迎接运维韧性新规!欧盟NIS2指令、DORA法案、英国网络安全法案齐发。告别手动低效,拥抱AI驱动的统一平台,简化服务所有权,实现及时报告和信息共享,加强外部风险可见性,简化文档管理。自动化Runbook、生成式AI助力ITSM/ITOps,构建法规准备就绪性!
译自:Are You Ready for New Regulations on Ops Resilience?
作者:Joseph Mandros
我们比以往任何时候都更依赖数字技术来获取日常使用的服务。与此同时,这些服务也经历了更频繁的中断,影响客户的事件同比增加了 12.5%。
事件通常始于错误的推送、网络攻击或数字管道中的故障。监管机构呢?他们肯定注意到了中断的激增。作为回应,他们正在推出更多规则来提高韧性,因为当银行、教育或医疗保健等基本服务中断时,连锁反应可能是巨大的。一次中断可能会迅速蔓延,导致运行在相同技术基础上的其他关键系统瘫痪。
在欧洲,欧盟推出了 NIS2 指令 和 数字运营韧性法案 (DORA),在英国,新的 网络安全和韧性法案 即将于 2025 年晚些时候出台。这些法规的共同点是要求组织提高数字运营韧性,包括实施严格的流程来快速报告事件。
然而,将所需的流程落实到位会带来重大挑战。
手动整理报告事件所需的信息 跨越复杂的技术堆栈并非易事,特别是当初始报告必须在事件发生后 24 小时内提交时,NIS2 指令和英国的网络安全和韧性法案就是这种情况。 对于这些法规,组织有 28 天的时间提交一份调查报告,其中包含多个要素,包括根本原因分析、审计跟踪、行动和沟通记录、影响评估以及关于如何避免未来事件的指导。
监管机构也变得越来越没有耐心。对于被发现具有重大影响的事件——NIS2 指令 将其定义为“可能对服务或财务损失造成严重运营中断”——监管机构可以要求在一个月内提交完整的调查报告,以及根据要求提交的临时报告,如果事件的影响持续存在。
组织保持同步并保持韧性的唯一方法是倾向于人工智能驱动的、在统一平台中实现自动化驱动的数字运营。使用零散的工具已经无法满足需求。
以下是统一方法使 IT 和数字团队能够保持合规性并增强运营弹性的五种方式。
1. 简化服务所有权并减少手动操作
统一平台通过将关键服务直接连接到正确的响应者,使服务所有权变得轻而易举,因此在出现问题时无需争抢。团队可以快速且大规模地设置服务,从而更容易实时掌握系统运行状况,并了解在出现问题时损坏的范围。无需跨十几个监控工具追查数据,所有内容都集中在一个位置,便于分析。通过自动化处理繁琐的诊断,团队可以将更少的时间花在手动繁重的工作上,而将更多的时间花在实际解决问题上。
2. 实现及时、准确的报告和信息共享
由于所有数据都集中在统一平台中,因此可以通过可访问且详细的事件日志(提供清晰的审计跟踪)更轻松地对事件进行分类和报告。复杂的平台还与 IT 服务管理 (ITSM) 和 IT 运营 (ITOps) 工具集成,以简化基于预定义标准报告事件的过程。通过用于快速报告的自动化 Runbook 和可以为与事件关联的公共页面生成状态更新的生成式 AI 功能,进一步减轻了通常施加在响应者身上的压力。
3. 一致的韧性测试和学习体验
每个事件,无论是真实的还是模拟的,都应被视为一个学习机会。将来自不同工具的数据聚合到一个位置,使团队能够全面了解其组织运营受到的影响,并为报告提供叙述。然后,团队可以发现跨工具、团队和时间的模式,以推动事后审查中的持续学习(https://thenewstack.io/what-can-incident-teams-learn-from-crisis-management/)。结合定期、自动化的灾难恢复预案测试,团队可以建立对其系统弹性的更大信心。
4. 加强对外部合作伙伴风险的可见性
组织必须了解关键第三方提供商 (CTTP) 带来的合规风险。如果像云提供商、网络安全承包商或数据托管提供商这样的 CTTP 遇到自己的事件,那么对组织造成的后果(从数据丢失到运营中断)可能是严重的。统一的数字化运营管理平台通过快速分类和报告来自原始提供商的事件来降低风险,从而使组织能够保持监督。通过内置的自动化测试,团队还可以检查 CTTP 的可用性和服务质量,以获取早期预警信号。
5. 简化文档和记录管理
保持详细的记录不仅仅是为了满足合规性要求。当审计来临时,它是一个救命稻草。一个与 IT 服务管理工具双向同步,并与 Slack 和 Microsoft Teams 良好协作的统一平台意味着每个响应和对话都会自动记录(不再需要在凌晨 2 点复制和粘贴笔记)。这使得满足实时和后续报告要求变得轻而易举。此外,嵌入式 AI 可以总结关键操作和聊天记录,以便团队可以快速更新高管和合作伙伴,而无需筛选无休止的消息线程。
构建法规准备就绪性
组织需要走在曲线(和监管机构)的前面,以跟上即将到来的规则和条例。成功的关键是为 IT 和数字化团队提供触手可及的数据,以便他们能够以闪电般的速度响应监管机构。组织面临的挑战是,支持关键数字服务的基础设施在管理和安全方面变得更加复杂。
在这个高风险、高复杂性的世界中,保持法规准备就绪的唯一真正方法是使用将 AI 和自动化直接融入运营的统一平台。因为当涉及到合规性时,最后一刻的仓促行动不是一种策略。这是一场等待发生的灾难。r podcasts, interviews, demos, and more.