Vær klar når angreb og nedbrud rammer: Derfor er en god og effektiv beredskabsplan vigtig

Sarah Aalborg, Tine Tuxen Løvstrand og Thomas Kristmar

Af:

Når en virksomheds it-systemer går ned, kan det få katastrofale konsekvenser for driften, økonomien og brandets omdømme. Uanset om nedbruddet skyldes hackerangreb eller interne tekniske fejl, er konsekvenserne betydelige. Heldigvis er der meget, der kan gøres for at forebygge angreb og nedbrud samt forbedre beredskabet i tilfælde af en krise, så skaden minimeres. Her er en god og gennemtestet beredskabsplan et helt afgørende redskab.

Skrevet af: Irmelin Aasberg Karlsen, Digital marketing- og kommunikationskonsulent, Dansk IT


I en digital tidsalder udgør it-systemer rygraden i enhver organisation, uanset om det er en lille, lokal virksomhed eller en stor international koncern. For de fleste er muligheden for ”at gå tilbage til papir” forpasset, og med afhængigheden af teknologi følger truslerne fra cyberangreb og it-nedbrud. Statistikker viser, at cyberangreb er i konstant stigning i Danmark, og ingen sektor eller branche kan på forhånd sige sig fri for at blive ramt. Virksomheder og myndigheder skal derfor tage stilling til, hvad de gør, hvis it-systemerne svigter. Endnu vigtigere er det, at de har en velstruktureret beredskabsplan for at ruste sig til og effektivt håndtere kriser. Men ifølge rapporten IT i praksis® 2022-2023, som Rambøll Management Consulting og Dansk IT står bag, har kun lidt mere end hver anden dansk virksomhed tilstrækkelige planer. Dertil angiver halvdelen af virksomhederne, at de er usikre på deres leverandørers it-sikkerhedspraksis og beredskabsplaner. Det fremgår også, at kun lidt over halvdelen af offentlige organisationer angiver at have et stærkt og afprøvet kriseberedskab, og at blot 36% har robuste og afprøvede forretningskontinuitetsplaner. Rapporten indikerer, at den løbende opdatering og test af beredskabs- og forretningskontinuitetsplaner i vidt omfang bliver forsømt.

Test beredskabet
Ifølge it-sikkerhedseksperterne Sarah Aalborg, CISO i Tivoli, Tine Tuxen Løvstrand, konsulent i TineTuxen ApS, og Thomas Kristmar, Director i PwC, er regelmæssige øvelser og simuleringer afgørende for at sikre, at beredskabsteamet er klar til at reagere effektivt ved en krise som et cyberangreb. Det er essentielt at teste beredskabsplanen grundigt med realistiske scenarier mindst hver halve år. 

Bevar overblikket i en krisesituation
Alle tre er gæster i afsnit 79 i Dansk IT’s podcast Tech og strategi i øjenhøjde. De forklarer, at uden en afprøvet beredskabsplan vil en virksomhed i en krisesituation typisk handle impulsivt og risikere at fokusere på perifere problemer, snarere end kerneproblemet. Har virksomheden derimod en beredskabsplan, der fungerer, og som virksomheden har trænet i, så er der langt større chance for, at virksomheden kommer hurtigere ovenpå igen. En beredskabsplan kan hjælpe med at komme ind til kernen og kortlægge situationen, så man kan bevare overblikket i en krisesituation og agere på en hensigtsmæssig måde.

Men hvad er så grundelementerne i en god beredskabsplan? 
Alle tre er enige om, at en god og effektiv beredskabsplan er kort og præcis. Den skal beskrive, hvem der gør hvad, hvornår. Den skal være grundig og skræddersyet til den specifikke virksomheds behov og ressourcer. Den skal omfatte risikoanalyse, beredskabsteam, backup-strategier, sikkerhedsforanstaltninger, en kommunikationsplan, uddannelse og øvelser/tests. En beredskabsplan sikrer, at virksomheden ved, hvad den skal gøre i en krisesituation og holder styr på, hvad der kan kontrolleres. Den garanterer, at de rette personer møder op på det rigtige sted, med klarhed om opgaver og tjeklister til at håndtere situationen. Det er afgørende at etablere et beredskabsteam med klart definerede roller og ansvarsområder. 

