Møte BYOD og sky utfordringer til forretnings kontinuitetsplaner

I del en av denne to-delte serien utforsket jeg fire områder med endring i forretnings kontinuitetsplanlegging (BCP) drevet av vekst av BYOD og skytjenester:

  • Distribusjon av data over et økende antall enheter som ikke direkte administreres av IT
  • Ansvar forvirring
  • Endringer i hvordan vi administrerer MTPOD
  • Utvidelse av respons på hendelsen

I denne artikkelen undersøker vi administrative og tekniske løsninger som er nyttige når du reverserer gradvis svekkelse av BCP på grunn av endringer i hvordan du trygt samler inn, behandler og leverer informasjon.

Risikostyring

Å håndtere risiko er grunnlaget for sikkerhet: inkludert tilgjengelighet. Mange organisasjoner utfører risikovurderinger når de implementerer nye løsninger. Ofte blir imidlertid ikke løsningsavhengige policyer, prosesser og systemer besøkt før en revisjon eller når en større oppgradering er nødvendig. Med den raske veksten av BYOD og skytjenester må organisasjoner se nøye på alle kritiske systemer og tilhørende sensitive data for å bestemme hvordan (ikke om) risikoen har endret seg.

Risikovurderinger inkluderer vanligvis 10 trinn (Olzak, 2012). BYOD og skytjenester påvirker direkte de fire første:

  1. Systemdefinisjon . Å definere et system krever undersøkelse av alle inngangspunkter, utgangspunkter, datakanaler og integriteten til dataelementer. I tradisjonelle systemer ble disse tilgangs- og kontrollvektorene tett kontrollert i både sluttbruker- og datasenteret. I dag kan BYOD og skytjenesteleverandører (CSP) i stor grad flytte kontrollen fra IT til ansatte og CSP-ansatte. Når du definerer et system under en risikovurdering, kan du stille følgende spørsmål:
    • Hvilke ansatte-eide enheter (dvs. smarttelefoner, nettbrett, bærbare datamaskiner og stasjonære maskiner) har lov til å koble seg til?
    • Hvordan håndterer vi angrepsflaten som er opprettet av ekstern tilkobling til nettverk / enhet?
    • Hvordan håndhever vi sikkerhetspolitikk, inkludert begrensninger i forhold til data bevegelse, basert på hvem-hva-når-hvor-hvordan-hvorfor (attribusjonsbasert tilgangskontroll) av BYOD eller skytilkoblinger?
    • Hvilke oppstrøms og nedstrøms prosesser påvirkes hvis en prosess mislykkes på grunn av problemer med sky eller BYOD? (Se Systemavhengighetskartlegging i elementene i virksomhetens kontinuitetsplanlegging .)
  2. Trusselidentifikasjon . Hver informasjonsressurs, eller samling av ressurser, er et potensielt mål for en eller flere trusler. Ansattes eide og CSP-enheter gir ytterligere angrepsflater som ofte ligger utenfor vår direkte kontroll; Dette kan øke nettverkets sårbarhetslandskap. Legg til organisasjonens liste over sannsynlige trusler de unike for mobile enheter og forbrukeroperativsystemer.
  3. Sårbarhetsidentifikasjon. Som trusler, må listen over sårbarheter inkludere de som finnes på smarttelefoner og nettbrett. Uten en fullstendig liste er det umulig å nøyaktig vurdere risikoen for vanlige angrepsveier.
  4. Angrepsvei kontrollerer vurdering. Risiko bestemmes i stor grad ved å gå gjennom potensielle angrep og bestemme om relevante sårbarheter eksisterer. I tillegg må analytikeren inkludere virkningen av eksisterende eller foreslåtte kontroller for vellykket utnyttelse av sårbarhet. Infrastrukturer før sikkerhet og kontroll av CSP er ofte ikke riktig konfigurert til å inkludere nye angrepsveier. I noen tilfeller kan de rette kontrollene ganske enkelt mangle. En nøyaktig vurdering av angrepskontrollen mater frem handlingsplanen som er nødvendig for å redusere risikoen. Nøye gjennomføring av trinn to og tre ovenfor er nødvendig for å vurdere risikoen for angrepsveier nøyaktig.

