Tre udfordringer, som BYOD og skyen udgør for BCP-planlægning

Forretningskontinuitetsplanlægning (BCP) hjælper med at bevare en af ​​de tre søjler med sikkerhed: tilgængelighed. Traditionel planlægning antager brug af et andet datacenter eller en katastrofegendannelsestjeneste til at gendanne forretningsprocesser efter begivenheder i forretningskontinuitet. Forretningsinformationslandskabet ændrer sig imidlertid hurtigt. Mobile enheder, både medarbejder- og organisationsejet, bliver standardplatforme for adgang til forretningsapplikationer. Derudover tilføjer cloud-tjenester, der er indsat i eller erstatter forretningsprocessinfrastruktur, en ekstra dimension til BCP. Disse skift i design, drift og levering af informationsressourcer kræver et tilsvarende skift i forretningskontinuitetshændelser (BCE).

Jeg vil ikke bruge meget tid på de positive generelle forretningsresultater relateret til BYOD og cloud; disse oplysninger er tilgængelige i mange artikler, herunder "Udnytte skyen til IT-innovation" og "Forskning: Hvad ledere siger om skykapaciteter og begrænsninger." I stedet undersøger denne artikel BYOD og cloud-udfordringer såvel som deres bidrag til BCP. I en opfølgende artikel vil jeg undersøge måder at styrke relateret gradvis svækkelse af forretningskontinuitet (inklusive katastrofegendannelse) planer.

Udfordringer

BYOD og cloud-tjenester skaber et sæt af tre nye udfordringer for sikkerheds-, forretnings- og IT-ledere:

  • Bredere distribution af data til enheder, der ikke kontrolleres fuldstændigt af dataejeren
  • Ansvarsforvirring, når cloud-tjenesteudbydere påtager sig en større rolle i levering af forretningsprocesser
  • Skift i hvad der bidrager til en forretningsproces 'maksimale tolerable periode med forstyrrelse (MTPOD)
    • Udvidet respons på hændelsen

# 1 Bredere datadistribution

Laptops introducerer nem bevægelse af data ud over organisationens betroede interne netværk. Nye værktøjer er kommet frem til at beskytte dataene, herunder centralt styrede krypteringsløsninger. Mens mange organisationer tog beskyttelse af bærbar computer til næste niveau med sikkerhedskopiering af mobilenheder, skaber den stigende brug af smartphones og tablets et gap mellem værdifulde distribuerede data og indholdet af organisationsstyrede sikkerhedskopier. Det er vigtigt at lukke hullet for at beskytte regneark, dokumenter osv., Der indeholder oplysninger, der kun er oprettet og vedligeholdt på en mobilenhed.

# 2 Ansvar

At flytte forretningsprocesser til skyen betyder at stole på cloud-tjenesteudbyderen (udbyderen) for at sikre tilgængeligheden af ​​infrastruktur (IaaS), platforme (PaaS) eller software (SaaS). Som vist i figur A resulterer denne afhængighed i et eksternt forsyningskæde-forhold til din udbyder. Enhver ekstern udbyder af produkter eller tjenester, der er kritisk for forretningsdrift, er et link i din forsyningskæde. At sikre kontinuerlig supportkædesupport til din virksomhed kræver nøje opmærksomhed på forsyningskædesign og -styring.

Figur A

Producentledere har behandlet forsyningskæden problemer fra de første dage, hvor de har været afhængige af tredjepart for dele af det færdige produkt eller den service. Dette er et mere effektivt middel til at give kunderne det, de forventer. Hvis du bærer dette endnu et trin, kan din organisation muligvis fungere som en leverandør af en en og to niveauer for en eller flere organisationer. Når en udbyder BCE forstyrrer strømmen af ​​kritiske produkter og tjenester til dine kunder, hvem er ansvarlig for kundens omkostninger forbundet med produktionsstop? Hvordan kompenserer du tabte indtægter på grund af leverandørfejl?

# 3 MTPOD

Hver forretningsproces besidder en bestemt MTPOD, som vist i figur B. MTPOD inkluderer både den tid, der er nødvendig til at gendanne mislykkede informationsressourcer (RTO), og den tid, der kræves for at begynde at producere output (cyklustid). Manglende genopretning af en proces inden for MTPOD resulterer typisk i uoprettelig skade på organisationen.

