- Home >
- Services >
- Access to Knowledge >
- Trend Monitor >
- Domain of Application >
- Trend snippet: Factors to close the gap between the IT and OT domain
Trends in Security Information
The HSD Trendmonitor is designed to provide access to relevant content on various subjects in the safety and security domain, to identify relevant developments and to connect knowledge and organisations. The safety and security domain encompasses a vast number of subjects. Four relevant taxonomies (type of threat or opportunity, victim, source of threat and domain of application) have been constructed in order to visualize all of these subjects. The taxonomies and related category descriptions have been carefully composed according to other taxonomies, European and international standards and our own expertise.
In order to identify safety and security related trends, relevant reports and HSD news articles are continuously scanned, analysed and classified by hand according to the four taxonomies. This results in a wide array of observations, which we call ‘Trend Snippets’. Multiple Trend Snippets combined can provide insights into safety and security trends. The size of the circles shows the relative weight of the topic, the filters can be used to further select the most relevant content for you. If you have an addition, question or remark, drop us a line at info@securitydelta.nl.
visible on larger screens only
Please expand your browser window.
Or enjoy this interactive application on your desktop or laptop.
Factors to close the gap between the IT and OT domain
3.4 Kloof tussen IT- en OT-domeinen
Tijdens een groot deel van de interviews is bevestigd dat er historisch een kloof bestaat tussen het IT- en OT-domein. De kloof uit zich in het verschil in doelstellingen, opvattingen en manieren van werken. Tegelijkertijd is aangegeven dat dit enorm veranderd is en hier hard aan wordt gewerkt. Om stappen te zetten op het gebied van OT-security is goede samenwerking tussen de twee domeinen noodzakelijk en zijn er verschillende succesfactoren naar boven gekomen om dit te kunnen bewerkstelligen. Het gaat aan de ene kant om samenwerking en aan de andere kant om kennisdeling. Deze twee kunnen niet zonder elkaar, maar worden hieronder wel separaat beschreven.
3.4.1 Versterken van de samenwerking
Een van de belangrijkste redenen om IT en OT dichter bij elkaar te brengen, is de noodzaak voor samenwerking omdat de twee werelden steeds meer met elkaar verstrengeld raken. Om het continueren van het primaire proces te waarborgen is het noodzakelijk om de krachten te bundelen. De capaciteit moet goed benut worden en de kennis en kunde ligt in beide domeinen. Er zijn een aantal succesfactoren geïdentificeerd die bijdragen aan het versterken van de samenwerking tussen het IT- en OT-domein.
Verantwoordelijken IT en OT.
Het is van belang dat er nauwe samenwerking is tussen de verantwoordelijken voor IT en OT(-security). Als de verantwoordelijken een goed voorbeeld kunnen geven en elkaar vinden, zal dit zich ook vertalen naar de werkvloer. Daarnaast creëert dit bewustzijn dat het belangrijk is om samen te werken. Dit geldt ook voor lijnverantwoordelijken, managers en directeurs. Wanneer dergelijke rollen niet belegd zijn in de organisatie is het een succesfactor om het eigenaarschap wel te de (ver)delen. Uit de interviews komt naar voren dat dit vaak succesvol is als de personen die deze functies bekleden goed met elkaar kunnen samenwerken.
Succesfactor. Zorg dat de IT- en OT-verantwoordelijken samen optrekken. Zo zetten zij een voorbeeld voor het dichter bij elkaar brengen van de domeinen en een eerste stap in die richting.
Praktijkvoorbeeld. Een OT-medewerker met kennis en belangstelling voor kantoorautomatisering is de leidinggevende geworden van een team met daarin IT- en OT-medewerkers. De leidinggevende rapporteert de status van IT en OT-security aan het management. Hierdoor worden specifieke OT werkzaamheden, uitdagingen en oplossingen samen met IT op een gelijkwaardige wijze geadresseerd.
OT en IT in één team.
Het is belangrijk om verschillende disciplines in teams samen te brengen, bijvoorbeeld IT, OT en bedrijfskundigen. Dit gaat verder dan hen vragen samen te werken. Het gaat erom dat men bij elkaar zit als één team en op deze wijze samen activiteiten oppakt. Mensen op dezelfde locatie onderbrengen draagt hieraan bij. Dit creëert kruisbestuiving tussen de twee vakgebieden en een menselijke band die de samenwerking ten goede komt. Zo kunnen OT- medewerkers bijvoorbeeld leren van gebruikelijke IT-processen (zoals Information Technology Infrastructure Library (ITIL) proces) en kunnen IT-medewerkers leren van de manier waarop OT-medewerkers nadenken over risico’s.
