為了在當今市場保持競爭力,所有行業的企業都必須遵守嚴格的生產法規,以減少可能對其聲譽產生負面影響的停機時間和嚴重錯誤。組織不能等到事件發生才制定解決問題的策略。您的企業為其客戶提供關鍵產品或服務。該服務的任何中斷都可能意味著您的客戶將尋求其他方式來滿足他們的需求。
業務連續性一詞描述了組織在發生災難時維護或快速恢復業務功能的方式。通過制定有效的業務連續性計劃,您更有可能在發生重大業務中斷時避免停機以及關鍵數據和基礎設施的丟失。
過去,業務連續性計劃主要基于自然災害、建筑火災、龍卷風或長期停電等物理事件。然而,隨著技術變得更加先進,網絡攻擊已成為大大小小的企業的主要威脅。這就是為什么所有企業都必須深刻理解網絡安全作為業務連續性一部分的重要性,以及如何在災難發生前將網絡安全整合到更新的連續性計劃中。
什么是業務連續性計劃?
業務連續性計劃 (BCP)是一組特定的預防和恢復措施,關鍵個人在您的組織受到威脅時將采取這些措施。
典型的 BCP 涵蓋:
- 業務流程
- 資產
- 人力資源
- 業務合作伙伴/供應商/第三方供應商
從本質上講,該計劃應該是一個模板或規則手冊,用于描述在災難期間保持基本功能正常運行并在盡可能少的停機和損壞情況下恢復的最佳方式。
業務連續性計劃的目標是預測各種災難將如何影響您的業務以及對此類事件做出反應的最佳方式。您的計劃應對的不可預測事件可能包括極端天氣條件、火災、自然災害、疾病爆發和網絡攻擊。
沒有這樣的計劃可能會導致更多的財務損失和降低競爭優勢——它實際上可能意味著永久關閉你的大門。美聯儲經濟學家估計,每年約有600,000 家企業永久關閉,但由于全球大流行, 2020 年又有 200,000 家企業關閉。企業失敗的原因通常被列為缺乏資金、管理不善或營銷無效。業務連續性計劃是一種在這些潛在問題出現之前解決它們的方法。
如何創建業務連續性計劃
您的業??務連續性計劃應該在災難發生之前就位。通過投入時間和精力來組建團隊并制定全面的計劃,您將做好應對威脅的準備。采取這些步驟來創建有效的業務連續性計劃。
- 組建業務連續性管理團隊。
- 寫一份任務說明,說明計劃的目標。
- 進行業務影響分析以確定貴公司的潛在風險。
- 編寫有關所需工具、基礎設施和軟件的計劃程序和詳細信息。
- 測試您的計劃并根據需要進行改進。
為什么網絡安全是有效業務連續性計劃的重要組成部分
網絡攻擊是所有行業、各種規模的企業面臨的最相關威脅之一。幾乎所有企業都存儲敏感信息。這可能包括信息技術、客戶聯系信息、個人數據和電話號碼。受多種因素影響,2021年網絡犯罪呈爆發式增長。
- 與 2020 年相比,2021 年每周報告的針對企業網絡的網絡攻擊增加了 50% 。
- 2021 年報告的勒索軟件損害成本高達 200 億美元,每 11 秒發生一次攻擊。預計到 2031 年,每 2 秒發生一次攻擊,成本將達到 2650 億美元。
- 根據IBM 的 2021 年數據泄露成本報告,數據泄露的平均總成本從 2020 年的 386 萬增加到 2021 年的 424 萬。醫療保健組織連續第 11 年經歷了最高的平均數據成本違反。
盡管媒體和公眾繼續認識到網絡犯罪對政府機構、大公司和關鍵基礎設施的影響,但許多企業主未能認識到網絡犯罪對小企業的潛在影響。然而,數據顯示,43% 的數據泄露事件涉及中小型企業,61% 的中小企業在上一年報告了至少一次網絡攻擊。
這些數字清楚地表明了一點,網絡攻擊對每個企業都是一種明顯而現實的威脅。如果您希望在發生網絡攻擊時維持關鍵業務功能,則必須將網絡安全作為業務連續性規劃流程的關鍵部分。
將網絡安全納入業務連續性計劃的 5 種方法
您的業??務連續性計劃應該是一個不斷變化的、不斷增長的文檔,并不斷更新以抵消對您業務的新的和不斷增長的潛在威脅。添加關鍵步驟來解決網絡安全風險是更新計劃以反映最有可能影響您的業務的潛在風險的關鍵部分。考慮這些行動如何幫助您在發生網絡安全攻擊時做好準備。
