Denne artikel er nr. 2 i vores artikelserie Nedslag i virkeligheden: Det aktionsklare kriseberedskab. Artiklen er skrevet af to af Globeteams cybersikkerhedsrådgivere, Mark Breitner og Helge Djernes, og tager fat i værdiskabelsen set i forhold til arbejdet med krisestyring.
Vi ser værdiskabelse som resultat af en eller flere forretningsprocesser, som tilvejebringer en service eller et produkt med en finansiel nytteværdi. Dette kan være salgs-/lagerstyringsplatforme, kundesupport, sagsbehandling, automatik-/processystemer, investeringsplatforme med flere. Nytteværdien kan være kommerciel eller lovgivningsbestemt. Omdrejningspunktet er, at nogen vil betale for den – og vil bemærke fraværet.
Estimering af nedbrudsværdier
Den nedbrudsværdi som et fravær af en fungerende proces vil påføre virksomheden, estimeres gennem en BIA (Business Impact Analysis). En BIA er en nødvendig forløber for beredskabsarbejdet, da nedbrudsværdierne dels sætter en øvre budgetramme for sikringstiltag, dels er kilde til kravspecifikationen for beredskabsopbygningen.
I vores arbejde med beredskaber er estimering af nedbrudsværdier ofte kilde til hovedbrud. Den forudsætter et kvantificeret overblik over både værdiskabelsen og kompenserende tiltag. Dette forudsætter igen indsigt i de forretningsmæssige aspekter af virksomhedens værdiskabelse, men er som nævnt nødvendig for en forretningsmæssigt forsvarlig sikringsindsats.
Omkostninger ved sikkerhedstiltag bør over en typisk tre- til femårig årrække ikke overstige den forventede nedbrudsværdi, da det fra en totalbetragtning i så fald vil koste mere at forsikre sig end at miste det forsikrede.
I klassisk værdisættelse inkluderes ofte tab af ikke-finansielle værdier, så som omdømme (f.eks. reflekteret i aktiekurser), medarbejderflugt (udgifter til rekruttering) og lignende, hvilket vi dog grundet den høje grad af subjektivitet anbefaler udeladt fra beslutningsgrundlaget.
Børsnoterede virksomheder oplever for eksempel ofte et dyk i aktiekurs i forbindelse med en offentliggjort it-krise. Dette dyk er oftest kortvarigt, da cyberangreb eller teknologisvigt er hyppige hændelser på tværs af vores digitaliserede værdikæder. De er derfor ikke som enkeltstående kortvarige tilfælde nødvendigvis udtryk for inkompetence eller mangel på omhu. Tab af omsætning under krisen, som kan forventes indhentet efterfølgende, hvis kunderne venter, medtages af samme grund heller ikke i nedbrudsværdien.
Nedbrudsværdien opgøres således godt dækkende ud fra følgende parametre;
- tab af direkte omsætning
- ekstraudgifter til personale og ekstern assistance
- relevante bøder og bod
Krisestyring er en modenhedsrejse
Når de parametre, der indgår i virksomhedens beregning af nedbrudsværdien, er fastlagte, skal den kronologiske dimension vurderes. Dette udføres for en række fastlagte tidsenheder for at etablere en skala for graden af nødvendig parathed i beredskabet, f.eks. én time, fire timer, tolv timer, én dag, én uge og én måned. Jo højere nedbrudsværdi, jo bedre belæg for et mere aktionsklart og dermed relativt dyrere operationelt beredskab. Som nævnt i første artikel omkring indledende overvejelser, rammes alle organisationer af hændelser, som kræver krisestyring. Det er et spørgsmål om hvornår og hvor meget, ikke om hvorvidt. Men da etableringen af krisestyringen forbliver en modenhedsrejse, er opgaven enklere og kræver mindre organisatorisk omstilling, hvis modenhedsniveauet (mål ved f.eks. CMMI) er højt. Opgaven bliver tilsvarende mere kompleks og kræver mere organisatorisk udvikling, hvis modenhedsniveauet er lavt.
Det er selvsagt også en bekymring ved et lavt modenhedsniveau, at scope hurtigt kan vokse vildt på grund af uafklarede organisatoriske og procesmæssige snitflader. Af denne grund er udførelsen af en foranalyse praktisk, for at præcisere snitflader og omfang, samt forventningsafstemme forløbet i organisationen. Ellers vil miskommunikation mellem interessenter ofte ende med at kræve så mange ressourcer, at gevinstrealisering ikke kan opnås, endsige forankres indenfor budget.
