<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=116957359027108&amp;ev=PageView&amp;noscript=1">

Blogg

Sikkerhet

november 8, 2017
By:

Slik lager du en krisehåndteringsplan for bedriften

En krisehåndteringsplan er sannsynligvis det viktigste du kan lage for bedriften din og samtidig håpe du aldri får bruk for.

Hvis bedriften din havner i en krisesituasjon – det være seg alt fra streik til naturkatastrofer til lekkasjer av sensitiv informasjon – er det viktig å kunne handle raskt. En god krisehåndteringsplan gjør at alle vet hva neste skritt er for å minimere skaden og stable bedriften tilbake på beina.

Dette faller inn under BCM – Business Continuity Management. ISO27001 og ISO 22301 gir gode pekepinner på hvordan det gjøres i detalj. Du kan også få ekstern hjelp gjennom for eksempel Veritas, eller MSB i Sverige.

For deg som bare trenger en rask innføring, er dette blogginnlegget et godt sted å begynne.

Kartlegging

Det første du burde foreta deg er å gjøre en såkalt Business Impact Analysis. Det er en analyse som identifiserer bedriftens mest kritiske funksjoner, og hva konsekvensene vil være ved et avbrudd i dem. Slik kan du prioritere hvilke funksjoner, tjenester eller produkter som raskest må tilbake, og hvilke bedriften har råd til å sette på vent.

Et relevant uttrykk her er MAO – Maximum Acceptable Outage. Det vil si et anslag du har gjort for hvor lenge bedriften kan tolerere å gå uten en viss funksjon. Sett også et RTO – Recovery Time Objective – et mål for hvor lang tid du skal bruke for å få dem opp igjen. Det er naturligvis positivt her om RTO ikke puster MAO i nakken, slik at bedriften har litt større spillerom.

Tilsvarende burde du vurdere hva bedriftens største trusler er, hvor deres største svakheter ligger, og dermed hva det er viktigst å forberede seg på. Du vil aldri kunne stille like forberedt på absolutt alt, så nok en gang handler det om prioriteringer.

Planer og rutiner

Neste skritt er å danne en plan basert på funnene fra kartleggingsfasen. Det er imperativt at bedriften fordeler roller, og utnevner en aktiv gruppe med ansvar for krisehåndtering. Uten dette skrittet ender fort krisehåndteringsplanen opp som en mappe i en skuff, som ingen egentlig har noe forhold til, og dermed blir tilnærmet verdiløst i en faktisk krise.

Jo mer detaljert planen er, jo enklere er den å følge uten at det oppstår feil. Beskriv så mange skritt som mulig. Det er mye bedre å være overtydelig enn å overlate ting til tilfeldighetene. Sjekklisteformatet fungerer gjerne godt her.

Tydelig kommunikasjon er også ekstremt viktig i en krise, både internt og utad. Sørg for å etablere klare kommunikasjonslinjer – hvem rapporterer til hvem om hva, hvordan, når og hvor ofte – slik at alle holdes oppdaterte på hva som er gjort og ikke. Pass på at også kommunikasjon med pressen faller i kompetente hender, siden «ingen kommentar» ofte tolkes som en innrømmelse av skyld eller mangel på kontroll.

Øvelser

Når planen er ferdig skrevet og rollene fordelt, gjenstår testing og øvelser. Du har tre måter å gjøre dette på:

  • Skrivebordsøvelser – Den enkleste varianten. Alle involverte parter samles rundt et skrivebord eller i et møterom og går gjennom plandokumentene i plenum. Slik blir alle bedre kjent med dem og finner eventuelle mangler.
  • Scenariotesting – Bruk av rollespill til å teste ut mulige scenarier i praksis. Dette er en slags forkortet versjon av siste variant, som er:
  • Skarpe tester – En omfattende gjennomgang av planen der et krisescenario spilles ut i sin helhet. Hvert punkt skal gjennomgås, og testingen er ikke begrenset til et møterom. Skarpe tester skal gjøres så virkelighetsnære som mulig.


Lær av øvelsene, gjør nødvendige endringer, og gjenta med forsvarlige mellomrom.

Til slutt, dersom bedriften din ikke allerede har noen krisehåndteringsplan, er det smart å starte i det små. Begynn med å etablere noen rutiner for de aller mest kritiske funksjonene til bedriften, slik at du er sikret at de er på plass. Så kan du gradvis bygge ut planen over tid.

Dermed risikerer du ikke å ende opp i en krisesituasjon med en plan som kun er 10 prosent ferdig, men dekker de (hittil) ubrukelige 10 prosentene i omhyggelig detalj.

Last ned whitepaper 

Legg igjen en kommentar

E-postadressen din blir ikke publisert.

Følg oss:

Jone Simonsen

Chief Security Officer i TeleComputing Gruppen. Har tidligere jobbet 10 år som driftssjef i TeleComputing og før det i olje og gassindustrien. Jobber med informasjonssikkerhet, kvalitet og miljø for TeleComputing og våre kunder og sørger for at vi etterlever lovverket, god praksis og våre avtaler. Har dyptgående kunnskap om alt fra IT infrastruktur til styringssystemer, sikkerhets – og kvalitetsledelse.