Magma topp logo Til forsiden Econa

Roar Gulbrandsen er senior manager i BAS (Business Advisory Services) i PricewaterhouseCoopers og arbeider til daglig med rådgivning innenfor informasjonssikkerhet, risikoanalyser, fysisk og driftsteknisk sikring av datarom og krise- og beredskapsplanlegging. Han er medforfatter av boken Håndbok i datasikkerhet; informasjonsteknologi og risikostyring (2002).

Krise- og beredskapsplanlegging

Beskyttelse mot avbrudd i kritiske forretningsprosesser

I henhold til ISO/IEC 17799 (den internasjonale standarden for informasjonssikkerhet) er hensikten med beredskapsplanlegging (Business Continuity Management) å planlegge strategier for uventede avbrudd i forretningsprosessene og å beskytte kritiske forretningsprosesser mot negative konsekvenser ved feil eller uhell.

I forbindelse med beredskapsarbeid benyttes ofte ulike begreper som katastrofeplan, kriseplan, beredskapsplan og kontinuitetsplan om hverandre. I denne artikkelen brukes begrepeneberedskapsplan ogberedskapsplanlegging.

For å kunne mestre alvorlige driftsavbrudd og katastrofesituasjoner vil kvaliteten på en gjennomarbeidet og øvet beredskapsplan være helt avgjørende.

GENERELT OM BEREDSKAPSPLANLEGGING

Alle virksomheter anvender i dag moderne informasjonsteknologi (IT) på en slik måte at det ikke er mulig å fungere uten tilgjengelige IT-systemer. De senere års utvikling har endret behovet for kontinuerlig tilgang til informasjon og tjenester radikalt.

For ca. halvannet år siden opplevde vi i Norge en situasjon hvor konsekvensene ved svikt i et landsdekkende datasystem var i ferd med å bli dramatiske for samfunnet. Under en oppgradering (endringshåndtering) oppstod det en rekke uheldige omstendigheter forbundet med både menneskelige og tekniske feil. Dette førte til driftsavbrudd i lang tid. Følgeskadene ble ytterligere forsterket ved at det gikk flere døgn før alle feil var rettet opp. Dette ble en tankevekker for myndighetene!

Kredittilsynet uttalte at de så meget alvorlig på driftsavbruddet. De ba om en skriftlig redegjørelse og en rask oppklaring av problemene i IT-konsernets systemer og rutiner. Flere virksomheter snakket om økonomiske erstatningskrav i millionklassen -- både direkte økonomiske tap og tap av generelt renommé og omdømme hos sine kunder.

Kåre Willoch, som var formann i Sårbarhetsutvalget, uttalte seg også om denne hendelsen, og han mente at episoden understreket behovet for enda større vekt på datasikkerhet. Videre uttalte han at det offentlige nå bør stille strengere krav, også til private virksomheter, om å iverksette sikringstiltak, slik at risikoen reduseres til et samfunnsmessig akseptabelt nivå.

Uten kontinuerlig tilgang til tjenester, informasjon og systemer vil mange raskt redusere sin forretningsaktivitet på en slik måte at det etter kort tid kan true en virksomhets eksistens.

Det danske IT-sikkerhetsrådet har i en nylig gjennomført undersøkelse belyst de skader som kan ramme IT-systemene og føre til svikt i dagens IT-infrastruktur. Hovedkonklusjonen i rapporten var at mange danske virksomheter manglet fundamentale sikkerhetsforanstaltninger og gode beredskapsplaner. IT-sikkerhetsrådet betegnet resultatet som sjokkerende. Det er lite trolig at tallene i Norge er særlig bedre.

Hvorfor finner vi da så mange virksomheter som ikke har utarbeidet en skikkelig beredskapsplan? Vanlig anvendte klisjeer i denne sammenhengen er at «det hender ikke i vår virksomhet» eller «vi skal gjøre noe med det når vi får tid». Hvis dette blir overført til for eksempel vurdering av brannforsikring, er reaksjonen en annen: Man tegner brannforsikring, uansett brannrisiko.

Årsaken til at ledelsen ikke har sørget for å utarbeide beredskapsplaner, kan ofte være at det er så lett å nedprioritere. Arbeidet koster tid og penger, krever personellressurser og viser sin nytteverdi bare hvis en katastrofe inntreffer.

STATENS ANSVAR -- SAMFUNNSVIKTIGE FUNKSJONER

Det internasjonale samfunnet er i økende grad avhengig av moderne informasjonsteknologi. Samtidig finnes det mangler og svakheter i de informasjonssystemene og den infrastrukturen som næringslivet, forvaltningen og den vanlige borger benytter. Vi blir i stadig større grad sårbare for utilsiktede og tilsiktede hendelser, herunder anslag fra kriminelle eller terrorister.