Succesfactor. Management erkent de noodzaak voor het combineren van IT-OT kennis en kunde en zorgt ervoor dat IT en OT in dezelfde afdeling werken.
Succesfactor. Een medewerker die ervaring heeft in het IT- en OT-domein ziet de toegevoegde waarde van samensmelting en geeft hier vorm aan.
Succesfactor. Het initiëren van gezamenlijk overleg tussen het IT-en OT-team kan een eerste stap in de vorming van een team zijn en kan bijdragen aan de vorming van de integrale aanpak van cyber security.
Praktijkvoorbeeld. De Chief Information Security Officer (CISO) geeft leiding aan een team waarin IT- en OT-medewerkers samenwerken.
Roulatiemodel van medewerkers.
In het verlengde van een gezamenlijk team opstellen, draagt een roulatiemodel van medewerkers bij aan de kruisbestuiving van kennis en kunde. Hierbij is het waardevol goed te kijken naar de verschillende disciplines en competenties van medewerkers om tot een goede mix van mensen te komen die complementair aan elkaar zijn.
Succesfactor. Zet een pool op van mensen die elkaar kunnen vervangen. Zorg dat IT- en OT-kennis door meerdere mensen in deze pool toegepast kan worden.
Dezelfde functiewaardering.
Het is aanbevolen om IT- en OT-medewerkers in dezelfde functiewaardering (salaris) te plaatsen. Dit komt de samenwerking én de waardering voor elkaar ten goede. De reden die gegeven is voor de onbalans tussen functiewaarderingen stamt uit het verleden. Toen IT zijn opmars maakte in bedrijven zijn er veel IT-medewerkers aangenomen. Zij hebben destijds betere voorwaarden kunnen bedingen en hebben door kunnen groeien in de loop der jaren. Voor OT-medewerkers is deze groei soms achtergebleven. Deze ongelijkheid zorgt dan voor frictie. Dit bewust rechttrekken heeft positieve effecten op hoe men met elkaar omgaat en zorgt voor betere samenwerking.
Succesfactor. Het management is uiteindelijk de factor die besluit om verandering teweeg te brengen. Het is daarom nodig dat het management zich realiseert dat het verschil in functiewaarderingen de samenwerking niet ten goede komt en besluit dit aan te passen.
Praktijkvoorbeeld. De discrepantie tussen IT- en OT-functiewaarderingen is bij een van de organisaties direct opgeheven nadat dit bekend werd. De organisatie merkte dat de waardering tussen IT- en OT-medewerkers verbeterd is.
3.4.2 Bevorderen van kennisdeling
Het dichter bij elkaar brengen van IT- en OT-domeinen is om kennisdeling te bevorderen. Aangezien steeds meer processen in de organisaties worden geautomatiseerd, er steeds meer gebruik wordt gemaakt van slimme apparaten en steeds meer data met elkaar wordt gekoppeld, is kennis van het IT-domein nodig. Daarnaast is er kennis van de operationele techniek nodig om de automatisering goed in te regelen en te duiden wanneer processen risico lopen. Het is belangrijk om aandacht te besteden aan het samenbrengen van IT- en OT-medewerkers om zo expertise te delen. Mensen zijn immers de spil in kennisdeling. De tijd en het geld dat hiervoor nodig is moet ook gegund worden.
Ruimte voor persoonlijkheden die graag kennis uitdragen.
Er zijn altijd mensen die de eigen kennis graag willen uitdragen. Het meemaken van het enthousiasme, de kennis en ervaring van collega’s zorgt voor ontwikkeling. Laat zo verhalen door de organisatie gaan. Dit kunnen succesverhalen zijn of juist het tegenovergestelde, zo blijft men leren. Het is hier van belang dat er echt de tijd voor gegeven wordt en dat er vanuit het management wordt gestuurd op deze kennisdeling. Het blijven zitten op kennis (kennis is macht) moet positief ontmoedigd worden.
Succesfactor. Geef collega’s die graag kennis uitdragen de ruimte en gelegenheid daarvoor.
Succesfactor. Door kennisdeling onderdeel te maken van de functioneringsgesprekken worden individuele medewerkers gestimuleerd en uitgedaagd om hierin uit te blinken.
