Paul Kirvan解释了业务连续性计划必须与信息安全和公司网络安全战略紧密配合的原因。

你可能认为网络安全完全是信息安全部门的职责。从技术角度而言，你的信息安全人员对安全漏洞提出最早的响应和解决方案。尽管这是正常的流程，但是如果漏洞对业务及其正常运转的能力具有经营性影响的话，重点可能需要转向业务连续性。

在这样的情况下，真正的网络安全战略应该承认并接受信息安全与业务连续性、灾难恢复、应急管理以及企业风险管理等其它部门的联动。你的业务连续性计划也必须如此。

必须学习如何把业务连续性和灾难恢复活动用于那些信息安全和公司网络安全战略（活动）。挑战在于定义网络安全活动应该在何种情形之下启动有关的业务连续性响应。

业务连续性-信息安全的关系

两者的规章制度都涉及保护公司。信息安全部分专注于公司的网络边界，尽可能增强它的同时也仍然允许被核准的信息通过。它也通过主动和被动的措施确保信息的保密性、完整性和可用性，例如：入侵检测系统（intrusion detection systems，IDS）和入侵防护系统（intrusion prevention systems，IPS）；分析通过防火墙和IDS/IPS设备的数据、旨在识别恶意代码或者其它可疑异常的各种系统；以及识别病毒、蠕虫、垃圾邮件、拒绝服务（即denial of service，DoS）、攻击和可能存在于防火墙之内的很多其它的各种各样恶意软件的专门工具。

令人遗憾的是，信息安全团队并没有根据需要与业务连续性以及/或者灾难恢复团队合作并共享信息。这可能是由于历史的差异和操作方法论和理念的原因，但是在如今高度复杂的IT世界中，充满了五花八门的潜在的网络安全漏洞，那些差异必须由协作取而代之。

案例研究：塔吉特百货（Target）

尽管可能已经正式公布，塔吉特在2013年12月被黑客入侵的时候，其业务遭受重创。几百万名塔吉特和其它信用卡服务公司的信用卡用户的数据被黑客窃取。确实，这种情况当时可能是由塔吉特的IT部门处理，但是从业务的角度而言真正的损失是什么？塔吉特的几百万名信用卡用户和客户还将保持对该公司的忠诚度吗？对塔吉特品牌造成了多少损失？要确保塔吉特的客户的个人资料将来是安全的并且再也不会被其他人窃取，必须做些什么？的确，这些是尖锐的问题。

从业务连续性的角度而言，塔吉特一发觉该问题就应该已经启动其业务连续性计划。假设塔吉特的BC计划与该公司的社交媒体、信息安全和公共关系团队合作，这4个职能部门在该漏洞被披露后应该已经随即会面并制订一个行动方案。认识到任何类型的安全漏洞将会随即登上社交媒体网站并像病毒般扩散，这些部门应该已经有适当的计划，把对塔吉特的声誉的损害降到最小，并且应该已经确定网络安全战略和业务连续性的行动，尽快重建对该公司的信心。

网络安全战略与业务连续性集成的建议

以下是优化信息安全和业务连续性（BC）关系的一些建议措施。

首先，确立BC和信息安全团队之间的信息共享的合作关系；确定网络安全漏洞转换成业务影响的场景；以及在什么时间点会出现这种转换。然后，定义：

· 信息安全参与到BC的方式和时间；
· BC为保护业务、声誉、品牌、供应链以及其它主要业务属性所启动的步骤；
· BC和信息安全在事件中相互沟通的方式；
· 事件可以被认定为已处理、威胁可以被认定为已消除以及业务可以被认定为恢复正常的情形；
· 上述活动的最佳时间段；
· BC和信息安全都可以退出的节点；
· 总结报告中需要提出的问题。

这些任务完成之后，你将能够决定如何能够透过BC在事件后提供的意见来加强网络安全战略，并且确定从事件中吸取的教训如何能够改善BC和信息安全在将来做出的响应。事件之后：

· 根据事件中吸取的教训，更新网络安全战略和计划，以及BC计划；
· 安排信息安全和BC的联合演练，以验证计划和协作活动；
· 举行定期的信息安全和BC的联席会议，以交换意见、共享信息、讨论计划以及确定在事件真正发生时同步进行应急响应活动的方式。

业务连续性团队应该处理的问题

首先，必须理解保护公司的信息安全边界的方法、系统和步骤。你也应该知晓防病毒软件以及IDS和IPS等其它网络分析设备的重要性和使用情况。同时必须理解用于分析漏洞的方法。最后，关键要了解与恢复网络和系统、测试正确的操作、清理并杀除工作站和其它网络附加设备的病毒、启动更强的防护措施等有关的主要问题。

这些行动可以有助于BC专业人员与对应的信息安全人员有效地同步：

· 共同向高级管理层提供定期简报，以便他们知晓BC和信息安全的关系现状，以及协作给公司带来的好处。
· 考虑使用高管仪表板系统，让管理层保持同步。
· 收集描述漏洞发生前的状况、漏洞发生期间出现的情况、堵塞漏洞所采取的行动、以及终止后的状况的网络日志和其它设备的数据。
· 确定丢失、被盗、受损或者其他被危及的业务数据，以及对业务的影响。
· 尽快通知主要的客户和股东被危及的系统以及/或者信息，向他们保证你具备把任何恶化的危害降到最低的资源。
· 记录针对未来审计采取的任何以及所有行动。
· 参加网络安全系统的测试，以理解防护措施如何起作用。
· 与信息安全合作，培训员工网络安全和BC的重要性以及如何共同把未来的网络安全事件的破坏性影响降到最低。

一项行之有效的网络安全战略涉及BC、灾难恢复和相关的活动。业务连续性专业人员必须更加了解他们的信息安全的同事，而且必须弥合两者的规章制度之间的传统分歧，以建立一个基于团队精神和信息共享的、更加协作的环境。