Retningslinjer og prosesser

Eksisterende retningslinjer er trolig fortsatt fokusert på tradisjonelle modeller for tilgang og bruk. BYOD-akseptable bruksstandarder og retningslinjer, både for sluttbrukere og IT-sikkerhet, henger langt etter faktisk bruk. Dette setter ledelse og IT til en ulempe når du prøver en konsekvent, sikker implementering av en mengde enheter og operativsystemer som ansatte og ledere etterspør. For et eksempel på BYOD-policyer, se TechRepublics BYOD-policy (Bring Your Own Device) .

BYOD-policyene må inneholde hvilke data som kan ligge på forskjellige typer enheter. Videre bør de angi forskjellige tilgangskontrollbegrensninger basert på hvilken sluttbrukerenhet som brukes, hvor den ansatte bruker enheten, når tilgangen blir bedt om, etc. Dette er kjent som attributtbasert tilgangskontroll. For mer informasjon, se Attribusjonsbasert tilgangskontroll (ABAC) .

Business Continuity Planning (BCP)

I tillegg til endringer i hvordan risikostyring og akseptabel bruk av ny teknologi, tvinger ytterligere planleggingsdimensjoner hensyn til nye forretningskontinuitetshendelser (BCE): justeringer av MTPOD-variabler, redundans og sikkerhetskopieringer.

MTPOD-variabler

MTPOD er ​​den totale tiden en prosess kan bli forstyrret av en BCE før en organisasjon opplever uopprettelig skade. Figur A, fra mitt siste innlegg om BCP-planlegging, viser de forskjellige komponentene som omfatter utvinning av BCE. Elementet som er mest berørt av skytjenester eller BYOD er ​​RTO. RTO er tiden som er nødvendig for gjenoppretting av mislykket infrastruktur eller tapte / ødelagte data.

Figur A

BYOD RTO

BYOD-feil forårsaker ofte ikke full prosesssvikt. I stedet resulterer de i at en eller flere ansatte ikke kan utføre forretningsoppgavene sine. Prosessfeil er relatert til både tap av viktig informasjon som bare er tilgjengelig på sluttbrukerenheten eller brukerens manglende evne til å nå forretningsapplikasjoner. Videre skyldes manglende oppnåelse av forretningsapplikasjoner ofte en BYOD-enhet som ikke svikter en samsvarskontroll eller tilgangskontrollbegrensninger. BCP krever oppmerksomhet til alle utfordringer som BYOD-brukere står overfor.

Et av de viktigste problemene er sikkerhetskopi av distribuerte data. Tradisjonelle sikkerhetskopiløsninger støtter vanligvis ikke BYOD, tilgang når som helst og hvor som helst og distribuerte data på mange forskjellige typer enheter. Fremvoksende skyløsninger fjerner imidlertid disse begrensningene og resulterer i sikkerhetskopier på tvers av smarttelefoner, bærbare datamaskiner, nettbrett osv. For å få et eksempel på en skybasert sikkerhetskopiløsning, besøk Asigra nettsted.

Enten du bruker personlig eide eller selskapseide enheter, må organisasjoner forholde seg til forretningsretningslinjene, inkludert begrensninger for tilgangskontroll, samtidig som de har tilgang til ansatte. På grunn av BYOD og skytjenester gir ofte utplasserte RBAC og NAC ikke alltid tilstrekkelig kontroll og oppløsning. Igjen hjelper nye løsninger med å overvinne disse problemene med attributtbasert tilgangskontroll og styring av enhetskontroll. MobileIron og Good Technology er ledende innen BYOD- og mobilenhetsmarkedet, og gir kontroller for både BYOD og organisasjonseide enheter.

Systemredundans

En tilnærming mellom mellomstore og store organisasjoner er implementering av overflødige servere for ytelse og failover. Hvis en server mislykkes, er en annen klar til å raskt overta; dette reduserer RTO betydelig. Imidlertid flytter servere fra det interne datasenteret når CSP-er overtar. Hvordan kan du sikre tilstrekkelig redundans av systemer i skyen som støtter viktige forretningsprosesser?

