如何更新災難恢復/業務連續性計劃策略
問:我們企業的“災難恢復/業務連續性”計劃已經過時了:假如發生了自然災害或者重大流行疾病,我們甚至沒有足夠的虛擬專用網絡(VPN)許可以供全部的員工進行遠程辦公。在我們考慮修改這些計劃時,您的建議至關重要。如果修改這些計劃需要技術方面的更新,我們又該如何說服管理層對這些技術更新進行投資呢?
答:對任何公司的安全管理人員來說,為未來可能發生的災難做好準備是值得的。你有這種意識,這一點值得贊揚。下面,我將介紹一些引起主管注意的方法,討論災難恢復應急計劃,然后回答你關于VPN許可的問題。
貴公司上一次進行企業級災難演習是什么時候?當然,我說的演習并不一定指的是一個全面而成熟的演習,即便只是一次圖上作業演習(Tabletop Exercise),也會是一個不錯的開始。我的懷疑是,你們最近可能根本沒有進行一次災難演習,所以現在就請進行一次更新現有文件、提升準備級別(preparedness level)的演習吧!
也許,你可以把關鍵的IT、業務和財務管理人員召集在一起,針對一次簡單但卻極具災難性的事件,進行一次為期半天的圖上作業演習。在一次圖上作業演習中,我假設(僅是作為示例場景)一場大火徹底燒毀了我們的總部大樓;而在另一次圖上作業演習中,假設的場景是一場疾病大流行導致人們生病或不能工作。在兩次演習的開始階段,我們都會向各個關鍵部門的經理提出一系列的問題,關于災難發生時他們會如何行動、如何進行應急處理,以及如何確保本職工作得以完成。
在火災演習中我們發現,除非我們在備用辦公地點的賬單打印機處備有另外一臺打印機,否則我們將無法在總部大樓的火災事件中打印賬單。在流行疾病演習中我們發現,雖然擁有了足夠的VPN許可,但我們沒有足夠的具有全硬盤加密的筆記本電腦可供遠程訪問,尤其是涉及敏感信息的時候,問題更加突出。
因此,要找出值得考慮的最重要的事情,我建議按照以下的步驟進行:
1.首先清查和收集已有的“災難恢復/業務連續性”計劃。
2.確定這些計劃和文件的狀態。它們是最新的嗎?關鍵人員的電話號碼、電子郵件地址等等聯系信息是最新的嗎?這些聯系信息與公司目前保存的信息是否一致?
3.你們是否留有當地FBI辦公室、警局、警長、州巡邏警或加拿大皇家騎警(Royal Canadian Mounted Police)等的聯系方式?此外,你們留有計算機應急反應小組(Computer Emergency Response Team)的聯系方式嗎?
4.如果你今天有緊急事件,能確保含有上述信息的文件是可用的、并能被立即分發給相關人員嗎?
如果貴公司已經完成了上述四個步驟,那么你們的準備情況將比我所工作過的大多數公司都好。然而,除此之外仍有許多工作要做。對此,演習能夠為我們提供足夠的幫助。
在演習中,一定要建立一個相應的事件情景(scenario),比如火災或流行疾病,并強制要求演習成員按照現有的應急預案來進行。對演習過程要做詳細的筆記,找出已有預案中的薄弱環節或能導致混亂和各自為政的地方。
演習結束后,立即與參演人員就本次演習進行討論。向他們詢問原有的計劃哪部分制定得好、哪部分運行正常、哪里還需要改進、改進的辦法是什么,以及他們各自代表的部門應該在整個“災難恢復/業務連續性”計劃中扮演什么樣的角色。然后,不能只是修改一下應急計劃就完事了,你還要每月開一次會,確保你和你的公司都能隨時應對各種災難。
最后,要吸取本行業或本國其他地方所發生的災難帶給人們的教訓。例如,卡特里娜颶風就能為你公司的災難應急計劃提供大量的災難情景。
【編輯推薦】
