Hvordan være beredt? Effektiv beredskap i et uforutsigbart trusselbilde

Vi hører stadig om det: bedrifter som hackes, virus og krav om løsepenger, eller sensitiv informasjon på avveie. I et trusselbilde med stadig nye og uønskede digitale hendelser, er det mer utfordrende enn noen gang å bygge en effektiv beredskap.

Vi i Sopra Steria anser beredskapsøvelser som veldig viktige i dette arbeidet. Som DSB (Direktoratet for samfunnssikkerhet og beredskap) påpeker i sin veileder, kan vi bruke øvelser positivt, til å teste og videreutvikle systemer, funksjoner og kompetanse. Vi kan også teste hvor godt ulike gjennomførte tiltak faktisk har virket.

Hva er viktigst?

Nasjonal Sikkerhetsmyndighet (NSM) presenterer fire områder for IKT-sikkerhet. Blant disse er identifisere og kartlegge, hvor det viktige er å forstå virksomhetens verdikjeder og ressursbehov, så man kan sette inn sikkerhetstiltak der de best beskytter virksomhetens interesser. Med andre ord: Kartlegg hva som er viktigst for virksomheten og hvordan man kan beskytte dette best.

I planlegging av ikt-rettede beredskapsøvelser (og beredskapsarbeid generelt) kan en slik tankegang være nyttig: Vi må først forstå verdikjedene og behovene våre – og så legge disse til grunn når vi planlegger beredskapen. Vår erfaring er at det da blir mye enklere å prioritere smart når (ikke hvis!) det smeller. Det gjelder uavhengig av hendelse eller scenario.

Øve, øve, øve

Enten vi bare øver eller håndterer en reell hendelse, må som oftest mange mennesker fra ulike deler av virksomheten samarbeide for å løse utfordringer underveis. Det viktigste er tydelige roller og klare kommunikasjonskanaler.

Dette er helt avgjørende for å unngå usikkerhet og handle effektivt. Tydelige, planlagte varslings- og eskaleringsrutiner er også viktig: Disse vil gjøre det mulig å håndtere hendelser smidig og effektivt. Derfor bør man også bruke disse aktivt i beredskapsøvelsene.

Bygg scenarioer

Ved å forstå virksomheten, sårbarheter i verdikjedene og være tydelig på hvem som gjør hva, har vi allerede et godt grunnlag for effektiv beredskap. Men vi bør også bruke trussel- og risikobildet til å skape øvingsmål og bygge scenarioer.

I Sopra Steria har vi erfart at man i forkant av øvelser bør reflektere over i hvilke tiltak de ulike scenarioene kan gjøres nødvendig – og hvilke konsekvenser disse tiltakene kan få.

Med dette på plass er vi allerede mye bedre forberedt.

Tiltak og tilhørende konsekvenser må absolutt dokumenteres. Detaljert. En praktisk løsning er å lage tiltakskort som kan tas frem og brukes både under øvelser og reelle hendelser. Når det smeller, er grep som skaper orden i kaoset gull verdt. Og, ja: Vi bør tenke når, ikke hvis.

Bruk erfaringene

Planlegging av beredskapsøvelser i et uforutsigbart trusselbilde krever både tid og ressurser, men det gir også stor gevinst. Det handler jo om å sikre driften og bedriftens verdier.

De største gevinstene er de som høstes etter at øvelser er gjennomført; det er da vi kan lære og forbedre tiltak. Man trenger en dedikert observatør som kan samle en helhetlig, detaljert oversikt underveis; først da får man et skikkelig grunnlag for evaluering. Man kan diskutere hvor godt spesifikke mål ble nådd, hva som eventuelt manglet og – kort sagt – hva som fungerte eller ikke.

Samtlige involverte parter må få komme med innspill. Resultatene fra evalueringen må dokumenteres grundig sammen med anbefalte tiltak og hvem som er ansvarlig for å følge dem opp.

På denne måten står virksomheten sterkere mot ulike typer hendelser, og neste øvelse blir enda mer nyttig. Øvelser er hektiske og morsomme – og under en faktisk hendelse, holder erfaringene panikken mye lenger unna.