在可能成为史上最广泛的全球信息技术故障之一之后,各组织正重新将重点放在应对可能产生连锁效应的旧漏洞上。
这并不是唯一一次占据头条的 IT 故障,但它可能是近期历史上最大的一次,而这一切都源于一次例行软件更新导致旨在保护用户免受网络漏洞侵害的系统更新失败。
就在上周,微软 Windows 用户发现自己无法访问各种应用程序和服务,导致从机场航站楼、购物中心到全球银行等各行各业的业务流程严重中断。就连伦敦证券交易所和新罕布什尔州安全部也报告了一些服务中断事件。
对于大多数个人电脑用户来说,新的软件更新很可能是解决故障的办法,有些用户会自动更新,有些用户则需要手动更新。但对所有人来说,微软的这次故障都是一个严酷的警钟,警示我们需要更强大的业务连续性战略和第三方风险管理(TPRM)策略。
微软故障对全球的持续影响
停电影响的规模和范围是巨大的,包括但不限于
- 911 线路中断
- 广播中断
- 停飞航班
单一软件更新的连带效应进一步凸显了我们所看到的日益复杂的相互关联的第三方风险因素。或者,正如英国国家网络安全中心前首席执行官、牛津大学布拉瓦特尼克政府学院教授恰兰-马丁(Ciaran Martin)在《纽约时报》的一篇文章中所说:"这非常、非常令人不安地说明了世界核心互联网基础设施的脆弱性"。
当你要应对的不仅是外部网络攻击,还有内部代码中断时,你可能很难知道首先要去哪里找。电话从内部和周围打来,但现在不是挂断电话或躲在角落里的时候。相反,是时候更好地掌握第三方风险管理、运营依赖性、补救策略和业务连续性计划了。
业务连续性计划 (BCP) 中的提醒和经验教训
业务连续性计划的目标始终是在发生灾难或重大中断期间和之后,最大限度地减少对运营、员工和客户的影响。该计划应考虑并准备解决以下问题:
- 系统宕机:如果应用程序和服务的访问中断了许多企业的日常运营,导致延误、生产率下降和潜在损失,您是否有相应的计划?
- 声誉受损:在此类事件中,您能否以透明、有效的方式进行沟通,以保持与客户和利益相关者的信任?
- 监管合规:您能否向监管机构展示尽职调查和准备工作?
BCP 的关键要素:从这里开始规划
您的业务连续性计划应包含三个基本要素:
- 风险评估和业务影响分析 (BIA):微软的故障说明了了解对 IT 系统的依赖性及其故障可能造成的后果的重要性。识别潜在风险及其对业务运营的连带影响至关重要。
- 恢复策略:制定尽快恢复业务功能的计划,包括备份系统、替代工作安排和明确的沟通计划。
- 计划制定和测试:制定详细的应对计划是第一步。然后,您需要定期对其进行测试,以确保其持续有效性。
不要忘记第三方风险管理 (TPRM)!
随着企业越来越多地依赖外部供应商提供关键服务,识别、评估和控制与这种外包相关的风险变得更加微妙。通过以下方法,您可以在第三方风险管理方面领先一步:
- 供应商风险评估和尽职调查:评估第三方供应商带来的潜在风险,了解供应链中所有供应商的风险状况。
- 合同保障:确保与供应商签订的合同中包含业务连续性和灾难恢复条款。这包括服务水平协议 (SLA),其中规定了故障情况下的响应时间和补救流程。
- 持续监控:定期监控第三方供应商的性能和安全措施。持续评估有助于在风险演变成重大问题之前识别和降低风险。
- 应急计划:尽管进行了全面的风险评估并采取了预防措施,但自然灾害或基础设施故障等意外事件可能会扰乱第三方的运营,并给组织带来重大风险。风险专业人员必须制定应急计划和业务连续性战略,以减轻此类中断的影响。应急计划包括确定替代供应商、建立冗余系统和实施恢复程序,以确保发生危机时业务的连续性。
- 流动资金规划:就像您的应急行动计划一样,通过战略性地分配资金,确保您在生产受到影响时不会面临财务限制。一种方法是量化这些风险,并模拟风险价值(不应超过您的风险承担能力)。
- 利益相关者沟通:有效的沟通能促进第三方风险管理工作的透明度和协作性。风险专业人员应与内部利益相关者、第三方供应商、监管机构和其他相关方保持开放的沟通渠道。透明的沟通有利于信息交流,提高风险意识,并能对新出现的威胁或问题做出迅速反应。
我们学到了什么?
确保您的业务连续性计划和第三方风险管理框架的稳健性和时效性,可以大大降低运营风险,帮助您的团队有效地渡过中断期。随着技术的不断发展,保障业务运营免受意外事件影响的策略也必须与时俱进。
主要启示很明确:在一个相互联系的世界中,积极规划和警惕的风险管理对于保持企业的应变能力至关重要。
我们的重点是什么?您的成功。
预约演示,或进一步了解 Mitratech 的产品、服务和承诺。
