Estamos vendo mais empresas se concentrando em separar seus sistemas de segurança de seus sistemas de controle adicionais.
Por Terry Jost, Justin Turner e Derek Dunkel-JahanTigh – Leia o original em inglês.
Se o ano de 2020 nos ensinou alguma coisa, foi a esperar o inesperado. Neste momento único, vimos empresas se adaptarem a uma nova realidade trazida pela pandemia do COVID-19, fazendo investimentos significativos para preparar suas organizações para enfrentar a próxima tempestade. Também vimos mudanças substanciais nos ambientes de segurança dos Sistemas de Controle Industrial (ICS), uma tendência que traz uma série de considerações para organizações grandes e pequenas.
Em um webinar recente, falamos sobre o que a segurança do ICS significa para as organizações e como as organizações podem criar programas eficazes de segurança do ICS para sustentar a empresa em 2021 e no futuro. Neste artigo, destacamos o que consideramos as etapas mais importantes para desenvolver e implementar um programa de segurança ICS eficaz.
Passo 1: Estabeleça Linhas de Comunicação com os Principais Contatos OT
É extremamente importante engajar as equipes de Tecnologia Operacional (OT) desde o início, obtendo adesão e suporte de “campeões de segurança” em cada local. Em muitas empresas, equipes de tecnologia e equipes operacionais trabalham separadamente, com prioridades diferentes (OT focada em disponibilidade e resiliência, TI mais focada em conectividade e segurança). A principal prioridade da organização de segurança de TI é proteger o ambiente, enquanto aqueles que trabalham em operações estão focados em aumentar a eficiência e garantir que os recursos de produção sejam concluídos da forma mais rápida e segura possível. As equipes de OT geralmente podem ver a segurança e os controles adicionais como impedimentos para atingir seus objetivos.
Muitas vezes, recomendamos que as organizações que buscam aprimorar as medidas de segurança do sistema de controle industrial comecem com a conscientização organizacional sobre por que os controles são necessários e, em seguida, obtenham a adesão das equipes que serão responsáveis pela operação desses controles. Estabelecer “campeões de segurança” – indivíduos que podem comunicar as prioridades de segurança da organização de forma a gerar essa adesão – é uma etapa fundamental que facilita o processo de preencher quaisquer lacunas entre as equipes.
Passo 2: estabelecer a propriedade do programa de segurança de sistemas e alinhar com uma estrutura
Durante nosso webinar, perguntamos ao público quem em sua organização é responsável pela segurança do ICS dentro da empresa. Cerca de um terço (33%) respondeu que o Chief Information Security Officer (CISO) detém essa responsabilidade, seguido pelo Chief Information Officer (CIO), um gerente de fábrica ou um ICS Security Manager. Quase um quarto do público (25%) respondeu “outro”, sugerindo que esse papel crítico pode não receber a atenção necessária.
A próxima etapa envolve a identificação de quem será o proprietário e o condutor deste programa. O objetivo é conseguir as pessoas certas para ajudar a priorizar os riscos e identificar ativos/locais críticos para a organização. O suporte para as iniciativas de segurança do ICS será necessário das equipes corporativas de TI, segurança cibernética, segurança física no local e tecnologia operacional (OT). Conforme mencionado anteriormente, a adesão e o suporte da equipe de automação ou das equipes de OT serão importantes, pois esses indivíduos serão capazes de articular os desafios no nível de campo e as metas/requisitos de negócios. Sua contribuição será fundamental para mapear o caminho a seguir e projetar controles que atendam às necessidades da equipe OT e melhorem a segurança de ativos críticos. Ter o apoio da liderança garante o sucesso a longo prazo, e essa parceria começa com a certeza de que a gerência executiva entenda os riscos, como esses riscos podem ser mitigados e quais benefícios podem ser alcançados (economia de custos, maior eficiência, resiliência) na definição de um estratégia para um projeto de segurança OT.
