Bewältigung der BYOD- und Cloud-Herausforderungen bei Business Continuity-Plänen

In Teil eins dieser zweiteiligen Reihe habe ich vier Bereiche untersucht, in denen sich die Business Continuity Planning (BCP) aufgrund des Wachstums von BYOD- und Cloud-Diensten verändert hat:

  • Verteilung von Daten auf eine wachsende Anzahl von Geräten, die nicht direkt von der IT verwaltet werden
  • Haftungsverwirrung
  • Änderungen an der Verwaltung von MTPOD
  • Erweiterung der Reaktion auf Vorfälle

In diesem Artikel untersuchen wir administrative und technische Lösungen, die nützlich sind, um die schrittweise Schwächung Ihres BCP aufgrund von Änderungen bei der sicheren Erfassung, Verarbeitung und Bereitstellung von Informationen rückgängig zu machen.

Risikomanagement

Das Risikomanagement ist die Grundlage der Sicherheit: einschließlich der Verfügbarkeit. Viele Unternehmen führen bei der Implementierung neuer Lösungen Risikobewertungen durch. Oft werden lösungsabhängige Richtlinien, Prozesse und Systeme jedoch erst nach einem Audit oder wenn ein größeres Upgrade erforderlich ist, erneut überprüft. Angesichts des rasanten Wachstums von BYOD- und Cloud-Diensten müssen Unternehmen jetzt alle kritischen Systeme und die damit verbundenen vertraulichen Daten genau untersuchen, um festzustellen, wie sich das Risiko (nicht wenn) geändert hat.

Risikobewertungen umfassen normalerweise 10 Schritte (Olzak, 2012). BYOD- und Cloud-Dienste wirken sich direkt auf die ersten vier aus:

  1. Systemdefinition . Um ein System zu definieren, müssen alle Eintrittspunkte, Austrittspunkte, Datenkanäle und die Integrität von Datenelementen untersucht werden. In herkömmlichen Systemen wurden diese Zugriffs- und Kontrollvektoren sowohl am Endbenutzer- als auch am Rechenzentrumsende streng kontrolliert. Heute können BYOD- und Cloud-Service-Provider (CSPs) die Kontrolle weitgehend von der IT auf Mitarbeiter und CSP-Mitarbeiter übertragen. Stellen Sie bei der Definition eines Systems während einer Risikobewertung die folgenden Fragen:
    • Welche Geräte im Besitz von Mitarbeitern (dh Smartphones, Tablets, Laptops und Desktops) dürfen eine Verbindung herstellen?
    • Wie verwalten wir die Angriffsfläche, die durch externe Netzwerk- / Gerätekonnektivität erstellt wird?
    • Wie erzwingen wir Sicherheitsrichtlinien, einschließlich Einschränkungen bei der Datenverschiebung, basierend auf dem Wer-Was-Wann-Wo-Wie-Warum (Attribut-basierte Zugriffskontrolle) von BYOD- oder Cloud-Verbindungen?
    • Welche vor- und nachgelagerten Prozesse sind betroffen, wenn ein Prozess aufgrund von Cloud- oder BYOD-Problemen ausfällt? (Siehe Systemabhängigkeitszuordnung unter Die Elemente der Geschäftskontinuitätsplanung .)
  2. Bedrohungsidentifikation . Jede Informationsressource oder Sammlung von Ressourcen ist ein potenzielles Ziel für eine oder mehrere Bedrohungen. Geräte im Besitz von Mitarbeitern und CSP bieten zusätzliche Angriffsflächen, die sich häufig außerhalb unserer direkten Kontrolle befinden. Dies kann die Schwachstellenlandschaft unseres Netzwerks erhöhen. Fügen Sie der Liste der wahrscheinlichen Bedrohungen Ihres Unternehmens diejenigen hinzu, die nur für mobile Geräte und Consumer-Betriebssysteme gelten.
  3. Identifizierung von Sicherheitslücken. Wie bei Bedrohungen muss Ihre Liste der Sicherheitslücken diejenigen enthalten, die auf Smartphones und Tablets gefunden wurden. Ohne eine vollständige Liste ist es unmöglich, das Risiko gemeinsamer Angriffspfade genau einzuschätzen.
  4. Angriffspfad steuert die Bewertung. Das Risiko wird weitgehend dadurch bestimmt, dass potenzielle Angriffe durchlaufen werden und festgestellt wird, ob relevante Sicherheitslücken bestehen. Darüber hinaus muss der Analyst die Auswirkungen bestehender oder vorgeschlagener Kontrollen auf die erfolgreiche Ausnutzung von Sicherheitslücken berücksichtigen. Pre-BYOD- und CSP-Sicherheitskontrollinfrastrukturen sind häufig nicht richtig konfiguriert, um neue Angriffspfade einzuschließen. In einigen Fällen fehlen möglicherweise einfach die richtigen Steuerelemente. Eine genaue Bewertung der Angriffspfadsteuerung liefert den Aktionsplan, der zur Risikominderung erforderlich ist. Die obigen Schritte zwei und drei müssen sorgfältig ausgeführt werden, um die Angriffspfadrisiken genau einschätzen zu können.

