OT Risk Değerlendirmesi: İlk 30 Günde Hangi Adımlar Atılmalı?
İlk 30 günün amacı yalnızca rapor hazırlamak değil, işletmenin gerçek risk görünürlüğünü oluşturmaktır. Bu nedenle başlangıç haftasında PLC, HMI, historian, mühendislik istasyonları, uzak erişim kanalları ve üçüncü taraf bağlantılar tek bir envanterde doğrulanmalı, sahibi belli olmayan varlıklar mutlaka sınıflandırılmalıdır. Bu adım tamamlanmadan yapılan her güvenlik yatırımı, yanlış önceliklendirme riski taşır.
İkinci aşamada üretim süreci tarafında hangi hattın, hangi kalite adımının ve hangi emniyet fonksiyonunun kesinti durumunda ne kadar kayıp yaratacağı ölçülmelidir. İş etkisi matrisi hazırlanırken yalnızca finansal zarar değil, iş sağlığı güvenliği, çevresel etki, tedarik gecikmesi ve müşteri teslimat riski de değerlendirmeye alınmalıdır. Böylece teknik zafiyet ile operasyonel etki aynı tabloda görünür hale gelir.
Üçüncü aşamada tehdit modeli sahaya göre uyarlanmalıdır. Kimlik bilgisi hırsızlığı, zayıf uzaktan erişim, bakım laptopları, segmentler arası kontrolsüz iletişim ve yamalanmamış kritik bileşenler gibi başlıklar olasılık-etki yaklaşımıyla puanlanmalıdır. Bu puanlama sonucunda kısa vadede kapatılacak açıklar, orta vadede mimari değişiklik gerektiren konular ve uzun vadeli olgunluk adımları net olarak ayrılabilir.
Dördüncü haftada ise teknik ekip, OT operasyon ekibi ve yönetim için ortak bir yürütme planı yayınlanmalıdır. Plan; 30, 60 ve 90 günlük aksiyonları, sorumlu ekipleri, başarı göstergelerini ve doğrulama yöntemlerini içermelidir. Ölçülebilir KPI tanımlanmayan risk programları sürdürülemez hale gelir. Doğru kurgulanan ilk ay planı ise hem hızlı kazanım sağlar hem de uzun dönemli güvenlik dönüşümünü gerçekçi bir zemine oturtur.
Ana Sayfaya Dön