I en Network World-artikkel lister Apurva Dave tre tips for å overleve et skybrudd:

  • Balanse mellom tilgjengelighetssoner . Tilgjengelighetssoner hjelper ikke bare med strømbrudd, de kan også forbedre ytelsen. Et eksempel er Amazons EC2-løsning.
  • Skybalanse . I stedet for å la en enkelt CSP styre alle servere, kan du vurdere å bruke to eller flere leverandører for å være vert for IaaS, PaaS eller SaaS.
  • Støtte CSPer med en privat sky . Ha en privat sky klar til å overta hvis CSP-vertstjenestene mislykkes. Dette kan ha form av en hybrid sky der både de interne og CSP skyene fungerer sammen, og opprettholder maksimal ytelse til en mislykkes.

Å opprettholde redundans kan føre til at kostnadene ved skyberegning kommer farlig nær å overstige kostnadene ved internt datasenterhotell. En god risikovurdering inkluderer imidlertid en kostnad / nytte-analyse. Det kan være kostnader som ikke er direkte relatert til styringsprogramvare og maskinvare som gjør skyredundans til en god idé for bedriften din.

En måte å holde kostnadene lave er å sikre at CSPs RTO er tydelig definert i skytjenesteavtalen. Test av hendelsesresponser, både med interne og CSP-ansatte, er en god måte å sikre at CSP er i stand til å gjenopprette tjenester innen RTO. Rootårsaksanalyse utført etter hver test kan bidra til å forbedre restaureringstidene. Forsikre deg om at serviceavtalen din inneholder sanksjoner for å avslutte avtalen eller avhjelpe gjenopprettingssvikt (uten kostnad for deg) hvis CSP konsekvent ikke oppfyller forventningene til gjenopprettingstiden.

Administrere ansvar

Å identifisere ansvar når en kobling i forsyningskjeden mislykkes og implementere forretningsforholdsregler som en del av en serviceavtale er viktige deler av styringen av skytjenester. Hvis en CSP for eksempel klarer behandlingen av ordreoppfyllelse, for eksempel, hvem tar den økonomiske hiten når kundene ikke mottar produkt under en ordreoppfyllingssystemfeil? Husk at kunder også kan være organisasjoner som er ansvarlige overfor sine egne kunder for å levere produkter og tjenester avhengig av din del i deres forsyningskjede.

I følge Roberta J. Witty, forskningsdirektør i Gartner, er en måte å beskytte deg selv å kjøpe betinget ansvarsforsikring (CBII). CBII er et tillegg til forretningsavbruddsforsikring. Det kan tjene til å godtgjøre CSP-kunder for tap av inntekter eller handlinger som blir tatt av oppstrøms mottakere av dine avhengige produkter og tjenester. Ved første øyekast kan dette virke som en uberettiget utgift; alternativet er imidlertid å prøve å få din CSP til å betale for organisasjonens tap før den lider uopprettelig skade.

Witty beskriver også andre metoder som er nyttige i økonomisk utvinning, inkludert sivile handlinger og ansvars "bassenger" som er opprettet ved å sette dollar til side for BCE-relaterte utgifter. Uansett hvordan du håndterer dette, må du være sikker på at risikovurderingen din identifiserer tilhørende risikoer, slik at ledelsen kan ta informerte beslutninger om avbøtning.

Sammendrag

BYOD og skytjenester har lagt tilleggshensyn til BCP. Justeringer av våre risikovurderinger er imidlertid et flott første skritt i hvordan vi skal håndtere hvordan vi kan fylle gapet mellom eksisterende risiko og risiko forventet av ledelsen.

Endringer i sikkerhetskontroller inkluderer begrensninger for hvordan data distribueres. Vurder å basere BYOD-datatilgang og distribusjon på attribusjonsbasert tilgangskontroll for mer granulær kontroll.

Redundans og sikkerhetskopiering for BYOD og skytjenester krever nye måter å se på hvordan vi beskytter data og systems kontinuitet. Backup-leverandører og mange CSP-er tilbyr løsninger for å gjøre overgangen fra datasenterfokuserte kontroller.

Vi kan ikke forhindre alle feil, så risikooverføring er ofte nødvendig. CBII gir midler til å sikre at organisasjonene våre ikke tar en økonomisk dødelighet hvis en kritisk skytjeneste mislykkes.

© Copyright 2020 | mobilegn.com