什么是業(yè)務(wù)連續(xù)性計(jì)劃?如何創(chuàng)建它?
      
                                    
                                
      
                                
      
                                    
      為了在當(dāng)今市場(chǎng)保持競(jìng)爭(zhēng)力,所有行業(yè)的企業(yè)都必須遵守嚴(yán)格的生產(chǎn)法規(guī),以減少可能對(duì)其聲譽(yù)產(chǎn)生負(fù)面影響的停機(jī)時(shí)間和嚴(yán)重錯(cuò)誤。組織不能等到事件發(fā)生才制定解決問題的策略。您的企業(yè)為其客戶提供關(guān)鍵產(chǎn)品或服務(wù)。該服務(wù)的任何中斷都可能意味著您的客戶將尋求其他方式來滿足他們的需求。
      

      什么是業(yè)務(wù)連續(xù)性計(jì)劃?如何創(chuàng)建它?-南華中天
      

      業(yè)務(wù)連續(xù)性一詞描述了組織在發(fā)生災(zāi)難時(shí)維護(hù)或快速恢復(fù)業(yè)務(wù)功能的方式。通過制定有效的業(yè)務(wù)連續(xù)性計(jì)劃,您更有可能在發(fā)生重大業(yè)務(wù)中斷時(shí)避免停機(jī)以及關(guān)鍵數(shù)據(jù)和基礎(chǔ)設(shè)施的丟失。
      

      過去,業(yè)務(wù)連續(xù)性計(jì)劃主要基于自然災(zāi)害、建筑火災(zāi)、龍卷風(fēng)或長(zhǎng)期停電等物理事件。然而,隨著技術(shù)變得更加先進(jìn),網(wǎng)絡(luò)攻擊已成為大大小小的企業(yè)的主要威脅。這就是為什么所有企業(yè)都必須深刻理解網(wǎng)絡(luò)安全作為業(yè)務(wù)連續(xù)性一部分的重要性,以及如何在災(zāi)難發(fā)生前將網(wǎng)絡(luò)安全整合到更新的連續(xù)性計(jì)劃中。
      

      什么是業(yè)務(wù)連續(xù)性計(jì)劃?
      

      業(yè)務(wù)連續(xù)性計(jì)劃 (BCP)是一組特定的預(yù)防和恢復(fù)措施,關(guān)鍵個(gè)人在您的組織受到威脅時(shí)將采取這些措施。
      

      典型的 BCP 涵蓋:
      

        

      • 業(yè)務(wù)流程
        • 

      • 資產(chǎn)
        • 

      • 人力資源
        • 

      • 業(yè)務(wù)合作伙伴/供應(yīng)商/第三方供應(yīng)商
        • 

      

      從本質(zhì)上講,該計(jì)劃應(yīng)該是一個(gè)模板或規(guī)則手冊(cè),用于描述在災(zāi)難期間保持基本功能正常運(yùn)行并在盡可能少的停機(jī)和損壞情況下恢復(fù)的最佳方式。
      

      業(yè)務(wù)連續(xù)性計(jì)劃的目標(biāo)是預(yù)測(cè)各種災(zāi)難將如何影響您的業(yè)務(wù)以及對(duì)此類事件做出反應(yīng)的最佳方式。您的計(jì)劃應(yīng)對(duì)的不可預(yù)測(cè)事件可能包括極端天氣條件、火災(zāi)、自然災(zāi)害、疾病爆發(fā)和網(wǎng)絡(luò)攻擊。
      

      沒有這樣的計(jì)劃可能會(huì)導(dǎo)致更多的財(cái)務(wù)損失和降低競(jìng)爭(zhēng)優(yōu)勢(shì)——它實(shí)際上可能意味著永久關(guān)閉你的大門。美聯(lián)儲(chǔ)經(jīng)濟(jì)學(xué)家估計(jì),每年約有600,000 家企業(yè)永久關(guān)閉,但由于全球大流行, 2020 年又有 200,000 家企業(yè)關(guān)閉。企業(yè)失敗的原因通常被列為缺乏資金、管理不善或營(yíng)銷無效。業(yè)務(wù)連續(xù)性計(jì)劃是一種在這些潛在問題出現(xiàn)之前解決它們的方法。
      

