Så säkras verksamhetens kontinuitet
En läsare undrar vad vår säkerhetsexpert Tomas Djurling avser med, och inkluderar i, begreppet kontinuitetsskydd.
Svar: Säkerhetsarbetet i stort syftar till att stödja verksamheten genom att skapa den säkerhet som ska garantera verksamhetens kontinuitet. Detta görs genom att ställa säkerhetskrav, vara en stödjande funktion och kontrollera att uttalade krav uppfyllts. En del av dessa krav gäller tillgänglighet i IT-system, personalförsörjning och annat då verksamheten utsätts för störningar, påfrestningar och kriser.
Om problemet är av en sådan omfattning att det inte kan lösas inom ordinarie linjeorganisation, träder krisfunktionen in och kontinuitetsarbetet påbörjas.
Kontinuitetsskyddet är de krav och regler som verksamheten ställer för att kunna fortgå i händelse av kriser och störningar i verksamheten.
Varje organisation ska i en plan ange vilka åtgärder som ska vidtas vid avbrott eller störningar i IT-systemens funktion eller andra störningar i verksamheten. Om dessa planer inte finns riskerar verksamheten att helt slås ut. I myndighetsvärlden kan detta innebära att vitala samhällsviktiga funktioner inte fungerar.
Krisledningsorganisationen
Om verksamheten drabbas av en akut kris som utgör hot mot personer, egendom eller information, och problemen är av en sådan omfattning att de inte kan lösas inom ordinarie linjeorganisation, då ska en krisgrupp träda in. Krisgruppen ska vara bemannad med ledningspersoner, chefer, experter, personalvetare, tekniker etc. Den ska bemannas utifrån verksamhetens art och ställning. Denna krisgrupp måste ha mandat, vilka måste framgå av fastställda instruktioner.
Målet med organisationens krisledningsarbete är att: minimera skador på personer, egendom och information, hålla prioriterade verksamheter igång (kontinuitet) samt se till att starta system och verksamheter i prioritetsordning (utifrån verksamhetens krav).
Ett vanligt fel som görs i samband med att ta fram individer och rutiner för krisgrupper är att många bara tar fram en, fullt bemannad krisgrupp. Om en kris tar ett dygn eller längre måste ersättare kunna rycka in. Efter cirka 24 timmar är den första gruppen trött och måste få vila och sömn. När det händer måste det finnas utpekade och tillgängliga resurser för att fortsätta krisarbetet när den första gruppen behöver gå hem.
Händelsekategorier
Många olika typer av händelser kan inträffa. Dessa kan ha mycket skiftande karaktär (fysiska, logiska eller organisatoriska). Samtliga händelser kan påverka organisationens verksamhet och måste därför hanteras vid en akut kris. I krisberedskapsarbetet och vid utformandet av reservrutiner måste samtliga sådana eventuella händelser beaktas. Detta med hänsyn till vilket förhållningssätt organisationen kan komma att inta och vilka åtgärder som kan komma att tas med anledning av en händelse eller incident. Dessa kan indelas i förslagsvis följande kategorier:
Yttre hot (t ex angrepp på IT-system, sabotage)
Inre hot (t ex brott inom organisationen)
Olyckor (t ex brand)
Systemhaveristörningar (t ex i IT- och elsystem)
Förtroendehot (t ex allvarlig ryktesspridning, badwill)
Prioriterade verksamheter
Varje verksamhet av vikt har funktioner som aldrig får drabbas av längre driftavbrott. Dessa funktioner ska samtliga ha reservrutiner som omedelbart kan sättas igång.
Här gäller det att inventera vilka system, funktioner och verksamhetsdelar som just din organisation inte kan vara utan under en längre tid. Vissa verksamheter har system som måste finnas tillgängliga 7/24/365. Dessa system måste ha en så kallad High Availibility Service eller motsvarande. System och stöd för att med automatik flytta IT-funktioner mellan datorer under pågående drift utan att stanna eller orsaka fel i datahanteringen.
För en myndighet är ofta hemsidor och mailsystem sådana system som kräver hög tillgänglighet men som ofta glöms bort. Mail och hemsidor är idag den viktigaste kanalen för att informera allmänhet, press och media.
Driftnivåer vid kris
Under en kris kan det finnas begränsade möjligheter att ha fullständig verksamhet i drift. Detta kan bero på att IT-system havererat och att nya datorer inte kan levereras tillräckligt snabbt. Det kan också vara att nyckelpersoner omkommit, ligger på sjukhus etc.
Vid dessa tillfällen måste organisationen vara förberedd att sköta verksamheten med olika driftnivåer. För att detta ska fungera i en kris med reducerad drift kommer många i personalen att få tillfälliga arbetsuppgifter som de inte är vana vid eller utbildade för. Denna situation ställer mycket höga krav på dokumentation.
Följande dokumentation är exempel på vad som behöver tas fram:
Driftdokumentation för samtliga system
Återstartsrutiner för samtliga system
Processbeskrivningar för samtliga processer i verksamheten
Service- och supportdokumentation till samtliga system
Behörighetslistor för behörighet till samtliga system (gäller även IT-personal)
Nätverksskisser etc.
De olika driftnivåerna kan vara:
Nivå 1: Endast prioriterade verksamheter bedrivs
Nivå 2: Utökad verksamhet bedrivs
Nivå 3: Merparten av eller hela myndighetens verksamhet bedrivs
Vilka system som ska ingå i de olika driftnivåerna måste i detalj utredas.
Övriga frågeställningar
I arbetet med att ta fram ett komplett kontinuitetsskydd ligger även mycket annan dokumentation, regler och rutiner. Du måste även dokumentera vem som får besluta att verksamheten befinner sig i en kris. Ett sådant beslut medför ofta väldigt stora kostnader för verksamheten. På samma sätt som ett felaktigt beslut i andra riktningen kan få ännu allvarligare konsekvenser.
När väl beslutet är taget behövs väl uppdaterade ringlistor, jourlistor etc. Att informera den personal som är utpekad att ingå i krisgrupper, stödgrupper, IT-tekniker och andra låter självklart men missas av många.
Vad gör ni om den enda IT-teknikern som kan det mest kritiska systemet ligger på sjukhus eller är på semester på andra sidan jorden? Det är alla dessa frågor ni måste ställa er och skaffa ett svar på. När det är gjort måste verksamheten hantera varje sådan fråga. Viktigast av allt är att allt dokumenteras och finns tillgängligt när krisen kommer. All dokumentation måste givetvis vara uppdaterat och aktuell.
Kontinuitetsplaneringen är för verksamheten ett av de viktigaste områdena inom säkerhetsarbetet.
Lycka till med arbetet!
Tomas Djurling