向首席信息官要求OT网络安全预算的三种方法

最近有许多论文和博客都在讨论如何向首席信息安全官(CISO)申请网络安全预算，或者运营技术(OT)人员应该如何与首席信息安全官(CISO)合作，以确保其安全项目的资金。这些话题生动地描绘了网络安全内部的分歧。不幸的是，20年来行业领导者对OT网络安全的宣传和OT安全初创公司的冲击并没有让对话变得更容易。我们不是说同一种通用语言，而是像信息技术(IT)和OT团队一样，在巴别塔倒塌后苦苦挣扎。

获得OT网络安全预算的挑战

为了理解OT工程师应该如何与CISO就安全预算进行接洽，我们首先需要考虑为什么这是一个问题。曾经有一段时间，OT甚至不在安全路线图上。然后超级工厂病毒比如，NotPetya和最近的勒索软件攻击殖民管道发生了。因此，首席信息官上了一个关于OT对他们业务的重要性和缺乏的速成班OT环境的可见性在企业网络安全堆栈中，迫使两个孤立的团队一起工作。

这种被迫的互动并不容易，双方都要小心翼翼。这些新的关系可能会引起OT工程师的一些恐慌，因为他们可能会将其视为监督或控制的丧失。CISO最初可能会对问题集的松散程度以及OT中通常存在的标准安全控制的总体缺乏感到措手不及。如果OT工程师和CISO不把对方视为合作伙伴，而是把对方视为政治对手，那么这种接触就会变得混乱。

撇开群体动态的软问题不谈，为OT提取网络安全预算还有其他障碍。到目前为止，OT工程师已经处理了更多可以量化和优先级的工程问题。例如，如果你做X，你可以期望不运行那么多美元的随需应变发电，或者你可以在这个长期紧急(LTE)限制下运行传输线24小时而不影响电网运行。

当OT安全支出的案例是基于有限的概率和风险暴露数据时，如何改变基于完善的数据和操作实践的所有决策的思维模式?OT支出的最大抑制因素之一是风险方程和可用的数据输入。当概率被视为可忽略不计，影响也未定义时，会发生什么?

这个问题不仅仅是OT工程师和CISO的问题。整个高管层通常都不愿意投资网络安全项目。直到最近，高管们可以专注于经营业务和回报股东价值，这是任何公司的首要目标，这让许多在IT安全组织工作的人感到懊恼。在大多数情况下，OT的安全故障尚未影响到他们的业务部门或整体运营，这一事实让高管们更加大胆。

在这些情况下，向高管索要安全预算往往是一场失败的战斗。问题是，勒索软件等曾经只是个人或随机目标公司不太可能造成麻烦的漏洞，已经开始在各个行业普遍存在，而仅针对it的攻击现在已经开始影响OT运营。

有三种方法可以证明OT网络安全支出的合理性

让我们从你不应该和首席信息官开始对话开始。不要试图向CISO传达他们不了解OT或OT网络安全与IT有很大不同的信息。尽管我的核心是一个OT工程师，但我知道一旦资产启用了ip，两者之间就没有区别了。也许OT流程更关键，协议不太被理解，支持我们最关键基础设施的硬件陈旧且无法修补。但一旦你克服了这一点，它仍然是it;它仍然是网络设备;它仍然是服务器和主机。

下面是一些关于如何证明自己的建议:

1.专注于降低风险的好处。不要把这个问题框定为仅仅需要一个额外工具的技术问题。所有OT网络安全问题都不会通过购买另一个点解决方案来解决。将问题定义为业务风险。从降低风险的角度来说。利用真实世界的事件，并使用这些事件和数据开始创建一个风险框架。还记得风险=可能性x影响．不幸的是，可能性正在增加，我们开始痛苦地意识到网络事件的真正影响，包括赎金支付、运营收入损失和网络保险费的增加。这些价值越来越为人所知，这意味着可以更好地定义组织风险。

2.提出一个具体的计划。将提议的解决方案分解为战术和战略阶段。确定可以在已经开始的项目中插入改进的地方。向CISO展示你了解你的业务领域，它如何影响更大的组织，以及今天的投资将如何在明天产生成本降低效益。

3.为人。最后，我们不是一个c级的职位，或者一个工程师，或者两个对立的派系。我们只是普通人。如果我们能够以相互尊重的态度来处理OT网络安全预算问题，并理解我们都在寻求公司的最大利益，那么关于如何在OT领域降低风险的对话应该是相当容易和富有成效的。

-这最初出现在工业卫士网站．Industrial Defender是CFE Media的内容合作伙伴。

原始内容可以在www.industrialdefender.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。