सूचना प्रौद्योगिकी (आईटी) और परिचालन प्रौद्योगिकी (ओटी) वातावरण दोनों को प्रभावित करने वाली हाल की घटनाओं के आलोक में, संगठन बढ़ते आईटी/ओटी अभिसरण से जुड़े जोखिमों का तेजी से मूल्यांकन कर रहे हैं।

आईटी वातावरण में क्लाउड कंप्यूटिंग, आंतरिक और आउटसोर्स इंटरनेट एप्लिकेशन, और पूरे संगठन में उपयोग किए जाने वाले व्यवसाय और तकनीकी सिस्टम, जैसे ई-कॉमर्स, मानव संसाधन और इंजीनियरिंग शामिल हैं। ओटी वातावरण में गैर-औद्योगिक और औद्योगिक इंटरनेट ऑफ थिंग्स (IoT) दोनों शामिल हैं; औद्योगिक नियंत्रण प्रणाली (आईसीएस) जैसे निरंतर और बैच डीसीएस, पीएलसी, और एससीएडीए नियंत्रक; और असतत निर्माण और रोबोटिक्स के लिए औद्योगिक स्वचालन प्रणाली, एचवीएसी नियंत्रण, विद्युत वितरण और चिकित्सा उपकरणों जैसे भवन प्रबंधन प्रणाली।

संगठनों द्वारा अपने काम करने के तरीके को बदलने के लिए नई डिजिटल परिवर्तन पहलों को अपनाने के साथ, ओटी सर्वव्यापी, अधिक जुड़ा हुआ और आईटी के साथ अधिक अभिसरण हो जाएगा। बदले में, धमकी देने वाले अभिनेता नए वातावरण के अनुकूल होंगे और आईटी नेटवर्क के खिलाफ अपनी गतिविधियों से सीखी गई तरकीबों को सामने लाएंगे। चूंकि ओटी वातावरण में आमतौर पर कम संरक्षित हमले की सतह होती है, इसलिए संगठनों को उच्च स्तर की साइबर सुरक्षा योग्यता वाले कर्मियों की आवश्यकता होती है, और सुरक्षा उपायों को सुरक्षा उपायों को जोड़ने पर ध्यान केंद्रित करने के लिए जो पहले से ही औद्योगिक वातावरण में मौजूद हैं।

सुरक्षा कार्यक्रमों में आईटी और ओटी मानकों को शामिल करना
सुरक्षा मानक ऑटोमेशन और नियंत्रण प्रणालियों को सुरक्षित करने के लिए एक व्यावहारिक दृष्टिकोण प्रस्तुत करते हैं जिसमें निगम के मुकुट रत्न शामिल हैं। कंपनियों को अपने समग्र साइबर सुरक्षा कार्यक्रम में आईटी और ओटी दोनों मानकों को शामिल करना चाहिए क्योंकि खतरे और हमले किसी भी दिशा से आ सकते हैं और उद्यम के व्यापार और संचालन दोनों पक्षों को नुकसान पहुंचा सकते हैं।

यदि आप पिछले दरवाजे को खुला छोड़ देते हैं, तो आपके सामने के दरवाजे के लिए एक सुरक्षा प्रणाली पर $1 मिलियन खर्च करने से सुरक्षा समस्या का समाधान नहीं होता है।

एक सुविचारित, कॉर्पोरेट-स्तरीय साइबर सुरक्षा कार्यक्रम व्यापक रूप से उपयोग किए जाने वाले आईटी मानकों को एकीकृत करता है, जैसे आईएसओ 27001 और 2, ओटी मानकों के साथ, जैसे आईएसए/आईईसी 62443। बहुत बार, इन मानकों पर या तो/या परिदृश्य में पूर्ण रूप से चर्चा की जाती है। लेकिन वास्तव में, यह एक “और” रणनीति है (आईएसओ 27001/2 और आईईसी 62443)।

कई संगठनों ने मुख्य रूप से अपनी आईटी सुरक्षा नीतियों और प्रक्रियाओं को आईएसओ/आईईसी 27001/2 पर आधारित किया है और उस संरचना को ओटी सिस्टम तक विस्तारित करने का प्रयास किया है। जबकि कुछ सुरक्षा लाभ संभव हैं, तथ्य यह है कि आईएसए/आईईसी 62443 श्रृंखला ओटी सिस्टम को सुरक्षित करने के लिए मानक उद्देश्य-निर्मित है।

