Krisestyring III: Målsætningerne. Hvad vil vi opnå?

Skrevet af
Helge Skov Djernes
Artikel

Del indlæg

Målsætningerne skal tage udgangspunkt i forretnings- og it-strategierne for at ramme skiven

Denne artikel er nr. 3 i vores artikelserie Nedslag i virkeligheden: Det aktionsklare kriseberedskab, og er skrevet af to af Globeteams sikkerhedsrådgivere, Mark Breitner og Helge Djernes.

 Skal virksomhedens kriseberedskab forblive aktionsklart, anbefaler Mark og Helge, at beredskabets målsætninger tager udgangspunkt i strategien for forretningen og it og at såvel traditionelle beredskabsparametre som automatiseringsgrad og kapacitets- og kompetencedybde bringes i spil. Læs hvorfor her i artiklen.

Gevinstrealisering ved sikkerhedsinitiativer kan være en udfordring. Budgettet er begrænset og omfanget vokser i takt med indsigten. Så hvordan sikrer I jer, at jeres virksomhed fra start etablerer et kriseberedskab, der forbliver aktionsklart for en virksomhed i udvikling?

Overordnet er formålet med cybersikkerhed at reducere sandsynligheden for skade på virksomheden gennem cyberangreb. Tilsvarende er formålet med kriseberedskabet at minimere udfald i virksomhedens leveranceevne grundet it-hændelser, så virksomheden forbliver en leverandør, man kan have tillid til. Kriseberedskabets målsætninger må og skal derfor tage udgangspunkt i forretnings- og it-strategierne for at ramme skiven, både i dag og i morgen.

Målsætningerne skal være målbare og realiserbare

Virksomhedens relevans for kunderne er baseret på konkurrenceparametre, som skal indtænkes i design af kriseberedskabet for at sikre fremtidig relevans. Budgettet sætter rammerne for, hvor skarp prioriteringen skal være for at sikre målbare og realiserbare kriseberedskabsmålsætninger. Konkurrenceparametrene kan omfatte 24/7 selvbetjening, logistikekspertise, overlegen markedsindsigt, særlige forsknings- og udviklingskompetencer, effektivt produktionsapparat, omkostningskontrol og accelereret oplæring. De nævnte parametre bygger oftest på et fundament af teknologi, som, hvis det ikke virker, svækker forretningens konkurrenceevne.

Som beskrevet i ”Nedslag i Virkeligheden afsnit 2”. Værdiskabelsen, er udgangspunktet for afgrænsning af kriseberedskabs it-aktionsområde baseret på en prioriteret gruppering af forretningsprocesser. Forretningens målsætninger skal derfor også forankres hos driftsleverandørerne.

Traditionelt anvendte kriseberedskabsparametre er:

  • Procesgenetableringsfrister – hvor hurtigt processer skal genetableres (Maximum Tolerable Downtime)
  • Systemgenetableringsfrister –hvor hurtigt systemer skal genetableres målt i tid (Recovery Time Objective)
  • Tolereret datatab – hvor meget systemdata virksomheden skal tåle at tabe målt i tid (Recovery Point Objective)
  • Mindstekrav til performance – operationelt minimumsniveau for system/procesdrift (Minimum Service Level).

Ovenstående er målbare værdier, men de siger ikke meget om den teknologiske og organisatoriske modenhed, der er nødvendig for at understøtte ambitionerne for digitaliserings- og automatiseringsrejsen, som er givet af forretnings- og it-strategierne.

Inddrag to ekstra parametre

Af denne grund anbefaler vi tillige at inddrage to ekstra parametre, automatiseringsgrad samt kapacitets- og kompetencedybde:

  • Automatiseringsgraden angiver i, hvilket omfang virksomheden tåler nedlukning af dele af eller hele forretningsprocesser, uden at det kan mærkes af slutbrugere. En høj automatiseringsgrad i genetableringsprocessen muliggør platformsdiversificering (cloud, andre driftsleverandører) og tilnærmelsesvis – eller fuldstændig – operationel robusthed. Herved imødekommes formålet om minimering – eller eliminering – af udfald i virksomhedens leveranceevne grundet it-hændelser.
  • Kapacitets- og kompetencedybden angiver paratheden i selve beredskabsapparatet. Jo vigtigere forretningsprocessen er, jo vigtigere bliver et flerstrenget beredskabsapparat uden flaskehalse. Omkostningerne ved et kriseforløb løber let op, så større dybde i beredskabsappartet øger sandsynligheden for en tidlig, afgørende indsats og dermed begrænsning af realiseret ’nedbrudsværdi’.

