Når det kommer til it-beredskab, begår mange virksomheder i dag en række grundlæggende og i sidste ende fatale fejl. Her er vores erfaringer og anbefalinger til fri afbenyttelse.
HER ER UDFORDRINGERNE
Beredskabet er ikke beredt
It-kriminalitet er ikke et randfænomen, men i dag den primære forretningsmodel for organiseret kriminalitet i Europa. Samfundet bliver mere digitalt, og kriminaliteten vokser eksplosivt med effektive og risikofri metoder som ransomware. Alligevel har mange virksomheder ikke et gennemarbejdet og operationelt beredskab, der afprøves regelmæssigt.
Fuld sikkerhed er falsk sikkerhed
Alle bliver hacket. Der findes ikke 100 procent sikkerhed, og den gennemsnitlige liggetid for cyberangreb er 146 dage. Alligevel agerer mange virksomheder fortsat, som om fuldkommen sikkerhed var normalen, og ikke kun et ønskescenarie. Det gør virksomheden ekstra sårbar og skaber panik, når et angreb finder sted eller rettere – når det bliver opdaget.
Beredskabet bliver let en papirtiger
Mange virksomheder vil indvende, at de har en beredskabsplan, men der er forskel på teori og praksis. Vi ser alt for mange formelle planer uden konkrete anvisninger af handlinger og ansvar. Sådanne planer beskriver typisk en situation, hvor alle ting er på deres rette plads. Men i en krisesituation er tingene netop ikke på plads.
Planer er ikke operationelle
Problemet er ofte, at forfatteren til planen ikke kender til praksis. For eksempel en sikkerhedschef, der har formuleret en overordnet beskrivelse. Dermed er det formelle i orden, men beredskabsplaner skal ikke være formelle, de skal være operationelle. De skal være udarbejdet af dem, der skal bruge planen – målrettet til dem, der skal udføre aktiviteterne. Det er vigtigt, at dem der skal bruge planen kan læse og forstå den, og agere hurtigt og præcist jf. planens indhold.
Det er på den baggrund, at vi i Devoteam har udarbejdet vores eget koncept for it-beredskab. Det skal ikke bare se pænt ud på papir, det skal virke. Derfor har vi hentet erfaringer fra dem, som tager beredskab særdeles alvorligt, fordi det gælder liv og død: Politi, sundhedsvæsen, flytrafik og forsvar.
HER ER OMDREJNINGSPUNKTERNE I DET GODE BEREDSKAB
Målet er ikke sikkerhed, men modstandskraft
Virksomheden bør arbejde ud fra den præmis, at sikkerheden på et tidspunkt vil blive kompromitteret, og at beredskabet skal være i stand til at håndtere en sådan situation. Strategien skal fokusere på modstandskraft, altså evnen til hurtigt at regenerere oven på et angreb. Det giver ikke kun mening internt, men også over for kunder og andre interessenter. Omverdenen forventer ikke fejlfrihed, men dømmer derimod virksomheden på dens evne til at handle under pres, herunder at informere kunder og samarbejdspartnere.
Ingen plan er bedre end en dårlig plan
En dårlig plan giver falsk tryghed og ekstra forvirring, når krisen sætter ind, og tid er det afgørende parameter. Derfor: Tag planen alvorligt fra start og sørg for at den er operationel, ellers er det bedre at klare sig uden en plan.
Struktur og agilitet med klart definerede roller
Grundelementet i ethvert effektivt beredskab er en klar fordeling af roller og ansvar. Brandmænd går ikke ind i en brændende bygning uden præcist at vide, hvem der gør hvad. Forsvarets effektivitet er baseret på klare principper for struktur og kommunikation, men med stor fleksibilitet i opgaveløsningen. Der er altså en vigtig balance imellem den faste struktur og den agilitet, vi skal udvise i en uforudsigelig krisesituation.
Derfor tager vi i Devoteam fordelingen af kasketter meget alvorligt. Så alvorligt at vi i praksis bruger fire forskellige farver kasketter, når vi organiserer beredskabsplaner. De er inddelt i rød, grå, grøn og blå, og repræsenterer hver en rolle, som vist på billedet nedenfor.
Vi tager også ledelsesansvaret alvorligt. Rød vil altid have det sidste ord at skulle have sagt, selvom andre medlemmer af teamet, typisk de grå rådgivere, kan have flere ”stjerner på skuldrene”.
Beredskab skal være analogt og verbalt
Når katastrofen sætter ind, og alt er kaos, skal du stå med alle nødvendige informationer i hånden, bogstaveligt talt, i papirform. Vi er ikke tilhængere af teknologiske løsninger, når det gælder beredskab. Baseret på erfaringerne fra forsvar og sundhedsvæsen, har vi gjort op med regneark og andre teknologier, der tilfører kompleksitet. De gør arbejdet tungt, og det ender ofte med, at fokus er det forkerte sted.
Til den analoge model hører også verbal kommunikation, der vil være den foretrukne, og ofte eneste mulige kommunikationsform i en krisesituation. Denne form for verbal kommunikation skal trænes, således at der ikke opstår misforståelser eller konflikter i praksis. Husk at beredskab først og fremmest hviler på kommunikation mellem mennesker.
SÅDAN ARBEJDER VI MED BEREDSKAB I PRAKSIS
Planlægning med ubekendte
”Ingen plan overlever mødet med fjenden,” lyder et militærcitat, og det gælder også for beredskabsplaner. Planen skal derfor tage højde for en række ubekendte, der skal håndteres i situationen. Det gør vi bedst ved på forhånd at definere og fastlægge alt, hvad der i forvejen kan besluttes. Ved at have mest muligt på plads fra start skaber vi en tryg platform i en utryg situation. Tiden anvendt til forberedelsen kan tages direkte ud af beredskabssituationen og dermed bliver der mere tid til reel problemløsning.
Klar og operationel opbygning
Vi opbygger altid beredskabsplanerne med den operationelle del som det første. Her opbygges planen efter roller med farver og en angivelse af, hvilken fase opgaverne er relevante for. Dermed kan alle i beredskabsledelsen se, hvad de skal gøre på et givent tidspunkt, og alle checklister falder i hak med hinanden. Bagerst i planen finder man beskrivelser om forberedelse, vedligeholdelse og træning, som der ikke er behov for i en krise.
Træning, justering, træning
Den virkelige prøve finder sted i praksis, og derfor er træning, justering og atter træning det måske allervigtigste princip ved et beredskab. Vi har udviklet et komplet koncept for øvelser, der gør det enklere at afprøve og forbedre virksomhedens modstandskraft – og ikke kun at opfylde revisorens krav.
Det er planen, vi tester
Målet med øvelserne er ikke at opnå det bedst mulige resultat baseret på dagsformen, men at teste planen i praksis. Hvis vi ikke tester planen, kan vi ikke gøre den bedre. Den skal virke hvér gang, ikke kun på en god dag. I øvelsen afprøver vi derfor eksempelvis, om de beskrevne checklister kan sættes i anvendelse. Hvis noget virker ulogisk eller upraktisk, så er der behov for at justere. Det er på den måde, vi bliver bedre. Ved at hele tiden at gøre planen bedre.
Korte og målbare øvelser
Arbejdsbyrden og tidsforbruget forbundet med at planlægge øvelser kan betyde, at der går lang tid mellem afprøvningerne. Derfor har vi arbejdet på at gøre øvelserne korte og målbare. Vi arbejder altid ud fra realistiske og individuelt tilpassede scenarier, der engagerer alle og sikrer en spændende øvelse med udfordrende dilemmaer. Vi tester og træner beredskabet ved at dele øvelserne op i fem faser, der hver bedømmes på fire parametre: Styring, Ledelse, Samarbejde og Kommunikation.
Øvelsens forløb styres af et ur, der dikterer faser og indspil. Det giver et realistisk pres på beredskabsorganisationen og sikrer samtidig, at alle faser i beredskabet testes. Det kan gøres inden for tre timer, inklusiv en tilbagemelding på forløbet til alle deltagere. Det giver brugbare resultater, men begrænser belastningen på organisationen.
HVAD KAN DU SELV GØRE?
Dette var nogle af vores erfaringer fra arbejdet med it-beredskab i private og offentlige virksomheder. Hvis du er i tvivl om beredskabet i din virksomhed, er her nogle spørgsmål, du kan stille:
- Giver vores beredskabsplan svaret på, hvad vi konkret skal gøre i en krisesituation?
- Er ansvar og opgaver tydeligt fordelt?
- Er det tydeligt, hvad kriterierne er for at aktivere planen?
- Er beredskabet kommunikeret internt, så det er klart, hvordan man alarmerer en hændelse?
- Er de forretningsmæssige prioriteringer afspejlet i planen?
- Er planen afprøvet inden for det sidste år, med de personer der er i beredskabsledelsen?
By failing to prepare, you are preparing to fail. — Benjamin Franklin
Vil du vide mere?
Du er velkommen til at kontakte Frederik og Jørgen.
Vi stiller gerne op til faglige indlæg og individuelle møder om emnet.