Richtlinien und Prozesse

Bestehende Richtlinien konzentrieren sich wahrscheinlich immer noch auf traditionelle Zugriffs- und Nutzungsmodelle. BYOD-Standards und -Richtlinien für die akzeptable Nutzung, sowohl für Endbenutzer als auch für die IT-Sicherheit, bleiben weit hinter der tatsächlichen Nutzung zurück. Dies benachteiligt Management und IT, wenn versucht wird, die Vielzahl der von Mitarbeitern und Managern geforderten Geräte und Betriebssysteme konsistent und sicher umzusetzen. Ein Beispiel für eine BYOD-Richtlinie finden Sie in der BYOD-Richtlinie (Bring Your Own Device) von TechRepublic.

BYOD-Richtlinien müssen enthalten, welche Daten sich auf verschiedenen Gerätetypen befinden können. Darüber hinaus sollten sie unterschiedliche Einschränkungen für die Zugriffssteuerung festlegen, je nachdem, welches Endbenutzergerät verwendet wird, wo der Mitarbeiter das Gerät verwendet, wann der Zugriff angefordert wird usw. Dies wird als attributbasierte Zugriffssteuerung bezeichnet. Weitere Informationen finden Sie unter ABAC (Attribute Based Access Control) .

Business Continuity Planning (BCP)

Neben Änderungen im Risikomanagement und dem akzeptablen Einsatz neuer Technologien erzwingen zusätzliche Planungsdimensionen Überlegungen zu neuen Business Continuity Events (BCE): Anpassungen an MTPOD-Variablen, Redundanz und Sicherungen.

MTPOD-Variablen

MTPOD ist die Gesamtzeit, die ein Prozess von einem BCE unterbrochen werden kann, bevor eine Organisation irreparablen Schaden erleidet. Abbildung A aus meinem letzten Beitrag zur BCP-Planung zeigt die verschiedenen Komponenten der BCE-Wiederherstellung. Das Element, das am stärksten von Cloud-Diensten oder BYOD betroffen ist, ist die RTO. RTO ist die Zeit, die für die Wiederherstellung ausgefallener Infrastruktur oder verlorener / beschädigter Daten erforderlich ist.

Abbildung A.

BYOD RTO

BYOD-Fehler verursachen häufig keinen vollständigen Prozessfehler. Stattdessen führen sie dazu, dass ein oder mehrere Mitarbeiter ihre Geschäftsaufgaben nicht ausführen können. Ein Prozessfehler hängt sowohl mit dem Verlust wichtiger Informationen zusammen, die nur auf dem Endbenutzergerät verfügbar sind, als auch mit der Unfähigkeit des Benutzers, Geschäftsanwendungen zu erreichen. Darüber hinaus wird das Nichterreichen von Geschäftsanwendungen häufig dadurch verursacht, dass ein BYOD-Gerät eine Konformitätsprüfung oder Einschränkungen bei der Zugriffskontrolle nicht besteht. BCP erfordert die Berücksichtigung aller Herausforderungen, denen sich BYOD-Benutzer gegenübersehen.

