Drei Herausforderungen, die BYOD und die Cloud für die BCP-Planung darstellen

Business Continuity Planning (BCP) trägt zur Aufrechterhaltung einer der drei Säulen der Sicherheit bei: Verfügbarkeit. Bei der herkömmlichen Planung wird die Verwendung eines zweiten Rechenzentrums oder eines Disaster Recovery-Dienstes zur Wiederherstellung von Geschäftsprozessen nach Business Continuity-Ereignissen vorausgesetzt. Die Geschäftsinformationslandschaft ändert sich jedoch rasant. Mobile Geräte, sowohl im Besitz von Mitarbeitern als auch von Unternehmen, werden zu Standardplattformen für den Zugriff auf Geschäftsanwendungen. Darüber hinaus fügen Cloud-Services, die in die Geschäftsprozessinfrastruktur eingefügt werden oder diese ersetzen, BCP eine zusätzliche Dimension hinzu. Diese Verschiebungen bei Design, Betrieb und Bereitstellung von Informationsressourcen erfordern eine entsprechende Verschiebung der Business Continuity Events (BCEs).

Ich werde nicht viel Zeit mit den positiven allgemeinen Geschäftsergebnissen in Bezug auf BYOD und Cloud verbringen. Diese Informationen sind in vielen Artikeln verfügbar, darunter "Nutzung der Cloud für IT-Innovationen" und "Forschung: Was Führungskräfte über Cloud-Funktionen und -Einschränkungen sagen". Stattdessen untersucht dieser Artikel die BYOD- und Cloud-Herausforderungen sowie ihre Beiträge zu BCP. In einem Folgeartikel werde ich nach Möglichkeiten suchen, um die damit verbundene schrittweise Abschwächung der Pläne für die Geschäftskontinuität (einschließlich Disaster Recovery) zu stärken.

Herausforderungen

BYOD- und Cloud-Services stellen Sicherheits-, Geschäfts- und IT-Manager vor drei neue Herausforderungen:

  • Breitere Verteilung von Daten auf Geräte, die nicht vollständig vom Dateneigentümer gesteuert werden
  • Haftungsverwirrung, da Cloud-Service-Provider eine größere Rolle bei der Bereitstellung von Geschäftsprozessen spielen
  • Verschiebung dessen, was zur maximal tolerierbaren Unterbrechungsdauer eines Geschäftsprozesses (MTPOD) beiträgt
    • Erweiterte Reaktion auf Vorfälle

# 1 Breitere Datenverteilung

Laptops ermöglichen eine einfache Übertragung von Daten über das vertrauenswürdige interne Netzwerk des Unternehmens hinaus. Zum Schutz der Daten wurden neue Tools entwickelt, darunter zentral verwaltete Verschlüsselungslösungen. Während viele Unternehmen den Datenschutz von Laptops mit der Sicherung mobiler Geräte auf die nächste Stufe hoben, schafft die zunehmende Verwendung von Smartphones und Tablets eine Lücke zwischen wertvollen verteilten Daten und dem Inhalt von organisationsverwalteten Sicherungen. Das Schließen der Lücke ist wichtig, um Tabellenkalkulationen, Dokumente usw. zu schützen, die Informationen enthalten, die nur auf einem mobilen Gerät erstellt und verwaltet werden.

# 2 Haftung

Um Geschäftsprozesse in die Cloud zu verlagern, müssen Sie sich auf den Cloud-Dienstanbieter (den Anbieter) verlassen, um die Verfügbarkeit von Infrastruktur (IaaS), Plattformen (PaaS) oder Software (SaaS) sicherzustellen. Wie in Abbildung A dargestellt, führt diese Abhängigkeit zu einer externen Lieferkettenbeziehung mit Ihrem Anbieter. Jeder externe Anbieter von Produkten oder Dienstleistungen, die für den Geschäftsbetrieb von entscheidender Bedeutung sind, ist ein Glied in Ihrer Lieferkette. Um eine kontinuierliche Unterstützung der Lieferkette für Ihr Unternehmen sicherzustellen, müssen Sie das Design und Management der Lieferkette genauestens berücksichtigen.

Abbildung A.

Fertigungsmanager haben sich seit den ersten Tagen, in denen sie sich bei Teilen des fertigen Produkts oder der fertigen Dienstleistung auf Dritte verlassen, mit Fragen der Lieferkette befasst. Dies ist ein effizienteres Mittel, um Kunden das zu bieten, was sie erwarten. Wenn Sie diesen einen weiteren Schritt ausführen, kann Ihre Organisation als Tier-1- und Tier-2-Lieferant für eine oder mehrere Organisationen fungieren. Wenn ein Anbieter BCE den Fluss kritischer Produkte und Dienstleistungen zu Ihren Kunden stört, wer haftet dann für Kundenkosten im Zusammenhang mit Produktionsstillständen? Wie können Sie Umsatzverluste aufgrund eines Anbieterausfalls ausgleichen?

# 3 MTPOD

Jeder Geschäftsprozess verfügt über einen bestimmten MTPOD (siehe Abbildung B) . Der MTPOD enthält sowohl die Zeit, die zum Wiederherstellen fehlgeschlagener Informationsressourcen (RTO) benötigt wird, als auch die Zeit, die zum Starten der Ausgabe benötigt wird (Zykluszeit). Wenn ein Prozess innerhalb des MTPOD nicht wiederhergestellt wird, führt dies in der Regel zu irreparablen Schäden an der Organisation.