      什么是業(yè)務(wù)連續(xù)性計(jì)劃?如何創(chuàng)建它?-南華中天
      

      如何創(chuàng)建業(yè)務(wù)連續(xù)性計(jì)劃
      

      您的業(yè)??務(wù)連續(xù)性計(jì)劃應(yīng)該在災(zāi)難發(fā)生之前就位。通過投入時(shí)間和精力來組建團(tuán)隊(duì)并制定全面的計(jì)劃,您將做好應(yīng)對(duì)威脅的準(zhǔn)備。采取這些步驟來創(chuàng)建有效的業(yè)務(wù)連續(xù)性計(jì)劃。
      

        

      • 組建業(yè)務(wù)連續(xù)性管理團(tuán)隊(duì)。
        • 

      • 寫一份任務(wù)說明,說明計(jì)劃的目標(biāo)。
        • 

      • 進(jìn)行業(yè)務(wù)影響分析以確定貴公司的潛在風(fēng)險(xiǎn)。
        • 

      • 編寫有關(guān)所需工具、基礎(chǔ)設(shè)施和軟件的計(jì)劃程序和詳細(xì)信息。
        • 

      • 測(cè)試您的計(jì)劃并根據(jù)需要進(jìn)行改進(jìn)。
        • 

      

      為什么網(wǎng)絡(luò)安全是有效業(yè)務(wù)連續(xù)性計(jì)劃的重要組成部分
      

      網(wǎng)絡(luò)攻擊是所有行業(yè)、各種規(guī)模的企業(yè)面臨的最相關(guān)威脅之一。幾乎所有企業(yè)都存儲(chǔ)敏感信息。這可能包括信息技術(shù)、客戶聯(lián)系信息、個(gè)人數(shù)據(jù)和電話號(hào)碼。受多種因素影響,2021年網(wǎng)絡(luò)犯罪呈爆發(fā)式增長(zhǎng)。
      

        

      • 與 2020 年相比,2021 年每周報(bào)告的針對(duì)企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊增加了 50% 。
        • 

      • 2021 年報(bào)告的勒索軟件損害成本高達(dá) 200 億美元,每 11 秒發(fā)生一次攻擊。預(yù)計(jì)到 2031 年,每 2 秒發(fā)生一次攻擊,成本將達(dá)到 2650 億美元。
        • 

      • 根據(jù)IBM 的 2021 年數(shù)據(jù)泄露成本報(bào)告,數(shù)據(jù)泄露的平均總成本從 2020 年的 386 萬(wàn)增加到 2021 年的 424 萬(wàn)。醫(yī)療保健組織連續(xù)第 11 年經(jīng)歷了最高的平均數(shù)據(jù)成本違反。
        • 

      

      盡管媒體和公眾繼續(xù)認(rèn)識(shí)到網(wǎng)絡(luò)犯罪對(duì)政府機(jī)構(gòu)、大公司和關(guān)鍵基礎(chǔ)設(shè)施的影響,但許多企業(yè)主未能認(rèn)識(shí)到網(wǎng)絡(luò)犯罪對(duì)小企業(yè)的潛在影響。然而,數(shù)據(jù)顯示,43% 的數(shù)據(jù)泄露事件涉及中小型企業(yè),61% 的中小企業(yè)在上一年報(bào)告了至少一次網(wǎng)絡(luò)攻擊。
      

      這些數(shù)字清楚地表明了一點(diǎn),網(wǎng)絡(luò)攻擊對(duì)每個(gè)企業(yè)都是一種明顯而現(xiàn)實(shí)的威脅。如果您希望在發(fā)生網(wǎng)絡(luò)攻擊時(shí)維持關(guān)鍵業(yè)務(wù)功能,則必須將網(wǎng)絡(luò)安全作為業(yè)務(wù)連續(xù)性規(guī)劃流程的關(guān)鍵部分。
      

      什么是業(yè)務(wù)連續(xù)性計(jì)劃?如何創(chuàng)建它?-南華中天
      

      將網(wǎng)絡(luò)安全納入業(yè)務(wù)連續(xù)性計(jì)劃的 5 種方法
      

      您的業(yè)??務(wù)連續(xù)性計(jì)劃應(yīng)該是一個(gè)不斷變化的、不斷增長(zhǎng)的文檔,并不斷更新以抵消對(duì)您業(yè)務(wù)的新的和不斷增長(zhǎng)的潛在威脅。添加關(guān)鍵步驟來解決網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是更新計(jì)劃以反映最有可能影響您的業(yè)務(wù)的潛在風(fēng)險(xiǎn)的關(guān)鍵部分。考慮這些行動(dòng)如何幫助您在發(fā)生網(wǎng)絡(luò)安全攻擊時(shí)做好準(zhǔn)備。
      

