了解三個主要的痛點(或漏洞)��,可以幫助設施管理人員與IT部門合作��,以確保設施的安全��。
在我們的建筑環境中�����,物聯網(IoT)設備的使用越來越多�����,特別是物聯網設備系統,這是由對可持續�����、高性能建筑的渴望����,以及對該空間用戶具有競爭力的增值系統(如能源監測、ESG一致性)的驅動����。然而�����,樓宇自動化系統(BAS)����、能源管理和監控系統以及其他物聯網系統越來越成為犯罪分子和民族國家惡意團體的目標,這些攻擊的結果代價高昂�����。網絡設備數量的增加意味著業主的網絡安全漏洞的增加,這可能導致建筑運營中斷��、敏感或有價值的數據丟失�、對居住者的潛在傷害以及責任和聲譽風險。這些漏洞部分是由于大型所有者組織內部的組織以及供應商關系中的組織和文化挑戰造成的���。
通常�����,圍繞如何解決這些類型的智能建筑網絡安全挑戰的討論集中在培訓設施專業人員的IT技能上��。然而��,我們最近對高等教育機構的研究發現����,網絡安全挑戰遠比技能問題復雜得多��,尤其是對于大型建筑業主而言����。設施和IT專業人員經常被排除在智能建筑設計和采購決策之外。此外�,設施和IT部門之間的歷史孤島導致了不同的技術語言����、專業文化和協調困難�����。
盡管存在這些復雜性���,設施經理和IT人員已經開始應對這些挑戰��。這包括了解增加智能建筑風險的三個主要痛點���,我們將提供建議,幫助設施管理人員提高網絡安全��,并降低從設計和施工(D&C)到運營的風險�。
挑戰
物聯網設備和設備系統可以在多個不同階段進入建筑生命周期�。在物聯網系統設計、設備部署和運營過程中��,有三個關鍵的痛點阻礙了IT和設施專業人員以有效和高效的方式合作��。這些痛點發生在:
設計與施工(D&C)
設備和系統采購
運營
在D&C期間����,當物聯網系統設計和采購決策發生時�,很少有標準化流程可以在設計階段的早期讓IT和設施人員參與進來��。此外����,IT和設施專業人員并不總是有機會向D&C項目團隊提供重要的技術和網絡安全輸入。項目交付合同中的差異也決定了在設計階段何時以及是否可以與設施和IT人員接觸�����。此外��,資本項目人員并不總是知道其需要在流程的早期就網絡安全風險進行IT投入��。D&C中的這些復雜性導致系統選擇不當���、系統部署不當以及缺乏物聯網系統運營監督�,
其次�����,大多數大型業主缺乏網絡安全標準�、標準和成熟的物聯網設備和系統采購審查流程�,這也增加了風險�����。這包括缺乏關于數據治理的標準�����,以及與物聯網設備維修�����、安全更新和一般系統管理相關的角色和責任���。此外�,IT網絡安全專家通常不會在采購過程的早期咨詢��,或根本沒有咨詢����。
最后���,運營挑戰主要圍繞IT和設施的組織歷史和文化之間的差異�����。這些差異導致物聯網系統網絡不明確��、未管理或管理不善且記錄不當�。當特定任務需要兩組專業知識時,IT和設施之間的這種分歧導致了協調和調度問題�。這種分歧還導致缺乏共享的工作語言來支持對物聯網系統、數據管理和分析以及安全性的相互理解�。
新興解決方案和建議
盡管存在這些挑戰,許多大型業主組織一直在探索和實施新的解決方案來改善物聯網安全和運營��。其中許多解決方案都致力于改善IT與設施之間在運營����、工作實踐和政策方面的協作和知識綜合。
根據我們對高等教育校園趨勢的研究����,建議其他大型建筑業主可以采用以下框架來提高自己的物聯網安全和運營。
D&C
向項目團隊闡明并傳達自己對建筑物物聯網系統���、網絡�、數據和數據管理的長期需求。
確定設施和IT聯絡員參加項目團隊會議���,以確定物聯網系統的長期所有者需求和要求��。
確定IT和設施人員應在何時何地向項目團隊提供有關物聯網設備和系統的信息��。示例包括RFP規劃�����、提交審查和調試�����。
規范網絡安全和設施專業人員在早期設計/施工前審查物聯網系統的咨詢�����,并正式記錄所有審查意見�。
采購
闡明��、記錄和傳播建筑環境中物聯網設備和系統的所有者網絡安全標準��。建立物聯網的管理��、角色和責任,以及評估供應商風險的標準���。
要求物聯網系統提供商提供網絡責任保險。確定當系統或設備被惡意團體破壞時由誰負責���。
要求設備軟件更新計劃(即“補丁計劃”)����,并確定誰將執行其并為此付費�����。
在采購流程的早期整合網絡安全審查和IT主題專家�����。
運營
建立針對網絡�����、設備和數據的物聯網系統管理�。認真考慮IT和設施之間物聯網系統管理的協作形式,包括系統和網絡的期望和性能���。
明確IT和設施專業人員在特定任務上協同工作的角色和職責��。知道誰負責特定的系統和設備��,并知道如何與該人聯系�����。責任-解釋-咨詢-通知(RACI)圖表是用于在多個組織中建立角色和職責以及設定期望的工具的一個示例�����。
通過跨部門規劃會議�、組織間聯絡和非正式活動,建立和維護IT與設施部門和人員之間的關系��。這建立了信任�����,并開始融合和整合組織文化�。
考慮開發運營技術(OT)團隊,將傳統設施與IT專業人員和方法相結合���。
對于大型業主組織��,更好地了解D&C����、采購和運營期間出現的挑戰將降低近期和長期智能建筑風險——即使考慮到實施這些新步驟的成本。雖然用于物聯網管理和安全的勞動力和資源增加成本�,以及開發新工作流程和破壞傳統工作流程的成本可能很高��,但這是必要的���。在這個日益惡意的網絡世界中��,與財務和聲譽考慮��、品牌管理����、運營績效和人身安全問題的成本相比�,準備和盡職調查的成本將顯得微不足道。物聯網設備和系統提供了相當大的潛在價值�,但前提是它們帶來的風險經過深思熟慮的規劃和管理。
京公網安備 11010502041587號