आईएसए/आईईसी 62443 आईएसओ 27001/2 का पूरक है और ओटी को संगठन की सूचना सुरक्षा प्रबंधन प्रणाली तक विस्तारित करने की अनुमति देता है। आईएसए/आईईसी 62443 उद्यम के परिचालन भागों को संबोधित करता है जहां आईएसओ 27000 को आम तौर पर लागू नहीं किया जा सकता है, जिसमें सुरक्षा इंटरलॉक के साथ उत्पादन क्षेत्र और नियामक भाषा, औद्योगिक उपकरण निगरानी, ​​खतरनाक क्षेत्रों में सुरक्षा प्रणाली, परिष्कृत विश्लेषक और विशेष प्रयोजन के पालन की आवश्यकता शामिल है। औद्योगिक नेटवर्क।

इन सुविधाओं के भीतर उद्यम आईटी टीमों को ओटी जोखिमों, सुरक्षा योजनाओं और प्रतिक्रिया योजनाओं को अपने समग्र साइबर सुरक्षा प्रबंधन प्रणालियों में समझने और शामिल करने की आवश्यकता होगी। आईएसए/आईईसी 62443 को एकीकृत साइबर सुरक्षा टीमों में आईटी और ओटी के बीच की खाई को पाटने के लिए सबसे उपयोगी भाषा के रूप में पहचाना जा रहा है।

आईएसए/आईईसी 62443 के संयोजन में आईएसओ 27001/2 श्रृंखला का उपयोग करने वाले संगठनों को आईटी और ओटी हासिल करने के लिए बेहतर परिणाम मिलते हैं क्योंकि वे दोनों मानकों का सर्वश्रेष्ठ मिश्रण करते हैं।

नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड एंड टेक्नोलॉजी (एनआईएसटी) से साइबर सुरक्षा फ्रेमवर्क, अमेरिका में सार्वजनिक नीति में एक अत्यधिक संदर्भित साइबर सुरक्षा ढांचा, अंतरराष्ट्रीय स्तर पर मान्यता प्राप्त आईएसए / आईईसी 62443 मानकों के परिवार के 112 से अधिक संदर्भ शामिल हैं। मानकों का यह परिवार संगठनों को उनके स्वचालन और नियंत्रण प्रणालियों के जोखिम का आकलन करने की प्रक्रिया के माध्यम से मदद करता है, ओटी सुरक्षा के अनुपालन को मापने के लिए मीट्रिक और बेंचमार्क प्रदान करता है, और उस जोखिम को कम करने के लिए सुरक्षा प्रतिवादों को पहचानने और लागू करने के लिए मार्गदर्शन प्रदान करता है।

विधायक स्वचालन हासिल करने के लिए मानकों के मूल्य को पहचान रहे हैं जो उनके घटकों के जीवन को प्रभावित करते हैं और इनमें से कई “सर्वोत्तम प्रथाओं” को अनिवार्य करते हैं। न्यूयॉर्क में हाल ही में पेश किए गए कानून में परिवहन, पानी और अपशिष्ट जल उपचार सुविधाओं, सार्वजनिक उपयोगिताओं, सार्वजनिक भवनों, अस्पतालों, सार्वजनिक स्वास्थ्य सुविधाओं और चुनिंदा वित्तीय सेवा संगठनों सहित राज्य के सार्वजनिक बुनियादी ढांचे में आईएसए/आईईसी 62443 लागू करने का आह्वान किया गया है।

एक साझा जिम्मेदारी मानसिकता महत्वपूर्ण है
एक कंपनी साइबर सुरक्षा कार्यक्रम के सफल होने के लिए, आईटी और ओटी नेताओं को साइबर सुरक्षा के लिए जिम्मेदारी साझा करनी चाहिए। इंजीनियरिंग और खरीद फर्म, इंटीग्रेटर्स, उपकरण विक्रेता, रखरखाव प्रदाता, और स्टाफ टीम सभी साइबर सुरक्षा हितधारक हैं और उन्हें पर्यावरण को सुरक्षित रखने और जोखिम को कम करने में उनकी अनूठी भूमिका को समझना चाहिए।

जैसा कि अधिकांश साइबर सुरक्षा के दिग्गज समझते हैं, हम अपने ऑटोमेशन और नियंत्रणों पर हमला करने से खतरे वाले अभिनेताओं को पूरी तरह से नहीं रोक सकते। हमारा लक्ष्य सबसे मूल्यवान बौद्धिक संपदा और संपत्तियों की रक्षा करना है, विरोधियों को धीमा करना है, हमलों को शुरू करने के लिए विरोधियों की लागत बढ़ाना है, और कुछ गलत होने पर तुरंत पता लगाना है। एक संगठन के प्रत्येक भाग की एक भूमिका होती है, और एक व्यापक, कॉर्पोरेट-स्तरीय साइबर सुरक्षा कार्यक्रम जो आईटी और ओटी दोनों मानकों को एकीकृत करता है, बेहतर परिणाम देगा।


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here