同时,来自俄罗斯和伊朗等国的知名网络安全威胁者的攻击持续威胁着很多美国企业。
假设高级管理人员和IT主管已采取措施来识别和隔离潜在的网络安全攻击,例如防火墙和入侵检测/防御系统(IDS/IPS),他们可能会认为企业可得到很好的保护。但是,当重要的网络资源、服务器、数据库、应用程序和台式设备遭受网络攻击时,企业如何应对呢?网络安全计划(如果有的话)是否会关联到其他关键紧急计划,特别是BC和DR计划?
在这里,我们将探讨上述计划之间需要存在的联系、事件响应(IR)计划的作用,并提供指导以确保企业的BC/DR计划和网络安全计划同步,从而帮助企业缓解网络事件对企业的潜在影响。
信息安全足够吗?
2020年,一个关键的流行词是网络安全,但难道这不只是信息安全的另一个说法吗?国际标准化组织(ISO)27701信息安全标准规定需要部署DR和BC计划。这并不奇怪。如果说,网络安全攻击可能严重破坏企业运营能力,那么任何响应网络安全攻击的举措都必须能够触发BC和DR计划(如果需要)。
虽然现在大多数IT企业都有制定信息安全计划,但BC和DR计划可能并非必须选项。也许它们是企业内另一个部门的责任。无论怎样,如果不迅速缓解,网络安全攻击都极有可能对企业产生负面影响。因此,在网络安全和BC/DR计划之间建立联系非常有必要,并且可能会进行审计。
2020年及以后的IT战略计划
假设IT战略计划定于2020年进行更新,或者在五年计划的第三年或第四年更新,则这些计划应该考虑网络安全。BC和DR计划也包括在内吗?
企业应将BC/DR计划及其与网络安全计划的关系纳入战略计划,因为在未来十年它们的联系可能会更加紧密。也许最重要的事实是,网络安全攻击的可能性每天都在增加,准备不足会损害企业及其声誉。
建立联系
当企业检查BC/DR与网络安全计划的相互作用时,自然会发现问题。我们都知道,BC/DR活动与网络安全在不同的孤岛,而企业需要克服这些障碍,以下指导将有助于实现该目标。
企业是否有BC和DR计划?如果没有,请考虑准备此类文件。BC计划通常为恢复中断的业务流程提供指导,以便企业可以尽快恢复正常业务。BC计划还可能触发DR计划,以恢复中断IT基础架构组件,以确保关键业务流程正常运行。这两个计划可以独立运行,也可以相互配合。
理想情况下,好的做法是,破坏性事件应触发IR计划,以评估损害并启动措施以对事件做出快速响应。根据事件的性质,IR计划的结果可能触发BC计划或DR计划,或同时触发这两者。BC/DR计划可恢复业务运作所需的资产-人员、流程、技术和设施。
网络安全计划对特定的破坏性事件做出响应,并且可能包括IR计划组件,以便在启动响应活动之前确定事件的性质。这里关键在于确定网络安全攻击在什么时候威胁到企业及其开展业务的能力。这表明应在网络安全计划中添加描述性语言以触发IR以及BC/DR计划。
这些计划如何相互作用?假设企业有一套完整的计划,可以应对以业务和以技术为中心的事件。在某些情况下,仅需要一个特定计划(例如,信息安全)。在其他情况下,可能需要启动一个或多个计划。下图描绘了一个简单的决策流程图,该流程图显示了如何安排和启动此类计划联系以响应网络安全攻击。
显然,从网络安全攻击的性质来看,并没有放之四海而皆准的方法。IR计划是上图中的关键组成部分,因为它提供了初步情报以用于后续关键决策。如前所述,启动BC计划可能还会触发DR计划或可能的信息安全计划。在开发的早期阶段应确定这些计划中的最终流程。企业应执行这些计划作为更大的整体网络安全攻击响应策略的一部分,这将有助于找出更多方法让这些计划彼此交互。