企業BC/DR勿忘IoT風險管理

從近期的新聞報道中我們會看到，伴随着大量智能化裝置今天可以經由網際網路與其它設施通訊，這使得人們在不經意間被窺探，進而可能會招緻令人厭惡的結果。例如今天的汽車可以通過内置的智能化裝置與網絡連接配接，以實作遠端控制。

這便是我們談到的物聯網（iot），它連接配接起具有嵌入式智能和通訊功能的一切。本文将探讨這方面的發展将會對你所在的企業帶來哪些影響，為何說需要建立起物聯網風險管理政策，以及如何調整業務連續性（bc）和災難恢複（dr）規劃來應對這些問題。

先來看兩種工具：風險評估（risk assessment，簡稱ra）旨在識别出潛在的威脅和系統脆弱性；而業務影響分析（business impact analysis，簡稱bia）則可用以确定其對企業群組織在營運、财務、競争，以及聲譽方面的潛在影響。

從技術角度來看，最常見的風險源自于網際網路接入的中斷。今天絕大多數企業群組織嚴重依賴網際網路接入，即便隻有很短時間的斷網都可能引發災難性的損失。ra可以用以深入挖掘網際網路接入設計方面的漏洞。例如單一的網際網路服務提供商（isp）可能會是主要的單點故障。這個問題可以通過引入使用不同基礎設施的isp，輕松加以解決。

在物聯網風險評估中應該包含哪些内容？

假如從單純的基礎網際網路通路提升至物聯網管理風險，那麼我們所采取的政策必須有所改變。從ra角度來看， 你需要有更廣闊的視野才能找出被忽略的其它風險、威脅和漏洞。最好的辦法是進行物聯網風險評估。

在物聯網風險評估中，連接配接到網際網路上的所有裝置都應逐一浏覽檢查，諸如桌面系統、筆記本電腦、列印機、掃描器、影印機以及諸如傳真機之類的辦公裝置；你還應該囊括資料中心内部、雲端以及混合雲的方式的聯網裝置；甚至連接配接的外部企業組織，如關鍵客戶、供應商以及社交媒體。

接下來，你需要添加其它的系統，諸如閉路安全監控系統、實體通路控制系統（如ic卡）、havc系統、火災探測與抑制系統、建築照明系統、備用電源系統（如不間斷電源和外部柴油發電機）、自動售貨機、微波爐、咖啡機、智能手機、電子記事本、數位相機、内部電視系統、視訊會議系統，甚至辦公樓車庫門控制裝置。

在上述項目被納入物聯網風險管理評估中，你還需要識别其它一些潛在漏洞，以防被企業組織的内外部人員不法利用。

将上述要點串聯起來可以有助于你找出内外部系統與個人之間未曾揭露出的關系。一旦找出潛在的威脅，下一步便是找出方法，預防其發生，并減輕其嚴重性。

在物聯網風險實際發生之前加以抑制

與經驗豐富的第三方合作，接受補救措施建議，如執法機構、地方或國家級的應急管理，以及接受過物聯網風險管理專業教育訓練的專家。

一旦明确了物聯網威脅，那麼需要用bia流程來确定物聯網中斷對企業産生的影響。關鍵系統上出現的營運異常可能會損害企業的聲譽。例如外部的代理機構可能會遠端操控關鍵系統發送到客戶的資料，進而導緻系統故障并損害客戶的業務。

如果有人或其他組織能夠使用網際網路擅自接管你企業的業務，這對你們的潛在影響巨大。今天，這些事件發生的頻率比以往要高出許多，但是可以通過合适的物聯網風險管理規劃來加以防範。

確定網絡周邊的保護是最新的，并能夠得以不斷增強，這包括防火牆、入侵檢測與預防系統、增強網絡監控技術、以及防病毒、反垃圾郵件和反釣魚軟體。確定資料在存儲和傳輸過程中都被加密。定期備份關鍵系統、虛拟機和其中的資料，以便能順利恢複到初始環境。仔細篩選你的員工，想一下誰有能力使用物聯網技術來破壞公司業務。

如果發生了在短時間難以解釋的事故，最新的bc計劃将通知員工、主要的企業利益相關者、執法機構、政府機構和其他人所應采取的步驟。這或許是在處理未知威脅時所能采取的最重要的bc行動。

本文轉自d1net（轉載）