Mudanças regulatórias recentes significam que os CISOs agora devem assumir a responsabilidade pelo risco de segurança cibernética da empresa. Para as organizações industriais, isso inclui o risco de dispositivos e redes OT . Com as linhas entre as redes de TI, IoT e OT mais borradas do que nunca, a supervisão abrangente dos riscos já deveria ter sido feita há muito tempo. A mudança para uma abordagem empresarial do risco é positiva, mas levanta questões sobre quem deve ser o proprietário da compra, implantação e manutenção de soluções de segurança cibernética para ambientes ciberfísicos desconhecidos (para os departamentos de TI). E, neste estágio da mudança, as respostas não são claras.
A norma IEC62443 Parte 2-1 descreve os requisitos para o estabelecimento de um sistema de gerenciamento de segurança cibernética para sistemas de automação e controle industrial. A orientação é indispensável, mas ainda cabe a cada organização identificar as pessoas certas para implementá-la. Por exemplo, muitas vezes não existem políticas de segurança cibernética para engenheiros OT , técnicos, operadores de processos e operadores de salas de controle. Quem escreverá as políticas e quem treinará os indivíduos afetados? Da mesma forma, quem criará os planos de resposta a incidentes, já que, normalmente, eles podem ser bem diferentes em OT devido às consequências para a segurança física?
Os CISOs podem ser os responsáveis pelos riscos corporativos, mas geralmente sabem o suficiente sobre segurança OT TO para saber que isso está fora de seu alcance. Como eles têm ampla influência sobre as decisões técnicas e comerciais, são mais adequados para serem patrocinadores executivos do projeto. Isso inclui fornecer direção estratégica, garantir os recursos necessários, gerenciar escalonamentos e comunicar o progresso aos executivos e à diretoria. Mais importante ainda, eles devem recrutar as pessoas certas para avaliar as soluções de segurança OT , implementá-las e fornecer supervisão contínua.
A equipe ideal de segurança de OT inclui gerentes de fábrica, engenheiros e operadores que entendem os sistemas de controle industrial por dentro e por fora, mesmo que possam estar inseguros ou céticos em relação à segurança cibernética. No lado cibernético, você deverá recrutar gerentes, analistas e administradores de segurança e de rede, mesmo que vários deles nunca tenham pisado no chão de fábrica. No caso de empresas sujeitas a regulamentações de segurança cibernética, convém incluir um especialista em conformidade para garantir que as soluções instaladas atendam aos principais requisitos, inclusive de relatórios.
Se alguma dessas funções estiver ausente, você ainda poderá tomar uma decisão de compra informada, mas os desafios internos provavelmente surgirão no caminho e causarão atrasos. Por exemplo, se ninguém da equipe de rede estiver presente, quando você tentar implementar o monitoramento de tráfego SPAN, talvez eles precisem de mais persuasão ou tenham uma ideia totalmente diferente que o obrigue a voltar à prancheta. Se as principais partes interessadas OT não forem convidadas a participar da decisão de compra da tecnologia, é provável que você sofra atrasos ou seja impedido de instalá-la completamente.
Entre esses membros da equipe, é preciso identificar o líder certo para supervisionar os projetos diários. Introduzir a segurança de OT no chão de fábrica significa introduzir um comportamento muito diferente. Haverá novas políticas, configurações e controles, como gerenciamento de acesso mais rígido, que mudarão a forma como os operadores fazem seu trabalho diário. Muitas dessas mudanças não serão populares. Essa pessoa pode defender as mudanças não apenas como necessárias, mas também como sendo do interesse de todos? Como patrocinador executivo, o CISO também liderará essa tarefa, mas você quer um colega de confiança que responda a perguntas detalhadas e vença os opositores. No momento em que o fornecedor de segurança ou o integrador de sistemas aparecer, você quer funcionários instruídos que saibam o que esperar e estejam prontos.
A pós-implementação exige ainda mais cooperação multifuncional. Para permitir o gerenciamento de riscos corporativos, os dados do ambiente de OT devem ser inseridos no sistema de gerenciamento de eventos de informações de segurança (SIEM) ou integrados à plataforma de segurança de TI existente para que o centro de operações de segurança (SOC) ou o provedor de serviços gerenciados de segurança (MSSP) possa identificar problemas. É fundamental que os especialistas em OT (de preferência, os especialistas emsegurança OT ) continuem instruindo esses grupos sobre a sensibilidade das redes OT e por que os esforços de correção devem envolver pessoal que tenha conhecimento sobre seus processos industriais e sua rede.
Em suma, dezenas de pessoas em toda a organização devem assumir conjuntamente a segurança cibernética OT para que seu programa seja bem-sucedido. Nozomi Networks implementou soluções de segurança de OT em milhares de ambientes em todos os setores industriais e de infraestrutura crítica. Já vimos projetos serem executados sem problemas e também já os vimos serem paralisados em todas as etapas. Como parte do início de cada implementação, analisamos os desafios culturais comuns OT e oferecemos maneiras de superá-los que sabemos que funcionam.
