Yorum
Yönetmen kurulları, özellikle yüksek riskli sektörlerde, kuruluşlarının karşılaştığı stratejik risklerin yönetilmesinde önemli bir rol oynamaktadır. Operasyonel Teknoloji (OT) Enerji, ulaşım, üretim ve üretim gibi ortamlar. Bu endüstrilerin her biri, güvenli, güvenilir operasyonları korumak ve onları özellikle siber saldırılar hakkında endişelendirmek için fiziksel süreçleri ve cihazları kontrol eden donanım ve yazılım – OT’ye büyük ölçüde güvenmektedir. Bununla birlikte, OT sistemlerinde siber risklerin anlaşılması ve yönetilmesi, genellikle OT’nin siber-fiziksel doğası ve bilgi teknolojisi (BT) ile entegrasyonu nedeniyle tahtalar için zor olabilir.
Birincil engeller tahtalarının OT risklerini değerlendirmede karşılaştığı
En büyüklerden biri Zorluklar panoların karşılaştığı zorluklar OT uzmanları ve yönetim kurulu üyeleri arasındaki geniş boşluktur. Derin OT alan bilgisi olan bireyler, yönetim kurulu düzeyinde kararları doğrudan etkilemek için genellikle örgütsel hiyerarşide çok uzaktır. Bu kopukluk, kuruluşun en üst düzeylerinde risk farkındalığı ve anlayış eksikliğine yol açabilir.
Ayrıca, genellikle kurumsal siber güvenlik riskini yöneten Baş Bilgi Güvenlik Görevlisi (CISO), genellikle OT ortamlarında siber riskleri yönetmek için gereken özel uzmanlık ve eğitimden yoksundur. OT sistemleri, geleneksel BT sistemlerinden önemli ölçüde farklı güvenlik açıklarına sahiptir. Bu, OT siber olayının potansiyel olarak felaket etkisine rağmen, OT siber güvenliğinin yanlış anlaşılmasına, yetersiz kalmasına ve yetersiz finanse edilmesine neden olabilir.
OT risklerinin gerçek bir resmini kazanmak için, tahtalar CISO ile yakın işbirliği içinde özel bir OT siber güvenlik lideri atamayı düşünebilir. Bu rol genellikle yürütme düzeyinde görünürlüğe ve OT güvenlik risklerini etkili bir şekilde değerlendirmek ve yönetmek için otorite ve kaynaklara sahip olacaktır. Tıpkı şirketlerin çevre sağlığı ve güvenlik risklerini (EH&S) veya finansal riskleri yönetmek için adanmış liderleri olduğu gibi, OT güvenliği için de uzman liderlere ihtiyaç duyarlar. Daha fazla şirket bu ihtiyacı kabul ediyor ve OT siber güvenlik liderleri için özel roller yaratıyor ve OT güvenliğine öncelik vermede olumlu bir değişime işaret ediyor.
OT ortamlarında etkili karar verme için gerekli üç temel strateji
Etkili karar verme, bir OT güvenlik ihlalinin sonuçlarının bir BT güvenlik ihlalinden oldukça farklı olduğunu kabul ederek başlar. BT ihlali verileri ve finansal varlıkları tehlikeye atabilirken, bir OT ihlalinin ekipmana fiziksel hasar, kritik süreçlerin bozulması ve hatta sağlık, güvenlik ve çevresel etkiler dahil ciddi sonuçları olabilir.
Bu zorlukları ele almak için kuruluşlar, OT siber güvenliğine riske dayalı bir yaklaşım benimsemeyi düşünmelidir. Bu, OT risk değerlendirmesi ve yönetimi için endüstri standartlarını takip eder, örneğin ISA/IEC 62443-3-2OT sistemlerini güvenlik bölgelerine bölme ve güvenilir risk senaryoları geliştirme konusunda rehberlik sağlar.
