Zarządzanie konwergencją IT/OT: zwiększenie zakresu obowiązków IT czy utworzenie nowego zespołu OT?
W ostatnich latach dużo mówiło się o tym, że zarządzanie IT oraz OT coraz częściej zostaje ze sobą połączone. Ta integracja związana jest ze wzrostem liczby podłączonych do sieci i chmury środowisk produkcyjnych. Zazwyczaj większość firm przypisuje zarządzanie systemami OT swoim i tak nielicznym zespołom IT. Oznacza to, że oprócz ich dotychczasowych obowiązków, jakimi są zarządzanie infrastrukturą informatyczną i bezpieczeństwem, rozwiązywanie problemów i wsparcie użytkowników, administratorzy IT stają się dodatkowo odpowiedzialni za zadania związane z zarządzaniem OT. Ponadto często odbywa się to bez znajomości działania systemów operacyjnych, a nawet bez zapewnienia możliwości kontaktu z osobą z produkcji.
Specyfika sieci produkcyjnych stanowi kolejne wyzwanie dla zespołów IT m.in. ze względu na ich krytyczne znaczenie. Ważne jest, aby ich działanie przebiegało bez zakłóceń, ponieważ odgrywają one istotną rolę w generowania przez firmę zysku. W przeciwieństwie do standardowych środowisk komputerowych o przeznaczeniu biznesowym, które skoncentrowane są na systemie Windows, sieci OT często składają się z niejednolitej mieszanki typów, marek i wieku urządzeń działających w ramach topologii i zależności, które ewoluowały w celu zaspokojenia doraźnych potrzeb, nie zawsze jako część ogólnego planu.
Zamiast traktować zarządzanie OT jako dodatkowe obciążenie zespołów IT, bardziej efektywnym rozwiązaniem jest zintegrowanie tego procesu w organizacji. Jednak co właściwie
to oznacza?
Pierwszym krokiem musi być powołanie przez kierownictwo odpowiedniego zespołu. Najlepiej, aby odbyło się to z pomocą kierownictwa linii produkcyjnej. Pozwoli to uwzględnić
niezbędne wymagania jeszcze na etapie planowania. Ponadto warto, aby CISO (Chief Information Security Officer) był od początku częścią tego procesu. Należy pamiętać, że za
bezpieczeństwo informatyczne odpowiedzialna jest cała firma. Zespół OT powinien również współpracować z takimi pracownikami zakładów, jak elektrycy czy konserwatorzy, aby
produkcja mogła przebiegać bez zakłóceń.
Co więcej, tak jak użytkownicy końcowi są informowani i szkoleni z zakresu firmowych praktyk bezpieczeństwa i ochrony IT, tak wszyscy pracownicy powinni być informowani o odpowiednich priorytetach OT.
Dobrą praktyką jest stworzenie katalogu usług OT, który określa kto oraz w jaki sposób zarządza każdym zasobem produkcyjnym, podobnie jak firmy określają obowiązki i wsparcie operacyjne dla firmowych zespołów NOC (Centrum Zarządzania Siecią) albo IT. Ten sposób działania pozwala usprawnić koordynację oraz zapobiega nieplanowanym przestojom i przerwom w produkcji.
Praca powinna rozpocząć się od stworzenia aktualnej, kompletnej oraz szczegółowej listy wszystkich zasobów OT i ich konfiguracji, w tym zainstalowanych wersji systemów operacyjnych i niezbędnego oprogramowania, statusu łatek, itp. Zdefiniowane powinny być również polityki i praktyki dotyczące okien serwisowych urządzeń OT, linii komunikacji i raportowania, reagowania na incydenty cyfrowe i inne sytuacje awaryjne.
Firmy, które zastosują to podejście będą miały zapewnione większe bezpieczeństwo, mniejszą liczbę przestojów w produkcji i zdecydowaną przewagę konkurencyjną.