Eines der wichtigsten Probleme ist die Sicherung verteilter Daten. Herkömmliche Sicherungslösungen unterstützen normalerweise nicht BYOD, jederzeit und überall Zugriff und verteilte Daten auf viele verschiedene Gerätetypen. Neue Cloud-Lösungen beseitigen diese Einschränkungen und führen zu Backups auf Smartphones, Laptops, Tablets usw. Ein Beispiel für eine Cloud-basierte Backup-Lösung finden Sie auf der Asigra-Website.

Unabhängig davon, ob Geräte in Privat- oder Firmenbesitz verwendet werden, müssen Unternehmen die Geschäftsrichtlinien, einschließlich Einschränkungen für die Zugriffskontrolle, einhalten und gleichzeitig den Mitarbeiterzugriff ermöglichen. Aufgrund von BYOD- und Cloud-Diensten bieten häufig bereitgestellte RBAC und NAC nicht immer eine ausreichende Konformitätsprüfung und -auflösung. Auch hier helfen neue Lösungen bei der Überwindung dieser Probleme mit der attributbasierten Zugriffskontrolle und dem Geräte-Compliance-Management. MobileIron und Good Technology sind führend auf dem BYOD- und Mobilgeräte-Markt und bieten Steuerungen für BYOD- und organisationseigene Geräte.

Systemredundanz

Ein Ansatz für mittlere und große Unternehmen ist die Implementierung redundanter Server für Leistung und Failover. Wenn ein Server ausfällt, ist ein anderer bereit, schnell zu übernehmen. Dies reduziert die RTO erheblich. Server werden jedoch aus dem internen Rechenzentrum verschoben, wenn CSPs die Kontrolle übernehmen. Wie können Sie eine ausreichende Redundanz der Systeme in der Cloud sicherstellen, die kritische Geschäftsprozesse unterstützen?

In einem Artikel von Network World listet Apurva Dave drei Tipps zum Überleben eines Cloud-Ausfalls auf:

  • Gleichgewicht zwischen Verfügbarkeitszonen . Verfügbarkeitszonen helfen nicht nur bei Ausfällen, sondern können auch die Leistung verbessern. Ein Beispiel ist die EC2-Lösung von Amazon.
  • Wolkenbalance . Anstatt einem einzelnen CSP die Verwaltung aller Server zu ermöglichen, sollten Sie zwei oder mehr Anbieter zum Hosten Ihres IaaS, PaaS oder SaaS verwenden.
  • Unterstützen Sie CSPs mit einer privaten Cloud . Halten Sie eine private Cloud bereit, die übernommen werden kann, wenn die von CSP gehosteten Dienste ausfallen. Dies kann in Form einer Hybrid-Cloud erfolgen, bei der sowohl die interne als auch die CSP-Cloud zusammenarbeiten und die maximale Leistung beibehalten, bis eine ausfällt.

Die Aufrechterhaltung der Redundanz kann dazu führen, dass die Kosten für Cloud Computing die Kosten für das Hosting interner Rechenzentren gefährlich nahe kommen. Eine gute Risikobewertung umfasst jedoch eine Kosten-Nutzen-Analyse. Es kann Kosten geben, die nicht direkt mit Verwaltungssoftware und -hardware zusammenhängen und die Cloud-Redundanz zu einer guten Idee für Ihr Unternehmen machen.