Kuruluşlar, risk senaryolarını geliştirerek ve analiz ederek OT ortamları için en ciddi tehditleri belirleyebilir ve önceliklendirebilir. Bu senaryolar, şirketin diğer riskleri sıralamak için kullandığı, tutarlılığı sağlamak ve kurulun daha geniş bir organizasyonel bağlamda farklı risklerin göreceli önemini anlamasına olanak tanıyan olasılıklarına ve potansiyel etkilere göre sıralanabilir.
Kuruluş genelinde stratejik siber risk yönetimi nasıl elde edilir
Her biri kendi uzmanları tarafından yönetilen BT ve OT siber güvenlik için ayrı ancak hizalanmış programlara olan ihtiyacı tanıyan yönetmen kurulları, her alan ile ilişkili belirli özellikleri ve riskleri ele alabilecek. BT güvenliği, veri gizliliğini, bütünlüğünü ve kullanılabilirliğini korumaya odaklanırken, OT güvenliği güvenlik, kullanılabilirlik ve süreç bütünlüğüne öncelik verir.
Etkili gözetim ve yönetişimi doğrulamak için kurullar bir OT Siber Güvenlik Yönetişim Komitesi kurabilir. Bu komite, OT siber güvenliğinin kuruluşun genel risk yönetimi çerçevesine entegre edilmesini sağlamak için operasyonlar, mühendislik, BT ve finansın kilit yöneticilerini içerebilir.
Kurulun OT güvenliğindeki rolü
Kurullar ve üst yönetim, OT ortamlarındaki büyüyen siber riskleri proaktif olarak ele almalıdır. Bu, OT ihlallerinin potansiyel sonuçlarını ve özel OT güvenlik liderliğinin önemini anlamak da dahil olmak üzere, OT siber güvenlik ile ilişkili benzersiz zorlukları ve riskleri takdir etmekle başlayan çok yönlü bir yaklaşım gerektirir. Kuruluşların içsel OT siber güvenlik uzmanlığı oluşturmaya ve/veya özel harici sağlayıcılarla ortaklık kurmaya yatırım yapmaları gerekecektir. Bu, vasıflı profesyonellerin işe alınmasını, sürekli eğitim sağlamayı ve gerektiğinde dış kaynaklardan yararlanmayı içerir.
Bir sonraki adım, gibi öğeleri içeren kapsamlı bir OT siber güvenlik programı geliştirmektir. risk değerlendirmelerigüvenlik açığı yönetimi, olay müdahale planlaması, Güvenlik Bilinçlendirme Eğitimive sürekli izleme. Program, bilgi paylaşarak, güvenlik politikalarını hizalayarak ve olay müdahale çabalarını koordine ederek BT ile OT arasındaki işbirliğini teşvik edecektir. Gelişen bir tehdit manzarası ile, ortaya çıkan tehditlere, güvenlik açıklarına ve en iyi uygulamalara odaklanarak etkili kaldığını doğrulamak için OT siber güvenlik stratejisini düzenli olarak gözden geçirmek ve güncellemek önemlidir.
Bu proaktif adımları atarak, kurullar kuruluşlarının siber saldırılara karşı esnekliğini artırabilir ve kritik OT varlıklarını koruyabilir. Özel firmalar, OT siber güvenliğinin karmaşıklıklarında gezinmede değerli rehberlik ve destek sağlayabilir, kuruluşların güvenlik süreçlerini iş hedefleriyle hizalamalarına ve istedikleri güvenlik sonuçlarına ulaşmalarına yardımcı olabilir.
Yönetim kurulları, OT ortamlarında siber riskleri denetlemede ve yönetmede önemli bir role sahiptir. Kuruluşlar, OT güvenliğinin zorluklarını anlayarak, özel uzmanlığa yatırım yaparak ve stratejik ve proaktif bir yaklaşımı benimseyerek, savunmalarını güçlendirebilir ve kritik operasyonlarını artan siber saldırılar tehdidinden koruyabilir.