獲得組織對執行網路路線圖的認可,需要管理高層支援、統一策略、有效溝通,以及跨部門團隊的合作方法。對許多組織而言,這種整合可能是一大挑戰,因為這種熟練的工作需要專門的團隊和明智的資源運用。
如果沒有足夠的專業知識和治理來實現這種整合,組織可能會在了解組織的複雜性和關鍵流程之前過早導入新的流程和技術。無論安全技術有多複雜,人員對OT安全計畫的成功與否都非常重要。為確保網路策略符合企業的真正需求,就必須與主要利害關係人合作。
尋求透過關鍵OT安全控制來強化全企業網路安全以提高工業生產力的CISO,可以從全球製造巨擘Church & Dwight的實踐中獲得見解。這家位於紐澤西州尤因,旗下品牌包括Arm & Hammer™、WaterPik®和OxiClean™的包裝產品製造商選擇與洛克威爾自動化合作,以落實在不犧牲生產/製造作業效率的情況下提升OT安全的能力。
為了達成此一目標,Church & Dwight的安全主管透過下列方式採用以人為本的策略:
- 在製造、IT和OT團隊,以及管理高層領導團隊之間建立牢固的業務關係
- 推動業務需求和組織安全計畫的策略一致性
- 持續培養強大、普遍存在的安全文化,提高每個人的網路安全意識,以協助維持組織的營運安全。
促進內部認可
Church & Dwight的關鍵目標,是要了解其網路安全風險狀況,並獲得跨IT和OT網路的可見性。增加可見性的第一步,是對所有的Church & Dwight設施進行製造據點評估。IT網路安全團隊必須了解公司OT網路存在的優點和弱點,其中包括特許使用者、資產和其他資源。Church & Dwight的CISO David Ortiz說:「我們親自造訪每座設施,並且和每間工廠的主要利害關係人建立關係, 我們希望確保他們了解我們的策略目標以降低網路風險,同時保持製造據點的可用性。」
Church & Dwight和洛克威爾自動化合作,根據NIST網路安全架構在其製造據點舉辦一系列的研討會。過程採取重點評估,以避免佔用工廠營運團隊太多時間。安全團隊的首要任務,是要找出任何潛在的惡意行為。Ortiz說:「正確的方法是不要過度干預這些評估。」
為了將網路安全部署對生產的影響降到最低,Ortiz和其團隊將時間用於在每個生產據點和利害關係人交流,以及了解每個據點的運作方式。
企業領導人也是重要的合作夥伴,他們必須了解網路安全風險會如何變成業務風險。董事會和管理高層的認可,對安排OT網路安全投資的優先順序非常重要。Church & Dwight網路安全團隊最初和公司的高層領導人合作,就特定目標和成果達成協議。
此外,使用風險導向架構提供容易理解格式的工廠評估結果,讓各個利害關係人可以存取資訊,將網路安全建議和安全、正常運作時間、商譽和財務考量等運營需求結合在一起。
建立信任以強化安全性
如今,人員是大部分網路攻擊的焦點,因為惡意行為人使用社交工程和AI來利用人類行為的弱點。例如,IBM Security的研究人員發現,在38%的OT相關事件中,魚叉式網路釣魚是最初的存取媒介。[i]若要強化對利用人為因素攻擊的防護,建立安全導向的文化非常重要。
在Church & Dwight,作為IT和OT團隊之間合作關係一部份所建立的關係和信任,進一步強化了安全文化。協同作業會透過IT、網路安全和製造團隊之間的季度聯繫繼續進行。Ortiz說:「現場人員必須了解正在發生的事情及其原因,才能感覺到他們正在為對組織很重要的事情貢獻心力。」
將IT和OT作業中的網路安全現代化讓企業組織能夠更妥善預防事件發生,進而提供可見性並保護關鍵資產不受日益增加的威脅影響。對Church & Dwight而言,安全計畫的成果包括效率更高的事件回應流程和風險導向方法,讓安全團隊能夠快速識別和修復最關鍵的風險。
Ortiz強調,網路安全是一種持續的追求。他說:「始終有改善的空間,而且作為一家公司,總是會有新的威脅必須解決。」
具有保護IT作業經驗的CISO必須調整和擴大其範圍,才能協助防止OT作業受到可能影響製造可用性的潛在威脅影響。全方位的網路安全計畫必須對安全性漏洞、弱點和暴露管理、威脅監控,以及韌性準備工作進行持續評估。在生產團隊和業務主管之間建立良好的合作關係,也有助於CISO微調和完善其策略,並且為未來做好準備。
如需了解更多資訊,請閱讀Church & Dwight成功案例(點擊此處)。
[i] IBM Security, “X-Force Threat Intelligence Index 2023”
