为了在当今市场保持竞争力,所有行业的企业都必须遵守严格的生产法规,以减少可能对其声誉产生负面影响的停机时间和严重错误。组织不能等到事件发生才制定解决问题的策略。您的企业为其客户提供关键产品或服务。该服务的任何中断都可能意味着您的客户将寻求其他方式来满足他们的需求。
业务连续性一词描述了组织在发生灾难时维护或快速恢复业务功能的方式。通过制定有效的业务连续性计划,您更有可能在发生重大业务中断时避免停机以及关键数据和基础设施的丢失。
过去,业务连续性计划主要基于自然灾害、建筑火灾、龙卷风或长期停电等物理事件。然而,随着技术变得更加先进,网络攻击已成为大大小小的企业的主要威胁。这就是为什么所有企业都必须深刻理解网络安全作为业务连续性一部分的重要性,以及如何在灾难发生前将网络安全整合到更新的连续性计划中。
什么是业务连续性计划?
业务连续性计划 (BCP)是一组特定的预防和恢复措施,关键个人在您的组织受到威胁时将采取这些措施。
典型的 BCP 涵盖:
- 业务流程
- 资产
- 人力资源
- 业务合作伙伴/供应商/第三方供应商
从本质上讲,该计划应该是一个模板或规则手册,用于描述在灾难期间保持基本功能正常运行并在尽可能少的停机和损坏情况下恢复的最佳方式。
业务连续性计划的目标是预测各种灾难将如何影响您的业务以及对此类事件做出反应的最佳方式。您的计划应对的不可预测事件可能包括极端天气条件、火灾、自然灾害、疾病爆发和网络攻击。
没有这样的计划可能会导致更多的财务损失和降低竞争优势——它实际上可能意味着永久关闭你的大门。美联储经济学家估计,每年约有600,000 家企业永久关闭,但由于全球大流行, 2020 年又有 200,000 家企业关闭。企业失败的原因通常被列为缺乏资金、管理不善或营销无效。业务连续性计划是一种在这些潜在问题出现之前解决它们的方法。
如何创建业务连续性计划
您的业务连续性计划应该在灾难发生之前就位。通过投入时间和精力来组建团队并制定全面的计划,您将做好应对威胁的准备。采取这些步骤来创建有效的业务连续性计划。
- 组建业务连续性管理团队。
- 写一份任务说明,说明计划的目标。
- 进行业务影响分析以确定贵公司的潜在风险。
- 编写有关所需工具、基础设施和软件的计划程序和详细信息。
- 测试您的计划并根据需要进行改进。
为什么网络安全是有效业务连续性计划的重要组成部分
网络攻击是所有行业、各种规模的企业面临的最相关威胁之一。几乎所有企业都存储敏感信息。这可能包括信息技术、客户联系信息、个人数据和电话号码。受多种因素影响,2021年网络犯罪呈爆发式增长。
- 与 2020 年相比,2021 年每周报告的针对企业网络的网络攻击增加了 50% 。
- 2021 年报告的勒索软件损害成本高达 200 亿美元,每 11 秒发生一次攻击。预计到 2031 年,每 2 秒发生一次攻击,成本将达到 2650 亿美元。
- 根据IBM 的 2021 年数据泄露成本报告,数据泄露的平均总成本从 2020 年的 386 万增加到 2021 年的 424 万。医疗保健组织连续第 11 年经历了最高的平均数据成本违反。
尽管媒体和公众继续认识到网络犯罪对政府机构、大公司和关键基础设施的影响,但许多企业主未能认识到网络犯罪对小企业的潜在影响。然而,数据显示,43% 的数据泄露事件涉及中小型企业,61% 的中小企业在上一年报告了至少一次网络攻击。
这些数字清楚地表明了一点,网络攻击对每个企业都是一种明显而现实的威胁。如果您希望在发生网络攻击时维持关键业务功能,则必须将网络安全作为业务连续性规划流程的关键部分。
将网络安全纳入业务连续性计划的 5 种方法
您的业务连续性计划应该是一个不断变化的、不断增长的文档,并不断更新以抵消对您业务的新的和不断增长的潜在威胁。添加关键步骤来解决网络安全风险是更新计划以反映最有可能影响您的业务的潜在风险的关键部分。考虑这些行动如何帮助您在发生网络安全攻击时做好准备。
