随着工业企业面临日益连通的世界的破坏力,这两种文化必须学会共存。
市场上一直都在听到安全营销人员和宣传人员的声音。“信息技术和运营技术正在融合!” 这是一种简单的方法,用于描述什么是高度复杂的数字化转换网络,影响从制造业到能源到房地产的广泛行业。
但是这个说法只有一半是正确的。
从技术的角度来看,IT 和 OT 正在融合,但是从治理和管理的角度来看,这两个学科却落后。
新泽西州首席技术官 Dave Weinstein 在政府任职数十年后,他学到了一个不争的事实:“技术是容易的实现的,文化的同步落实才是最困难的部分。”
当 Dave Weinstein 在工作过程中与首席信息安全官(CISO),安全运营中心(SOC)分析师和工厂工程师交谈时,不禁将这些话与面对日益紧密联系的破坏性力量的工业企业联系起来。世界。随着 IT 和 OT 技术的融合,它们各自的人员和流程仍被不同的专业和知识文化所分隔,这需要改变。
两种学科之间最明显的文化鸿沟也许就是各自如何看待风险。在 IT 方面,风险很大程度上是根据安全性来计算的,即这意味着后果通常是根据数据丢失、声誉受损以及法律或监管责任来衡量的。在 OT 方面,风险全在于安全。后果包括工厂停机,相关的利润损失、人身伤害和人身伤害等等其他一些列违背运营规则的突发事件。
此外,IT 和 OT 人员可能会说不同的语言:OT 从业人员处理晦涩且通常为卖方专有的协议,而 IT 专业人员则以几乎通用的白话为主,并且对开源技术的偏见日益增加。这种语言障碍阻碍了跨职能的协作,并使孤立的文化永存,这两种文化都与缓解 IT 和 OT 系统融合的网络风险不兼容。
最后,还有领导力的问题。大多数组织仍未果断地调整其组织结构来解决这一新常态。尽管越来越多的 CISO 对 OT 安全负有责任,但许多企业仍在其治理结构中结盟。这使 IT 和 OT 之间的制度鸿沟永久存在,也加剧了技术投资和人力资源的冗余现象。
所有这些都迫使我们必须面对一个重要的问题:我们该怎么做?
第一步是融合 IT 和 OT 人员
让他们心平气和地坐在一起,一起吃饭,一起去探讨整个工业环境的运营现状。听起来似乎很简单,但是事实并非如此。他们各自的网络正在碰撞成一个网络,融合过程中,必将产生很多繁琐的问题,关于如何适配、部署方式、产品形态等等。
诚然,IT 和 OT 族是不同的品种,但归根结底,他们也是有可能团结一致,尤其是当他们服务于一个共同的老板时。作为附带的好处,IT 和 OT 团队的融合自然会打破两组之间的语言障碍。
第二步(稍微复杂一点)是融合 IT 和 OT 流程
这样做将需要独立的第三方来协调不同的风险计算。这个独立的第三方可以是企业 SOC,充当 IT 和 OT 安全的各种融合中心。通过采用与技术无关的监视状态,SOC 可以将 IT 转换为 OT,反之亦然,从而将通用标准应用于管理 IT 和 OT 网络风险。从该示例自然可以进行其他过程,例如漏洞管理,更改和配置管理或事件响应。
这两个步骤只是一个简单的起点,随着两种技术的融合和发展,还有很多需要考虑的地方。但是,不采取任何措施的结果(使 OT 超过 IT 优势)很可能会将组织的整体安全风险推到令人难以置信的水平。
来源:freebuf.com 2019-12-02 14:35:44 by: 桃夭三娘RR
请登录后发表评论
注册