Turvallisuuskulttuuri: OT Survival Story

Suurin osa tietoturvayhteisön jäsenistä tunnustaa parannetun turvallisuuskulttuurin tarpeen. Tämä tarkoittaa systeemistä yritystietoisuutta, mittaamista ja seurantaa kyberturvallisuuden parantamiseksi kokonaisriskin pienentämiseksi. Katso vain Kim Zetterin Black Hat USA 2022 -puheenvuoro, joka vaati ratkaisevia turvaparannuksia kriittiseen infrastruktuuriin.

Usein tehokkaan turvallisuuden este ei ole välttämättä tekninen vaan pikemminkin kulttuurinen kysymys. Monet yhdistävät usein virheellisesti käyttäjäkoulutuksen ja -koulutuksen turvallisuuskulttuurin luominen. Käyttäjäkoulutus on tiedon jakamista asioista ja velvollisuuksista – kun taas turvallisuuskulttuurissa on kyse turvallisuutta tukevista käyttäytymismuutoksista.

Turvallisuuskulttuurin rakentaminen käyttäjien tietoisuuden avulla

Vaikka käyttäjien tietoisuus ja turvallisuuskulttuurin rakentaminen ovat erilaisia ​​harjoituksia, joilla on omat haasteensa, niillä on yksi yhteinen piirre: He vaativat vakavaa huomiota ja tukea. Tätä silmällä pitäen nämä kaksi harjoitusta täydentävät toisiaan.

Harkitse tätä: Vaikka CISO-raportointirakenteista käydään monia keskusteluja, turvallisuuskulttuurin edistämiseen tarvittava tuki ei ole riippuvainen tästä hierarkiasta; se riippuu käyttäjien käyttäytymisen muutoksista yleisesti hyväksytyn liiketoiminnan kautta. Tämä kokonaisvaltainen liiketoimintaprosessien muutos on syy, miksi turvallisuuskulttuuria on ohjattava ylhäältä alaspäin.

Käyttäjien tietoisuuden tulisi olla osa organisaation tietoturvatyökaluja ja tapahtua yhtä johdonmukaisesti kuin kompromissimerkkien etsiminen järjestelmistä. Käyttäjien tietoisuus ei korvaa turvallisuuskulttuurin luomista eikä ole sama asia kuin se – pikemminkin se on välttämätön osa mitä tahansa tehokasta turvallisuuskulttuuria.

Kyytiin pääseminen

Omistajuus ja tuki turvallisuuskulttuurin luomiselle on ohjattava hallitustasolla. Tämä johtuu siitä, että vaikka monet hyväksikäytöt ja hyökkäykset ovat vain toista hallittavaa tietoturvavaroitusta, kun taitava vastustaja joutuu asiaan, syntyy vakavia riskejä. Kuten aina sanon: Amatöörien hakkerointijärjestelmät; ammattilaiset hakkeroivat ihmisiä. Ihmisen hakkerointi turvallisuusriskikategoriana on menestyksekäs ja ylittää tekniset takeet.

Temppu on suojella inhimillistä käyttäjää ihmisluonnon ankarilta hallitsemalla ja muotoilemalla käyttäytymistä. Tämä vaatii usein kriittistä pohdintaa juurtuneista liiketoimintakäytännöistä. Tuki tarvittavien muutosten toteuttamiselle on vahvasti riippuvainen ylhäältä alaspäin suuntautuvasta vaikutuksesta.

Turvallisuuskulttuuri OT-ympäristöissä

OT-ympäristöissä on yhä merkittävämpiä haasteita turvallisuuskulttuurinsa tutkimisessa ja viljelemisessä. Yrityskäyttäjillä ei ole vain keskeinen rooli, vaan OT-insinöörit ovat yhtä tärkeitä tietoturvatapahtumien estämisessä ja niihin vastaamisessa.