Existem várias estruturas diferentes que as empresas usam para alinhar seus programas de segurança OT. À medida que ajudamos os clientes a desenvolver seus próprios procedimentos de segurança de ICS, geralmente utilizamos várias estruturas para desenvolver uma solução que funcione melhor para as necessidades específicas da organização.
Nossos clientes em Petróleo e Gás tendem a se alinhar com o NIST Cybersecurity Framework, alguns clientes maduros utilizam vários controles do NIST 800-82 e, em muitos casos, nossa equipe recomenda um framework híbrido que combina abordagens de ambos.
Passo 3: Quantificar os riscos do ICS e priorizar a implementação de controles de maneira baseada no risco
Uma vez que uma organização constrói sua estrutura de governança de ICS Security, ela precisa determinar como lidar com a multiplicidade de riscos enfrentados pela empresa. É provável que existam vários sites operacionais diferentes com diferentes cenários de risco e pilhas de tecnologia, portanto, uma abordagem quantitativa é necessária para determinar como começar a lidar com os riscos de segurança conhecidos. Compreender o cenário legal e regulatório ajudará na priorização de alguns riscos, pois a falta desses controles pode levar diretamente a multas. Ao determinar por onde começar, também recomendamos a classificação de risco para criar uma abordagem prioritária de segurança e obter uma melhor compreensão do negócio. Como os recursos e o tempo geralmente são limitados, torna-se necessário uma abordagem priorizada. Além disso, recomendamos a utilização de uma abordagem piloto com um local de fábrica onde os relacionamentos são fortes para criar suporte para o programa e entender melhor os impactos nos negócios para os controles de segurança propostos. É importante ser flexível na fase piloto, aprender com o negócio e documentar tudo.
Olhando para 2021, vemos que as organizações estão procurando controles que não afetem negativamente a resiliência e a disponibilidade de ativos críticos. O gráfico abaixo identifica os principais desafios de implementação que as organizações de ICS encontram. Como esperado, disponibilidade e segurança são duas das considerações mais importantes. Se você visitou suas fábricas recentemente, certamente está ciente da importância dada à saúde e segurança. As organizações de saúde e segurança fizeram grandes progressos nas últimas duas décadas para incorporar sua missão às operações e suas equipes devem estar profundamente cientes de como se integrar às equipes de saúde e segurança e explicar como a segurança pode ajudar a criar maior confiança na segurança e bem-estar dos funcionários da fábrica.
No que diz respeito à tecnologia de saúde e segurança, um foco principal é a necessidade de proteger os sistemas de informação de segurança. Isso envolve um projeto intencional para garantir que os sistemas de segurança estejam conectados aos sensores certos para criar alarmes no caso de algo acontecer e que os sistemas possam permanecer disponíveis apesar dos desafios inesperados.
Estamos vendo mais empresas se concentrando em separar seus sistemas de segurança de seus sistemas de controle adicionais, o que ajuda a garantir que, se o sistema de controle principal for comprometido, isso não comprometerá necessariamente os sistemas de saúde e segurança.
É um mundo desafiador lá fora, com invasores constantemente criando novas maneiras de afetar os sistemas de controle e causar danos físicos a ambientes e pessoas. As organizações que sabem exatamente como seus dados operacionais fluem entrando e saindo de seus sistemas, sabem quais usuários devem ter acesso para fazer alterações e exigem processos de autenticação fortes podem mitigar danos consideráveis antes que eles aconteçam.
Resumo
A adesão da liderança, forte comunicação entre departamentos de TI e instalações operacionais e ter as pessoas e os sistemas certos são os principais fatores para o sucesso da segurança do ICS. Não se deixe intimidar pelo que pode parecer uma tarefa assustadora. Comparamos o desafio ao ditado sobre comer uma melancia uma mordida de cada vez. Priorize os riscos. Priorize os locais. Desenvolva uma estrutura de risco. Comece com uma abordagem piloto. Em seguida, aproveite o sucesso da segurança do ICS com uma abordagem iterativa que se baseia nos sucessos de implementação de implantações de sites anteriores.
