Mød BYOD og sky udfordringer til forretnings kontinuitetsplaner

I del en af ​​denne to-dels-serie udforskede jeg fire områder med ændring i forretningskontinuitetsplanlægning (BCP) drevet af vækst af BYOD og skytjenester:

  • Distribution af data på et stigende antal enheder, der ikke direkte administreres af IT
  • Ansvarsforvirring
  • Ændringer i, hvordan vi administrerer MTPOD
  • Udvidelse af hændelsesrespons

I denne artikel undersøger vi administrative og tekniske løsninger, der er nyttige, når du vender trinvis svækkelse af din BCP på grund af ændringer i, hvordan du sikkert indsamler, behandler og leverer information.

Risikostyring

Styring af risiko er grundlaget for sikkerhed: inklusive tilgængelighed. Mange organisationer udfører risikovurderinger, når de implementerer nye løsninger. Ofte revideres imidlertid løsningsafhængige politikker, processer og systemer ikke før en revision eller når en større opgradering er påkrævet. Med den hurtige vækst af BYOD og skytjenester skal organisationer nu nøje kigge på alle kritiske systemer og deres tilknyttede følsomme data for at afgøre, hvordan (ikke hvis) risikoen har ændret sig.

Risikovurderinger inkluderer typisk 10 trin (Olzak, 2012). BYOD og skytjenester påvirker direkte de første fire:

  1. Systemdefinition . Definition af et system kræver undersøgelse af alle indgangspunkter, exit-point, datakanaler og integritet af dataposter. I traditionelle systemer blev disse adgangs- og kontrolvektorer tæt kontrolleret i både slutbruger- og datacenterender. I dag kan BYOD og cloud-tjenesteudbydere (CSP'er) stort set flytte kontrol fra IT til medarbejdere og CSP-medarbejdere. Når du definerer et system under en risikovurdering, skal du stille følgende spørgsmål:
    • Hvilke medarbejderejede enheder (dvs. smartphones, tablets, laptops og desktops) har lov til at oprette forbindelse?
    • Hvordan styrer vi angreboverfladen oprettet ved ekstern netværk / enhedstilslutning?
    • Hvordan håndhæver vi sikkerhedspolitik, herunder begrænsninger i dataforflyvning, baseret på hvem-hvad-hvornår-hvor-hvordan-hvorfor (attribut-baseret adgangskontrol) af BYOD eller skyforbindelser?
    • Hvilke opstrøms og nedstrøms processer påvirkes, hvis en proces mislykkes på grund af cloud- eller BYOD-problemer? (Se Kortlægning af systemafhængighed i elementerne i forretnings kontinuitetsplanlægning .)
  2. Trusselidentifikation . Hver informationsressource eller samling af ressourcer er et potentielt mål for en eller flere trusler. Medarbejderejet og CSP-enheder leverer yderligere angreboverflader, der ofte ligger uden for vores direkte kontrol; dette kan øge vores netværks sårbarhedslandskab. Føj til din organisations liste over sandsynlige trusler dem, der er unikke for mobile enheder og forbrugeroperativsystemer.
  3. Sårbarhedsidentifikation. Ligesom trusler, skal din liste over sårbarheder omfatte dem, der findes på smartphones og tablets. Uden en komplet liste er det umuligt at nøjagtigt vurdere risikoen for almindelige angrebstier.
  4. Evaluering af angrebskontrol. Risiko bestemmes stort set ved at gå gennem potentielle angreb og bestemme, om der findes relevante sårbarheder. Derudover skal analytikeren medtage virkningen af ​​eksisterende eller foreslåede kontroller på en vellykket udnyttelse af sårbarheder. Infrastrukturer til kontrol af Pre-BYOD og CSP er ofte ikke korrekt konfigureret til at omfatte nye angrebstier. I nogle tilfælde mangler de rigtige kontroller simpelthen. En nøjagtig vurdering af angrebskontrol fremfører den handlingsplan, der er nødvendig for at reducere risikoen. Omhyggelig gennemførelse af trin to og tre ovenfor er nødvendigt for nøjagtigt at vurdere angrebsvejsrisici.

