#EnergySector و #CyberSecurity: فاصله ظرفیت دیگر

ما با شکاف ظرفیت در بخش انرژی آشنا هستیم. در اینجا یک بیانیه است که من مطمئن هستم که بسیاری از رهبران صنعت ما با آنها موافق هستند: جامعه نیاز به انرژی دارد، و تقاضا تنها رشد خواهد کرد. ما نیاز به قدرت بیشتر و دقیق تر در مورد چگونگی استفاده از آن برای حفظ امنیت عرضه، مایکل جان، مدیر عملیات در ایالات متحده، می نویسد ENCS.

حالا کلمه "قدرت" را با "منبع امنیت سایبری" جایگزین کنید. آیا بسیاری از مردم موافقند؟ آنها باید، زیرا این درست است.

این شکاف منابع بسیار واقعی است و بسیار مهم است که با زیرساخت هایمان هوشمندتر و متصل تر به آن بپردازیم. یکی از بخشهای این معادله ، شکاف مهارتها - کمبود متخصصان امنیت سایبری در این بخش - است که قبلاً مورد بحث قرار گرفته است. با این حال ، جدا از مهارت ها ، ما باید منابع را افزایش دهیم و در مورد نحوه استفاده از آنها هوشمندتر باشیم.

همه در هیئت مدیره؟

شرکت های انرژی اروپا از بسیاری جهات پیشرفت های واقعی در مورد امنیت سایبری داشته اند. در حالی که یک دهه پیش، بسیاری از مکالمات سطح جلویی حتی بر روی امنیت سایبری تاثیر نگذاشت، اکنون غالبا شنیدن یک مدیر عامل، اطمینان بخشیدن به ذینفعان را به نحوی که به طور جدی آنها را در نظر بگیریم.

اما اعمال بلندتر از کلمات صحبت می کنند و خدمات لب زدن کافی نیست. به طور معمول ، اعضای هیئت مدیره ، رهبران ارشد که حرفه خود را در دنیایی کاملاً متفاوت ، جایی که امنیت مربوط به حصارهای زنجیره ای است ، انجام می دهند. این قابل درک است که آنها ممکن است مقیاس و اهمیت تهدید را درک نکنند و - علاوه بر این - آنها دارای بسیاری از مسائل تجاری دیگر نیز هستند که توجه آنها را جلب می کنند.

بنابراین، آنچه ما نیاز داریم، افراد بیشتری با مهارت های امنیتی سایبری در هیئت مدیره هستند تا اطمینان حاصل شود که در دستور کار قرار دارد. C در CISO نشان می دهد که چقدر مهم هستند و رتبه های مقامات امنیت اطلاعات (CISOs) در بخش انرژی اروپا در حال رشد هستند، اما ما هنوز با قدرت تصمیم گیری بیشتری نیاز به بیشتر از آنها داریم. امنیت سایبر باید جزء اصلی هر استراتژی ابزار باشد.

تبلیغات

مسابقه منابع

اکثر خدمات آب و برق در حال حاضر برخی از افراد امنیتی با استعداد در سازمان دارند. هرچند تعداد کمی از افراد به اندازه کافی به اندازه کافی وجود دارد، اما یک تیم محروم منابع برای رسیدگی به تعدادی از اولویت های رقابتی است.

به عنوان مقررات و استانداردهای امنیتی به درستی به فضای انرژی خود راه می یابند، تیم ها زمان و منابع خود را سرمایه گذاری می کنند و در عین حال با یک تعداد زیادی از وظایف امنیتی همکاری می کنند.

این به خوبی در یک تیم امنیتی با ریسک بسیار خوب خواهد بود، اما در واقعیت، دیگر پروژه های مهم را می بینیم که نظم را ترسیم می کنند. نیازهای امنیت سایبری در ابزارهایی وجود دارد که به دلیل محدودیت منابع محدود می شود. بنابراین سرمایه گذاری باید افزایش یابد.

قدیمی OT / IT تقسیم می شود

تقسیم فناوری عملیاتی (OT)/فناوری اطلاعات (IT) چیزی است که برای مرد خیابان اهمیت چندانی نخواهد داشت ، اما در دنیای ما بسیار آشنا است. سیستم های فناوری اطلاعات و سیستم های OT هنوز بسیار متفاوت هستند. آنها توسط افراد مختلف با درجه و جهان بینی متفاوت و با استفاده از پروتکل های مختلف با اهداف مختلف ساخته شده اند. مهندسی که بیست سال پیش ترانسفورماتور را در پست پست طراحی کرده بود ، هیچ وقت فکر امنیت سایبری را در سر نداشت - به هر حال ، سیستم ها مانند امروز به هم متصل نبوده اند. به همین ترتیب ، احتمالاً به برنامه نویسی که سیستم صورتحساب مشتری را طراحی کرده است ، فکر نکرده است که به پروتکل ارتباطات متر هوشمند فکر کند زیرا چنین چیزی وجود ندارد.

