企业BC/DR勿忘IoT风险管理

日期: 2017-05-17 作者:Paul Kirvan翻译:张瀚文 来源:TechTarget中国 英文

从近期的新闻报道中我们会看到,伴随着大量智能化设备今天可以经由互联网与其它设施通讯,这使得人们在不经意间被窥探,从而可能会招致令人厌恶的结果。例如今天的汽车可以通过内置的智能化设备与网络连接,以实现远程控制。 这便是我们谈到的物联网(IoT),它连接起具有嵌入式智能和通讯功能的一切。本文将探讨这方面的发展将会对你所在的企业带来哪些影响,为何说需要建立起物联网风险管理策略,以及如何调整业务连续性(BC)和灾难恢复(DR)规划来应对这些问题。

先来看两种工具:风险评估(Risk Assessment,简称RA)旨在识别出潜在的威胁和系统脆弱性;而业务影响分析(Business Impact Ana……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

从近期的新闻报道中我们会看到,伴随着大量智能化设备今天可以经由互联网与其它设施通讯,这使得人们在不经意间被窥探,从而可能会招致令人厌恶的结果。例如今天的汽车可以通过内置的智能化设备与网络连接,以实现远程控制。

这便是我们谈到的物联网(IoT),它连接起具有嵌入式智能和通讯功能的一切。本文将探讨这方面的发展将会对你所在的企业带来哪些影响,为何说需要建立起物联网风险管理策略,以及如何调整业务连续性(BC)和灾难恢复(DR)规划来应对这些问题。

先来看两种工具:风险评估(Risk Assessment,简称RA)旨在识别出潜在的威胁和系统脆弱性;而业务影响分析(Business Impact Analysis,简称BIA)则可用以确定其对企业和组织在运营、财务、竞争,以及声誉方面的潜在影响。

从技术角度来看,最常见的风险源自于互联网接入的中断。今天绝大多数企业和组织严重依赖互联网接入,即便只有很短时间的断网都可能引发灾难性的损失。RA可以用以深入挖掘互联网接入设计方面的漏洞。例如单一的互联网服务提供商(ISP)可能会是主要的单点故障。这个问题可以通过引入使用不同基础设施的ISP,轻松加以解决。

在物联网风险评估中应该包含哪些内容?

假如从单纯的基础互联网访问提升至物联网管理风险,那么我们所采取的策略必须有所改变。从RA角度来看, 你需要有更广阔的视野才能找出被忽略的其它风险、威胁和漏洞。最好的办法是进行物联网风险评估。

在物联网风险评估中,连接到互联网上的所有设备都应逐一浏览检查,诸如桌面系统、笔记本电脑、打印机、扫描仪、复印机以及诸如传真机之类的办公设备;你还应该囊括数据中心内部、云端以及混合云的方式的联网设备;甚至连接的外部企业组织,如关键客户、供应商以及社交媒体。

接下来,你需要添加其它的系统,诸如闭路安全监控系统、物理访问控制系统(如IC卡)、HAVC系统、火灾探测与抑制系统、建筑照明系统、备用电源系统(如不间断电源和外部柴油发电机)、自动售货机、微波炉、咖啡机、智能手机、电子记事本、数码相机、内部电视系统、视频会议系统,甚至办公楼车库门控制设备。

在上述项目被纳入物联网风险管理评估中,你还需要识别其它一些潜在漏洞,以防被企业组织的内外部人员不法利用。

将上述要点串联起来可以有助于你找出内外部系统与个人之间未曾揭露出的关系。一旦找出潜在的威胁,下一步便是找出方法,预防其发生,并减轻其严重性。

在物联网风险实际发生之前加以抑制

与经验丰富的第三方合作,接受补救措施建议,如执法机构、地方或国家级的应急管理,以及接受过物联网风险管理专业培训的专家。

一旦明确了物联网威胁,那么需要用BIA流程来确定物联网中断对企业产生的影响。关键系统上出现的运营异常可能会损害企业的声誉。例如外部的代理机构可能会远程操控关键系统发送到客户的数据,从而导致系统故障并损害客户的业务。

如果有人或其他组织能够使用互联网擅自接管你企业的业务,这对你们的潜在影响巨大。今天,这些事件发生的频率比以往要高出许多,但是可以通过合适的物联网风险管理规划来加以防范。

确保网络周边的保护是最新的,并能够得以不断增强,这包括防火墙、入侵检测与预防系统、增强网络监控技术、以及防病毒、反垃圾邮件和反钓鱼软件。确保数据在存储和传输过程中都被加密。定期备份关键系统、虚拟机和其中的数据,以便能顺利恢复到初始环境。仔细筛选你的员工,想一下谁有能力使用物联网技术来破坏公司业务。

如果发生了在短时间难以解释的事故,最新的BC计划将通知员工、主要的企业利益相关者、执法机构、政府机构和其他人所应采取的步骤。这或许是在处理未知威胁时所能采取的最重要的BC行动。

相关推荐

  • 数据中心灾难恢复规划模板与指南

    阅读本篇有关数据中心灾难恢复规划指南,然后免费下载我们提供的模板,评估数据中心设施及其基础架构在灾难期间的表现。

  • 业务连续性和灾难恢复测试模板免费下载

    业务连续性和灾难恢复测试对于任何组织来说都是重大的挑战。我们的免费模板提供了在整个管理流程中集成测试的方法。

  • 远离勒索软件 维护业务连续性

    勒索软件已经成为今天信息安全方面最大的担忧。从业务连续性的角度来看,勒索软件是各个组织面临的重大风险。本文将从信息安全和业务连续性方面入手介绍各项技巧,帮助您的组织严密保护数据,远离勒索软件的威胁。

  • 揭开灾备真相——行业现状及趋势

    笔者在上一篇文章《揭开灾备真相——那些年我们见过的灾备术语》里介绍了灾备领域常见的一些专业术语,本文将站在行业角度,介绍灾备市场的现状及未来趋势。