Eine Möglichkeit, die Kosten niedrig zu halten, besteht darin, sicherzustellen, dass die RTO des CSP im Cloud-Servicevertrag klar definiert ist. Incident-Response-Tests mit internen und CSP-Mitarbeitern sind ein guter Weg, um sicherzustellen, dass der CSP in der Lage ist, Dienste innerhalb der RTO wiederherzustellen. Die nach jedem Test durchgeführte Ursachenanalyse kann zur Verbesserung der Wiederherstellungszeiten beitragen. Stellen Sie sicher, dass Ihre Servicevereinbarung Sanktionen zum Beenden der Vereinbarung oder zur Behebung von Wiederherstellungsfehlern enthält (für Sie kostenlos), wenn der CSP Ihre Erwartungen an die Wiederherstellungszeit nicht konsequent erfüllt.

Haftung verwalten

Das Erkennen der Haftung bei Ausfall eines Glieds in der Lieferkette und das Implementieren von Geschäftsgarantien als Teil eines Servicevertrags sind wichtige Bestandteile der Verwaltung von Cloud-Services. Wenn ein CSP beispielsweise die Auftragserfüllungsabwicklung verwaltet, wer ist dann finanziell betroffen, wenn Kunden während eines Ausfalls des Auftragserfüllungssystems kein Produkt erhalten? Beachten Sie, dass Kunden auch Organisationen sein können, die gegenüber ihren eigenen Kunden für die Bereitstellung von Produkten und Dienstleistungen verantwortlich sind, abhängig von Ihrem Anteil an ihrer Lieferkette.

Laut Roberta J. Witty, Research Vice President bei Gartner, besteht eine Möglichkeit, sich zu schützen, darin, eine Eventual Business Liability Insurance (CBII) abzuschließen. CBII ist eine Ergänzung zur Betriebsunterbrechungsversicherung. Es kann dazu dienen, CSP-Kunden den Verlust von Einnahmen oder Maßnahmen zu erstatten, die von vorgelagerten Empfängern Ihrer abhängigen Produkte und Dienstleistungen ergriffen wurden. Auf den ersten Blick scheint dies eine ungerechtfertigte Ausgabe zu sein. Die Alternative besteht jedoch darin, Ihren CSP für die Verluste Ihres Unternehmens bezahlen zu lassen, bevor er irreparablen Schaden erleidet.

Witty beschreibt auch andere Methoden, die für die finanzielle Sanierung nützlich sind, einschließlich zivilrechtlicher Maßnahmen und Haftungspools, die durch die Rückstellung von Dollars für BCE-bezogene Ausgaben entstehen. Unabhängig davon, wie Sie dies verwalten, stellen Sie sicher, dass Ihre Risikobewertung die damit verbundenen Risiken identifiziert, damit das Management fundierte Entscheidungen über die Minderung treffen kann.

Zusammenfassung

BYOD- und Cloud-Dienste haben BCP um zusätzliche Überlegungen erweitert. Anpassungen unserer Risikobewertungen sind jedoch ein guter erster Schritt, um die Lücke zwischen dem bestehenden Risiko und dem vom Management erwarteten Risiko zu schließen.

Änderungen an den Sicherheitskontrollen beinhalten Einschränkungen bei der Verteilung von Daten. Erwägen Sie, den Zugriff und die Verteilung von BYOD-Daten auf eine attributbasierte Zugriffssteuerung zu stützen, um eine genauere Steuerung zu erhalten.

Redundanz und Backups für BYOD- und Cloud-Dienste erfordern neue Sichtweisen auf den Schutz der Daten- und Systemkontinuität. Backup-Anbieter und viele CSPs bieten Lösungen für den Wechsel von auf Rechenzentren ausgerichteten Steuerelementen.

Wir können nicht alle Fehler verhindern, daher ist häufig ein Risikotransfer erforderlich. CBII bietet die Möglichkeit, sicherzustellen, dass unsere Unternehmen keinen finanziellen Schaden erleiden, wenn ein kritischer Cloud-Service ausfällt.

© Copyright 2021 | pepebotifarra.com