      1. 進(jìn)行風(fēng)險(xiǎn)評(píng)估和業(yè)務(wù)影響分析
      

      如果您有現(xiàn)有的業(yè)務(wù)連續(xù)性計(jì)劃,您可能已經(jīng)識(shí)別出某些漏洞并評(píng)估了由于特定威脅導(dǎo)致業(yè)務(wù)中斷的可能性。為 BCP 添加網(wǎng)絡(luò)安全要求您的業(yè)務(wù)連續(xù)性團(tuán)隊(duì)通過識(shí)別可能處于危險(xiǎn)中的特定資產(chǎn)并預(yù)測(cè)最有可能影響這些資產(chǎn)的威脅類型來執(zhí)行風(fēng)險(xiǎn)評(píng)估。在有效識(shí)別特定威脅后,進(jìn)行業(yè)務(wù)影響分析 (BIA) 以確定此類攻擊可能造成的財(cái)務(wù)和運(yùn)營(yíng)影響非常重要。
      

      對(duì)于大多數(shù)公司而言,有效的風(fēng)險(xiǎn)評(píng)估和 BIA 將需要識(shí)別和記錄組織擁有的所有設(shè)備、設(shè)備所在的業(yè)務(wù)領(lǐng)域以及當(dāng)前保護(hù)每個(gè)設(shè)備的網(wǎng)絡(luò)安全方法。可能需要更詳細(xì)的文檔,按設(shè)備存儲(chǔ)或傳輸?shù)拿舾袛?shù)據(jù)級(jí)別對(duì)設(shè)備進(jìn)行分類。全面了解當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)后,您就可以確定需要采取哪些步驟來建立強(qiáng)大的網(wǎng)絡(luò)安全防御。
      

      2. 評(píng)估第三方和供應(yīng)鏈風(fēng)險(xiǎn)
      

      您的網(wǎng)絡(luò)安全工作與最薄弱的環(huán)節(jié)一樣強(qiáng)大。不幸的是,在網(wǎng)絡(luò)安全方面,僅保護(hù)組織中的設(shè)備是不夠的。您供應(yīng)鏈的每個(gè)成員都有可能為尋求進(jìn)入您網(wǎng)絡(luò)的網(wǎng)絡(luò)犯罪分子提供一個(gè)訪問點(diǎn)。
      

      這些第三方可能會(huì)因未能滿足合規(guī)標(biāo)準(zhǔn)、通過第三方軟件引入違規(guī)或共享?yè)p壞的數(shù)據(jù)而給您的系統(tǒng)帶來風(fēng)險(xiǎn)。2021 年第一季度,美國(guó)的供應(yīng)鏈攻擊事件增加了 42% 。然而,許多公司未能認(rèn)識(shí)到這些威脅。如果您與第三方供應(yīng)商和分銷商合作,您可能已經(jīng)實(shí)施了一些第三方風(fēng)險(xiǎn)管理策略。這可能包括檢查第三方服務(wù)提供商的信譽(yù)或合規(guī)歷史。
      

      什么是業(yè)務(wù)連續(xù)性計(jì)劃?如何創(chuàng)建它?-南華中天
      

      通過對(duì)供應(yīng)商可能使您的組織面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行分類,您可以開始評(píng)估您當(dāng)前的業(yè)務(wù)關(guān)系給您的網(wǎng)絡(luò)帶來的風(fēng)險(xiǎn)。您的 BCP 還可以包括在建立新的合作伙伴關(guān)系時(shí)采取的預(yù)防措施,例如在合作伙伴關(guān)系開始之前考慮風(fēng)險(xiǎn)的供應(yīng)商盡職調(diào)查流程。供應(yīng)商風(fēng)險(xiǎn)管理清單可以幫助您執(zhí)行完整的供應(yīng)商管理審計(jì),以評(píng)估第三方對(duì)您的網(wǎng)絡(luò)構(gòu)成的潛在風(fēng)險(xiǎn)。
      