IT:n ja OT:n suhde Siellä kokonaisvaltaisen turvallisuuskulttuurin luominen tarvitsee ylhäältä alas -tukea, jotta voidaan tarkastella kriittisesti yleisiä liiketoiminta- ja toimintaprosesseja. Asiat, jotka voivat torpedoida vakavimmat yritykset turvatoimien tukemiseksi, voivat olla yhtä epäuskottavia kuin kirjanpitoprosessi budjettien soveltamiseksi yksittäisiin kohteisiin tai käsitys turvallisuuden omistajuudesta.

Vaikka nämä esimerkit ovat jäävuoren huippu, on tärkeää luoda organisaatioon kokonaisvaltainen ja jatkuva prosessien parantamisohjelma, jotta voidaan edelleen kysyä: "Miten turvallisuuskulttuuriamme voitaisiin parantaa?"

Tietoturvakulttuuri IT-ympäristöissä

Toisin kuin OT, teknologian tarpeen tunnustaminen on hyvin määritelty IT:ssä. Esimerkiksi omaisuusvarasto ja näkyvyys ovat IT:n hyödykkeitä. Valittavana on monia omaisuudenhallintatoimittajia, ja ammattitaitoinen IT-tiimi voi nopeasti ottaa nämä työkalut käyttöön. Teknologian valintaprosessiin voi vaikuttaa IT-keskeinen prosessi. Voi löytyä kulttuurisia muutoksia, jotka sopivat paremmin valintaan täydentäviä tuotteita OT-puolella.

Omaisuuden inventointi, haavoittuvuus ja riskienhallinta ovat haastavampia OT:ssa tekniikan ja topologian luonteen vuoksi. Henkilökunta on tyypillisesti prosessiin erikoistuneita insinöörejä, ei välttämättä työkalua (järjestelmiä) sen kanssa, miten he ovat vuorovaikutuksessa liikkuvien molekyylien toimintojen kanssa. OT-omaisuuden omistajilla on erilainen missiopainotus kuin IT-omistajilla, eikä heidän koulutuksensa välttämättä sisällä turvallisuutta. Turvallisuuskulttuurin luomisessa on otettava nämä erilaiset ajattelutavat huomioon ja käytettävä suhteellisia taktiikoita käyttäytymisen muuttamiseksi.

Kulttuurien yhdistäminen: IT ja OT

Riskeihin perustuva lähestymistapa auttaa IT- ja OT-ammattilaisia ​​standardoimalla keskeisiä mittareita, kuten elämä, terveys, turvallisuus, puhumattakaan vaikutuksista tuotantokapasiteettiin ja tehokkuuteen. Tähän lähestymistapaan olisi sisällyttävä myös suurin siedettävä seisokkiaika (MTD) ja keskimääräinen palautumisaika (MTR).

Tämä löytää vastauksia siihen, miksi henkilöstön pitäisi huolehtia turvallisuudesta. Organisaatiot haluavat antaa kollektiiviselle tiimille mahdollisuuden menestyä. Tarkasteltaessa liiketoimintaprosesseja tehtävien jakamiseksi ryhmille, hienovaraisia ​​muutoksia voi ilmetä turvalinssin läpi katsottaessa. Vaikka järjestelmän omistajuuden on pysyttävä kaksijakoisena luontaisten, toiminnallisesti ohjattujen tarpeiden vuoksi, IT-/tietoturva-/OT-tiimien on työskenneltävä lujasti kriittisten haavoittuvuuksien, mahdollisten tietoturvatapahtumien ja tapausten reagoinnin/palautuksen korjaamiseksi. Nopeus ja tehokkuus ovat tärkeitä.

Nämä ovat vain kaksi turvallisuuskulttuurin luomisen näkökohtaa, mutta ne ovat erinomainen esimerkki siitä, miksi käyttäytymisen muuttaminen on muutakin kuin pelkkä tiedon jakaminen. Turvallisuuskulttuurin luominen on elintärkeää mille tahansa organisaatiolle turvallisuusteknologiainvestointien lisäämiseksi, mutta se on välttämätöntä OT-operaattorin selviytymiselle nopeatempoisessa tietomurtoprosessissa.