最近美国发生的一起勒索软件攻击导致通往东海岸的一条主要石油管道关闭,突显出这类攻击的严重性和后果。一个美联社的文章报道这一事件的美国商务部长雷蒙多(Gina Raimondo)指出,勒索软件攻击是“企业现在不得不担心的事情”,她将“非常积极地”与国土安全部(Department of Homeland Security)合作,解决这个问题,并称这是奥巴马政府的首要任务。“不幸的是,这类攻击正变得越来越频繁,”她在哥伦比亚广播公司(CBS)的《面对全国》(Face the Nation)节目中说。”“We have to work in partnership with business to secure networks to defend ourselves against these attacks.”
虽然制定网络安全计划的第一步是分析操作和发现漏洞,但第二步是正确划分网络、管理其访问,以及创建和测试恢复计划。第三步是人才培养。
根据《2021年网络安全:评估你的风险》PMMI商业智能的一份新报告中写道,最好的网络安全计划取决于执行它的个人。考虑到这一点,制造商将不得不决定他们希望谁负责建立和维护网络安全实践。除了分配责任之外,制造商应该对所有员工进行网络安全最佳实践的适当培训,在协议发生变化时定期返回指令,并更新员工知识。”
创建专门专注于网络安全的专门团队可能是一个需要考虑的步骤。在过去,许多制造商依靠其IT部门来管理所有的网络安全问题,而这仍然是一种常见的模式。32%的受访公司表示,网络安全是IT部门的另一项职责。
阅读这个故事网络安全的第二步。 |
为了获得更好的网络安全结果,公司已经开始在IT部门内设立专门负责网络安全的部门或团队。目前约有41%的组织拥有独立的IT安全团队,其中有专门的OT专家——这种模式促进了IT和OT之间的合作,同时确保网络安全是最优先考虑的。
IT的常见决策者是IT业务分析师、CIO和IT架构师,而OT工厂经理、COO和控制工程师通常处理OT问题。IT和OT通常具有相互竞争的优先级—虽然OT寻求最大化正常运行时间,但IT最佳实践需要频繁更新/修补程序,这可能会对生产运营的正常运行时间产生不利影响。然而,受访的大多数制造商表示,IT和OT之间的合作带来了更安全的解决方案,比如独立的网络。
虽然一个专门的网络安全团队确保数字安全协议保持在首位并及时更新,但有效实施这些协议需要每一位员工的合作和勤勉。因此,制造商必须彻底教育员工网络安全的必要性,适当地培训他们遵守协议,并定期再培训他们更新的最佳实践。
网络安全协议需要是全面的,以确保一个操作是适当的安全的,并足够直接和可管理的,员工将会经常遵守它们。协议不应该过于复杂,也不应该过多地妨碍日常工作,否则会导致员工难以适应的安全漏洞。一家制药公司的自动化主管说,员工可以是‘通配符”,培训和再培训对人们遵守规则、保持意识和合规至关重要。”
与专家合作
许多制造商已经在普遍缺乏劳动力和技能的情况下挣扎,他们可能没有可用的资源来组建专门的网络安全团队。制造商可能会发现,选择与第三方网络安全专家合作具有重要价值。业界有许多服务可以帮助评估漏洞、实现协议和培训人员。
阅读这个故事第一步是网络安全。 |
当与网络专家合作时,检查期望清单
风险评估
- 内部和外部脆弱性
- 仔细研究政策和程序
- 基线计分卡
- 遵从性专业知识和支持
安全性分析
- 防火墙审查
- 安全的终点,比如计算机
- 移动安全:平板电脑、手机
- 远程监控
- 入侵防御系统
培训
- 提供安全基础设施
- 员工培训
- 桌面模拟事件
网络保险
- 持续的安全维护
- 应急响应服务
- 灾难恢复
下载下面的免费报告。
来源:PMMI商业智能,”2021网络安全:评估你的风险”