Begge parametre indgår i dag i overvejelser omkring kriseberedskab. Gennem højere automatisering faciliteres hurtigere procesgenetablering gennem hurtigere systemgenetablering og/eller robusthed. Flere ressourcer i beredskabsorganisationen muliggør en sikrere håndtering af planlagt procesgenetablering og systemgenetablering.

De to målsætninger har samtidig en indbyrdes relation. Såfremt automatiseringsgraden er lav, og de målsatte procesgenetableringsfrister er ambitiøse, vil en større kapacitets- og kompetencedybde være nødvendig for i muligt omfang at kompensere for den manglende teknologiske understøttelse systemgenetablering og -robusthed. Er såvel automatiseringsgrad som kapacitets- og kompetencedybde begge lave, stiger risikoen for, at kriseberedskabet i praksis ikke kan levere på de målsatte procesgenetableringsfrister.

Minimér risikoen for udfald

’Vi indledte dette 3. afsnit i serien med at spørge, hvordan vi sikrer, at virksomheden fra start etablerer et kriseberedskab, som forbliver aktionsklart. For at minimere udfald i virksomhedens leveranceevne, grundet it-hændelser og forblive en pålidelig leverandør, skal såvel traditionelle beredskabsparametre som automatiseringsgrad og kapacitets- og kompetencedybde i spil. Dette skal ske med udgangspunkt i forretnings- og it-strategiernes ambitioner for digitalisering- og automatiseringsrejsen, virksomhedens konkurrenceparametre og ultimativ konkurrenceevne eller eksistensberettigelse.

Udelader vi koblingen til strategierne fra vores design, øger vi sandsynligheden for kun at designe kriseberedskabet ud fra historiske forhold. Etablering og vedligeholdelse af kriseberedskab inddrager mange organisatoriske og teknologiske elementer, hvorfor kriseberedskabet skal designes så smidigt og integreret, at det går fra at være et fremmedelement til at være en del af virksomhedens DNA.

Mere om dette i ”Nedslag i Virkeligheden afsnit 4”. Opbygningen. Hvordan skal det fungere bagefter? Her tager vi hul på praktik og overvejelser omkring design af beredskabet, så det forbliver aktionsklart.

 

Det kan du læse om i artikelserien om krisestyring

I denne artikelserie omhandlende det aktionsklare kriseberedskab laver vi ’nedslag i virkeligheden’. Vi fortæller fra frontlinjen om forskellige faser i opbygning og vedligeholdelse af en robust kriseberedskabskompetence, samt om overvejelser, faldgruber og muligheder, som alle kan regne med at støde på under opbygning eller modernisering af et aktionsklart kriseberedskab.

Vi håber med denne artikelserie at kunne hjælpe dig til at få en fornemmelse for en tids- og omkostningseffektiv vej til en robust krisestyringskompetence, der passer til jeres virksomhed og ambitionsniveau. Vi vil i denne artikelserie komme ind på følgende emner:

  1. Indledende overvejelser. Hvorfor bekymre sig?
  2. Værdiskabelsen. Hvad laver forretningsprocesserne?
  3. Målsætningerne. Hvad vil vi opnå?
  4. Opbygningen. Hvordan skal det fungere bagefter?
  5. Rammeværket. Kan vi slå flere fluer med ét smæk?

Vi glæder os til give dig vores perspektiv og ser frem til en god dialog på Linkedin og udenfor.

Uanset om I er enige eller uenige i vores tilgang eller overvejelser, hører vi gerne fra jer.

Stay safe, start smart

Globeteam stiller skarpt på cybersikkerhed under temaet “Stay safe, start smart”.

Her kan du gennem fagligt inspirerende webinarer, dybdegående artikler, erfaringsudveksling og indblik i virksomheders daglige arbejde få hjælp og inspiration til at håndtere den komplekse sikkerhedsopgave.

Læs mere her om temarækken

Andre læste også
21. marts 2024
Webinar: Beskyt virksomhedens operationelle teknologi (OT) mod cybertrusler
På webinaret får du overblik over væsentlige sikkerhedsproblematikker, som går på tværs af IT & OT, samt input til hvordan I kan styrke det samlede sikkerhedsniveau i organisationen.
5. marts 2024
Kom til formiddagsseminar om Copilot for Microsoft 365 den 9. april
Kom godt & sikkert fra start med Copilot for Microsoft 365. Få gode råd til den tekniske & organisatoriske implementering & hør erfaringer fra kundeprojekter
19. februar 2024
Deltag i sikkerhedsseminar d. 12. marts kl. 9-12
I samarbejde med Microsoft og BlueVoyant inviterer Globeteam til sikkerhedsseminar. Deltag og bliv klogere på, hvorfor komplekse trusler kræver holistisk beskyttelse.

Nyhedsbrev

Få vores nyhedsbrev

Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler