Introduktion
Kontinuitetsplanering förbereder och underlättar konsekvenser och efterarbete
Supportavdelningen blir nerringd av arga kunder som inte kan beställa, leverantörer stängs ute från system och dina kollegor springer runt i korridoren som förvirrade höns – ingen vet vad som händer eller vad som behöver göras.
När något som en plötsligt trasig server, ett misstag vid en systemuppdatering eller en cyberattack gör många av dina viktigaste IT-funktioner oanvändbara kan ditt företag vara illa ute. Det är här en Business Continuity Plan (BCP) och Disaster Recovery Plan (DRP) kan hjälpa dig.
En Business continuity- och disaster plan är en uppsättning förbestämda steg och åtgärder som tas fram på förhand för att förbereda en kommande hantering och återställning efter att en incident eller kris inträffar.
Det kan ses som självklart att en organisation har en plan vid en brand och att brandövningar genomförs regelbundet. Alla ska veta vad de ska göra – vart närmsta nödutgång finns, uppsamlingsplats, att hissen inte ska användas, dörrar ska hållas stängda för att minska spridningsrisken och du vet vem som har koll på att alla har lämnat byggnaden.
Men har du en plan för hur ditt företag ska hantera en kritisk IT-incident före, under och efter incidenten inträffat?
Det är nog inte realistiskt med en nollvision för IT-incidenter, men med en genomtänkt plan kan man minimera konsekvenserna när de väl inträffar.
Steg 1: Gör en Business Impact Analysis (Affärskonsekvensanalys)
Alla företag bör ha en plan som fastställer de steg du och din organisation måste ta i händelse av en katastrof eller större incident. Dessa planer kallas för Business Continuity Plan (BCP), och Disaster Recovery Plan (DRP), kontinuitetsplan och katastrofåterställningsplan på svenska. Ett första steg är att göra en Business Impact Analysis (BIA), även kallt affärskonsekvensanalys, som är en systematisk process för att hitta potentiella konsekvenser på kritiska affärsoperationer till följd av en katastrof, olycka eller nödsituation. Du analyserar vilka tillgångar som är mest kritiska för att ert företag ska fortsätta att fungera innan, under och efter en katastrof.
När ni utformar en Business Impact Analysis bör ni fråga er:
- Vilka är era mest kritiska affärsprocesser?
- Vilka tillgångar och aktiviteter stödjer dessa processer? (Glöm inte bort er personal som viktigt stöd i era processer! Sprid ut kunskap bland flera personer, så att ni inte står handfallna om delar av er personalstyrka är otillgänglig)
- Definiera vilka krav ni måste ställa avseende maximalt tolerabel avbrottstid och återställningstid för varje kritisk aktivitet och resurser som är beroende för dessa aktiviteter.
- Hur länge kan en aktivitet ligger nere utan att det skapar stora konsekvenser för er?
Steg 2: Förstå era risker
Det går inte att ha en specifik plan för alla potentiella nödsituationer, men med hjälp av en riskvärdering kan du få en överblick över vilka risker som är mest sannolika och kan ha störst påverkan på ditt företag. Du bör minimera och förebygga de största riskerna för att undvika att de uppstår men även ta fram en detaljerad plan för att hantera störningen om den ändå skulle uppstå.
Genom följande steg genomför du en riskvärdering:
- Riskidentifiering: Identifiera vilka hot som kan påverka era kritiska affärsprocesser
- Riskanalys: Värdera riskerna utifrån konsekvens och sannolikhet med hänsyn till tolerabla avbrottstiden som tagits fram i er Business Impact Analysis.
- Riskbedömning: Bedöm vilka risker som inte kan accepteras.
Steg 3: Utforma en incidenthanteringsplan för kritiska IT-incidenter
Det kan handla om sekunder från att en incident inträffar till att hela ditt företag, anställda och kunder drabbas. Det är viktigt att alla incidenter hanteras skyndsamt för att minimera skadan och stoppa potentiell spridning. Detta kräver en tydligt utformad, dokumenterad och övad process om hur incidenter ska rapporteras, hanteras, åtgärdas och följas upp. Vid större incidenter kan det behövas en mer detaljerad plan där exempelvis vissa personer inom din verksamhet måste lämna sina vardagliga arbetsuppgifter för att prioritera hanteringen av incidenten. En plan för att hantera kritiska incidenter behövs för att undvika att en incident eskalerar till en katastrof. Vissa typer av verksamheter och incidenter kan också omfattas av externa rapporteringskrav så som vid en personuppgiftsincident eller om man är en NIS-leverantör. (Ni kan läsa mer om NIS2-direktivet här: https://www.secify.com/artiklar/nis2-direktivet-vad-innebar-det/)
Tips när du utformningar en incidenthanteringsplan:
- Forma ett incidenthanteringsteam.
- Använd er av en säkerhetsstandard vid utformning av planen, exempelvis ISO 27035.
- Lär er från era tidigare incidenter.
- Tänk på att en incident som påverkar din verksamhet även kan ske hos någon av dina leverantörer.
- Dokumentera alla steg vid incidenthanteringen, från början till slut. Ta fram en bra rapportmall.
- Glöm inte att öva och testa planen så att ni kan känna er trygga med att den fungerar i skarpt läge.
Steg 4: Bygg er Business Continuity Plan (Kontinuitetsplan)
Baserat på din affärskonsekvensanalys och riskvärdering vet du vilka era kritiska processer och resurser är samt vilka risker dessa är exponerad mot. Om någon av dessa risker realiseras behöver du en plan för att se till att dina väsentliga funktioner ändå fungerar på en accepterad nivå.
Du behöver en Business Continuity Plan ”en plan B” för att säkerställa detta. Vilka alternativa banker, transporter eller lokaler kan du använda om din primära bank, leverantörer, transportmedel eller kontor är otillgängliga? Hur håller du och dina kollegor kontakten om telefonlinjen ligger nere? Kommer du att behöva extern hjälp? Vem kontaktar du då? Du behöver vrida och vända på olika scenarier och försöka hitta lösningar och ha en plan som du snabbt kan aktiveras för att skydda ditt företag, dina kollegor, kunder och partners.
Tips när du utformar en Business Continuity Plan:
- Planen ska vara omfattande, anta inte att den första planen kommer att funka, utan ha även en plan C och D.
- Era planer måste vara realistiska, du vill inte i en nödsituation upptäcka att din plan inte är genomförbar när det väl gäller.
- Lämna utrymme i din plan att vara flexibel, ingen katastrof kommer att vara den annan lik.
- Kommunikation är a och o under en katastrof. Se till att ni har alla nödvändiga kontaktuppgifter och vet hur ni ska kommunicera internt och externt om era primära kommunikationskanaler är otillgängliga.
- För att inte skapa förvirring kan det vara bra att inte nämna IT-relaterade planer i Business Continuity Panen utan istället samla det i Disaster Recovery Planen.
Steg 5: Utforma en Disaster Recovery Plan (IT-katastrofåterställningsplan)
Vi blir alltmer beroende av digitala tjänster. Oavsett företag sker någon slags dokumentation och kommunikation digitalt och hos många är beroende av digitala tjänster kritiska för verksamheten. Vid en större IT-incident är det troligt att stora delar av ditt företag på ett eller annat sätt kommer att drabbas. En Disaster Recovery Plan syftar till att snabbt återställa den påverkade verksamheten efter en incident och på så sätt minimera och förkorta återhämtningstiden.
Några tips för hur de du utformar en Disaster Recovery Plan:
- Inventera vilka IT-resurser – hårdvara, mjukvara, system – som krävs för era kritiska affärsprocesser och vilken data som lagras på dessa.
- Kontrollera att ni har lämpliga backupsystem som är fysiskt och logiskt skilda från era ordinarie system.
- Sätt era återställningsmål. Fråga er hur snabbt er organisation ska återställas efter en katastrof. Hur mycket data och vilken data har ni råd att förlora? Att sätta en RPO (Recovery Point Objective) och RTO (Recovery Time Objective) är viktigt för en effektiv Disaster Recovery Plan.
- Utforma ett Disaster recovery team med expertis inom era kritiska IT-system som är tränade och vet hur de ska agera i händelse av en katastrof. Om expertisen saknas inom er verksamhet, etablera en kontakt med ett externt bolag som med kort varsel kan hjälpa er.
- Det blir allt vanligare med cyberförsäkringar som ett plåster på såret i händelse av en cyberattack. Dock är det absolut viktigast att lägga resurser på att förhindra att en cyberattack faktiskt sker. Dessutom är villkoren ofta otydliga och ni riskerar att skador inte täcks av försäkringen. Vissa försäkringar täcker exempelvis endast skador om ni direkt blivit attackerade, inte om attacken börjat hos en av era leverantörer.
Steg 6: Testa era planer, revidera och utbilda personalen regelbundet
Samtliga planer måste regelbundet övas utifrån scenariot att en större incident eller katastrof sker. Planerna behöver även uppdateras och er personal behöver utbildas i hur planen ska användas. Genom att testa planen kan ni identifiera svagheter och behov av ändringar för att ständigt kunna förbättra era planer.
Behöver du och ditt företag hjälp med att bygga upp en plan för att hantera kritiska IT-incidenter och katastrofer?
Secify har hjälpt företag att bygga upp deras Business Continuity och Disaster Recovery Plan. Som en del av vår CISO-tjänst ger vi råd och stöd och genomför intervjuer och workshops tillsammans med dig för att bygga upp en robust plan för hur ditt företag ska agera i händelse av en större incident. Är du en NIS-leverantör och omfattas av rapporteringskrav eller behöver hjälp med frågor kopplat till dataskydd erbjuder vi även rådgivning och stöd inom dessa områden.
Ta gärna kontakt med oss om du vill veta mer!