Politik og processer

Eksisterende politikker er sandsynligvis stadig fokuseret på traditionel adgangs- og brugsmodeller. BYOD-standarder og retningslinjer for acceptabel brug, både for slutbrugere og IT-sikkerhed, hænger langt bag den faktiske brug. Dette sætter ledelse og it til en ulempe, når man forsøger en ensartet, sikker implementering af en overflod af enheder og operativsystemer, som medarbejdere og ledere efterspørger. For et eksempel på BYOD-politik, se TechRepublic's BYOD-politik (Bring Your Own Device) .

BYOD-politikker skal indeholde, hvilke data der kan opholde sig på forskellige typer enheder. Yderligere bør de opstille forskellige adgangskontrolbegrænsninger baseret på, hvilken slutbrugerenhed der bruges, hvor medarbejderen bruger enheden, når adgangen anmodes om osv. Dette kaldes attributbaseret adgangskontrol. Se Attributbaseret adgangskontrol (ABAC) for mere information.

Business Continuity Planning (BCP)

Ud over ændringer til, hvordan risikostyring styres og acceptabel anvendelse af ny teknologi, tvinger yderligere planlægningsdimensioner nye forretnings kontinuitetshændelser (BCE) overvejelser: justeringer af MTPOD-variabler, redundans og backup.

MTPOD-variabler

MTPOD er ​​den samlede tid, en proces kan afbrydes af en BCE, før en organisation oplever uoprettelig skade. Figur A fra mit sidste indlæg om BCP-planlægning viser de forskellige komponenter, der omfatter BCE-opsving. Det element, der er mest påvirket af skytjenester eller BYOD, er RTO. RTO er den tid, der er nødvendig til gendannelse af mislykket infrastruktur eller mistede / beskadigede data.

Figur A

BYOD RTO

BYOD-fejl forårsager ofte ikke en fuldstændig procesfejl. I stedet resulterer de i, at en eller flere ansatte ikke kan udføre deres forretningsopgaver. Processfejl er relateret til både tab af vigtig information, der kun er tilgængelig på slutbrugerenheden eller brugerens manglende evne til at nå forretningsapplikationer. Desuden skyldes manglende nåelse af forretningsapplikationer ofte af, at en BYOD-enhed svigter en overholdelseskontrol eller adgangskontrolbegrænsninger. BCP kræver opmærksomhed på alle udfordringer, som BYOD-brugere står overfor.

Et af de vigtigste spørgsmål er sikkerhedskopi af distribuerede data. Traditionelle backup-løsninger understøtter normalt ikke BYOD, adgang når som helst og hvor som helst og distribueres data på mange forskellige typer enheder. Imidlertid fjerner nye cloud-løsninger disse begrænsninger og resulterer i sikkerhedskopier på tværs af smartphones, laptops, tablets osv. Besøg Asigra-webstedet for et eksempel på en skybaseret backup-løsning.

Uanset om der bruges personligt ejet eller virksomhedsejet udstyr, skal organisationer forholde sig til forretningspolitikker, herunder adgangskontrolbegrænsninger, mens de muliggør adgang til medarbejdere. På grund af BYOD- og skytjenester leverer almindeligt anvendte RBAC og NAC ikke altid tilstrækkelig kontrol og opløsning af compliance. Igen hjælper nye løsninger med at overvinde disse problemer med attributbaseret adgangskontrol og styring af enhedsoverholdelse. MobileIron og Good Technology er førende inden for markedet for BYOD og mobilenheder, der leverer kontroller til både BYOD og organisationsejede enheder.

Systemredundans

Én tilgang mellem mellemstore og store organisationer tager imod implementering af overflødige servere til ydeevne og failover. Hvis en server mislykkes, er en anden klar til hurtigt at overtage; dette reducerer RTO markant. Servere flytter imidlertid fra det interne datacenter, efterhånden som CSP'er overtager. Hvordan kan du sikre tilstrækkelig redundans af systemer i skyen, der understøtter kritiske forretningsprocesser?