Abbildung B.

In der Vergangenheit befanden sich alle Ressourcen im internen Rechenzentrum. Die IT war für die Verwaltung aller Störungen verantwortlich: von Softwarefehlern über fehlerhafte Kabel bis hin zu katastrophalen Ereignissen. Das ändert sich schnell. Mit der Einführung von Cloud-Diensten in Geschäftsprozesse sind Anbieter nun ein wichtiger Bestandteil von BCP. Infrastruktur, Plattformen und Software in der Cloud stellen zunehmend Verbindungen zwischen dem Start eines Geschäftsprozesses und seiner Ausgabe her. In einigen Fällen kann ein Cloud-Dienst das Schlüsselelement bei der Prozesswiederherstellung sein.

Reaktion auf Vorfälle

Die Reaktion auf Vorfälle ist in die Fähigkeit eines Unternehmens integriert, sich innerhalb des MTPOD zu erholen. Es ist jedoch für die Wiederherstellung so wichtig, dass es einen gesonderten Blick verdient.

Die Reaktion auf Vorfälle hat vier Hauptziele (CSOonline, nd):

  1. Minimierung der Auswirkungen auf das BCE-Geschäft
  2. Die menschliche Sicherheit ansprechen
  3. Minderung der organisatorischen Haftung durch Due Diligence
  4. Aufrechterhaltung der Compliance während der Erkennungs-, Eindämmungs- und Wiederherstellungsvorgänge

Die Genauigkeit der dokumentierten Wiederherstellungsdokumentation für jede Komponente eines kritischen Geschäftsprozesses wirkt sich direkt auf MTPOD aus. Unternehmen müssen die Wiederherstellungsdokumentation mit einer Überwachung unterstützen, die zur schnellen Erkennung einer Störung führt.

Reaktionsteams müssen sowohl bei Malware-Infektionen als auch bei Hardware- / Softwarefehlern die Schritte in der Wiederherstellungsdokumentation ausführen. Zu den Übungsaktivitäten gehören unter anderem die Wiederherstellung der Konnektivität, die Reparatur eines ausgefallenen Servers, die Wiederherstellung einer beschädigten Datenbank, die Wiederherstellung eines ausgefallenen Switches, die Wiederherstellung nach einem katastrophalen Ereignis usw. Die Übungsergebnisse führen zu einer schnelleren Reaktion und Anpassung der Wiederherstellungsprozesse, BEVOR eine tatsächliche BCE.

BYOD- und Cloud-Services erweitern die Reaktion auf Vorfälle von internen Teams auf BYOD- und Cloud-Service-Anbieter. Wenn beispielsweise ein Mitarbeiter der häuslichen Gesundheit einen persönlichen Laptop verwendet, um von zu Hause aus auf Gesundheitsinformationen zuzugreifen, was passiert, wenn die Mobilfunkverbindung (3G / 4G) unterbrochen wird? Wen rufst du an? Haben Sie dieses potenzielle BCE mit relevanten Carriern besprochen? Was noch wichtiger ist: Hat das Management das mit diesem und ähnlichen BCEs verbundene Risiko bewertet?

Cloud-Service-Störungen können etwas einfacher zu kontrollieren sein, wenn Sie die Reaktion auf Vorfälle während Vertragsverhandlungen ansprechen.

  • Unterhält der Anbieter aktuelle Notfallpläne für alle Informationsressourcen, für die er verantwortlich ist?
  • Wie stellen Sie sicher, dass Incident-Response-Dokumente von Provider-Response-Teams gepflegt und praktiziert werden?
  • Haben Sie für jede Ihrer Cloud-basierten Informationsressourcen klar definierte Wiederherstellungszeitziele (RTOs) festgelegt? Beziehen Sie Anbieterpersonal in die BCE-Reaktionsaktivitäten ein, um sicherzustellen, dass die RTOs eingehalten werden? Welche Sanktionen gibt es, wenn Anbieter RTOs während der Praxis oder bei tatsächlichen BCEs durchweg nicht einhalten?

Das letzte Wort

Selbst die am besten vorbereiteten Reaktionsteams schlagen fehl, wenn in der Wiederherstellungsdokumentation keine Auswirkungen auf BYOD und Cloud-Service vorliegen. Darüber hinaus müssen interne Reaktionsteams mit Anbieterteams zusammenarbeiten, um eine nahtlose Wiederherstellung fehlerhafter Hardware und Software sicherzustellen: bevor eine tatsächliche BCE auftritt.

Anbietervereinbarungen, die sich nicht mit der Reaktion auf Vorfälle befassen, erfüllen nicht die für BCP erforderlichen Sorgfaltspflichten. Sowohl BYOD- als auch Cloud-Services sind zu wichtigen Komponenten der Geschäftsprozesse vieler Unternehmen geworden. Die Erweiterung von BCP um diese Ergänzungen zu den Informationsressourcen einer Organisation ist keine Option.

Im nächsten Teil dieser Reihe werde ich darauf eingehen, wie die oben genannten Herausforderungen zu bewältigen sind.

© Copyright 2021 | mobilegn.com