同時,來自俄羅斯和伊朗等國的知名網(wǎng)絡安全威脅者的攻擊持續(xù)威脅著很多美國企業(yè)。
假設高級管理人員和IT主管已采取措施來識別和隔離潛在的網(wǎng)絡安全攻擊,例如防火墻和入侵檢測/防御系統(tǒng)(IDS/IPS),他們可能會認為企業(yè)可得到很好的保護。但是,當重要的網(wǎng)絡資源、服務器、數(shù)據(jù)庫、應用程序和臺式設備遭受網(wǎng)絡攻擊時,企業(yè)如何應對呢?網(wǎng)絡安全計劃(如果有的話)是否會關聯(lián)到其他關鍵緊急計劃,特別是BC和DR計劃?
在這里,我們將探討上述計劃之間需要存在的聯(lián)系、事件響應(IR)計劃的作用,并提供指導以確保企業(yè)的BC/DR計劃和網(wǎng)絡安全計劃同步,從而幫助企業(yè)緩解網(wǎng)絡事件對企業(yè)的潛在影響。
信息安全足夠嗎?
2020年,一個關鍵的流行詞是網(wǎng)絡安全,但難道這不只是信息安全的另一個說法嗎?國際標準化組織(ISO)27701信息安全標準規(guī)定需要部署DR和BC計劃。這并不奇怪。如果說,網(wǎng)絡安全攻擊可能嚴重破壞企業(yè)運營能力,那么任何響應網(wǎng)絡安全攻擊的舉措都必須能夠觸發(fā)BC和DR計劃(如果需要)。
雖然現(xiàn)在大多數(shù)IT企業(yè)都有制定信息安全計劃,但BC和DR計劃可能并非必須選項。也許它們是企業(yè)內(nèi)另一個部門的責任。無論怎樣,如果不迅速緩解,網(wǎng)絡安全攻擊都極有可能對企業(yè)產(chǎn)生負面影響。因此,在網(wǎng)絡安全和BC/DR計劃之間建立聯(lián)系非常有必要,并且可能會進行審計。
2020年及以后的IT戰(zhàn)略計劃
假設IT戰(zhàn)略計劃定于2020年進行更新,或者在五年計劃的第三年或第四年更新,則這些計劃應該考慮網(wǎng)絡安全。BC和DR計劃也包括在內(nèi)嗎?
企業(yè)應將BC/DR計劃及其與網(wǎng)絡安全計劃的關系納入戰(zhàn)略計劃,因為在未來十年它們的聯(lián)系可能會更加緊密。也許最重要的事實是,網(wǎng)絡安全攻擊的可能性每天都在增加,準備不足會損害企業(yè)及其聲譽。
建立聯(lián)系
當企業(yè)檢查BC/DR與網(wǎng)絡安全計劃的相互作用時,自然會發(fā)現(xiàn)問題。我們都知道,BC/DR活動與網(wǎng)絡安全在不同的孤島,而企業(yè)需要克服這些障礙,以下指導將有助于實現(xiàn)該目標。
企業(yè)是否有BC和DR計劃?如果沒有,請考慮準備此類文件。BC計劃通常為恢復中斷的業(yè)務流程提供指導,以便企業(yè)可以盡快恢復正常業(yè)務。BC計劃還可能觸發(fā)DR計劃,以恢復中斷IT基礎架構組件,以確保關鍵業(yè)務流程正常運行。這兩個計劃可以獨立運行,也可以相互配合。
理想情況下,好的做法是,破壞性事件應觸發(fā)IR計劃,以評估損害并啟動措施以對事件做出快速響應。根據(jù)事件的性質(zhì),IR計劃的結果可能觸發(fā)BC計劃或DR計劃,或同時觸發(fā)這兩者。BC/DR計劃可恢復業(yè)務運作所需的資產(chǎn)-人員、流程、技術和設施。
網(wǎng)絡安全計劃對特定的破壞性事件做出響應,并且可能包括IR計劃組件,以便在啟動響應活動之前確定事件的性質(zhì)。這里關鍵在于確定網(wǎng)絡安全攻擊在什么時候威脅到企業(yè)及其開展業(yè)務的能力。這表明應在網(wǎng)絡安全計劃中添加描述性語言以觸發(fā)IR以及BC/DR計劃。
這些計劃如何相互作用?假設企業(yè)有一套完整的計劃,可以應對以業(yè)務和以技術為中心的事件。在某些情況下,僅需要一個特定計劃(例如,信息安全)。在其他情況下,可能需要啟動一個或多個計劃。下圖描繪了一個簡單的決策流程圖,該流程圖顯示了如何安排和啟動此類計劃聯(lián)系以響應網(wǎng)絡安全攻擊。
顯然,從網(wǎng)絡安全攻擊的性質(zhì)來看,并沒有放之四海而皆準的方法。IR計劃是上圖中的關鍵組成部分,因為它提供了初步情報以用于后續(xù)關鍵決策。如前所述,啟動BC計劃可能還會觸發(fā)DR計劃或可能的信息安全計劃。在開發(fā)的早期階段應確定這些計劃中的最終流程。企業(yè)應執(zhí)行這些計劃作為更大的整體網(wǎng)絡安全攻擊響應策略的一部分,這將有助于找出更多方法讓這些計劃彼此交互。
