IoT/OT-säkerhetspolicy – SME

'IoT/OT-säkerhetspolicy' (dokument P35S) är utformad för att ge SME-organisationer ett heltäckande och praktiskt ramverk för att säkra Internet of Things (IoT) och system för operationell teknik (OT-system). Med hänsyn till den snabbt växande användningen av smarta enheter som sensorer, kameror, HVAC-styrenheter och produktionsmaskiner fastställer denna policy strikta, genomdrivbara regler för säker driftsättning, löpande övervakning, leverantörshantering och regelefterlevnad. Detta är uttryckligen en SME-policy, vilket framgår av både dokumentnumret (P35S) och styrningsstrukturen som bygger på icke-IT-specialistroller, främst den verkställande direktören (VD) och utsedda medarbetare eller driftchefer, snarare än säkerhetsansvariga eller informationssäkerhetschef (CISO). Policyn är utformad för enkelhet och direkt tillämpbarhet och möjliggör stark kontroll över IoT/OT-miljöer utan att förutsätta att organisationer har omfattande säkerhetsteam eller specialistresurser inom IT. Inkluderingen av generaliserade roller säkerställer att regelefterlevnad och riskhantering kan uppnås av typisk personal i kontors-, lager- eller produktionsmiljöer. Policyomfattningen täcker all planering, installation, konfiguration, användning, support eller bortskaffning av IoT- och OT-enheter, inklusive intern personal, externa leverantörer och uppdragstagare. Kontrollerna gäller för alla företagsplatser och molnplattformar som gränssnittar mot anslutna system. Centrala styrningskrav omfattar att upprätthålla en detaljerad tillgångsförteckning över enheter, genomdriva nätverkssegmentering (t.ex. dedikerade virtuella lokala nätverk (VLAN) för IoT/OT) samt kräva stark autentisering och lösenordshantering. Policyn kräver även regelbundna firmwareuppdateringar, tydliga avtalsklausuler med leverantörer för att säkerställa säkra installationer samt revisionsbarhet för tredjepartsarbete. Varje IoT- eller OT-enhet spåras efter enhetstyp, modell, plats, användartilldelning och firmwareversion och omprövas kvartalsvis för att fånga upp föråldrade eller sårbara tillgångar. Åtkomst begränsas strikt till behörig personal och alla standard- eller hårdkodade lösenord måste ändras före aktivering. Enheter som använder molntjänster måste säkras med flerfaktorsautentisering (MFA) och officiella molnkonton. Dessutom ska fysiska enheter i offentliga eller delade områden ha manipulationsskyddande åtgärder. Avsnittet om incidentrespons hänvisar direkt till anpassning till policy för incidenthantering (P30), vilket kräver omedelbara åtgärder och eskaleringsprocesser om enheter komprometteras eller uppvisar avvikande beteende. Risk- och regelefterlevnadsrutiner omfattar att VD genomför årliga riskbedömningar, hanterar undantag med kompenserande kontroller och upprätthåller ett riskregister. Överträdelser utlöser tydliga konsekvenser, inklusive avstängning av åtkomst, uppsägning av avtal och eventuella rättsliga åtgärder. Regelbundna granskningar och kommunikation av policyändringar säkerställer anpassning till nya hot eller tekniker, medan inbyggda rapporteringsrutiner stödjer visselblåsarfunktion och anonyma rapporter. Efterlevnad mot centrala standarder är noggrant kartlagd, inklusive ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU GDPR, NIS2 och DORA. Sammantaget gör policyn det möjligt för SME att visa anpassning till bästa branschpraxis, minska regulatoriska risker och väsentligt reducera sannolikheten för verksamhetsavbrott eller rapporteringspliktiga överträdelser kopplade till miljöer med anslutna enheter.