Наступивший бизнес-сезон ощутимо делает акцент на промышленности и КВОИКИ (критически важные объекты информационно-коммуникационной инфраструктуры), поэтому поговорим о том, как культура управления, рисков и соответствия (GRC) помогает справляться с ИБ-угрозами.
Когда мы говорим о практической безопасности КВОИКИ, одного бумажного соответствия стандартам недостаточно. По этой причине компании принимают новую модель: управление, риск и соответствие (GRC), где топы (или команда CISO) знакомят персонал со своей стратегией по централизации информации, корректируют ее курс к обеспечению прозрачности, внутреннего контроля за безопасностью процессов. Такая культура помогает предотвратить ошибки и мошенничество до того, как они навредят компании.
Оптимальная GRC-модель в части ИБ состоит из трех углов зрения:
- производительность ОТ/АСУ только на основе заложенных принципов ИБ;
- обновление бизнес-архитектуры только с учетом ИБ;
- подход к обеспечению качества ИБ на базе любого из доступных стандартов.
Какие элементы в стратегии защиты ОТ/ICS стоит проверить каждому СЕО (и акцентировать внимание CISO на этих пунктах)?
- Понимание безопасности операционных технологий (OT).
- Согласование соответствия стандартов безопасности ОТ стратегиям кибербезопасности компании.
- Чек-лист соответствия законодательным и нормативным требованиям отрасли, применимым к OT-системам компании.
- Регулярная оценка текущего состояния ОТ-кибербезопасности.
- Создание дорожной карты управления изменениями в ИБ ОТ.
- Создание команды по управлению соблюдением требований, обеспечивающих практики GRC.
- Обучение и осведомленность: программы обучения для повышения киберграмотности сотрудников ОТ, осознания их роли и ответственности.
- Внедрение подхода к соблюдению требований, основанного на оценке рисков.
Как выглядит максимально зрелый подход к кибербезопасности OT?
- Технологии: межсетевые экраны, системы обнаружения вторжений, шифрование и методологии нулевого доверия, контроль сетевого промышленного трафика, дата-диоды, обновление прошивок и патч-менеджмент.
- Люди: культура безопасности, повышение киберграмотности, киберучения внутри организации, акцент на рисках и ответственности, культура геймификации и бонусирования за успехи в ИБ.
- Процессы: управление безопасностью, плейбук реагирования на инциденты, программа кризисных PR-коммуникаций, план восстановления после инцидента, регулярная оценка рисков третьими сторонами, работа по защите цепей поставок.
- Партнерство внутри и снаружи: совместный тимбилдинг и работа между ИТ- и ОТ-командами, налаженная взаимосвязь с регулирующими органами для обеспечения соблюдения требований, использование опыта сторонних экспертов.
Чем может помочь внешний эксперт?
- Проконсультировать по сложной нормативно-правовой среде, гарантируя, что компания все нормативные требования понимает правильно.
- Помочь в проведении тщательной оценки рисков и определении их приоритетности на основе вероятности и потенциального воздействия (на базе независимой оценки).
- Оказать поддержку в обновлении и совершенствовании GRC с привязкой к отраслевым стандартам и передовому опыту именно в безопасности OT (защита сетей критической инфраструктуры, SCADA и других систем промышленного управления).
СЕО и СД объектов КВОИКИ должны понимать, что комплаенс безопасности OT имеет решающее значение для их организаций, поскольку позволяет защитить критически важную инфраструктуру, обеспечить бесперебойную бизнес-деятельность, снизить риски колоссальных финансовых потерь, а также укрепить доверие со стороны клиентов, партнеров и регулирующих органов.