1. 進行風險評估和業務影響分析
如果您有現有的業務連續性計劃,您可能已經識別出某些漏洞并評估了由于特定威脅導致業務中斷的可能性。為 BCP 添加網絡安全要求您的業務連續性團隊通過識別可能處于危險中的特定資產并預測最有可能影響這些資產的威脅類型來執行風險評估。在有效識別特定威脅后,進行業務影響分析 (BIA) 以確定此類攻擊可能造成的財務和運營影響非常重要。
對于大多數公司而言,有效的風險評估和 BIA 將需要識別和記錄組織擁有的所有設備、設備所在的業務領域以及當前保護每個設備的網絡安全方法。可能需要更詳細的文檔,按設備存儲或傳輸的敏感數據級別對設備進行分類。全面了解當前的網絡安全態勢后,您就可以確定需要采取哪些步驟來建立強大的網絡安全防御。
2. 評估第三方和供應鏈風險
您的網絡安全工作與最薄弱的環節一樣強大。不幸的是,在網絡安全方面,僅保護組織中的設備是不夠的。您供應鏈的每個成員都有可能為尋求進入您網絡的網絡犯罪分子提供一個訪問點。
這些第三方可能會因未能滿足合規標準、通過第三方軟件引入違規或共享損壞的數據而給您的系統帶來風險。2021 年第一季度,美國的供應鏈攻擊事件增加了 42% 。然而,許多公司未能認識到這些威脅。如果您與第三方供應商和分銷商合作,您可能已經實施了一些第三方風險管理策略。這可能包括檢查第三方服務提供商的信譽或合規歷史。
通過對供應商可能使您的組織面臨的網絡安全風險進行分類,您可以開始評估您當前的業務關系給您的網絡帶來的風險。您的 BCP 還可以包括在建立新的合作伙伴關系時采取的預防措施,例如在合作伙伴關系開始之前考慮風險的供應商盡職調查流程。供應商風險管理清單可以幫助您執行完整的供應商管理審計,以評估第三方對您的網絡構成的潛在風險。
3. 制定事件響應計劃
“一盎司的預防勝于一磅的治療”的古老建議在網絡安全領域是正確的。然而,即使是最嚴格的防御也無法確保您永遠不會受到攻擊。事件響應計劃是一組書面說明,概述了您的組織對可能導致代價高昂的停機或對組織造成損害的緊急情況做出響應的準備情況。
您的網絡安全響應計劃應包括分步說明,說明您的組織應如何響應數據泄露、數據泄露、網絡攻擊和網絡安全事件。對于許多企業而言,事件響應計劃旨在遵循某些合規性法規,例如NIST或SANS指南。事件響應計劃的關鍵部分可能包括用于完整災難恢復計劃的數據備份協議、包含通信計劃的應急管理流程和恢復時間目標。
4. 測試您的事件響應計劃
您的事件響應計劃基于導致業務連續性管理最佳實踐的數據和事實。然而,如果沒有測試,就不可能知道您的方法的效果如何。一旦您制定了明確記錄的計劃,創建模擬真實攻擊的測試以測試您的計劃就很重要。NIST 特別出版物 800-84 定義了測試和兩種類型的練習來評估響應政策和程序。
- 桌面練習:此練習通常包括您的業務連續性團隊和利益相關者聚集在一張桌子旁,以運行模擬安全事件。討論可能包括關于給定場景的角色、責任、協調和決策。
- 功能練習:通過創建模擬環境,您的業務連續性團隊可以通過實際執行事件響應計劃中概述的職責來驗證他們的應急響應。
- 測試:通過使用特定的軟件和工具,測試可以使用可量化的指標來驗證 IT 系統或網絡安全軟件在操作環境中的操作。測試還可用于使新的網絡安全軟件和工具熟悉您的網絡正常環境,以設置有效自動警報的參數。
5. 持續評估即將到來的風險并更新實踐
隨著技術的不斷發展,網絡攻擊將變得更加先進和復雜,以產生新的攻擊方法。考慮一下Ryuk 勒索軟件如何利用暴露的漏洞發動毀滅性的零日攻擊,或者SolarWinds 攻擊利用謹慎的橫向移動數月來未被發現的方式。現代網絡犯罪分子將掌握技術,不斷尋找公司不準備防御的新漏洞。
您的 BCP 不應被視為“一勞永逸”的工具,在您需要時隨時可用。應安排至少每年一次的審查來討論需要修改的任何領域。此類更改可能包括關鍵人員變動、方法和恢復策略,以改善您的安全狀況。如果發生災難,應根據事件提供的新信息徹底審查您的 BCP。