I en Network World-artikel viser Apurva Dave tre tip til at overleve en skyafbrydelse:

  • Balance på tværs af tilgængelighedszoner . Tilgængelighedszoner hjælper ikke kun med strømafbrydelser, de kan også forbedre ydelsen. Et eksempel er Amazons EC2-løsning.
  • Sky balance . I stedet for at lade en enkelt CSP styre alle servere, kan du overveje at bruge to eller flere udbydere til at være vært for din IaaS, PaaS eller SaaS.
  • Support CSP'er med en privat sky . Har en privat sky klar til at overtage, hvis CSP-hostede tjenester mislykkes. Dette kan have form af en hybrid sky, hvor både de interne og CSP skyer fungerer sammen og opretholder maksimal ydeevne, indtil en mislykkes.

Opretholdelse af redundans kan medføre, at omkostningerne til cloud computing kommer farligt tæt på at overstige omkostningerne ved intern datacenter-hosting. En god risikovurdering inkluderer imidlertid en omkostnings / fordel-analyse. Der kan være omkostninger, der ikke er direkte relateret til administrationssoftware og hardware, der gør cloud-redundans til en god idé for din virksomhed.

En måde at holde omkostningerne lave er at sikre, at CSP's RTO er klart defineret i cloud-serviceaftalen. Test af hændelsesrespons med både internt og CSP-personale er en god måde at sikre, at CSP er i stand til at gendanne tjenester inden for RTO. Rootårsagsanalyse udført efter hver test kan hjælpe med at forbedre restaureringstider. Sørg for, at din serviceaftale inkluderer sanktioner for at forlade aftalen eller afhjælpe genopretningsfejl (uden omkostninger for dig), hvis CSP konsekvent ikke lever op til dine forventninger til gendannelsestid.

Håndtering af ansvar

Identifikation af ansvar, når et link i forsyningskæden mislykkes og implementering af forretningsforanstaltninger som en del af en serviceaftale er vigtige dele af styringen af ​​skytjenester. Hvis en CSP for eksempel administrerer ordreafvikling, hvem tager det økonomiske resultat, når kunderne ikke modtager et produkt under en ordrefejl? Husk, at kunder også kan være organisationer, der er ansvarlige over for deres egne kunder for at levere produkter og tjenester afhængige af din del af deres forsyningskæde.

Ifølge Roberta J. Witty, forskningsdirektør hos Gartner, er en måde at beskytte dig selv at købe betinget forsikringsansvarsforsikring (CBII). CBII er en tilføjelse til forretningsafbrydelsesforsikring. Det kan tjene til at godtgøre CSP-kunder for tab af indtægter eller handlinger truffet af opstrøms modtagere af dine afhængige produkter og tjenester. Ved første øjekast kan dette virke som en uberettiget udgift; alternativet forsøger imidlertid at få din CSP til at betale for din organisations tab, før den lider uoprettelig skade.

Witty beskriver også andre metoder, der er nyttige i økonomisk opsving, herunder civile retssager og "pooler" med ansvar, der er oprettet ved at afsætte dollars til BCE-relaterede udgifter. Uanset hvordan du håndterer dette, skal du være sikker på, at din risikovurdering identificerer tilknyttede risici, så ledelsen kan tage informerede beslutninger om afhjælpning.

Resumé

BYOD og cloud-tjenester har tilføjet overvejelser til BCP. Tilpasninger af vores risikovurderinger er imidlertid et godt første skridt i hvordan man løser, hvordan man udfylder kløften mellem eksisterende risiko og risiko, som ledelsen forventer.

Ændringer i sikkerhedskontroller inkluderer begrænsninger for, hvordan data distribueres. Overvej at basere BYOD-datatilgang og distribution på attributbaseret adgangskontrol for mere granuleret kontrol.

Redundans og sikkerhedskopiering af BYOD og cloud-tjenester kræver nye måder at se på, hvordan vi beskytter data og systemkontinuitet. Backup-leverandører og mange CSP'er leverer løsninger til at skifte fra datacentre-fokuserede kontroller.

Vi kan ikke forhindre alle fejl, så risikooverførsel er ofte nødvendig. CBII giver midlerne til at sikre, at vores organisationer ikke tager et dødeligt økonomisk hit, hvis en kritisk skytjeneste mislykkes.

© Copyright 2021 | pepebotifarra.com