Når en virksomheds it-systemer går ned, kan det få katastrofale konsekvenser for driften, økonomien og brandets omdømme. Uanset om nedbruddet skyldes hackerangreb eller interne tekniske fejl, er konsekvenserne betydelige. Heldigvis er der meget, der kan gøres for at forebygge angreb og nedbrud samt forbedre beredskabet i tilfælde af en krise, så skaden minimeres. Her er en god og gennemtestet beredskabsplan et helt afgørende redskab.
Skrevet af: Irmelin Aasberg Karlsen, Digital marketing- og kommunikationskonsulent, Dansk IT
I en digital tidsalder udgør it-systemer rygraden i enhver organisation, uanset om det er en lille, lokal virksomhed eller en stor international koncern. For de fleste er muligheden for ”at gå tilbage til papir” forpasset, og med afhængigheden af teknologi følger truslerne fra cyberangreb og it-nedbrud. Statistikker viser, at cyberangreb er i konstant stigning i Danmark, og ingen sektor eller branche kan på forhånd sige sig fri for at blive ramt. Virksomheder og myndigheder skal derfor tage stilling til, hvad de gør, hvis it-systemerne svigter. Endnu vigtigere er det, at de har en velstruktureret beredskabsplan for at ruste sig til og effektivt håndtere kriser. Men ifølge rapporten IT i praksis® 2022-2023, som Rambøll Management Consulting og Dansk IT står bag, har kun lidt mere end hver anden dansk virksomhed tilstrækkelige planer. Dertil angiver halvdelen af virksomhederne, at de er usikre på deres leverandørers it-sikkerhedspraksis og beredskabsplaner. Det fremgår også, at kun lidt over halvdelen af offentlige organisationer angiver at have et stærkt og afprøvet kriseberedskab, og at blot 36% har robuste og afprøvede forretningskontinuitetsplaner. Rapporten indikerer, at den løbende opdatering og test af beredskabs- og forretningskontinuitetsplaner i vidt omfang bliver forsømt.
Test beredskabet
Ifølge it-sikkerhedseksperterne Sarah Aalborg, CISO i Tivoli, Tine Tuxen Løvstrand, konsulent i TineTuxen ApS, og Thomas Kristmar, Director i PwC, er regelmæssige øvelser og simuleringer afgørende for at sikre, at beredskabsteamet er klar til at reagere effektivt ved en krise som et cyberangreb. Det er essentielt at teste beredskabsplanen grundigt med realistiske scenarier mindst hver halve år.
Bevar overblikket i en krisesituation
Alle tre er gæster i afsnit 79 i Dansk IT’s podcast Tech og strategi i øjenhøjde. De forklarer, at uden en afprøvet beredskabsplan vil en virksomhed i en krisesituation typisk handle impulsivt og risikere at fokusere på perifere problemer, snarere end kerneproblemet. Har virksomheden derimod en beredskabsplan, der fungerer, og som virksomheden har trænet i, så er der langt større chance for, at virksomheden kommer hurtigere ovenpå igen. En beredskabsplan kan hjælpe med at komme ind til kernen og kortlægge situationen, så man kan bevare overblikket i en krisesituation og agere på en hensigtsmæssig måde.
Men hvad er så grundelementerne i en god beredskabsplan?
Alle tre er enige om, at en god og effektiv beredskabsplan er kort og præcis. Den skal beskrive, hvem der gør hvad, hvornår. Den skal være grundig og skræddersyet til den specifikke virksomheds behov og ressourcer. Den skal omfatte risikoanalyse, beredskabsteam, backup-strategier, sikkerhedsforanstaltninger, en kommunikationsplan, uddannelse og øvelser/tests. En beredskabsplan sikrer, at virksomheden ved, hvad den skal gøre i en krisesituation og holder styr på, hvad der kan kontrolleres. Den garanterer, at de rette personer møder op på det rigtige sted, med klarhed om opgaver og tjeklister til at håndtere situationen. Det er afgørende at etablere et beredskabsteam med klart definerede roller og ansvarsområder.
Teamet skal kunne lede, koordinere og træffe beslutninger under krisen. Alle i teamet skal have et ejerskab over planen og forstå den. Derfor er et klart sprog og tydelige instrukser afgørende.
Sammen med Dansk IT’s Fagråd for Informationssikkerhed har Sarah Aalborg, Tine Tuxen Løvstrand og Thomas Kristmar formuleret 10 gode råd til en beredskabsplan (se boksen øverst på siden). Det er ikke længere et spørgsmål om hvis, men når en virksomhed vil stå over for en it-krisesituation. En velforberedt bered-skabsplan er derfor afgørende for at minimere skader.
Lyt til afsnit 79 i Dansk IT’s podcast Tech og strategi i øjenhøjde på: podcast.dit.dk/beredskabsplan.
Rambøll Management Consulting A/S & Dansk IT (2022).
Digital & Technology − IT i praksis® 2022-2023.
https://c.ramboll.com/da-dk/it-i-praksis-2022