Landet vårt rammes også stadig oftere av uvær, og dette medfører ofte større ødeleggelser både på bygninger og utstyr. Ofte avdekker slike ulykker store svakheter i beredskapen og sårbarheten i samfunnet vårt. Kraftforsyning og telekommunikasjon kan bli satt ut av drift i lengre tid. Dette vil i neste omgang kunne lamme viktige deler av vårt teknologiske samfunn. Nødstrømsaggregat er ofte mangelvare, og noen ganger svikter også slikt utstyr når det virkelig trengs (ofte er det ikke testet skikkelig mot tekniske feil eller overbelastning).

Myndighetene er i ferd med å sette krav til ulike aktører og sektorer og pålegger tilsynsorganer å påse at krav til sikkerhet og robusthet blir overholdt. Dette kommer blant annet til uttrykk i arbeidet med en stortingsmelding om «Nasjonal strategi for informasjonssikkerhet», et dokument som nylig har vært på høring, og som planlegges lagt frem for Stortinget i vårsesjonen 2003.

Følgende utsagn er hentet fra dokumentet:

Det er et mål å øke robustheten i IT-infrastruktur til et nivå slik at risikoen for avbrudd i en normalsituasjon er akseptabel for viktige samfunnsfunksjoner. I en krisesituasjon skal robustheten være tilstrekkelig til å opprettholde kritiske funksjoner.

Beredskapsplanleggingen i private virksomheter som utfører viktige funksjoner av bred samfunnsmessig betydning, er derfor av offentlig interesse.

For å gardere oss mot trusler og påkjenninger som kan inntreffe i et IT-avhengig samfunn, er det derfor viktig å samordne beredskapstiltakene innenfor offentlig og privat sektor.

BEREDSKAPSPLANLEGGING -- METODER OG TILTAK

Hovedhensikten med en beredskapsplan er å holde virksomheten og forretningsaktivitetene i gang -- også i en katastrofesituasjon. Et godt grunnlag for å lage en hensiktsmessig beredskapsplan er at ledelsen kan svare på følgende spørsmål dersom det oppstår langvarige stopp i IT-produksjonen:

  • Hvor store blir de direkte økonomiske tapene -- salgstap og produksjonstap?
  • Hva skjer med produksjon, salg, logistikk, leverandør- og kundefordringer -- kan vi takle dette med manuelle systemer?
  • Hvor mange kunder vil vi miste, og hvilke erstatningskrav kan vi få?
  • Hvor mye informasjon vil vi miste, og hvor feilaktige og mangelfulle vil beslutningsgrunnlagene bli fremover?
  • Hvordan påvirkes kontantstrømmen -- på en uke, to uker, en måned?
  • Hvor lang tid vil vi bruke på å bli fullt operative igjen?
  • Hvilke tap kan virksomheten tåle før dens eksistensgrunnlag kommer i faresonen?

Som sagt: Disse spørsmålene bør stilles til personer som har inngående kjennskap til virksomhetens totale forretningsområde.

Det viser seg likevel vanskelig å få avsatt ressurser til å utarbeide planer for å møte en katastrofesituasjon som kanskje, og forhåpentligvis aldri, vil inntreffe.

Prøv da med følgende enkle spørsmål:

Ville vår virksomhet overleve hvis IT-avdelingen brant opp i natt?

Er svaret ja, trengs det kanskje ingen plan. Er svaret nei, bør en beredskapsplan utarbeides så snart som mulig. Erfaringer viser at tiden etter en katastrofe ofte er et løp for livet -- for å overleve.

En beredskapsplan harprimært som målsetting

  • å minske skadevirkningene ved en katastrofe dersom den inntreffer
  • å sikre at kritiske funksjoner er tilgjengelige under den unormale situasjonen (reservedrift)
  • å forenkle arbeidet med å komme tilbake til normal situasjon så fort som mulig

sekundært

  • å redusere sannsynligheten for en katastrofe (forebygge ved hjelp av bedre sikringstiltak)

Selve arbeidet kan logisk deles inn i fem faser:

  • Planleggingsfasen (kartlegging av behov, utarbeidelse av policy og generelt planverk med veiledning i beredskapsarbeidet, herunder roller og ansvar)
  • Reaksjonsfasen (beskriver hvem som skal ta aksjon, og hvordan det skal reageres på alvorlige hendelser)
  • Reservedriftsfasen (drift av prioriterte oppgaver, gjerne delt i prioritet I og prioritet II)
  • Gjenoppbyggingsfasen (tilbakeføring til normal situasjon i permanente omgivelser)
  • Test- og øvelsesfasen (alt fra skrivebordstest til øvelse i full skala)

Hvor detaljert en beredskapsplan skal være, vil variere fra virksomhet til virksomhet.

Det er viktig å skaffe seg en oversikt over hva som er virksomhetens vitale forretningsprosesser, og hvem som er formell eier av hver prosess. Det er disse prosessene, med tilhørende IT-systemer, som må ivaretas i reserveløsningene. Det er viktig at eieren av prosessen avsetter midler til å utarbeide beredskapsplaner; dette er enforsikringspremie for å drive prosessen.

