Tre utfordringer som BYOD og skyen utgjør for BCP-planlegging

Business Continuity Planning (BCP) er med på å opprettholde en av de tre sikkerhetspilarene: tilgjengelighet. Tradisjonell planlegging forutsetter bruk av et andre datasenter eller en katastrofegjenopprettingstjeneste for å gjenopprette forretningsprosesser etter hendelser i forretningskontinuitet. Forretningsinformasjonslandskapet endrer seg imidlertid raskt. Både ansatte og organisasjonseide mobile enheter blir standardplattformene for tilgang til forretningsapplikasjoner. I tillegg tilfører skytjenester satt inn i eller erstatter forretningsprosessinfrastruktur en ekstra dimensjon til BCP. Disse endringene i design, drift og levering av informasjonsressurser krever et tilsvarende skifte i bedriftskontinuitetshendelser (BCE).

Jeg vil ikke bruke mye tid på de positive generelle forretningsresultatene knyttet til BYOD og sky; denne informasjonen er tilgjengelig i mange artikler, inkludert "Leveraging the cloud for IT Innovation" og "Research: What Leaders Say about Cloud Capabilities and Limitations." I stedet undersøker denne artikkelen BYOD og skyutfordringer, så vel som deres bidrag til BCP. I en oppfølgingsartikkel vil jeg utforske måter å styrke relatert gradvis svekkelse av forretnings kontinuitet (inkludert katastrofegjenoppretting) planer.

utfordringer

BYOD og skytjenester skaper et sett med tre nye utfordringer for sikkerhets-, forretnings- og IT-ledere:

  • Bredere distribusjon av data til enheter som ikke fullstendig kontrolleres av dataeieren
  • Ansvarsforvirring ettersom skytjenesteleverandører tar en større rolle i leveransen av forretningsprosesser
  • Skift inn hva som bidrar til en forretningsprosess 'maksimale tolerable periode med forstyrrelse (MTPOD)
    • Utvidet respons på hendelsen

# 1 Bredere datadistribusjon

Bærbare datamaskiner introduserer enkel bevegelse av data utover organisasjonens pålitelige interne nettverk. Nye verktøy har dukket opp for å beskytte dataene, inkludert sentralt styrte krypteringsløsninger. Mens mange organisasjoner tok datamaskinbeskyttelse til neste nivå med sikkerhetskopiering av mobilenheter, skaper den økende bruken av smarttelefoner og nettbrett et gap mellom verdifull distribuert data og innholdet i organisasjonsstyrte sikkerhetskopier. Å lukke gapet er avgjørende for å beskytte regneark, dokumenter osv., Som inneholder informasjon som er opprettet og vedlikeholdt bare på en mobil enhet.

# 2 Ansvar

Å flytte forretningsprosesser til skyen betyr å stole på skytjenesteleverandøren (leverandøren) for å sikre tilgjengeligheten av infrastruktur (IaaS), plattformer (PaaS) eller programvare (SaaS). Som vist i figur A resulterer denne avhengigheten i et eksternt forsyningskjedeforhold med leverandøren din. Enhver ekstern leverandør av produkter eller tjenester som er avgjørende for forretningsdrift, er en kobling i leverandørkjeden. Å sikre kontinuerlig forsyningskjedestøtte for virksomheten din krever nøye oppmerksomhet rundt design og styring av forsyningskjeden.

Figur A

Produksjonsledere har behandlet forsyningskjedespørsmål fra de første dagene av å stole på tredjepart for deler av det ferdige produktet eller tjenesten. Dette er et mer effektivt middel for å gi kundene det de forventer. Når du fører dette enda et trinn, kan organisasjonen din fungere som en leverandør av en gruppe og en gruppe to for en eller flere organisasjoner. Når en leverandør BCE forstyrrer strømmen av kritiske produkter og tjenester til kundene dine, hvem er ansvarlig for kundekostnader forbundet med produksjonsstans? Hvordan utgjør du tapte inntekter på grunn av leverandørfeil?

# 3 MTPOD

Hver forretningsprosess har en spesifikk MTPOD, som vist i figur B. MTPOD inkluderer både tiden som trengs for å gjenopprette mislykkede informasjonsressurser (RTO) og tiden som kreves for å starte produksjonen (syklustid). Unnlatelse av å gjenopprette en prosess innenfor MTPOD resulterer vanligvis i uopprettelig skade på organisasjonen.

