Krisestyring V: Virksomhedens IT-beredskab er en del af et naboværn

Skrevet af
Helge Skov Djernes
Artikel

Del indlæg

Fungerer IT-beredskabet ikke ét sted, har det direkte betydning for virksomhedens kunder

Denne artikel er nr. 5 i vores artikelserie Nedslag i virkeligheden: Det aktionsklare kriseberedskab, og er skrevet af to af Globeteams sikkerhedsrådgivere, Mark Breitner og Helge Djernes.

Virksomhedens værdiskabelse sker i samspil med eksterne parter. Værdiskabelsen bygges med leverancer af råvarer, halvfabrikater og tjenesteydelser. På sidelinjen står pressen, offentligheden og myndigheder. Jo vigtigere virksomhedens værdiskabelse er for samfundets nøglefunktioner (eksempelvis energiforsyning, hospitaler, transport og pengeinstitutter), jo flere retningslinjer og tilsyn vil komme fra Energistyrelsen, Sundhedsstyrelsen, Finanstilsynet m.fl.

Virksomhedens IT-beredskab bliver således en del af et naboværn. Pressen, kunder og myndigheder vil have – eller i situationen få – helt konkrete forventninger til IT-beredskabets effektivitet og rettidighed i forhold til dem og deres målgruppe.

I denne artikel afdækker vi praktik og overvejelser hos kunder og myndigheder, der har en aktiv interesse i virksomhedens IT-beredskab. Pressen og offentligheden vil primært være interesserede i, om virksomheden har udvist rettidigt omhu og lavet de nødvendige forberedelser. 

IT-beredskab set fra kundernes perspektiv

Som led i indgåelse af et samarbejde med en leverandør af varer eller tjenesteydelser, udfører vi først en grundig analyse af virksomheden (Due Diligence) for at få tryghed for, at leverandøren kan levere aftalte varer eller tjenesteydelser. Klassisk Just-in-Time indebærer væsentlige omkostningsfordele ved minimalt kapitalbindingsbehov i lagerbeholdninger og lagerfaciliteter, men også stor afhængighed af leverandørens punktlighed og vedvarende leverancedygtighed.

Denne leverandørafhængighed betyder samtidig, at leverancerobustheden og dermed IT-beredskabet bliver en konkurrenceparameter. Alle virksomheder rammes fra tid til anden af nedbrud og leveranceforstyrrelser. Det væsentlige er, hvor hurtigt drift og leverancedygtighed genetableres, så negative følger for kunderne minimeres eller undgås.

IT-beredskab set fra myndighedernes perspektiv

Når en branche får betydning for nøglefunktioner i samfundet, udmunder det over tid i lovgivning, som fra et samfundsperspektiv sætter rammerne for ansvar, pligter og rettidigt omhu. Denne lovgivning skal håndhæves af en myndighed med relevant fagindsigt og mandat, oftest på nationalt niveau i hver af de lande som virksomheden opererer i. EU’s Network and Information Systems (NIS) Directive giver en god oversigt i den gældende opfattelse af infrastruktur med en samfundsmæssig nøglefunktion i EU og dermed i Danmark.

NIS 2016 indeholdt traditionelle brancher som forsyning, pengeinstitutter, sundhedssektoren og telekommunikation. Siden er NIS blevet udvidet med bl.a. medicinalsektoren og sociale platforme som samfundsmæssige nøglefunktioner, hvilket reflekterer den samfundsmæssige udvikling og erkendelse af indbyrdes afhængigheder. Medicin er væsentlig for sundhedssektoren, hvilket forklarer, hvorfor medicinalindustrien nu medregnes som samfundsmæssig kritisk. Sociale platforme som Twitter og Facebook er nu etablerede kommunikationsplatforme og for mange brugere den primære og naturlige indgangsvinkel til viden og kommunikation fremfor traditionelle kanaler som aviser, fjernsyn, radio og telefon.

Øget interesse i virksomheders IT-beredskabsdokumentation

Udvidelsen af myndighedernes ansvarsområde betyder samtidigt, at de behøver tid til at finde rette revisionsformat og -tilgang. Det er naturligt, at benchmarke sig mod branchen og branchestandarder for at sikre sig det bedste afsæt for videre kommunikation. Jo mere overbevisende virksomheden kan redegøre for sit IT-beredskab, jo større sandsynlighed for en revision uden anmærkninger.

Den udbredte interesse for eksempelvis ISAE3402 og ISO 27001 certificeringer afspejler denne voksende erkendelse blandt virksomheder. Disse er sjældent tilstrækkelige for et samarbejde, da eksempelvis ISO27001 forholder sig til virksomhedens egen risikoregister, som sandsynligvis afviger fra myndighedernes og kundernes. Certificeringerne giver dog et godt grundlag for revision, et godt udgangspunkt for en fælles forankring af risikostyring, sikkerhedstiltag og kontroller i virksomheden samt et struktureret rammeværk for vedligeholdelses- og forbedringsarbejdet.

