Undgå at virksomhedens IT-kriseberedskab ender som et værdiløst og teoretisk ”skuffeberedskab”
Ingen virksomhed kan sikre sig fuldstændigt mod at blive ramt af et cyberangreb. Når først virksomhedens sikkerhed er kompromitteret og krisen hærger, skal IT-kriseberedskabet være indlejret i virksomhedens DNA for at fungere effektivt. Virksomhedens IT-kriseberedskab skal aktivt kunne genetablere driften og herved begrænse yderligere skader på virksomheden, dens kunder, partnere og medarbejdere.
Et aktionsklart kriseberedskab kræver ifølge Globeteams sikkerhedsrådgivere Mark Breitner og Helge Djernes, at kriseberedskabet er praktisk relevant, også uden for IT-kriser. Det fordrer at samarbejde, processer og værktøjer operationaliseres gennem daglig brug, øvelser og afprøvninger. Så er de velkendte og indøvede hos kriseorganisationens aktører, når IT-kriser indtræffer. Et teoretisk beredskab er værdiløst i en krisesituation.
Denne artikel tager fat på, hvordan I kan lykkes med at opbygge og udrulle et aktionsklart IT-kriseberedskab. Artiklen er nummer 4 ud af en artikelserie på 5 om Det aktionsklare IT-kriseberedskab
IT-kriseberedskabet er en del af den kontinuerlige risikostyring, den sidste forsvarslinje der aktiveres når det øvrige forsvar er gennembrudt. IT-beredskabet må derfor ikke blive et ”skuffeberedskab”, som i en krisesituation bliver vraget til fordel for mindre egnet men til gengæld velafprøvet hændelsesstyring. For de fleste vil resultatet af et teoretisk IT-kriseberedskab i kriser ikke imødekomme forretningens forventninger, da det først skal tillæres og tilrettes i situationen, hvilket der ikke er tid til. Nogle virksomheder vælger derfor at bygge IT-kriseberedskabet ovenpå den eksisterende (og samarbejdsvante) organisation omkring hændelsesstyring og fravælge tidskrævende etablering af teknisk IT-beredskabsdokumentation. En sådan organisation vil i en IT-krise kunne udføre ’best-effort’ genetablering og fungere godt for mindre IT-miljøer og IT-organisationer med få fysiske lokationer. Dog vil større organisationer være sårbare overfor udskiftninger i IT-kriseorganisationen, da denne tilgang grundet manglen på detaljeret dokumentation i høj grad afhænger af den samlede faglige, IT-miljømæssige og forretningsindsigt blandt deltagerne.
For større organisationer og IT-miljøer er mere formel koordination og detaljeret systemdokumentation derfor nødvendig på grund af organisatorisk og teknisk kompleksitet. Hvis dokumentationen ikke findes, vil behovet for koordination hurtigt vokse sig stort, endda uoverskueligt, fordi arbejdsopgaver og teknisk indsigt t ikke forinden er klart dokumenterede og indøvet på tværs af organisationen.
Nytten af IT-beredskabet i den daglige drift
Opbygning og udrulning af IT-beredskabsopgaven vil lykkes, når både forretnings- og IT-aktører i IT-kriseorganisationen tidligt inddrages og ser nytten af IT-beredskabsdokumentation for den daglige drift. Eksempler er:
- forretningsprocesejere og systemejere med indsigt i koblingen mellem IT-robusthed og værdiskabelsen, som i ”fredstid” udenfor IT-krisen kan bruge materialet til at prioritere IT-investeringer og opgraderinger.
- forretningsbrugerne med indsigt i nødvendige forretningsverifikationer i forbindelse med en genetablering, som udenfor IT-krise kan bruge materialet til at verificere kritisk funktionalitet efter almindelige incidents samt brugertests.
- systemansvarlige med overblik over teknisk og organisatorisk genetableringsforløb, som udenfor IT-krise effektivt og kontrolleret kan bruge materialet til at forestå initiativer omkring out- og insourcing.
- arkitekter med overblik over system- og servicelandskab, som udenfor IT-krise effektivt kan bruge materialet til at planlægge ændringer til, og udskiftninger af, system og servicekomponenter.
Det centrale budskab er, at IT-beredskabsdokumentation, teknisk materiale, processer og procedurer skal have en funktion og værdi også i ”fredstid”, i den daglige drift. Det forhold sikrer, at dokumentation forbliver operationel, vedligeholdt og indlejret i det personale som i en IT-krise vil skulle agere hurtigt og effektivt under stort mentalt pres.
Opsummering
Vi indledte dette afsnit med at postulere, at IT-kriseberedskabet skal indarbejdes i virksomhedens DNA for at fungere. Indhold skal have praktisk relevans også udenfor IT-kriser overfor IT-kriseorganisationens personale. Udenfor virksomheden indgår virksomheden ofte i andre virksomheders forretningsprocesser som underleverandører eller har en kritisk samfundsfunktion, som bl.a. defineret i det europæiske Network and Information Security direktiv. Andre virksomheder og myndigheder vil derfor have konkrete forventninger til IT-robustheden, da den har direkte indflydelse på deres værdiskabelse og lovgivningsmæssige ansvar.
Mere om dette i afsnit 5. Rammeværket. Troværdighed og myndighed. Her afdækker vi praktik og overvejelser hos eksterne virksomheder og myndigheder, der har en aktiv interesse i virksomhedens IT-beredskab.
Det kan du læse om i artikelserien om krisestyring
I denne artikelserie omhandlende det aktionsklare kriseberedskab laver vi ’nedslag i virkeligheden’. Vi fortæller fra frontlinjen om forskellige faser i opbygning og vedligeholdelse af en robust kriseberedskabskompetence, samt om overvejelser, faldgruber og muligheder, som alle kan regne med at støde på under opbygning eller modernisering af et aktionsklart kriseberedskab.
Vi håber med denne artikelserie at kunne hjælpe dig til at få en fornemmelse for en tids- og omkostningseffektiv vej til en robust krisestyringskompetence, der passer til jeres virksomhed og ambitionsniveau. Vi kommer i denne artikelserie ind på følgende emner:
- Indledende overvejelser. Hvorfor bekymre sig?
- Værdiskabelsen. Hvad laver forretningsprocesserne?
- Målsætningerne. Hvad vil vi opnå?
- Opbygningen. Hvordan skal det fungere bagefter?
- Rammeværket. Kan vi slå flere fluer med ét smæk
Uanset om I er enige eller uenige i vores tilgang eller overvejelser, hører vi gerne fra jer.
Stay safe, start smart
Globeteam stiller skarpt på cybersikkerhed under temaet “Stay safe, start smart”.
Her kan du gennem fagligt inspirerende webinarer, dybdegående artikler, erfaringsudveksling og indblik i virksomheders daglige arbejde få hjælp og inspiration til at håndtere den komplekse sikkerhedsopgave.