Figur B

I det siste bodde alle ressurser i det interne datasenteret. IT var ansvarlig for å håndtere alle forstyrrelser: fra programvarefeil, til en dårlig kabel, til en katastrofal hendelse. Dette er i rask endring. Med introduksjonen av skytjenester i forretningsprosesser er leverandører nå en viktig komponent i BCP. Infrastruktur, plattformer og programvare i skyen skaper i økende grad koblinger mellom starten på en forretningsprosess og dens utdata. I noen tilfeller kan en skytjeneste være det viktigste elementet i prosessgjenoppretting.

Hendelsesrespons

Hendelsesrespons er integrert i en organisasjons evne til å komme seg innenfor MTPOD. Imidlertid er det så avgjørende for bedring, det fortjener et eget utseende.

Hendelsesrespons har fire hovedmål (CSOonline, nd):

  1. Minimere BCE-virksomhetens påvirkning
  2. Tar for seg menneskers sikkerhet
  3. Begrensende organisasjonsansvar gjennom å praktisere due diligence
  4. Opprettholde overholdelse under oppdagelse, inneslutning og gjenoppretting

Nøyaktigheten av dokumentert utvinningsdokumentasjon for hver komponent i en kritisk forretningsprosess har direkte innvirkning på MTPOD. Organisasjoner må støtte dokumentasjon for gjenoppretting med overvåkning som fører til rask identifisering av en forstyrrelse.

Responsteam, for både malware-infeksjoner og maskinvare / programvarefeil, må praktisere trinnene i gjenopprettingsdokumentasjonen. Øvelsesaktiviteter inkluderer blant annet mål unike for organisasjonen din, gjenopprette tilkoblingsmuligheter, reparere en mislykket server, gjenopprette en skadet database, gjenopprette en mislykket bryter, gjenopprette fra en katastrofal hendelse, etc. Øv resultater gir raskere respons og justeringer av gjenopprettingsprosesser FØR en faktisk fvt.

BYOD og skytjenester utvider hendelsesrespons fra interne team til BYOD og skytjenesteleverandører. Hvis for eksempel en hjemmehelseansatt bruker en personlig bærbar PC for å få tilgang til informasjon om helsehjelp fra pasientens hjem, hva skjer når hvis mobiltilkobling (3G / 4G) går tapt? Hvem ringer du? Har du diskutert dette potensielle BCE med relevante transportører? Enda viktigere, har ledelsen evaluert risikoen forbundet med dette og lignende BCE-er?

Forstyrrelser i skytjenesten kan være litt lettere å kontrollere, hvis du adresserer respons på hendelser under kontraktsforhandlinger.

  • Vedlikeholder leverandøren oppdaterte responsplaner for alle informasjonsressurser som den er ansvarlig for?
  • Hvordan sikrer du at svarsdokumenter vedlikeholdes og praktiseres av tilbakemeldingsteamene?
  • Har du klart definert mål for utvinningstid (RTOs) for hver av de skybaserte informasjonsressursene dine? Inkluderer du leverandørpersonell i praksis BCE-svaraktiviteter for å sikre at RTO-er blir oppfylt? Hvilke sanksjoner er på plass hvis tilbydere konsekvent ikke oppfyller RTO under praksis eller faktiske BCE?

Det siste ordet

Selv de best forberedte svarsteamene vil mislykkes hvis BYOD- og skytjenestevirkninger mangler i gjenopprettingsdokumentasjonen. Videre må interne responsteam samarbeide med leverandørteam for å sikre sømløs gjenoppretting av mislykket maskinvare og programvare: før en faktisk BCE oppstår.

Tilbyderavtaler som ikke oppfyller hendelsesrespons, oppfyller ikke standardene for due diligence som kreves for BCP. Både BYOD og skytjenester har blitt kritiske komponenter i mange organisasjons forretningsprosesser. Å utvide BCP til å inkludere disse tilleggene til en organisasjons informasjonsressurser er ikke et alternativ.

I neste del av denne serien tar jeg opp hvordan jeg kan møte hver av utfordringene ovenfor.

© Copyright 2021 | pepebotifarra.com