Mudanças regulatórias recentes significam que os CISOs agora devem assumir a responsabilidade pelo risco de segurança cibernética da empresa. Para as organizações industriais, isso inclui o risco de dispositivos e redes OT . Com as linhas entre as redes de TI, IoT e OT mais borradas do que nunca, a supervisão abrangente dos riscos já deveria ter sido feita há muito tempo. A mudança para uma abordagem empresarial do risco é positiva, mas levanta questões sobre quem deve ser o proprietário da compra, implantação e manutenção de soluções de segurança cibernética para ambientes ciberfísicos desconhecidos (para os departamentos de TI). E, neste estágio da mudança, as respostas não são claras.
A norma IEC62443 Parte 2-1 descreve os requisitos para o estabelecimento de um sistema de gerenciamento de segurança cibernética para sistemas de automação e controle industrial. A orientação é indispensável, mas ainda cabe a cada organização identificar as pessoas certas para implementá-la. Por exemplo, muitas vezes não existem políticas de segurança cibernética para engenheiros OT , técnicos, operadores de processos e operadores de salas de controle. Quem escreverá as políticas e quem treinará os indivíduos afetados? Da mesma forma, quem criará os planos de resposta a incidentes, já que, normalmente, eles podem ser bem diferentes em OT devido às consequências para a segurança física?
Os CISOs podem ser os responsáveis pelos riscos corporativos, mas geralmente sabem o suficiente sobre segurança OT TO para saber que isso está fora de seu alcance. Como eles têm ampla influência sobre as decisões técnicas e comerciais, são mais adequados para serem patrocinadores executivos do projeto. Isso inclui fornecer direção estratégica, garantir os recursos necessários, gerenciar escalonamentos e comunicar o progresso aos executivos e à diretoria. Mais importante ainda, eles devem recrutar as pessoas certas para avaliar as soluções de segurança OT , implementá-las e fornecer supervisão contínua.
A equipe ideal de segurança de OT inclui gerentes de fábrica, engenheiros e operadores que entendem os sistemas de controle industrial por dentro e por fora, mesmo que possam estar inseguros ou céticos em relação à segurança cibernética. No lado cibernético, você deverá recrutar gerentes, analistas e administradores de segurança e de rede, mesmo que vários deles nunca tenham pisado no chão de fábrica. No caso de empresas sujeitas a regulamentações de segurança cibernética, convém incluir um especialista em conformidade para garantir que as soluções instaladas atendam aos principais requisitos, inclusive de relatórios.
Se alguma dessas funções estiver ausente, você ainda poderá tomar uma decisão de compra informada, mas os desafios internos provavelmente surgirão no caminho e causarão atrasos. Por exemplo, se ninguém da equipe de rede estiver presente, quando você tentar implementar o monitoramento de tráfego SPAN, talvez eles precisem de mais persuasão ou tenham uma ideia totalmente diferente que o obrigue a voltar à prancheta. Se as principais partes interessadas OT não forem convidadas a participar da decisão de compra da tecnologia, é provável que você sofra atrasos ou seja impedido de instalá-la completamente.
Entre esses membros da equipe, é preciso identificar o líder certo para supervisionar os projetos diários. Introduzir a segurança de OT no chão de fábrica significa introduzir um comportamento muito diferente. Haverá novas políticas, configurações e controles, como gerenciamento de acesso mais rígido, que mudarão a forma como os operadores fazem seu trabalho diário. Muitas dessas mudanças não serão populares. Essa pessoa pode defender as mudanças não apenas como necessárias, mas também como sendo do interesse de todos? Como patrocinador executivo, o CISO também liderará essa tarefa, mas você quer um colega de confiança que responda a perguntas detalhadas e vença os opositores. No momento em que o fornecedor de segurança ou o integrador de sistemas aparecer, você quer funcionários instruídos que saibam o que esperar e estejam prontos.
A pós-implementação exige ainda mais cooperação multifuncional. Para permitir o gerenciamento de riscos corporativos, os dados do ambiente de OT devem ser inseridos no sistema de gerenciamento de eventos de informações de segurança (SIEM) ou integrados à plataforma de segurança de TI existente para que o centro de operações de segurança (SOC) ou o provedor de serviços gerenciados de segurança (MSSP) possa identificar problemas. É fundamental que os especialistas em OT (de preferência, os especialistas emsegurança OT ) continuem instruindo esses grupos sobre a sensibilidade das redes OT e por que os esforços de correção devem envolver pessoal que tenha conhecimento sobre seus processos industriais e sua rede.
Em suma, dezenas de pessoas em toda a organização devem assumir conjuntamente a segurança cibernética OT para que seu programa seja bem-sucedido. Nozomi Networks implementou soluções de segurança de OT em milhares de ambientes em todos os setores industriais e de infraestrutura crítica. Já vimos projetos serem executados sem problemas e também já os vimos serem paralisados em todas as etapas. Como parte do início de cada implementação, analisamos os desafios culturais comuns OT e oferecemos maneiras de superá-los que sabemos que funcionam.