      3. 制定事件響應(yīng)計(jì)劃
      

      “一盎司的預(yù)防勝于一磅的治療”的古老建議在網(wǎng)絡(luò)安全領(lǐng)域是正確的。然而,即使是最嚴(yán)格的防御也無法確保您永遠(yuǎn)不會(huì)受到攻擊。事件響應(yīng)計(jì)劃是一組書面說明,概述了您的組織對(duì)可能導(dǎo)致代價(jià)高昂的停機(jī)或?qū)M織造成損害的緊急情況做出響應(yīng)的準(zhǔn)備情況。
      

      您的網(wǎng)絡(luò)安全響應(yīng)計(jì)劃應(yīng)包括分步說明,說明您的組織應(yīng)如何響應(yīng)數(shù)據(jù)泄露、數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)安全事件。對(duì)于許多企業(yè)而言,事件響應(yīng)計(jì)劃旨在遵循某些合規(guī)性法規(guī),例如NIST或SANS指南。事件響應(yīng)計(jì)劃的關(guān)鍵部分可能包括用于完整災(zāi)難恢復(fù)計(jì)劃的數(shù)據(jù)備份協(xié)議、包含通信計(jì)劃的應(yīng)急管理流程和恢復(fù)時(shí)間目標(biāo)。
      

      4. 測(cè)試您的事件響應(yīng)計(jì)劃
      

      您的事件響應(yīng)計(jì)劃基于導(dǎo)致業(yè)務(wù)連續(xù)性管理最佳實(shí)踐的數(shù)據(jù)和事實(shí)。然而,如果沒有測(cè)試,就不可能知道您的方法的效果如何。一旦您制定了明確記錄的計(jì)劃,創(chuàng)建模擬真實(shí)攻擊的測(cè)試以測(cè)試您的計(jì)劃就很重要。NIST 特別出版物 800-84 定義了測(cè)試和兩種類型的練習(xí)來評(píng)估響應(yīng)政策和程序。
      

        

      • 桌面練習(xí):此練習(xí)通常包括您的業(yè)務(wù)連續(xù)性團(tuán)隊(duì)和利益相關(guān)者聚集在一張桌子旁,以運(yùn)行模擬安全事件。討論可能包括關(guān)于給定場(chǎng)景的角色、責(zé)任、協(xié)調(diào)和決策。
        • 

      • 功能練習(xí):通過創(chuàng)建模擬環(huán)境,您的業(yè)務(wù)連續(xù)性團(tuán)隊(duì)可以通過實(shí)際執(zhí)行事件響應(yīng)計(jì)劃中概述的職責(zé)來驗(yàn)證他們的應(yīng)急響應(yīng)。
        • 

      • 測(cè)試:通過使用特定的軟件和工具,測(cè)試可以使用可量化的指標(biāo)來驗(yàn)證 IT 系統(tǒng)或網(wǎng)絡(luò)安全軟件在操作環(huán)境中的操作。測(cè)試還可用于使新的網(wǎng)絡(luò)安全軟件和工具熟悉您的網(wǎng)絡(luò)正常環(huán)境,以設(shè)置有效自動(dòng)警報(bào)的參數(shù)。
        • 

      

      什么是業(yè)務(wù)連續(xù)性計(jì)劃?如何創(chuàng)建它?-南華中天
      

      5. 持續(xù)評(píng)估即將到來的風(fēng)險(xiǎn)并更新實(shí)踐
      

      隨著技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)攻擊將變得更加先進(jìn)和復(fù)雜,以產(chǎn)生新的攻擊方法。考慮一下Ryuk 勒索軟件如何利用暴露的漏洞發(fā)動(dòng)毀滅性的零日攻擊,或者SolarWinds 攻擊利用謹(jǐn)慎的橫向移動(dòng)數(shù)月來未被發(fā)現(xiàn)的方式。現(xiàn)代網(wǎng)絡(luò)犯罪分子將掌握技術(shù),不斷尋找公司不準(zhǔn)備防御的新漏洞。
      

      您的 BCP 不應(yīng)被視為“一勞永逸”的工具,在您需要時(shí)隨時(shí)可用。應(yīng)安排至少每年一次的審查來討論需要修改的任何領(lǐng)域。此類更改可能包括關(guān)鍵人員變動(dòng)、方法和恢復(fù)策略,以改善您的安全狀況。如果發(fā)生災(zāi)難,應(yīng)根據(jù)事件提供的新信息徹底審查您的 BCP。