莫塔基斯表示,公司内部团队的压力取决于首席信息安全官(CISO)或类似职位向高层管理人员和董事会传达的有关公司网络安全状况的信息:“这完全取决于你如何传达信息,你如何提出风险、影响、后果,以及你是否能表明这种情况不会发生在你的公司。我总是试图提供安全的风险,以及一个现实的、对环境和范围公平的补救计划。”
尽管每家公司都不一样,但在莫塔基斯看来,许多公司对网络安全采取了一种“不幸的”做法:“他们会问,‘我的邻居或同行在做什么?然后试着做同样的事情。在我看来,在网络安全方面使用模板方法是行不通的。您需要一种适合您所工作的公司、环境和组织的定制方法。我一直认为,量身定制的解决方案与决策者产生了积极的共鸣。”
结合内部和外部网络安全专业知识
面临这些挑战的公司通常会与外部顾问合作,以更快地建立所需的网络安全,或利用更大的安全社区的专业知识,这些社区更能保持更新,并获得跨公司和行业的经验。乐动官网网址通常情况下,这不是一个非此即彼的决定,莫塔基斯说:“我既在公司内部工作,也担任过外部顾问,我认为两者的结合是必要的。”
例如,一家公司的CISO需要内部技术诀窍,例如如何绘制OT/IT网络,例如,对于船舶来说,这在不同船舶级别之间有何不同?Mortakis建议,其他需要内部处理的问题包括漏洞评估、补救计划,以及公司的运营和网络安全团队如何协作。
“但有一个外部专家来补充和补充内部活动总是好的,”他补充说。“他们可以带来非常重要的制衡,以及对整体风险分类的新视角——与外部审计师看到和做的相比,内部的风险评估是如何进行的?”实现这一目标的关键是领导能力,以确保联合安全努力朝着商定的目标协调一致。你不能在内部完成所有事情,但要确保每个人都朝着同一个方向努力。”
决定使用何种网络安全解决方案
一些ciso在定制和现货网络安全解决方案(OTS)之间还有另一种潜在选择。
根据Mortakis的说法,OTS可能适用于较小的环境或具有简单架构和操作的OT/IT网络:“这就像保险。您需要基本的覆盖范围,单个或组合OTS解决方案有时可以提供每个人都应该拥有的基本网络安全控制。但是,OT/IT环境变得越复杂、越定制、越庞大,OTS解决方案的局限性就越大。需要遵守监管增加了复杂性,如果发生企业收购,被收购公司将有自己的环境。”
Solberg说:“电力和公用事业公司在OT的网络安全方面处于领先地位,定制化的观点很合适。在Gartner的分析中,他们是最成熟的,这与我们的客户经验相匹配。有些公司甚至自己对OT的网络安全进行研究,我认为这是‘同类中最好的’,其中包括根据自己的环境和需求定制解决方案。”
全面推进OT-IT网络安全
在这个快速变化的网络安全环境中,DNV正在应对更多客户的询问,他们要求该公司在电力和公用事业、造船厂、石油和天然气、电信基础设施和海事方面的全面OT-IT网络安全专业知识和特定领域的支持。索尔伯格表示:“我们同时关注OT和IT,这意味着我们可以帮助客户看到全貌。显然,如果他们在OT或IT部门遭受网络攻击,并担心攻击可能会扩展到两者,这也很有用。”
Mortakis总结道:“现在有很多理论,但我寻找的是有经验的专业供应商,他们能说到做到。我选择DNV在运营方面与我合作的一个原因是,他们在OT网络安全评估方面非常专业。”
阅读更多挪威船级社网络安全服务
参考文献
- 《运营技术安全市场指南》,K Thielemann, W Voster, B Pace, R Contu, Gartner, 2021年1月13日,报告ID: G00737759
- “网络安全:对OT系统的攻击正在增加”,N Blenkey, marinelog.com, 2020年7月20日[在线]
- “高德纳预测,到2025年,网络攻击者将拥有武器化的作战技术环境,能够成功地伤害或杀死人类”,高德纳公司,2021年7月21日的新闻稿[在线],www.gartner.com
- “2021年数据泄露报告的成本”,由波耐蒙研究所(Ponemon Institute)进行的研究,由IBM Security赞助、分析、报告和发布