Тогда нужно с основами управления бардаком разбираться, а не с ИБ :)

Это не бардак. ИТ-директор никогда за АСУ ТП не отвечал, максимум - закупки делал

Причем тут управление бардаком. ИТ - это ИТ. А ОТ - это ОТ. Очень часто это вообще разные направления внутри компании и отвечают за них совсем разные люди. Типа ИТ-директора и главного инженера

Бывали случаи когда ИТ отказывались обслуживать ОТ системы из-за высокой ответственности

У меня такая же информация, судя по нашим клиентам в Швеции.

В из случае, ИТ - это внутренние ИТ/риск менеджмент, которое никакого отношения к ОТ не имеет. Для них это все - о, новый дивный мир.
Может на вашем опыте ИТ руководители занимались непосредственно ОТ безопасностью.

Не обобщайте. Варианты мироустройства могут быть любые.

Я не обобщаю, а говорю как есть. Ни разу не видел, чтобы ИТ отвечал за ОТ.

Тогда что вы думаете о моем прошлом сообщение с отсылкой на Fortinet?

Об этом

ИМХО - политическое решение, CISO в том числе. ИТ-директора не берут АСУ ТП в том числе и сами, ибо им этот огород не нужен.

Ээээ, вот сейчас странно было. В 75% компаний ИБ входит в ИТ. Возможно коммент касался ОТ и ИБ?

"Нередко ОТ зоопарк точно не у ИТ-директора" - вот это другим словами путался выразить

А, точно! Я ерунду написал :))

«CISO этот огород не нужен»: если этого не делать, то кто будет отстаивать интересны ОТ безопасности в Management Board?
Цитата из одной статьи, Richard Piggin:

«ICS security investment competes with other more tangible projects, even potentially contrary to organisational security policy. Since OT is distributed, and is not a centralised function like IT, plant security decisions are often made locally, and implementation then differs across an organisation. An ad-hoc approach to security cannot adequately secure systems when common management information is required throughout the organisation. ICS security programmes have failed due to lack of resources, not just financial investment; programmes struggle without suitable personnel with a core ICS security responsibility.
Often, the security role becomes absorbed into an existing
position: managing ICS, which is ineffective in the longer
term. This is in contrast to IT, which may have several teams
to manage and secure their systems. Often the threat and
opportunity remain distant and unqualified. [...] A challenge for organizations is to determine who should be responsible and
accountable for OT security: OT Security is not an just OT/engineering problem, and they almost certainly do not have the security skills or experience;»

Техдиректор, инжиниринг, руководство асутп

Все кому важно непрерывное производство

*я поправила своё сообщение: интересы не как такового ОТ, а ОТ (кибер)безопасности

Потому что традиционно все, что не из ИТ бюджета, но имеет ИТ составляющую для ИТ враждебно. Банальная самозащита от "меня грузят, я везу".

Это с любым направление деятельности. Все гребут от себя.