

德拉格

搜索产品，发现你所在行业的创新