Beredskab – Kan det lade sig gøre i praksis?

Beredskab – overskuelig opbygning

Med en god beredskabsplan er din virksomhed bedre stillet i ekstreme situationer. Siscon skrev i del 1 af denne artikel omkring planlægningen af en god beredskabsplan og vil fortsætte del 2 hvor vi slap, nemlig med selve opbygningen og indholdet af en god beredskabsplan. Man kan aldrig vide hvad der sker – men når uheldet er ude, er det vigtigt at forretningen på forhånd har taget stilling. Hvis du ikke har læst del 1 senest i din juleferie, kan du læse den her.

Opbygning af beredskabsplanen kan med fordel tage udgangspunk i en struktur der er opbygget af nedenstående delelementer. Her er der en overordnet plan der sætter rammerne, beskrivelse af beredskabsorganisationen og medlemmerne, nødplaner for forretningsprocesserne, reetableringsplaner for it-systemer og ”Scenarieplaner”.

Overordnet beredskabsplan

Den overordnede beredskabsplan sætter rammerne for hele beredskabet. Her defineres omfang, hvilket blandt andet betyder udpegning af de forretningsprocesser, der er omfattet og dermed relevante IT-systemer. Her defineres også, under hvilke omstændigheder beredskabsplanen skal tages i brug og hvem der kan iværksætte beredskabet og ikke mindst afblæse det igen. I den overordnede beredskabsplan er det vigtigt, at fastlægge forudsætningerne, samt en overordnet beskrivelse af omfang af test og afprøvning. Samlet set generes et dokument som fastsætter rammerne for, det videre konkrete beredskabsarbejde.

Beredskabsorganisation

Bestemmelse af beredskabsorganisation er vigtigt, at tage udgangspunkt i, hvordan din organisation vil agere mest optimalt i en krisestyringssituation. Det er vigtigt at tænke både ledelsesmæssigt og operationelt, således at der er både ledelsesmæssig kompetence samt faglig kompetence i beredskabsledelsen. På den måde kan der træffes de bedste beslutninger både forretningsmæssige og IT-faglige beslutninger på forholdsvis kort tid. De enkelte grupperinger der indgår i beredskabsorganisationen, skal have beskrevet deres ansvarsområder hver især således, at det er klarlagt på forhånd, hvem der gør hvad. Endvidere er en alarmeringsliste vigtig, så beredskabsledelsen let og hurtigt kan kontakte de involverer personer.

Nødplaner

Nødplaner for de omfattede forretningsprocesser, hvem er det egentlig der skal lave dem? Ja, det er ikke IT-afdelingen. Vigtigheden af en tidlig udpegning af ejerskabet for specifikke forretningsprocesser er essentiel – for her gemmer sig svaret på spørgsmålet. Det er ejeren af de specifikke forretningsprocesser, der har ansvaret for at der udarbejdes en nødplan for den proces vedkommende ejer. Heri skal beskrives hvorledes processen vil blive håndteret på alternativ vis, i de tilfælde at hele eller dele af IT-understøttelsen bortfalder i kortere eller længere tid. Og så igen, lad os lige få en alarmeringsliste for de relevante personer for den enkelte på forretningsproces udarbejdet også.

Reetableringsplaner

IT-afdelingen træder i karakter under reetablering og udarbejder en beskrivelse af de enkelte systemer der understøtter de forretningsprocesser der indgår i beredskabsplanen. Her har hver systemejer/systemadministrator ansvaret for, at udarbejde en plan for reetablering af deres enkelte system. Dette giver en lang række reetableringsplaner, som kan anvendes i lige præcis det omfang den enkelte situation kræver det. Også her er alarmeringslisten vigtig, hvem er ekspert på det enkelte system, det kunne måske også være en god ide, at have kontaktinformationer på leverandøren stående her.

Scenarieplaner

Det kan i visse tilfælde være en fordel, at udarbejde et mindre antal scenarieplaner. Det er ikke fordi beredskabsplanen samlet set skal bygge på scenarier, det er ikke optimalt set i forhold til ressourceforbrug og udbytte. De omtalte Scenarieplaner vil være planer, der beskriver de ”første tiltag” ud fra nogle givne hændelser, der har den største sandsynlighed f.eks. virusudbrud, hacking af hjemmeside eller lign. Med en sådan plan for et scenarie, er der klare instrukser for, de aktiviteter der skal iværksættes, samtidig med, at der bliver indkaldt de relevante personer fra beredskabsorganisationen.

Kan det lade sig gøre i praksis?

Du sidder måske nu og tænker ”det lyder meget godt alt sammen – men kan det lade sig gør i praksis”. Her er det, at denne ”elefant” adskiller sig fra andre elefanter – det her kan lade sig gøre i praksis, netop fordi elefanten bides op i mindre bidder og dermed bliver overkommelig at ”spise”. Du skal arbejde struktureret med beredskabsplanen, det er en vigtig pointe. Desuden skal du gøre dit for, at ledelse og direktion ser fidusen i, at have styr på beredskabsplanerne.

Det næste du måske tænker er; ”hvordan får jeg alt det her til at hænge sammen?” Svaret er enkelt, ved at anvende ControlManager™ vil du opnå en lang række fordele. Værktøjet til struktur og organisering af IT-sikkerhed er skræddersyet til netop, at holde styr på de enkelte dele og genanvende nyttige informationer som relation mellem de enkelte moduler. Store dele af indholdet i nødplaner og reetableringsplaner bliver genereret automatisk og alarmeringslister skal du ikke tænke på, når blot dine stamdata for processer og IT-systemer er på plads.
ControlManager™ vigtigste funktion i denne sammenhæng er, at sikre dig en fast struktur og kontinuerligt overblik og effektiv udnyttelse af dine informationer, så arbejdet ikke bliver mere besværligt end nødvendigt er.

Nu har du haft mulighed for at læse del 1 og del 2 af ”Beredskab – det er vigtigt at komme godt fra start”. Har du behov for sparring, rådgivning eller spørgsmål, kommentarer eller blot ønsker en uddybning af de artiklerne, er du meget velkommen til at kontakte Camilla Bruun på e-mail CAB@siscon.dk eller på telefon 60 16 14 04. Du har også mulighed for at få en demo-adgang til ControlManager™ for at se hvad ControlManager™ kan gøre for dig i arbejdet med din beredskabsplan.

Med venlig hilsen

Siscon