Paranoid på totalkollaps

Paranoid på totalkollaps

Det er nesten alltid menneskelig svikt - enten bevisst eller på grunn av dumheter- som fører til sammenbrudd. It-svikt er ofte starten.

Tilgjengelighet og risiko er ikke det første en leder tenker på. -- Det vil helst gå godt! Og før den aktive bruken av internettet, gikk det helst godt.

Nå må ledelse gjennomgå og forstå svakhetene som kan medføre sammenbrudd av virksomheten. Stikkord er it og organisasjon.

Det er ikke lønnsomt å forsikre seg mot et totalkollaps av virksomheten. Få vet hva det omfatter. Vi har ulykkesforsikring av personer, men ikke av virksomheter. Derimot har vi forsikring mot brann.

Men selv en brann kan skape så mye skade at virksomheten aldri mer blir konkurransedyktig. Derfor bør ledelsen ta stilling til stikkordet; MTTR, maksimal tid til reparasjon.

Andres skandaler er nødvendige for å synliggjøre sammenhengen mellom forretningsvirksomheten og it, for å forstå at man må sikre seg mot små og store katastrofer. Personer som er ansvarlige for virksomhetens sikkerhet bør derfor klippe ut alle oppslag om tabber og feil vedrørende it-sikkerhet.

Uten varsel

Disse skal brukes for å forstå, både for ledelsen og for de som skal sørge for bedre beskyttelse. For problematiske hendelser er uforutsigbare og kommer uten noen form for advarsel.

DnBnors interne nettverksproblemer i to uker fører til større forståelse for sikkerhet, men om kostnadene for den reduserte produktiviteten blir vurdert, er usikkert.

Utfordringen er å forstå at sikkerhet handler om mer enn adgangskontroll, identitetstyveri, nettverkskontroll, ondartet programvare og virus.

Adgangskontroll er for sikre at bare de man vil skal slippe til. Nettverkskontroll er for godkjenne og slippe til brukerutstyret.

Tidligere handlet sikkerhet om backup, det å ha virksomhetskritiske data på magnetbånd og ha rutiner for å kopiere disse tilbake ved et uhell eller sammenbrudd. Kun med brøkdeler av datavolumet kan kopierte data benyttes som grunnlag for fortsatt arbeid.

Dagens utfordring handler om prosedyrer, nødvendige maskiner, nettverk, lagring og tilgang. Det viktigste er like fullt applikasjoner i riktig versjon, lisenser og utrulling.

Risikoanalyse

Kredittilsynet stiller strenge krav til finansbransjen. Det skal foretas en risikoanalyse for å avdekke kritiske tjenester og svake punkter og hvordan det skal oppnås kontinuitet på infrastruktur og tjenester.

Målet er å ha katastrofeplaner for beredskapen, menneskene og rutinene med årlig testing. Planene skal dokumenteres. Valget gjelder ambisjonsnivå. Forståelse kommer først etter en vurdering av hva det koster å være avskåret fra å gjøre jobben.

Tapet i Norge er sannsynligvis ikke drøye to millioner kroner om dagen, men for internasjonale finansinstitusjoner er slike beløp normale ved et havari.

Det økonomiske tapet per time er ikke alltid det viktigste. Omdømmetap er verre for et meglerforetak, for det gjelder å beholde kundene sine.

Selv for vanlige bedrifter er det vanskelig å fortsette etter en brann, for hele it-virksomheten må virke før virksomheten kan fortsette. Leverandørene vet hva de har utestående. Virksomheten vet ikke hva den har utestående.

Katastrofeplaner

Katastrofeplaner bør være et fremtidig krav for alle virksomheter med en omsetning over en definert grense. Mangel på gode planer bør medføre bøter, for uten riset bak speilet er det de færreste som strekker seg.

Med forventet innstramming for beskyttelse av data, må data sikres uten mulighet for endring og tap så lenge regelverket krever det. Det er i denne forbindelse at hver virksomhet bør gjøre seg opp en mening om maksimal tid til reparasjon. Gjenoppstart basert på magnetbånd tar for lang tid.

Raskere løsninger må prioriteres. Det krever dobling av utstyr. Dobling krever splitting av kritiske deler. Uten flytting av deler av utstyret til et annet sted, vil en brann minimum kreve en uke før applikasjonene igjen kan benyttes.

Derfor er det fornuftig å vurdere om beredskapsutstyret bør flyttes til en profesjonell aktør for husing. Det blir et spørsmål om MTTR.

Ahlerts Hjørne