Beredskab og forretningsstrategi
Én af mine kæpheste som sikkerhedsrådgiver er at argumentere for, at it-integriteten og driftsintegriteten i en organisation skal være den samme.
Af: Esbern Stig Møller, senior risiko- og sikkerhedsrådgiver i Globeteam
Med det mener jeg, at man kan dokumentere nok så meget it-relateret compliance og have nok så mange tekniske sikkerhedsforanstaltninger på plads, men hvis man glemmer noget så banalt som at låse hoveddøren og dermed kompromitterer den fysiske sikkerhed, kan det være lige meget. Det er denne gryende erkendelse, der driver sikkerhedsmarkedet lige nu. Selvfølgelig godt hjulpet på vej af NIS2, som har skærpet fokus på holistisk sikkerhed i de virksomheder og organisationer, der er omfattet af sikkerhedsdirektivet.
Det er ikke let at sikre sine forretningsaktiver. Særligt ikke med det hybride trusselsbillede, vi oplever i dag, hvor ondsindede aktører, medarbejderrelaterede hændelser, naturkatastrofer, og hvad, vi ellers har, truer med at forstyrre driften. Men det er ikke desto mindre bydende nødvendigt at have tænkt forskellige risikoscenarier igennem og have sine business continuity-planer på plads (planer for fortsat drift). Jeg vil endda gå så langt som til at sige, at man i dag ikke kan drive en ansvarlig forretning – NIS2-omfattet eller ej – uden at have styr på det digitale og fysiske beredskab, der skal træde til, når der sker en hændelse.
Find grønspættebogen frem
Indledningsvis kan det måske være en god ide at definere, hvad jeg mener med beredskab, og hvordan et almindeligt beredskab eksempelvis adskiller sig fra et kriseberedskab.
Et beredskab er en nedskrevet plan og aftaler til brug i nødstilfælde. Planen og aftalerne er virkelighedens svar på grønspættebogen, man hiver frem, når én eller flere begivenheder forstyrrer driften og truer med at lægge forretningen ned i kortere eller længere tid. Driftsforstyrrelserne kan skyldes et angreb i den digitale eller fysiske verden, men det kan også være sådan noget som en oversvømmelse i kælderen, en strømafbrydelse eller en intern utilsigtet fejl. Hvem gør hvad, når sådan noget sker? Det skal de centrale personer i en organisation vide. Ligesom de skal vide, hvem der gør hvad først. Det kan jo være, at person nummer 2 og 3 ikke kan foretage sig noget, før person nummer 1 har løst sin opgave.
Man ved typisk, at det er tid til at hive beredskabsplanen op af skrivebordsskuffen, når der går en eller anden form for alarm, eller når man på anden vis bliver opmærksom på, at noget er galt. I det øjeblik skal der samles en gruppe til at tage styring med mandat og kompetencer til at gribe ind og tage de første beslutninger. Det er vigtigt, at evnen til at vende tilbage til en normaliseret drift ikke er afhængig af ét eller få menneskers handlinger. Jeg plejer at sige, at der ikke er plads til heltegerninger i et beredskab, for heltegerninger er alt for usikre og kan alt for nemt resultere i fejl. Der skal være flere personer involveret i både beredskabs- og genopretningsplanen, og der må gerne være mulighed for at tilkalde yderligere ressourcer, hvis det kan afkorte perioden, hvor man er i nødberedskab.
Fra min tid i politiet og forsvaret har jeg lært at arbejde med forskellige beredskabsniveauer. En sikkerhedshændelse kan godt inddæmmes på et vist beredskabsniveau, hvilket er en anden måde at sige på, at problemet kan løses ved hjælp af på forhånd definerede ressourcer. Lykkes det ikke, er man nødt til at eskalere beredskabet til næste niveau, hvor nye planer træder i kraft og så fremdeles.
Spinner situationen helt ud af kontrol, og kan man ikke løse problemet ved hjælp af det traditionelle beredskab, skal kriseberedskabet træde til. Man kan ikke forberede sig på en krise, fordi den har mange elementer af kaos i sig. Men man kan godt træne de strukturer og reaktionsmønstre, der gør, at man bedre kan beherske kaos. Det handler om at sætte en række foranstaltninger i spil, der er matchet op imod bevarelsen af kernedriften og business continuity-strategien.
Beredskabets ABC
Det er denne holistiske forståelse af forretningsstrategi, beredskab og krisestyring, der er omdrejningspunktet i Globeteams tværgående sikkerhedsleverancer.
Når vi kigger på en virksomheds eller organisations fysiske og digitale sikkerhedsniveau, begynder vi typisk med en indledende behovsafdækning og undersøger, om forretningens krav og ønsker stadig matcher sikkerhedsberedskabet, eller om der er noget, der har forandret sig, siden planerne blev udarbejdet. Det sker jo, at præmisser og procedurer for driften bliver redefineret på grund af indre eller ydre omstændigheder.
Når det arbejde er på plads, foretager vi en gap-analyse, der afdækker organisationens styrker og svagheder. Det kan eksempelvis godt være, at forretningen har formuleret en række krav til sådan noget som accepteret nedetid og backup-procedurer, men hvis en test af beredskabsplanen viser, at organisationen ikke kan levere på de ønskede krav, skal enten strategien eller ressourceallokeringen justeres.
Derfra går vi mere konkret til værks i de næste faser. Det kan eksempelvis betyde udarbejdelse af nye trusselsvurderinger, gennemgang af applikationsporteføljen, design samt implementering af tekniske løsninger på den fysiske eller digitale infrastruktur.
Først derefter er de nødvendige forudsætninger på plads til at lave en beredskabsplan inklusive et kriseberedskab, hvor forretningskravene bliver spejlet over i den opgaveløsning, der skal finde sted, når en hændelse indtræffer. Det inkluderer udarbejdelse af en tilkaldearkitektur (hvem skal orienteres i hvilken rækkefølge) og action cards, der meget konkret beskriver, hvem der gør hvad.
Man kan aldrig udelukke hændelser og driftsnedbrud. Angreb og uheld sker, og med et mere og mere komplekst, hybridt trusselsbillede forekommer hændelserne oftere og oftere. Men ved at ophøje rettidig omhu til et sikkerhedsprincip i en gennemtestet hvad nu hvis-plan, kan man gøre rigtig meget for at minimere eventuelle følgevirkninger.
Læs også artiklen “NIS2 stiller skærpede krav til fysisk sikkerhed og beredskab”
Om Esbern Stig Møller
Esbern Stig Møller er senior risiko- og sikkerhedsrådgiver i Globeteam med særlige kompetencer indenfor fysisk sikkerhed, beredskab og krisestyring. Esbern har 30 års erfaring fra henholdsvis forsvaret og politiet, hvor han har fungeret som leder på flere niveauer.
Esbern har arbejdet med risiko og sårbarhedsvurderinger hele sit arbejdsliv og haft ansvar for etablering af fysisk sikkerhed og procedurer for kongehuset, ministre, regeringsbygninger, truede personer samt rådgivet kritisk, nationale infrastruktursektorer.
Tilmeld dig NIS2-nyhedsbrev her
Vil du være sikker på at modtage alle artikler i NIS2-artikelserien, så husk at tilmelde dig vores NIS2-nyhedsbrev, som er målrettet personer, der arbejder med compliance og i særdeleshed NIS2.
