IT和OT融合治理是工業4.0之后提的非常多的一件事情，經過若干年的努力，很多地方的IT與OT之間其實已經做了非常多的探討。我們一起看看原西門子負責監督其保護工業客戶免受網絡攻擊的服務的開發的工業安全服務的全球主管的一些觀點。

在過去幾年中，大多數大型企業在定義其運營技術 (OT) 治理戰略和在降低風險方面取得有意義的進展方面取得了長足的進步。除了技術創新，最重要的成功因素是治理計劃的結構和執行方式。最重要的是組織結構驅動戰略的指導原則。 

意思是什么？ 

在擁有大量網絡物理系統 (CPS) 足跡的組織（例如，制造、石油和天然氣以及制藥）中，CISO 及其安全團隊需要與 OT 工程團隊協作來定義和執行 OT 戰略。雖然大多數組織都在 CISO 下對 OT 網絡安全進行集中治理和責任，但魔鬼在他們如何定義和實施它的細節上。

 實施的細節以及組織的結構都屬于一個范圍——對安全團隊的“控制”從少到多。多種變體運作良好，并且相信關鍵是清楚地了解每個團隊的邊界和責任。在重新設計組織或僅使用繼承的內容時，至少需要考慮三個主要方面，以創建一個可以有效降低風險的策略。其中包括預算、實施和持續報告。 

預算

許多公司正在轉向對OT網絡安全項目進行集中預算分配，但這在實踐中意味著什么可能會有很大差異。發現以下問題有多少答案：

• 誰擁有預算？ 
• 分配難易程度？

一方面，OT 網絡安全項目的預算可能只是安全團隊預算中的一個成本中心項目。這里的風險在于，項目的推出取決于 OT 的批準和實施，并且預算可能無法在與其可用性相一致的時間范圍內分配。在另一個極端，每個站點都有自己的預算，這會阻礙整個攻擊面的全局部署和連續性，這使得很難使用一致的基準進行管理。無論您的預算流程是什么，請確保它在實踐中支持您的合并團隊的決策結構和時間表。 

實施

鑒于 OT 網絡安全的日益成熟，大多數組織都處于了解并同意需要實施的風險降低類別的階段。挑戰通常來自實際的推出和實施。組織需要了解并在以下方面保持一致： 

• 誰可以（遠程和物理）訪問部署新技術的CPS 和網絡？ 
• 誰來設計部署？新技術將如何融入企業的其他安全工具？ 

成功最終歸結為一組非常具體的IT和OT組合技能，一般情況下這很難找到。一些公司花費時間和精力來交叉培訓他們的團隊或嘗試從外部招聘，這也是一項艱巨而長期的任務。鑒于 OT 網絡安全人才缺口，交叉培訓可能更節省時間和成本效益。需要了解技術的操作方面以及在部署新技術時要考慮的任何限制的人。對現有員工進行投資為專業發展提供了機會，并為建立團隊之間的關系創造了額外的好處。

持續報道

這可能是最重要的方面。需要能夠持續監控 CPS 的網絡態勢，將該信息與組織的其他網絡態勢疊加，然后繼續調查事件。沿著這條道路前進時，有幾個方面需要解決： 

• 誰使用來自CPS 和網絡的安全遙測？ 
• 這些數據是否與來自其他網絡的安全遙測和洞察相關聯？ 
• 如何解釋數據以及誰采取行動？ 

部分要求是協調信息流，另一部分是擁有對 CPS 有足夠了解的 SOC 分析師層，他們可以對警報進行分類。當需要更深入地了解這些系統及其正常模式時，分析師還需要接觸OT工程師。連接和協作受到組織結構以及團隊之間培養的非正式關系的影響。 

最常見、最有效的組織設計由安全團隊中的一個小型、專門的團隊組成，團隊被指派直接與OT工程合作，并在 CPS 環境中執行更改方面具有不同程度的權限（通常是間接借助工程團隊）。典型的實施是“兩合一”模型——安全工程師和 OT 工程師共同負責每個站點的實施。雖然正式的組織結構推動了OT治理戰略和降低風險的有意義的進步，但一個關鍵的成功因素是 IT 和 OT 組織之間的非正式關系。這需要信任，信任需要時間，所以請勿拖延。