把网络安全实务集成到业务连续性计划中

日期: 2014-09-01 作者:Paul Kirvan翻译:李志明 来源:TechTarget中国 英文

Paul Kirvan解释了业务连续性计划必须与信息安全和公司网络安全战略紧密配合的原因。

你可能认为网络安全完全是信息安全部门的职责。从技术角度而言,你的信息安全人员对安全漏洞提出最早的响应和解决方案。尽管这是正常的流程,但是如果漏洞对业务及其正常运转的能力具有经营性影响的话,重点可能需要转向业务连续性。

在这样的情况下,真正的网络安全战略应该承认并接受信息安全与业务连续性、灾难恢复、应急管理以及企业风险管理等其它部门的联动。你的业务连续性计划也必须如此。

必须学习如何把业务连续性和灾难恢复活动用于那些信息安全和公司网络安全战略(活动)。挑战在于定义网络安全活动应该在何种情形之下启动有关的业务连续性响应。

业务连续性-信息安全的关系

两者的规章制度都涉及保护公司。信息安全部分专注于公司的网络边界,尽可能增强它的同时也仍然允许被核准的信息通过。它也通过主动和被动的措施确保信息的保密性、完整性和可用性,例如:入侵检测系统(intrusion detection systems,IDS)和入侵防护系统(intrusion prevention systems,IPS);分析通过防火墙和IDS/IPS设备的数据、旨在识别恶意代码或者其它可疑异常的各种系统;以及识别病毒、蠕虫、垃圾邮件、拒绝服务(即denial of service,DoS)、攻击和可能存在于防火墙之内的很多其它的各种各样恶意软件的专门工具。

令人遗憾的是,信息安全团队并没有根据需要与业务连续性以及/或者灾难恢复团队合作并共享信息。这可能是由于历史的差异和操作方法论和理念的原因,但是在如今高度复杂的IT世界中,充满了五花八门的潜在的网络安全漏洞,那些差异必须由协作取而代之。

案例研究:塔吉特百货(Target)

尽管可能已经正式公布,塔吉特在2013年12月被黑客入侵的时候,其业务遭受重创。几百万名塔吉特和其它信用卡服务公司的信用卡用户的数据被黑客窃取。确实,这种情况当时可能是由塔吉特的IT部门处理,但是从业务的角度而言真正的损失是什么?塔吉特的几百万名信用卡用户和客户还将保持对该公司的忠诚度吗?对塔吉特品牌造成了多少损失?要确保塔吉特的客户的个人资料将来是安全的并且再也不会被其他人窃取,必须做些什么?的确,这些是尖锐的问题。

从业务连续性的角度而言,塔吉特一发觉该问题就应该已经启动其业务连续性计划。假设塔吉特的BC计划与该公司的社交媒体、信息安全和公共关系团队合作,这4个职能部门在该漏洞被披露后应该已经随即会面并制订一个行动方案。认识到任何类型的安全漏洞将会随即登上社交媒体网站并像病毒般扩散,这些部门应该已经有适当的计划,把对塔吉特的声誉的损害降到最小,并且应该已经确定网络安全战略和业务连续性的行动,尽快重建对该公司的信心。

网络安全战略与业务连续性集成的建议

以下是优化信息安全和业务连续性(BC)关系的一些建议措施。

首先,确立BC和信息安全团队之间的信息共享的合作关系;确定网络安全漏洞转换成业务影响的场景;以及在什么时间点会出现这种转换。然后,定义:

· 信息安全参与到BC的方式和时间;
· BC为保护业务、声誉、品牌、供应链以及其它主要业务属性所启动的步骤;
· BC和信息安全在事件中相互沟通的方式;
· 事件可以被认定为已处理、威胁可以被认定为已消除以及业务可以被认定为恢复正常的情形;
· 上述活动的最佳时间段;
· BC和信息安全都可以退出的节点;
· 总结报告中需要提出的问题。

这些任务完成之后,你将能够决定如何能够透过BC在事件后提供的意见来加强网络安全战略,并且确定从事件中吸取的教训如何能够改善BC和信息安全在将来做出的响应。事件之后:

· 根据事件中吸取的教训,更新网络安全战略和计划,以及BC计划;
· 安排信息安全和BC的联合演练,以验证计划和协作活动;
· 举行定期的信息安全和BC的联席会议,以交换意见、共享信息、讨论计划以及确定在事件真正发生时同步进行应急响应活动的方式。

业务连续性团队应该处理的问题

首先,必须理解保护公司的信息安全边界的方法、系统和步骤。你也应该知晓防病毒软件以及IDS和IPS等其它网络分析设备的重要性和使用情况。同时必须理解用于分析漏洞的方法。最后,关键要了解与恢复网络和系统、测试正确的操作、清理并杀除工作站和其它网络附加设备的病毒、启动更强的防护措施等有关的主要问题。

这些行动可以有助于BC专业人员与对应的信息安全人员有效地同步:

· 共同向高级管理层提供定期简报,以便他们知晓BC和信息安全的关系现状,以及协作给公司带来的好处。
· 考虑使用高管仪表板系统,让管理层保持同步。
· 收集描述漏洞发生前的状况、漏洞发生期间出现的情况、堵塞漏洞所采取的行动、以及终止后的状况的网络日志和其它设备的数据。
· 确定丢失、被盗、受损或者其他被危及的业务数据,以及对业务的影响。
· 尽快通知主要的客户和股东被危及的系统以及/或者信息,向他们保证你具备把任何恶化的危害降到最低的资源。
· 记录针对未来审计采取的任何以及所有行动。
· 参加网络安全系统的测试,以理解防护措施如何起作用。
· 与信息安全合作,培训员工网络安全和BC的重要性以及如何共同把未来的网络安全事件的破坏性影响降到最低。

一项行之有效的网络安全战略涉及BC、灾难恢复和相关的活动。业务连续性专业人员必须更加了解他们的信息安全的同事,而且必须弥合两者的规章制度之间的传统分歧,以建立一个基于团队精神和信息共享的、更加协作的环境。

 

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 数据中心灾难恢复规划模板与指南

    阅读本篇有关数据中心灾难恢复规划指南,然后免费下载我们提供的模板,评估数据中心设施及其基础架构在灾难期间的表现。

  • 业务连续性和灾难恢复测试模板免费下载

    业务连续性和灾难恢复测试对于任何组织来说都是重大的挑战。我们的免费模板提供了在整个管理流程中集成测试的方法。

  • 远离勒索软件 维护业务连续性

    勒索软件已经成为今天信息安全方面最大的担忧。从业务连续性的角度来看,勒索软件是各个组织面临的重大风险。本文将从信息安全和业务连续性方面入手介绍各项技巧,帮助您的组织严密保护数据,远离勒索软件的威胁。

  • 业务连续性管理者的九项必备技能

    如果您想成为业务连续性管理者,拥有多个领域的专业能力会让您在职业发展中占得先机。这里是业务连续性管理者的九项必备技能。