Figur B

Tidligere var alle ressourcer i det interne datacenter. IT var ansvarlig for at håndtere alle forstyrrelser: fra softwarefejl, til et dårligt kabel, til en katastrofal begivenhed. Dette ændrer sig hurtigt. Med introduktionen af ​​cloud-tjenester i forretningsprocesser er udbydere nu en vigtig komponent i BCP. Infrastruktur, platforme og software i skyen skaber i stigende grad forbindelser mellem starten af ​​en forretningsproces og dens output. I nogle tilfælde kan en cloud-tjeneste muligvis være det centrale element i processgendannelse.

Incident svar

Incident Response er integreret i en organisations evne til at komme sig inden for MTPOD. Det er dog så vigtigt for bedring, at det fortjener et separat look.

Incidentrespons har fire primære mål (CSOonline, nd):

  1. Minimering af BCE's forretningspåvirkning
  2. Hensættelse af menneskers sikkerhed
  3. Afbødende organisatorisk ansvar gennem praktiserende due diligence
  4. Opretholdelse af overholdelse under detektion, indeslutning og gendannelse

Nøjagtigheden af ​​dokumenteret gendannelsesdokumentation for hver komponent i en kritisk forretningsproces har en direkte indvirkning på MTPOD. Organisationer skal understøtte gendannelsesdokumentation med overvågning, der fører til hurtig identifikation af en forstyrrelse.

Responsteam for både malware-infektioner og hardware / softwarefejl skal praktisere trinnene i gendannelsesdokumentationen. Øvelsesaktiviteter inkluderer blandt andre mål, der er unikke for din organisation, gendannelse af forbindelse, reparation af en mislykket server, gendannelse af en beskadiget database, gendannelse af en mislykket switch, gendannelse fra en katastrofal begivenhed osv. Øvelse resulterer i hurtigere respons og justeringer af gendannelsesprocesser FØR en faktisk fvt.

BYOD og cloud-tjenester udvider hændelsesrespons fra interne teams til BYOD og cloud-tjenesteudbydere. For eksempel, hvis en medarbejder til hjemmesundhed bruger en personlig bærbar computer til at få adgang til oplysninger om sundhedsydelser fra en patients hjem, hvad sker der, hvis mobilforbindelse (3G / 4G) går tabt? Hvem kalder du? Har du drøftet dette potentielle BCE med relevante luftfartsselskaber? Vigtigere er det, at ledelsen har vurderet risikoen forbundet med denne og lignende BCE'er?

Forstyrrelser i skytjenesten kan være lidt lettere at kontrollere, hvis du adresserer hændelsesrespons under kontraktforhandlinger.

  • Vedligeholder udbyderen ajourførte reaktionsplaner for hændelser for alle informationsressourcer, som den er ansvarlig for?
  • Hvordan sikrer du, at høringsdokumenter vedligeholdes og praktiseres af udbyderens reaktionsteam?
  • Har du klart definerede mål for gendannelsestid (RTO'er) for hver af dine skybaserede informationsressourcer? Inkluderer du leverandørpersonale i praksis BCE-responsaktiviteter for at sikre, at RTO'er overholdes? Hvilke sanktioner er der, hvis udbydere konsekvent ikke overholder RTO'er under praksis eller faktiske BCE'er?

Det sidste ord

Selv de bedst forberedte reaktionsteams mislykkes, hvis der er mistet konsekvenser af BYOD og cloud-service i gendannelsesdokumentation. Endvidere skal interne responsteam samarbejde med udbyderteam for at sikre problemfri gendannelse af mislykket hardware og software: før en faktisk BCE opstår.

Udbydersaftaler, der ikke adresserer hændelsesrespons, opfylder ikke standarderne for due diligence, der kræves til BCP. Både BYOD og cloud-tjenester er blevet kritiske komponenter i mange organisations forretningsprocesser. Det er ikke en mulighed at udvide BCP til at inkludere disse tilføjelser til en organisations informationsressourcer.

I den næste del af denne serie behandler jeg, hvordan jeg imødekommer hver af udfordringerne ovenfor.

© Copyright 2021 | mobilegn.com