Kortlægning af forretningsprocesser
Dernæst skal forretningsprocesserne identificeres via en BIA, hvilket forudsætter en kortlægning af organisationens værdiskabelsesaktiviteter på tværs af produktion, support, udvikling, salg, markedsføring, personaleafdelinger, med videre. Nogle af disse aktiviteter vil have lav nedbrudsværdi, nogle vil have en høj. Et godt udgangspunkt for dette arbejde er virksomhedens leverancer til kunder, samt jobbeskrivelser og eksisterende procesdokumentation. Denne dokumentation er et godt udgangspunkt for afklaringer under foranalysen og giver desuden et godt grundlag for uddybende interviews med de medarbejdere, som bruger systemerne i selve forløbet med at bygge eller modernisere beredskabskompetencerne.
Det er naturligvis fordelagtigt at komme hele vejen rundt i kortlægningen af forretningsprocesserne, for at sikre en kvalificeret prioritering af hvilke, som først skal kunne genetableres. Når beredskabet er kommet på plads, kan nedbrudsværdien for de øvrige forretningsprocesser vurderes og processeres efter behov.
Virksomheden vil have en god start, såfremt der allerede er etableret et retvisende forretningsprocesoverblik i forbindelse med en Privacy analyse som f.eks. GDPR eller et overblik over strukturerede processer og artefakter i forbindelse med et EA initiativ. Modenhedsniveauet vil i dette tilfælde være relativt høj og nedbrydning i systembaserede og manuelle trin allerede i noget omfang være foretaget.
Få styr på jeres proceshieraki
Vi indledte denne artikel med at angive værdiskabelse som resultatet af én eller flere forretningsprocessers arbejde. For at kunne adskille nedbrudsværdierne for flere forretningsprocesser fra hinanden via BIA, er det enklest at anlægge en afhængighedsvinkel; kan processerne fungere isoleret? Hvis ja, kan nedbrudsværdi for processen opgøres. Hvis nej, er de afhængige processer reelt delprocesser i en overordnet forretningsproces, for hvilken nedbrudsværdi kan opgøres. Delprocesserne er i denne sammenhæng ikke selvstændige og har ikke individuelle nytteværdier eller nedbrudsværdier. Når proceshierarkiet ligger fast, kan forretningsprocesserne prioriteres ud fra væsentlighed.
Mere om dette i artikel 3 omkring målsætningerne og hvad vi vil opnå. Her ser vi på koblingen til forretnings- og it-strategien for at blive klare på, hvad beredskabet skal kunne håndtere for at være investeringen værd.
Det kan du læse om i artikelserien om krisestyring
I denne artikelserie omhandlende det aktionsklare kriseberedskab laver vi ’nedslag i virkeligheden’. Vi fortæller fra frontlinjen om forskellige faser i opbygning og vedligeholdelse af en robust kriseberedskabskompetence, samt om overvejelser, faldgruber og muligheder, som alle kan regne med at støde på under opbygning eller modernisering af et aktionsklart kriseberedskab.
Vi håber med denne artikelserie at kunne hjælpe dig til at få en fornemmelse for en tids- og omkostningseffektiv vej til en robust krisestyringskompetence, der passer til jeres virksomhed og ambitionsniveau. Vi vil i denne artikelserie komme ind på følgende emner:
- Indledende overvejelser. Hvorfor bekymre sig?
- Værdiskabelsen. Hvad laver forretningsprocesserne?
- Målsætningerne. Hvad vil vi opnå?
- Opbygningen. Hvordan skal det fungere bagefter?
- Rammeværket. Kan vi slå flere fluer med ét smæk?
Vi glæder os til give dig vores perspektiv og ser frem til en god dialog på Linkedin og udenfor.
Uanset om I er enige eller uenige i vores tilgang eller overvejelser, hører vi gerne fra jer.
Stay safe, start smart
Globeteam stiller skarpt på cybersikkerhed under temaet “Stay safe, start smart”.
Her kan du gennem fagligt inspirerende webinarer, dybdegående artikler, erfaringsudveksling og indblik i virksomheders daglige arbejde få hjælp og inspiration til at håndtere den komplekse sikkerhedsopgave.
Læs mere her om vores nye temarække