1. 进行风险评估和业务影响分析
如果您有现有的业务连续性计划,您可能已经识别出某些漏洞并评估了由于特定威胁导致业务中断的可能性。为 BCP 添加网络安全要求您的业务连续性团队通过识别可能处于危险中的特定资产并预测最有可能影响这些资产的威胁类型来执行风险评估。在有效识别特定威胁后,进行业务影响分析 (BIA) 以确定此类攻击可能造成的财务和运营影响非常重要。
对于大多数公司而言,有效的风险评估和 BIA 将需要识别和记录组织拥有的所有设备、设备所在的业务领域以及当前保护每个设备的网络安全方法。可能需要更详细的文档,按设备存储或传输的敏感数据级别对设备进行分类。全面了解当前的网络安全态势后,您就可以确定需要采取哪些步骤来建立强大的网络安全防御。
2. 评估第三方和供应链风险
您的网络安全工作与最薄弱的环节一样强大。不幸的是,在网络安全方面,仅保护组织中的设备是不够的。您供应链的每个成员都有可能为寻求进入您网络的网络犯罪分子提供一个访问点。
这些第三方可能会因未能满足合规标准、通过第三方软件引入违规或共享损坏的数据而给您的系统带来风险。2021 年第一季度,美国的供应链攻击事件增加了 42% 。然而,许多公司未能认识到这些威胁。如果您与第三方供应商和分销商合作,您可能已经实施了一些第三方风险管理策略。这可能包括检查第三方服务提供商的信誉或合规历史。
通过对供应商可能使您的组织面临的网络安全风险进行分类,您可以开始评估您当前的业务关系给您的网络带来的风险。您的 BCP 还可以包括在建立新的合作伙伴关系时采取的预防措施,例如在合作伙伴关系开始之前考虑风险的供应商尽职调查流程。供应商风险管理清单可以帮助您执行完整的供应商管理审计,以评估第三方对您的网络构成的潜在风险。
3. 制定事件响应计划
“一盎司的预防胜于一磅的治疗”的古老建议在网络安全领域是正确的。然而,即使是最严格的防御也无法确保您永远不会受到攻击。事件响应计划是一组书面说明,概述了您的组织对可能导致代价高昂的停机或对组织造成损害的紧急情况做出响应的准备情况。
您的网络安全响应计划应包括分步说明,说明您的组织应如何响应数据泄露、数据泄露、网络攻击和网络安全事件。对于许多企业而言,事件响应计划旨在遵循某些合规性法规,例如NIST或SANS指南。事件响应计划的关键部分可能包括用于完整灾难恢复计划的数据备份协议、包含通信计划的应急管理流程和恢复时间目标。
4. 测试您的事件响应计划
您的事件响应计划基于导致业务连续性管理最佳实践的数据和事实。然而,如果没有测试,就不可能知道您的方法的效果如何。一旦您制定了明确记录的计划,创建模拟真实攻击的测试以测试您的计划就很重要。NIST 特别出版物 800-84 定义了测试和两种类型的练习来评估响应政策和程序。
- 桌面练习:此练习通常包括您的业务连续性团队和利益相关者聚集在一张桌子旁,以运行模拟安全事件。讨论可能包括关于给定场景的角色、责任、协调和决策。
- 功能练习:通过创建模拟环境,您的业务连续性团队可以通过实际执行事件响应计划中概述的职责来验证他们的应急响应。
- 测试:通过使用特定的软件和工具,测试可以使用可量化的指标来验证 IT 系统或网络安全软件在操作环境中的操作。测试还可用于使新的网络安全软件和工具熟悉您的网络正常环境,以设置有效自动警报的参数。
5. 持续评估即将到来的风险并更新实践
随着技术的不断发展,网络攻击将变得更加先进和复杂,以产生新的攻击方法。考虑一下Ryuk 勒索软件如何利用暴露的漏洞发动毁灭性的零日攻击,或者SolarWinds 攻击利用谨慎的横向移动数月来未被发现的方式。现代网络犯罪分子将掌握技术,不断寻找公司不准备防御的新漏洞。
您的 BCP 不应被视为“一劳永逸”的工具,在您需要时随时可用。应安排至少每年一次的审查来讨论需要修改的任何领域。此类更改可能包括关键人员变动、方法和恢复策略,以改善您的安全状况。如果发生灾难,应根据事件提供的新信息彻底审查您的 BCP。