Vores pointe er, at virksomhedens IT-beredskabsdokumentation, processer og procedurer vil blive genstand for stadig nøjere revision. Mange brancher har en samfundsmæssig nøglefunktion og værdiskabelsesprocesser, der afhænger af leverancer af råvarer, halvfabrikater og tjenesteydelser i rette kvalitet og til rette tid. Nedbrud hos virksomheden indebærer en risiko for ”nabolaget”, proportionalt med vigtigheden af dens nøglefunktion i samfundet og antallet af aftagere. Denne risiko ønsker myndigheder og kunderne selvsagt at imødekomme, hvorfor den eksterne interesse i de interne processer vil vokse.

Opsummering

Vi indledte dette afsnit med at postulere, at virksomhedens IT-beredskab er del af et naboværn. Fungerer det ikke ét sted, sænkes sikkerheden for de øvrige ’i nabolaget’. Hvis dette ikke er intuitivt i dag, skyldes dette snarere, at vi, som organisationer, ikke har indstillet vores tanker omkring IT-beredskabet til nutidens virkelighed. En virkelighed, hvor vi er tæt forbundne. Hvor vores nedbrud, uanset årsag, har direkte betydning på vores kunder, i form af tabt omsætning, sundhedspleje, varme, lys, indkøbsmuligheder, transport og så videre.

De forventninger og krav som kunder, myndigheder (samt pressen og offentligheden) stiller til virksomheden er input til risikoregisteret. Forventninger og krav, som ikke adresseres tilfredsstillende af virksomheden, kan få negative konsekvenser i form at påbud, bøder, sagsanlæg og ophævede kontrakter. Forventning og krav spiller derfor direkte ind i etablering og vurderingen af de nedbrudsscenarier, som sætter ambitionen for IT-beredskabet.

Mere om dette i afsnit 6. ’Nedbrudscenarier. Hvordan teknikken kan svigte?’. Her afdækker vi praktik og overvejelser omkring risikoregisterets nedbrudsscenarier, der sætter hegnspælene for ambitionerne for IT-beredskabet. Som med alle foranstaltninger indenfor informationssikkerhed skal fordele og ulemper, herunder omkostninger, nøje afvejes. Hvert scenarie har en pris, hvad enten det er for udvikling, uddannelse eller vedligeholdelse.

Det kan du læse om i artikelserien om krisestyring

I denne artikelserie omhandlende det aktionsklare kriseberedskab laver vi ’nedslag i virkeligheden’. Vi fortæller fra frontlinjen om forskellige faser i opbygning og vedligeholdelse af en robust kriseberedskabskompetence, samt om overvejelser, faldgruber og muligheder, som alle kan regne med at støde på under opbygning eller modernisering af et aktionsklart kriseberedskab.

Vi håber med denne artikelserie at kunne hjælpe dig til at få en fornemmelse for en tids- og omkostningseffektiv vej til en robust krisestyringskompetence, der passer til jeres virksomhed og ambitionsniveau. Vi vil i denne artikelserie komme ind på følgende emner:

  1. Indledende overvejelser. Hvorfor bekymre sig?
  2. Værdiskabelsen. Hvad laver forretningsprocesserne?
  3. Målsætningerne. Hvad vil vi opnå?
  4. Opbygningen. Hvordan skal det fungere bagefter?
  5. Rammeværket. Kan vi slå flere fluer med ét smæk?

Vi glæder os til give dig vores perspektiv og ser frem til en god dialog på Linkedin og udenfor.

Uanset om I er enige eller uenige i vores tilgang eller overvejelser, hører vi gerne fra jer.

Stay safe, start smart

Globeteam stiller skarpt på cybersikkerhed under temaet “Stay safe, start smart”.

Her kan du gennem fagligt inspirerende webinarer, dybdegående artikler, erfaringsudveksling og indblik i virksomheders daglige arbejde få hjælp og inspiration til at håndtere den komplekse sikkerhedsopgave.

Læs mere her om temarækken

Andre læste også
21. marts 2024
Webinar: Beskyt virksomhedens operationelle teknologi (OT) mod cybertrusler
På webinaret får du overblik over væsentlige sikkerhedsproblematikker, som går på tværs af IT & OT, samt input til hvordan I kan styrke det samlede sikkerhedsniveau i organisationen.
5. marts 2024
Kom til formiddagsseminar om Copilot for Microsoft 365 den 9. april
Kom godt & sikkert fra start med Copilot for Microsoft 365. Få gode råd til den tekniske & organisatoriske implementering & hør erfaringer fra kundeprojekter
19. februar 2024
Deltag i sikkerhedsseminar d. 12. marts kl. 9-12
I samarbejde med Microsoft og BlueVoyant inviterer Globeteam til sikkerhedsseminar. Deltag og bliv klogere på, hvorfor komplekse trusler kræver holistisk beskyttelse.

Nyhedsbrev

Få vores nyhedsbrev

Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler