从近期的新闻报道中我们会看到,伴随着大量智能化设备今天可以经由互联网与其它设施通讯,这使得人们在不经意间被窥探,从而可能会招致令人厌恶的结果。例如今天的汽车可以通过内置的智能化设备与网络连接,以实现远程控制。
这便是我们谈到的物联网(IoT),它连接起具有嵌入式智能和通讯功能的一切。本文将探讨这方面的发展将会对你所在的企业带来哪些影响,为何说需要建立起物联网风险管理策略,以及如何调整业务连续性(BC)和灾难恢复(DR)规划来应对这些问题。
先来看两种工具:风险评估(Risk Assessment,简称RA)旨在识别出潜在的威胁和系统脆弱性;而业务影响分析(Business Impact Analysis,简称BIA)则可用以确定其对企业和组织在运营、财务、竞争,以及声誉方面的潜在影响。
从技术角度来看,最常见的风险源自于互联网接入的中断。今天绝大多数企业和组织严重依赖互联网接入,即便只有很短时间的断网都可能引发灾难性的损失。RA可以用以深入挖掘互联网接入设计方面的漏洞。例如单一的互联网服务提供商(ISP)可能会是主要的单点故障。这个问题可以通过引入使用不同基础设施的ISP,轻松加以解决。
在物联网风险评估中应该包含哪些内容?
假如从单纯的基础互联网访问提升至物联网管理风险,那么我们所采取的策略必须有所改变。从RA角度来看, 你需要有更广阔的视野才能找出被忽略的其它风险、威胁和漏洞。最好的办法是进行物联网风险评估。
在物联网风险评估中,连接到互联网上的所有设备都应逐一浏览检查,诸如桌面系统、笔记本电脑、打印机、扫描仪、复印机以及诸如传真机之类的办公设备;你还应该囊括数据中心内部、云端以及混合云的方式的联网设备;甚至连接的外部企业组织,如关键客户、供应商以及社交媒体。
接下来,你需要添加其它的系统,诸如闭路安全监控系统、物理访问控制系统(如IC卡)、HAVC系统、火灾探测与抑制系统、建筑照明系统、备用电源系统(如不间断电源和外部柴油发电机)、自动售货机、微波炉、咖啡机、智能手机、电子记事本、数码相机、内部电视系统、视频会议系统,甚至办公楼车库门控制设备。
在上述项目被纳入物联网风险管理评估中,你还需要识别其它一些潜在漏洞,以防被企业组织的内外部人员不法利用。
将上述要点串联起来可以有助于你找出内外部系统与个人之间未曾揭露出的关系。一旦找出潜在的威胁,下一步便是找出方法,预防其发生,并减轻其严重性。
在物联网风险实际发生之前加以抑制
与经验丰富的第三方合作,接受补救措施建议,如执法机构、地方或国家级的应急管理,以及接受过物联网风险管理专业培训的专家。
一旦明确了物联网威胁,那么需要用BIA流程来确定物联网中断对企业产生的影响。关键系统上出现的运营异常可能会损害企业的声誉。例如外部的代理机构可能会远程操控关键系统发送到客户的数据,从而导致系统故障并损害客户的业务。
如果有人或其他组织能够使用互联网擅自接管你企业的业务,这对你们的潜在影响巨大。今天,这些事件发生的频率比以往要高出许多,但是可以通过合适的物联网风险管理规划来加以防范。
确保网络周边的保护是最新的,并能够得以不断增强,这包括防火墙、入侵检测与预防系统、增强网络监控技术、以及防病毒、反垃圾邮件和反钓鱼软件。确保数据在存储和传输过程中都被加密。定期备份关键系统、虚拟机和其中的数据,以便能顺利恢复到初始环境。仔细筛选你的员工,想一下谁有能力使用物联网技术来破坏公司业务。
如果发生了在短时间难以解释的事故,最新的BC计划将通知员工、主要的企业利益相关者、执法机构、政府机构和其他人所应采取的步骤。这或许是在处理未知威胁时所能采取的最重要的BC行动。
本文转自d1net(转载)