若負責組織裡資安的關鍵成員感染了生物病毒,可能導致企業重創。本文介紹具體作法以幫助你降低這方面的風險。
文/CSO資深主筆 J.M. Porup‧譯/Nica
避免最重要的核心故障或被感染非常重要!
資訊安全基本宗旨不僅適用系統與網路上,還含括疫情爆發期間的員工個人。重要網路安全成員往往是企業基礎架構唯一知情者,其中含括身份驗證(credentials)。若COVID-19造成關鍵資安成員長期失去工作能力,甚至更糟的狀況,該怎麼辦?
雖然任何個人因COVID-19最終落入加護病房的機率不大,但員工人數多到一定程度就無可避免成為企業重症。確保不因個人缺席致使企業營運停頓,同樣是每位資安領導者的要務。
任職於金融服務公司的企業永續規劃(BCP)經理人表示:「規劃疫情爆發的強制對策或許令人沮喪,但還是得評估各個職位的現有員工,確認應變模式下能夠安全營運的程度。」(該經理人要求不具名,因為他們無權向媒體透露這些。)
技術力的備援與訊息的掌握:包括身份驗證、處理程序與專案狀態更新,是讓資安團隊及組織安度這場風暴的必要條件。採取以下四個動作做好準備:
1. 記下這些密碼
資安同仁通常握有「王國之鑰」(keys to the kingdom)。確保可以存取這些金鑰的不只一人,或當主鑰擁有者失去行動能力時,有人能很快存取這些金鑰。
發展成熟的企業組織,或許會利用外掛鑑別模組(pluggable authentication modules, PAM)達到這個目標,又或者較小型的企業組織會使用LastPass或KeePass這類共享密碼庫,甚至使用紙本筆記簿安全存放也可以。
別忘了多因子認證(multi-factor authentication, MFA)備份。確保多人持有軟性驗證token或U2F金鑰。若失能員工無法解鎖他們的電話或告知其Yubikeys位置時,這些共享密碼就派不上用場。
2. 記錄當下專案狀態
確保在這樣克難環境下作業的員工,頻繁記下當時狀態,並與其他團隊成員分享訊息。當關鍵員工倒下,你需要另一個能把球撿起來繼續往前跑的人。
「員工記錄專案與進行中的活動也很重要,理想上應該放在共享位置(在適切隱私權與機敏性限制的前提下)」晶片製造商AMD的安全營運經理 David Longenecker 提出此建議。「訓練員工在這個文件中納入聯絡要點。不僅有助於團隊成員對正在進行的工作保持追蹤,也可以為意外接手的人提供起點。」(Longenecker強調這是他個人的做法,不代表AMD立場。)
3. 檢查營運永續規劃(COOP)
備援、備援、備援!除了備援,還是備援!
每項重要職務,都要確保緊要關頭有一人以上能夠頂替作業。聯邦緊急事務管理署的災後援助指南(FEMA guidelines)在這方面提供了紮實的通用性建議,即便你不是網路安全專業專家也能夠採用。
[ 加入 CIO Taiwan 官方 LINE 與 FB ,與全球CIO同步獲取精華見解 ]
「所有營運永續規劃(continuity of operations plan, COOP)、每份災後援助指南,都該有接任規劃,」馬里蘭大學健康暨國土安全中心(CHHS)的公共政策與對外事務專案總監 Ben Yelin 如此說明。「每個必要職務,都應有一個主要員工,與至多三名可以在主要員工無法工作時上場的備援員工。COOP計畫處理程序其中一部份,就是應該確保備援員工具備與主要問責該職務者相同的『組織知識』。」
【譯註:組織知識(institutional knowledge)是組織隨時間發展所累積的經驗,例如:一位業務主管還記得20年前讓某銷售計畫非常成功的原因。】
「當然,」Yelin補充道:「說得比做得容易。許多企業組織遭遇的狀況是只有一個員工擁有適切的專案技能與身份驗證。整套永續計畫所有重點都是要確保緊急狀況期間,這些備援都處於該在的位置。」
4. 工作輪調與影子實習
採取具體步驟將這些備援安放在適當位置。最好的情況下會建議工作輪調與影子實習(Job shadowing,讓實習者形影不離地貼身學習),這是馬上就能採用的具體、明確的手段,Longenecker如此說。
「我會親自挑選坐在會議室裡的員工進行決策,因此他們會熟悉關鍵程序的處理方式,」Longenecker表示。「這麼一來,當他們臨時收到通知必須處理時,就不會覺得無所適從。」
COVID-19疫情在全球仍難以掌控,而且在一切好轉之前可能會更糟。做好面對困境的準備,讓你的團隊盡可能密切合作、強化協同作業,是在這場災難下倖存的關鍵。
「我直接面對處理這場難題,所以提供的是來自第一線的觀點。」Longenecker表示。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