Teamet skal kunne lede, koordinere og træffe beslutninger under krisen. Alle i teamet skal have et ejerskab over planen og forstå den. Derfor er et klart sprog og tydelige instrukser afgørende.

Sammen med Dansk IT’s Fagråd for Informationssikkerhed har Sarah Aalborg, Tine Tuxen Løvstrand og Thomas Kristmar formuleret 10 gode råd til en beredskabsplan (se boksen øverst på siden). Det er ikke længere et spørgsmål om hvis, men når en virksomhed vil stå over for en it-krisesituation. En velforberedt bered-skabsplan er derfor afgørende for at minimere skader.

Lyt til afsnit 79 i Dansk IT’s podcast Tech og strategi i øjenhøjde på: podcast.dit.dk/beredskabsplan.

Rambøll Management Consulting A/S & Dansk IT (2022).
Digital & Technology − IT i praksis® 2022-2023.
https://c.ramboll.com/da-dk/it-i-praksis-2022

Vil du vide mere om beredskabsplaner?
På Dansk IT’s kursus, Kom godt i gang med beredskabsplanen, får du en grundlæggende forståelse for beredskabsplaner og værktøjer til at lave en for din virksomhed. Efter første kursusdag får du tid til at arbejde på din plan derhjemme. Tre uger senere på anden kursusdag får du feedback og vejledning i at teste og vedligeholde din beredskabsplan. Kurset klæder dig på til at beskytte din virksomhed mod cyberangreb.

Tilmeld dig på: dit.dk/beredskabsplaner

Mest læste på BusinessReview.dk

Ronny_tilpasset1
Investering af midler i Virksomhedsskatteordningen (VSO) – hvad må man?
1-199559273 - Aerial view to the diamond open mine in Aikhal town, Sakha Yakutia, north of Russia
Diamanter kan blive en god investering
Henriette-Berlingske---
Ejendomsadvokaten: Lejefastsættelse i gennemgribende forbedrede lejemål
br cø__
Læs "Cirkulær Økonomi" digitalt her
Ankomst
PwC nyindretter hovedsæde til en ny tids arbejdsformer

10 gode råd om beredskabsplaner:

  1. Lav den simpel og letforståelig.
  2. Din beredskabsplan skal indeholde enkle tjeklister,  action cards og basis agendaer. - Glem RASCIer, lange procedure og krydsreferencer til andre dokumenter. Udarbejd kun de action cards, I reelt vurderer som strengt nødvendige.
  3. Hav redskaberne i orden og inddel rollerne i farver. Når elefanten styrer, er der brug for visuelle hjælpemidler.
  4. Tænk over dit sprog, så det er klart, enkelt og adfærdsangivende “du og jeg-sprog”.
  5. Nærlæs beredskabsplanen jævnligt og tilpas teksten efter behov.
  6. Kommunikation både internt og eksternt skal tænkes ind i din plan (og kan med fordel forberedes på forhånd).
  7. Test din plan jævnligt.
  8. Gennemfør evaluering efter hver aktivering og udbyg planen.
  9. Involvér den øverste ledelse, når du tester.
  10. Tænk over relationen til andre planer i organisationen (leverandører, overordnet plan).

Og husk: Beredskabsplaner kan tilpasses - det kan virkeligheden ikke!

Læs også

Per Silberg Hansen
Tag stilling til cyber-truslen og din IT-sikkerhed
Det er vigtigere end nogensinde, at de danske virksomheder forholder sig til truslen om cyber-angreb. Hos Improsec er budskabet til...
Anders Høgh Olesen, ATEA it-sikkerhed
It-sikkerhed begynder hos ledelsen
It-sikkerhed skal understøtte forretningen. Derfor er sikkerheden en opgave, der skal forankres hos ledelsen og direktionen, hvis virksomheden...
ts-1-31842-9534
50 års digitalisering og stadig udsat
Truslen fra cyberspionage er meget høj i Danmark; det vurderer Center for Cybersikkerhed (CFCS) i deres seneste rapport. Med 50 års...