從近期的新聞報道中我們會看到，伴隨著大量智能化設備今天可以經由互聯網與其它設施通訊，這使得人們在不經意間被窺探，從而可能會招致令人厭惡的結果。例如今天的汽車可以通過內置的智能化設備與網絡連接，以實現遠程控制。

這便是我們談到的物聯網（IoT），它連接起具有嵌入式智能和通訊功能的一切。本文將探討這方面的發展將會對你所在的企業帶來哪些影響，為何說需要建立起物聯網風險管理策略，以及如何調整業務連續性（BC）和災難恢復（DR）規劃來應對這些問題。

先來看兩種工具：風險評估（Risk Assessment，簡稱RA）旨在識別出潛在的威脅和系統脆弱性；而業務影響分析（Business Impact Analysis，簡稱BIA）則可用以確定其對企業和組織在運營、財務、競爭，以及聲譽方面的潛在影響。

從技術角度來看，最常見的風險源自于互聯網接入的中斷。今天絕大多數企業和組織嚴重依賴互聯網接入，即便只有很短時間的斷網都可能引發災難性的損失。RA可以用以深入挖掘互聯網接入設計方面的漏洞。例如單一的互聯網服務提供商（ISP）可能會是主要的單點故障。這個問題可以通過引入使用不同基礎設施的ISP，輕松加以解決。

在物聯網風險評估中應該包含哪些內容？

假如從單純的基礎互聯網訪問提升至物聯網管理風險，那么我們所采取的策略必須有所改變。從RA角度來看， 你需要有更廣闊的視野才能找出被忽略的其它風險、威脅和漏洞。最好的辦法是進行物聯網風險評估。

在物聯網風險評估中，連接到互聯網上的所有設備都應逐一瀏覽檢查，諸如桌面系統、筆記本電腦、打印機、掃描儀、復印機以及諸如傳真機之類的辦公設備；你還應該囊括數據中心內部、云端以及混合云的方式的聯網設備；甚至連接的外部企業組織，如關鍵客戶、供應商以及社交媒體。

接下來，你需要添加其它的系統，諸如閉路安全監控系統、物理訪問控制系統（如IC卡）、HAVC系統、火災探測與抑制系統、建筑照明系統、備用電源系統（如不間斷電源和外部柴油發電機）、自動售貨機、微波爐、咖啡機、智能手機、電子記事本、數碼相機、內部電視系統、視頻會議系統，甚至辦公樓車庫門控制設備。

在上述項目被納入物聯網風險管理評估中，你還需要識別其它一些潛在漏洞，以防被企業組織的內外部人員不法利用。

將上述要點串聯起來可以有助于你找出內外部系統與個人之間未曾揭露出的關系。一旦找出潛在的威脅，下一步便是找出方法，預防其發生，并減輕其嚴重性。

在物聯網風險實際發生之前加以抑制

與經驗豐富的第三方合作，接受補救措施建議，如執法機構、地方或國家級的應急管理，以及接受過物聯網風險管理專業培訓的專家。

一旦明確了物聯網威脅，那么需要用BIA流程來確定物聯網中斷對企業產生的影響。關鍵系統上出現的運營異常可能會損害企業的聲譽。例如外部的代理機構可能會遠程操控關鍵系統發送到客戶的數據，從而導致系統故障并損害客戶的業務。

如果有人或其他組織能夠使用互聯網擅自接管你企業的業務，這對你們的潛在影響巨大。今天，這些事件發生的頻率比以往要高出許多，但是可以通過合適的物聯網風險管理規劃來加以防范。

確保網絡周邊的保護是最新的，并能夠得以不斷增強，這包括防火墻、入侵檢測與預防系統、增強網絡監控技術、以及防病毒、反垃圾郵件和反釣魚軟件。確保數據在存儲和傳輸過程中都被加密。定期備份關鍵系統、虛擬機和其中的數據，以便能順利恢復到初始環境。仔細篩選你的員工，想一下誰有能力使用物聯網技術來破壞公司業務。

如果發生了在短時間難以解釋的事故，最新的BC計劃將通知員工、主要的企業利益相關者、執法機構、政府機構和其他人所應采取的步驟。這或許是在處理未知威脅時所能采取的最重要的BC行動。