A kockázatkezelés minden fajta információ- és IT biztonsági tevékenység egyik alapvető pillére, így az ipari/folyamatirányítási IT (vagy másik nevén OT) biztonsági folyamatokban sem lehet figyelmen kívül hagyni. Sőt, lévén a különböző fizikai folyamatok vezérléséért felelős rendszerek esetén nem csak a Bizalmasság/Sértetlenség/Rendelkezésre állás szempontjainak kell érvényesülni, hanem a még ezeknél is fontosabb safety-nek (emberélet és emberek testi épségének védelme), a kockázatok minél alaposabb felmérése, elemzése és még elfogadható szintre csökkentése fontosabb is, mint a "csak" adatokkal dolgozó IT rendszerek esetén.

Nemrég egy ebben a témában született útmutatóval találkoztam, amit Jason D. Christopher, a Dragos egyik vezető kiberbiztonsági kockázatkezelési tanácsadója írt. Az útmutatóban egyebek mellett az alábbi témaköröket érinti a szerző:

- Hogyan építsünk (vagy alakítsunk át egy létező) kockázatkezelési folyamatot úgy, hogy az ICS rendszerek kockázatait is megfelelően figyelembe vegyük;
- Mi a legjobb módja az OT biztonsági kockázatok felsővezetők felé történő kommunikálásának?

A teljes útmutató a Dragos weboldaláról tölthető le (regisztráció után): https://www.dragos.com/resource/industrial-cyber-risk-management/