Praktijkvoorbeeld. Een van de organisaties heeft een parttime docent in het gezamenlijke team. Dit teamlid heeft van nature de behoefte om kennis te delen en is daarmee zeer waardevol voor het hele team.
Praktijkvoorbeeld. Kennisdeling vindt actief (rondgang in de organisatie) en passief plaats (artikelen, rapporten, elektronisch (via een bedrijfs-wiki)).
Kennisdeling en informatie-uitwisseling buiten de organisatie om.
Cybersecurity is een allesbehalve statisch onderdeel van de bedrijfsvoering. Ontwikkelingen die vandaag niet van toepassing lijken op het eigen bedrijf kunnen morgen wel relevant zijn. Daarom is het leren van anderen zo belangrijk. Alle organisaties geven aan dat het vergaren van kennis buiten de deur cruciaal is om bij te blijven en tijdig aanpassingen te kunnen doen. Elkaar opzoeken zorgt voor kruisbestuiving tussen de medewerkers van verschillende (concurrerende) organisaties. Dit gebeurt zowel informeel als formeel en wordt door individuen zelf ingericht.
Succesfactor. Het face-to-face deelnemen aan (nationale en internationale) bijeenkomsten zorgt voor kennisdeling buiten de eigen praktijken om.
Succesfactor. Een informeel netwerk met gelijkgestemden (binnen en buiten de eigen sector) draagt bij aan het delen van kennis en het up-to date houden ervan.
Praktijkvoorbeeld. Bedrijven nemen veelal actief deel aan (nationale en internationale) werkgroepen en information sharing and analysis centers (ISAC).
Zelfde soort programma’s en apparatuur gebruiken.
Het is nuttig wanneer medewerkers zo veel mogelijk met elkaars technieken, interfaces, apparatuur en tooling in aanraking komen. Zo kunnen monteurs uit de OT kennis nemen van deze IT programma’s en apparatuur en komen de verschillende medewerkers hierover met elkaar in gesprek. Dit werkt beide kanten op. Dit draagt bij aan kennisdeling en een betere verstandhouding tussen IT- en OT-medewerkers.
Succesfactor. Het is van toegevoegde waarde om door het management het gebruik van homogene programma’s en apparatuur te laten ondersteunen en hier een doelstelling van te maken.
Succesfactor. Het streven naar standaardisatie van programma’s en apparatuur kan het beste worden vormgegeven in de life cycle management processen.
Succesfactor. Uit de resultaten komt geen succesfactor naar voren hoe de keuze gemaakt wordt voor dezelfde soort programma’s en apparatuur. Wel kan life cycle management in combinatie met wat er aangeboden wordt in de markt invloed uitoefenen op deze keuze en is het van belang om de functionele eisen vanuit IT en OT op te stellen en uit te zetten.
Praktijkvoorbeeld. Een van de respondenten gaf aan actief te streven naar programma’s en apparatuur die door zowel IT- en OT-medewerkers gebruikt kan worden. Dit heeft zich geuit in bijvoorbeeld statische netwerk monitoring. Deze dienst is gebruikt in de gehele organisatie om vreemde netwerkcommunicatie patronen van alle aangesloten apparaten te herkennen. Netwerk monitoring informatie gaat bijvoorbeeld naar het interne SOC. Bijvangst hiervan was dat deze informatie ook programmeerfouten in een SCADA systeem blootlegde. Het oplossen ervan verhoogde uiteindelijk de robuustheid van het primaire proces.
Streven naar begrijpelijke taal voor iedereen.
Taalgebruik, terminologie en vakgebieden verschillen binnen een organisatie en een veelvoorkomende consequentie is dat men elkaar minder goed begrijpt. Dit komt de kennisdeling niet ten goede. Hier moet rekening mee gehouden worden in de (onderlinge) communicatie. Het is belangrijk jargon te vermijden en te streven naar het aan elkaar uitleggen van procedures, producten en werkwijzen.
Praktijkvoorbeeld.
Een bedrijf met vestigingen wereldwijd gaf aan de awareness trainingen in de lokale taal te geven en in persoon. Het gebruik van (Engelse) e-learning bleek op den duur namelijk niet effectief. Daarnaast bleek het organiseren van een cybersecurity dag met niet-technische onderwerpen die op een interactieve manier werden gepresenteerd zeer waardevol. Het doel was om medewerkers op een positieve manier kennis te laten maken met het onderwerp door praktische (quiz en uitnodigen van hackers) en aansprekende (crisissimulatie) voorbeelden uit de eigen organisatie.