Likedan er det viktig at man under planlegging av gjenoppbyggingsfasen inkluderer de manuelle, praktiske sidene. Har lokalene brent eller blitt ødelagt på annen måte, er det ikke bare reservedrift for IT-systemene som må ivaretas -- de ansatte må også ha et sted å være.

SELVE BEREDSKAPSPLANEN

Det er fundamentalt at det blir etablert etfjernlager (geografisk atskilt fra virksomheten) for reservekopier av datafiler, programmer og dokumentasjon, og at det blir utarbeidet rutiner for ajourhold med regelmessig utskifting av reservekopier. Et slikt fjernlager bør alltid opprettes, uansett om det er utarbeidet beredskapsplan eller ikke.

En sentral oppgave i forbindelse med beredskapsplaner er å bestemme og gjøre avtaler om hvor virksomheten skal kjøre sine IT-systemer ved langvarig driftsavbrudd i egen virksomhet. Disse lokalene må stå mer eller mindre klar og ha tilstrekkelig kjøling, strømtilførsel og telelinjer for ekstern tilknytning. Selve IT-utstyret har leverandørene ofte klart å levere i løpet av fire--seks dager, mens leveringstiden for kjøleutstyr, befuktere og kraftforsyning vil være fire--åtte uker. I tillegg kommer tilpasninger og monteringstid.

Fordi det tar tid å etablere et nytt lokale med tilhørende utstyr, har noen leverandører spesialisert seg på å leie ut lokaler klargjort for reservedrift og backuptjenester. Tilbudene dekker behovet både for større og mindre IT-miljøer.

En beredskapsplan bør konsentrere seg om arbeidsoppgavene i de første dagene og ukene etter en katastrofe. I denne forbindelse er det viktig å opprettholde vitale kundeaktiviteter, særlig i forhold til de forventninger kundene har til leveranser og service.

Beredskapsplanen må utarbeides så detaljert at den gir muligheter for styring og prioritering, slik at konflikter og forvirring unngås mest mulig.

Erfaringsmessig er det praktisk å utføre planleggingsarbeidet i prosjektgrupper og la disse prosjektgruppene være «aksjonsgrupper» når beredskapsplanen skal prøves ut eller brukes i en virkelig situasjon.

De vanligste prosjektgruppene er

  • katastroferåd og sekretariat
  • installasjons-, transport- og arkiveringsgruppe
  • kommunikasjons- og operativsystemgruppe
  • IT-driftsgruppe
  • applikasjonsgrupper

Arbeidet i gruppene vil i en katastrofesituasjon bli utført parallelt, og ansvarsområdene vil gå over i hverandre. Det er særlig viktig å påpeke roller og ansvar ikatastroferådet. Her er ledelsen representert, og den må ta alle viktige beslutninger og håndtere all informasjon til kunder, presse og publikum.

OPPSUMMERING

Det er ikke bare én «riktig» måte å utarbeide en beredskapsplan på, for behovet varierer sterkt fra bedrift til bedrift alt etter størrelse, IT-systemenes funksjon, kompleksitet osv.

Uansett hvilken metode som velges, må ledelsen og brukeravdelingene være med. Det er viktig for å få brukeravdelingene til å føle ansvar, også under en katastrofesituasjon. Videre må beredskapsplanen oppdateres regelmessig da ingen virksomhet er en statisk organisasjon. Beredskapsplanen må være godt dokumentert og må testes og øves jevnlig. Øvelsene bør være så omfattende at det blir avdekket om viktige detaljer og rutiner mangler. Øvelse koster penger, tid og personressurser, men dette må avveies mot mulige tap ved en eventuell katastrofesituasjon.

Beredskapsplanen vil kunne inneholde følsomme opplysninger og må derfor behandles og oppbevares på en trygg og sikker måte, utilgjengelig for uvedkommende.

Vær klar over følgende:

  • Det må gjennomføres risikoanalyser for å kartlegge akseptabel avbruddstid og mulige skadevirkninger ved driftsavbrudd for de mest kritiske prosessene.
  • Dersom det ikke er utarbeidet beredskapsplaner, har ikke ledelsen gjort jobben sin.
  • En god beredskapsplan kan bety forskjellen mellom rask gjenreisning eller fullstendig kaos.
  • En beredskapsplan vil ikke hindre at en katastrofesituasjon oppstår, men vil kunne redusere skadevirkningen vesentlig.
  • Reservekopier av beredskapsplanen må arkiveres geografisk atskilt fra virksomheten.
  • Fagavdelingene (sammen med systemeiere) har fullt ut ansvaret for å løse sine egne arbeidsoppgaver, også i en beredskapssituasjon.
  • Planen må testes og øves regelmessig.

© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS