问：我们企业的“灾难恢复/业务连续性”计划已经过时了：假如发生了自然灾害或者重大流行疾病，我们甚至没有足够的虚拟专用网络（VPN）许可以供全部的员工进行远程办公。在我们考虑修改这些计划时，您的建议至关重要。如果修改这些计划需要技术方面的更新，我们又该如何说服管理层对这些技术更新进行投资呢？

　　答：对任何公司的安全管理人员来说，为未来可能发生的灾难做好准备是值得的。你有这种意识，这一点值得赞扬。下面，我将介绍一些引起主管注意的方法，讨论灾难恢复应急计划，然后回答你关于VPN许可的问题。

　　贵公司上一次进行企业级灾难演习是什么时候？当然，我说的演习并不一定指的是一个全面而成熟的演习，即便只是一次图上作业演习（Tabletop Exercise），也会是一个不错的开始。我的怀疑是，你们最近可能根本没有进行一次灾难演习，所以现在就请进行一次更新现有文件、提升准备级别（preparedness level）的演习吧！

　　也许，你可以把关键的IT、业务和财务管理人员召集在一起，针对一次简单但却极具灾难性的事件，进行一次为期半天的图上作业演习。在一次图上作业演习中，我假设（仅是作为示例场景）一场大火彻底烧毁了我们的总部大楼；而在另一次图上作业演习中，假设的场景是一场疾病大流行导致人们生病或不能工作。在两次演习的开始阶段，我们都会向各个关键部门的经理提出一系列的问题，关于灾难发生时他们会如何行动、如何进行应急处理，以及如何确保本职工作得以完成。

　　在火灾演习中我们发现，除非我们在备用办公地点的账单打印机处备有另外一台打印机，否则我们将无法在总部大楼的火灾事件中打印账单。在流行疾病演习中我们发现，虽然拥有了足够的VPN许可，但我们没有足够的具有全硬盘加密的笔记本电脑可供远程访问，尤其是涉及敏感信息的时候，问题更加突出。

　　因此，要找出值得考虑的最重要的事情，我建议按照以下的步骤进行：

　　1.首先清查和收集已有的“灾难恢复/业务连续性”计划。

　　2.确定这些计划和文件的状态。它们是最新的吗？关键人员的电话号码、电子邮件地址等等联系信息是最新的吗？这些联系信息与公司目前保存的信息是否一致？

　　3.你们是否留有当地FBI办公室、警局、警长、州巡逻警或加拿大皇家骑警（Royal Canadian Mounted Police）等的联系方式？此外，你们留有计算机应急反应小组（Computer Emergency Response Team）的联系方式吗？

　　4.如果你今天有紧急事件，能确保含有上述信息的文件是可用的、并能被立即分发给相关人员吗？

　　如果贵公司已经完成了上述四个步骤，那么你们的准备情况将比我所工作过的大多数公司都好。然而，除此之外仍有许多工作要做。对此，演习能够为我们提供足够的帮助。

　　在演习中，一定要建立一个相应的事件情景（scenario），比如火灾或流行疾病，并强制要求演习成员按照现有的应急预案来进行。对演习过程要做详细的笔记，找出已有预案中的薄弱环节或能导致混乱和各自为政的地方。

　　演习结束后，立即与参演人员就本次演习进行讨论。向他们询问原有的计划哪部分制定得好、哪部分运行正常、哪里还需要改进、改进的办法是什么，以及他们各自代表的部门应该在整个“灾难恢复/业务连续性”计划中扮演什么样的角色。然后，不能只是修改一下应急计划就完事了，你还要每月开一次会，确保你和你的公司都能随时应对各种灾难。

　　最后，要吸取本行业或本国其他地方所发生的灾难带给人们的教训。例如，卡特里娜飓风就能为你公司的灾难应急计划提供大量的灾难情景。