با این حال، اکنون جهان هم ادغام شده است. با ایجاد شبکه های هوشمند بیشتر دیجیتال، متصل شده، ما IT و OT را با یکدیگر همراه می کنیم و چالش های امنیتی را در حوزه OT ایجاد می کنیم که قبلا به طور انحصاری به IT متکی بود.

ما قطعا نیاز به افراد بیشتری در این صنعت داریم که هر دو دامنه را درک می کنند. که زمان خواهد برد با این وجود، شرکت ها اغلب با مشکلی سازماندهی منابع موجود در سازمان را مشکل می کنند.

تا کنون، IT بچه ها احتمالا با مهندسین مراقب OT ارتباط بسیار کمی داشتند. با این حال، آب و برق باید شیوه هایی برای آوردن این افراد و صحبت کردن با آنها برای ایجاد ترکیب دانش و مهارت ها و به حداکثر رساندن ارزش از یک منبع محدود فراهم کند.

امنیت به عنوان یک پسوند

برای مدت بیش از ده سال، ما عباراتی مانند «پایان دادن به پایان امنیت» و «امنیت توسط طراحی» را شنیدیم. اصل اصلی این است که امنیت باید از ابتدا مورد بررسی قرار گیرد و در پایان نباشد.

اما در عمل، این فقط به اندازه کافی اتفاق نمی افتد.

بگو که شما در یک ابزار کار می کنید و می خواهید یک تکنولوژی یا سرویس جدید محاکمه کنید. احتمالا شما به فشار زمان قابل توجهی کار خواهید کرد تا رقابت شما را به بازار برساند. در این نقطه، بسیاری از افراد عجله می کنند تا یک طرح آزمایشی را برای تست امکان سنجی آماده کنند، اما در امنیت سایبری تأثیری ندارند. پس از همه، ممکن است این ایده ای نیست که به جلو برداشته شود، پس از آن زمان و منابع برای نگرانی در مورد امنیت در این مرحله زود گذر خواهد بود، درست است؟

قابل درک، اما اشتباه است از آنجا که امنیت نمی تواند فقط در پایان اضافه شود. ممکن است یک معضل اساسی در رویکردی وجود داشته باشد که نمیتوان آن را به سادگی تکه تکه کرد، ممکن است آسیب پذیری های زیادی وجود داشته باشد تا آن را به بازار عرضه کند. تیم امنیتی، که به عنوان آخرین نگرش نامیده می شود، ممکن است در جایگاه غیرقابل تحقق نیکی کردن کل پروژه قرار بگیرد و این ایده را به طور کامل از بین ببرد. همه چیز برای هیچ چیز کار نمی کند!

این نکته ای نیست که متخصصان امنیتی بخواهند بازی کنند، اما اغلب اوقات آن ها باید آن را انجام دهند. و آن را ادامه خواهد داد تا زمانی که از ابتدای مراحل پروژه به درستی مشورت شود. مجددا لازم است سازماندهی مجدد از نحوه استفاده از منابع محدود امنیت سایبری شرکتها را داشته باشد.

دلایل شاد بودن

این همه عذاب و ترس و وحشت نیست سرمایه گذاری در امنیت سایبری وجود دارد - به مراتب بیشتر از هر زمان دیگری مورد استفاده قرار می گیرد. این امر به طور دستی با افزایش آگاهی در میان تیم های رهبری و آنچه شروع می شود به عنوان سرویس لب به تدریج به عنوان تحقق اهمیت امنیت سایبری صادقانه صادقانه می شود.

و انتقال بسیار انرژی که نیاز به امنیت سایبری را افزایش می دهد نیز فرصت ایجاد می کند. نگاهی به کلیه ی خدمات بزرگ که بطور اساسا استراتژی خود را به عنوان یک کسب و کار تغییر می دهند، به گردش درآوردن دارایی ها و تعریف دوباره تیم های رهبری به طور کامل نگاه کنید. هیچ وقت بهتر برای تغییرات رادیکالی وجود نداشته است، مثلا قرار دادن کارشناسان امنیتی در هیئت مدیره.

خبر خوبی است که ما در حال انجام بسیاری از موارد مناسب است. خبر بد است، ما به اندازه کافی به سرعت آن را انجام نمی دهیم.

به اشتراک گذاشتن این مقاله: