Har din virksomhed styr på beredskabet?

30. april 2020 - Coronakrisen har sat beredskab højt på dagsordenen i virksomheder og organisationer på tværs af brancher. Mange var ikke forberedte på en situation som denne og har derfor brugt enorme ressourcer på omstillingen og indkøb af udstyr. Er din virksomhed klar, når den næste krise rammer?

Som virksomhed har man typisk forskellige sikkerhedsforanstaltninger, der skal hindre eksterne angrebsaktører i at trænge ind og forhindre medarbejdere i at gøre skade.

At forebygge og beskytte virksomheden er vigtigt, men uanset hvor meget vi beskytter os, vil vi på et tidspunkt blive ramt af hændelser, der kan påvirke driften i større eller mindre grad. Derfor er det vigtigt, at virksomheden også er klædt på til at håndtere sådanne hændelser og genetablere normal drift hurtigt og effektivt.

Beredskabet er centralt for sikkerhedsarbejdet

Når man taler beredskab, tænker man ofte det klassiske beredskab som brandvæsen og – især i den aktuelle coronasituation  sygehuse. Men beredskab er også en vigtig del af it-sikkerhedsarbejdet.

COVID-19 har ikke alene medført en sundhedsmæssig trussel, men også en række it-sikkerhedsmæssige trusler.

Først og fremmest har omstillingen til hjemmearbejde efterladt nogle virksomheder sårbare, da sikringsforanstaltningerne ikke har været dækkende, og fordi vi ved, at opmærksomheden på sikkerhed generelt er sænket i omstillingsperioder og ved hjemmearbejde.

Samtidig har Dubex Security Analytics Center set flere kampagner, der forsøger at snyde folk – på arbejde såvel som privat – gennem bl.a. hjemmesider, der udgiver sig for at være Sundhedsstyrelsen, eller mails med tilbud om gratis Netflix under coronakrisen. Alt sammen med det formål at lokke oplysninger som f.eks. NemID-login og kreditkortinformationer ud af folk.

En nedskreven beredskabsplan er uundværlig i krisesituationer

For mange har coronakrisen været en øjenåbner. Langt fra alle var forberedt på en situation som denne, der udfordrer de konventionelle arbejdsgange, og mange har været nødt til at bruge enorme ressourcer på omstilling og indkøb af udstyr, der understøtter hjemmearbejde.

Den nuværende situation giver anledning til stor refleksion over virksomhedens evne til at håndtere krisesituationer og leder til spørgsmål som: Var din virksomhed klar til omstillingen? Og kunne en forudgående planlægning have afhjulpet situationen og dermed sparet ressourcer?

Men det store spørgsmål, som man nu bør stille sig selv, er: Har din virksomhed styr på beredskabet?

Der findes mange svar. Et typisk svar, som vi møder hos kunder i forbindelse med sikkerhedsanalyser, er, at der ikke findes en nedskreven plan. I stedet mener man blot, at der er ret godt styr på, hvad man vil gøre – ”vi arbejder jo tæt sammen i hverdagen, så det kan vi godt håndtere," bliver der typisk sagt.

Men tæt samarbejde er ikke altid nok. Manglende beredskabsplaner kan resultere i handlingslammelse, da der ikke er styr på, hvem der har beslutningsmandat. Det er en hæmsko for inddæmningen af problemet og kan bl.a. resultere i, at vigtige beviser går tabt. Ifølge GRC-konsulent Sofie Freja Christensen er det langt fra en sikker tankegang blot at mene, at man har ret godt styr på, hvad man vil gøre.

Betragt beredskab i en bredere forstand

I it-kredse er der en tendens til at betragte beredskabsbegrebet meget snævert, fortæller Sofie. ”Vi ser ofte, at beredskabet er fokuseret på virksomhedens evne til at inddæmme og håndtere tekniske hændelser, som f.eks. ransomware," fortæller Sofie. "Her støtter mange af vores kunder sig til Dubex Incident Response Team, der har fastlagte procedurer og værktøjer til håndtering af den type hændelser. Men coronasituationen udstiller et behov for også at betragte beredskab i en bredere forstand. For hvem skal sikre, at resten af organisationen kan arbejde videre, hvordan kan arbejdsgangen sikres, og hvem kan tage en beslutning?”

Her kommer beredskabsplanen ind i billedet.

”Et vigtigt element i en beredskabsplan er at identificere virksomhedens kronjuveler. Hvad er vigtigst for din forretning og skal derfor prioriteres under hele eller delvise nedbrud? Hvem skal gøre hvad – og hvornår? Hvem har mandat til at beslutte at trække stikket? Hvem må udtale sig?," forklarer Sofie. "At kunne svare på de her spørgsmål er afgørende for virksomhedens muligheder for at håndtere hændelsen og begrænse skaden."

Øvelse gør mester – træn din beredskabsplan

Desværre er der en tendens til, at beredskabsplaner i stigende grad blot betragtes som et compliance-krav. Men der er altså tale om et nødvendigt og brugbart værktøj, for det uventede vil ske.

”Coronakrisen er et godt eksempel på, at det uventede kommer i forskellige former, og sjældent som man havde troet. Men har man allerede dokumenteret sine planer og forholdt sig til forskellige typer af hændelser, kan man altså spare mange ressourcer, fordi man allerede har styr på nogle grundlæggende ting”, fortæller Sofie og tilføjer:

”Men beredskabsplanen kan ikke stå alene. Det er vigtigt, at medarbejderne regelmæssigt trænes i beredskabsplanen og har den praktiske erfaring med håndtering af forskellige hændelser. Gennem øvelserne får man mulighed for at identificere fejl og mangler i den eksisterende plan og sikre, at den er opdateret i forhold til virksomhedens aktuelle situation.”

Øvelser kan gennemføres på mange måder, bl.a. med de såkaldte full scale-øvelser, hvor man populært sagt trækker stikket og skal genetablere drift hurtigst muligt. Der kan også gennemføres skrivebordsøvelser, hvor der opstilles et scenarie, som skal håndteres, som man ville gøre det i en virkelig situation.

Kontakt Dubex, hvis du vil høre mere om beredskabsplaner, øvelsesplaner og facilitering af beredskabsøvelser.

Tak for din interesse. Vi har nu registreret din henvendelse og du hører fra os snarest muligt.