企业BC/DR勿忘IoT风险管理

日期:2017-5-18作者:Paul Kirvan

【TechTarget中国原创】

从近期的新闻报道中我们会看到,伴随着大量智能化设备今天可以经由互联网与其它设施通讯,这使得人们在不经意间被窥探,从而可能会招致令人厌恶的结果。例如今天的汽车可以通过内置的智能化设备与网络连接,以实现远程控制。

这便是我们谈到的物联网(IoT),它连接起具有嵌入式智能和通讯功能的一切。本文将探讨这方面的发展将会对你所在的企业带来哪些影响,为何说需要建立起物联网风险管理策略,以及如何调整业务连续性(BC)和灾难恢复(DR)规划来应对这些问题。

先来看两种工具:风险评估(Risk Assessment,简称RA)旨在识别出潜在的威胁和系统脆弱性;而业务影响分析(Business Impact Analysis,简称BIA)则可用以确定其对企业和组织在运营、财务、竞争,以及声誉方面的潜在影响。

从技术角度来看,最常见的风险源自于互联网接入的中断。今天绝大多数企业和组织严重依赖互联网接入,即便只有很短时间的断网都可能引发灾难性的损失。RA可以用以深入挖掘互联网接入设计方面的漏洞。例如单一的互联网服务提供商(ISP)可能会是主要的单点故障。这个问题可以通过引入使用不同基础设施的ISP,轻松加以解决。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Paul Kirvan
Paul Kirvan

Paul Kirvan是一名独立IT顾问,拥有超过22年的IT经验,主要擅长业务连续性、容灾、安全和企业风险管理等领域。

企业存储、规划及管理>更多

相关推荐

技术手册>更多

  • 源端重复数据删除教程

    近年来,备份市场出现了诸多重复数据删除产品,有的是在源端进行去重,有的是在目标端进行去重。其中,源端重复数据删除是指冗余数据在数据通过网络发送到备份服务器之前就被删除掉了。

  • 电子邮件归档技术手册

    Forrester Research公司的首席分析家Erica Rugullies说:“现在,仅仅把电子邮件转储到某个地方已经不能满足需要了,你必须随时能够找到它们。” Rugullies负责的调查表明,整个电子邮件归档的市场在不断增长,从2003年的19.7亿美金到2006年的99.4亿美金。如果不对电子邮件归档足够的重视,将会给企业带来很大的风险。
    本手册中TechTarget中国的特约专家讨论了电子邮件归档可用性,归档技巧应用,同时也介绍了一些电子归档产品。

  • 用于业务连续性的备选工作场所情况评估一览表

    Paul Kirvan在这里分享了可以用于评估未来的办公室或者短期或者长期使用的可正常运作的备用工作场所的《业务连续性情况评估一览表》。

  • 文件虚拟化技术手册

    文件虚拟化解决了许多NAS文件服务器的关键限制,这本技术手册将带领我们了解文件虚拟化的概念、产品和应用。

TechTarget

最新资源
  • 安全
  • 虚拟化
  • 网络
  • 服务器
  • 数据中心
  • 云计算
【TechTarget中国原创】

从近期的新闻报道中我们会看到,伴随着大量智能化设备今天可以经由互联网与其它设施通讯,这使得人们在不经意间被窥探,从而可能会招致令人厌恶的结果。例如今天的汽车可以通过内置的智能化设备与网络连接,以实现远程控制。

这便是我们谈到的物联网(IoT),它连接起具有嵌入式智能和通讯功能的一切。本文将探讨这方面的发展将会对你所在的企业带来哪些影响,为何说需要建立起物联网风险管理策略,以及如何调整业务连续性(BC)和灾难恢复(DR)规划来应对这些问题。

先来看两种工具:风险评估(Risk Assessment,简称RA)旨在识别出潜在的威胁和系统脆弱性;而业务影响分析(Business Impact Analysis,简称BIA)则可用以确定其对企业和组织在运营、财务、竞争,以及声誉方面的潜在影响。

从技术角度来看,最常见的风险源自于互联网接入的中断。今天绝大多数企业和组织严重依赖互联网接入,即便只有很短时间的断网都可能引发灾难性的损失。RA可以用以深入挖掘互联网接入设计方面的漏洞。例如单一的互联网服务提供商(ISP)可能会是主要的单点故障。这个问题可以通过引入使用不同基础设施的ISP,轻松加以解决。

在物联网风险评估中应该包含哪些内容?

假如从单纯的基础互联网访问提升至物联网管理风险,那么我们所采取的策略必须有所改变。从RA角度来看, 你需要有更广阔的视野才能找出被忽略的其它风险、威胁和漏洞。最好的办法是进行物联网风险评估。

在物联网风险评估中,连接到互联网上的所有设备都应逐一浏览检查,诸如桌面系统、笔记本电脑、打印机、扫描仪、复印机以及诸如传真机之类的办公设备;你还应该囊括数据中心内部、云端以及混合云的方式的联网设备;甚至连接的外部企业组织,如关键客户、供应商以及社交媒体。

接下来,你需要添加其它的系统,诸如闭路安全监控系统、物理访问控制系统(如IC卡)、HAVC系统、火灾探测与抑制系统、建筑照明系统、备用电源系统(如不间断电源和外部柴油发电机)、自动售货机、微波炉、咖啡机、智能手机、电子记事本、数码相机、内部电视系统、视频会议系统,甚至办公楼车库门控制设备。

在上述项目被纳入物联网风险管理评估中,你还需要识别其它一些潜在漏洞,以防被企业组织的内外部人员不法利用。

将上述要点串联起来可以有助于你找出内外部系统与个人之间未曾揭露出的关系。一旦找出潜在的威胁,下一步便是找出方法,预防其发生,并减轻其严重性。

在物联网风险实际发生之前加以抑制

与经验丰富的第三方合作,接受补救措施建议,如执法机构、地方或国家级的应急管理,以及接受过物联网风险管理专业培训的专家。

一旦明确了物联网威胁,那么需要用BIA流程来确定物联网中断对企业产生的影响。关键系统上出现的运营异常可能会损害企业的声誉。例如外部的代理机构可能会远程操控关键系统发送到客户的数据,从而导致系统故障并损害客户的业务。

如果有人或其他组织能够使用互联网擅自接管你企业的业务,这对你们的潜在影响巨大。今天,这些事件发生的频率比以往要高出许多,但是可以通过合适的物联网风险管理规划来加以防范。

确保网络周边的保护是最新的,并能够得以不断增强,这包括防火墙、入侵检测与预防系统、增强网络监控技术、以及防病毒、反垃圾邮件和反钓鱼软件。确保数据在存储和传输过程中都被加密。定期备份关键系统、虚拟机和其中的数据,以便能顺利恢复到初始环境。仔细筛选你的员工,想一下谁有能力使用物联网技术来破坏公司业务。

如果发生了在短时间难以解释的事故,最新的BC计划将通知员工、主要的企业利益相关者、执法机构、政府机构和其他人所应采取的步骤。这或许是在处理未知威胁时所能采取的最重要的BC行动。