Las organizaciones no pueden predecir cada amenaza, por lo que deben centrarse en lo que sí pueden controlar. Fortinet publicó una guía con los 10 consejos principales para ayudar a las empresas a evaluar las vulnerabilidades de su tecnología operacional (TO):

1. Identificar los elementos críticos que necesitan protección inmediataes un primer paso importante.

2. Establecer protocolos para la gestión de permisos.Antes, la mayoría de los sistemas estaban aislados. Ahora que las redes TI y TO están interconectadas, es necesario aplicar las mejores prácticas de ciberseguridad en TO. Además, determinar los privilegios apropiados para los usuarios autorizados es tan importante como bloquear el acceso no autorizado.

3. Actualizar regularmente los sistemas operativos, el hadware y el  software. Algunos sistemas de hardware y software son anteriores al surgimiento del concepto de la ciberseguridad. Las organizaciones necesitan garantizar la compatibilidad con las protecciones modernas, tales como el software antivirus o las tecnologías de escaneado de amenazas.

4. Llevar a cabo una rutina periódica de actualización y parcheo. Aunque la mayoría de las operaciones no pueden permitirse un paro en el sistema ni costos de parcheo, posponer las actualizaciones conlleva ampliar las brechas en la ciberseguridad.

5. Identificar los dispositivos inseguros y los accesibles por IP, tales como sensores e indicadores de presión. Los datos en estos dispositivos pueden ser manipulados, lo que impacta en la seguridad y fiabilidad de todo el sistema.

6. Emplear las mejores prácticas en la programación. A menudo se usa y se incorpora “software a la medida” programado con escasa atención a las técnicas de ciberseguridad recomendadas, dejando al sistema TO expuesto para ser atacado.

7. Establecer procedimientos de registro de incidentes. Las organizaciones que establecen un proceso para la notificación y comunicación de eventos del sistema pueden usar estos datos para detectar irregularidades e implementar medidas de seguridad. 
8. Definir controles de los fabricantes de componentes y de la cadena de suministro. Sin la monitorización y control adecuados, los equipos pueden estar comprometidos, incluso antes de que hayan sido instalados.

9. Segmentar la red. Muchas organizaciones no han separado todavía sus redes en diferentes segmentos funcionales. Sin la segmentación adecuada, los datos y las aplicaciones infectadas pueden expandirse de un segmento a otro y los atacantes que consiguen traspasar las defensas perimetrales pueden, fácilmente, moverse trasversalmente por la red sin ser detectados.

10. Preparar un Plan de Recuperación Operacional. En el desafortunado caso de un desastre, todas las organizaciones necesitan un proceso documentado para evaluar los daños, reparar sistemas y máquinas y reestablecer sus operaciones. Los simulacros regulares de seguridad también ayudan a los operadores a adoptar una recuperación rápida y eficiente cuando más se necesita.