Kontinuitetshanteringens hårda verklighet

It-incidenter och andra störningar som påverkar informationshanteringen är och kontinuitetshantering i ett informationssäkerhetsperspektiv är en allt hetare fråga. Detta förstärks naturligtvis av att vårt beroende till informationshanteringen är i ständig tillväxt liksom riskerna, både de medialt tacksamma antagonistiska hoten och de mer vardagliga som uppdateringar som misslyckas, buggar och hårdvaruproblem. Utan tillgång till information och kommunikation befinner sig organisationer snabbt i krisläge. Stora resurser ofta behövs för att åtgärda orsaken till incidenten och för återställelse till normalfunktion men också för att upprätthålla verksamhetsprocesserna med reservrutiner.

I idealläget finns en planering för åtgärder, återställelse och verksamhetsprocessernas reservrutiner samt, inte minst viktigt, för kommunikation med medarbetare och externa intressenter. Planerna är övade, samordnade och ständigt förbättrade. Organisationen är också medveten om att det inte bara är tillgängligheten som påverkas av avbrottet, det finns även stora risker för obehörig åtkomst och för negativa konsekvenser för riktighet och spårbarhet.

I verkligheten är i idealläget ganska långt borta vilket inte bara är en personlig erfarenhet utan framgår också från de undersökningar som gjorts av statliga myndigheter och kommuner. Hur det står till i privata företag finns det ingen lika heltäckande undersökning av men indicierna är starka på en liknande situation även där. Tyvärr gäller detta även verksamheter som allmänheten har stora förväntningar på ska kunna fungera även under svåra omständigheter,  som sjukvården. Den kanske mest genomarbetade analysen av dessa litet skrämmande förhållanden gjordes av Tom Andersson i en mycket intressant studie av läkemedelshanteringen i Västra Götalandsregionen.

Utöver de reflektioner som Tom Andersson själv gör i studien finns det några övergripande faktorer som jag anser gör det svårt för den som villa skapa en fungerande kontinuitetshantering i den egna organisationen.

Den kanske mest avgörande är att i princip alla offentliga och privata organisationer idag av sina uppdragsgivare förväntas planera enbart för ett ständigt normalläge. Att i budgetdiskussioner hävda att det behövs en marginal, litet luft i systemet, litet extrakapacitet att ta till i händelse av störningar skulle i bästa fall väcka förvånade huvudskakningar. Lean är möjligen en organisationsfilosofi på utgående men önskan att slimma verksamhetsprocesserna till allra nödvändigaste är numera etablerad i flertalet organisationer. Tyvärr är det oundvikligt att en fungerande kontinuitetshantering kräver att organisationen ska klara situationer utanför normalläget vilket innebär extra resurser både för själva åtgärds- och återställelsearbetet och för reservrutiner som dessutom måste övas för att fungera. En stor del av tidigare offentligt finansierad och offentligt utförd verksamhet överförts till privata utförare utan att avtalen innehåller krav på att utföraren ska ha en kontinuitetshantering vilket ytterligare försvårar situationen.

Även den som fått budget och sanktion för att skapa en kontinuitetsplan för informationshanteringen i den egna organisationen kommer att ha en svårhanterlig uppgift framför sig. Informationshanteringen sker inte längre enbart i den egna organisationen utan är en del i ett komplext samspel med andra. En processkartläggning över en verksamhetsprocess beroenden till olika tjänster och resurser för informationshantering som dessutom ständigt förändras är ett nödvändigt underlag. Att få kontroll över denna helhet och skapa förutsättningar för att kunna hantera störningar är inget som går att lösa i ett projekt utan kräver ett systematiskt och uthålligt arbete där många interna och externa parter måste vara involverade.

I många sammanhang finns den outtalade förutsättningen att organisationer har en generell kontinuitetshantering som det går att komplettera med informationssäkerhetsaspekterna. I ett sådant scenario finns redan modell och andra viktiga komponenter som ansvarsfördelning på plats. Tyvärr är min erfarenhet att detta sällan är hur verkligheten beskaffad i flertalet organisationer. Vad som finns är kanske en krisledningsorganisation men ingen faktisk planering eller övning av händelser då centrala resurser faller bort. Den informationssäkerhetsansvarige får då arbeta i underläge och ta ansvar för mycket mer än vad som ligger i rollens mandat och uppgifter. Här tror jag många informationssäkerhetsansvariga resignerar och med viss förtvivlan grubblar över hur de ska kunna göra det som de ändå vet är en mycket viktig del i uppdraget.

Varken för den generella kontinuitetshanteringen eller den som är specifikt inriktad på informationssäkerhet finns det mycket stöd att hämta. Detta trots att förmågan att upprätthålla den verksamheten vid större störningar och kriser är ett ansvar som i det svenska krishanteringssystemet ligger på den enskilda organisationen. Det finns naturligtvis standarder och konsultföretag som kan hjälpa till men någon nationell modell eller metod finns inte etablerad även om detta efterfrågats av bland annat kommuner. Att plocka fram en egen modell eller metod framstår säkerligen för de flesta medelstora och små organisationer som övermäktigt. Ur ett samhällsperspektiv är det också en suboptimering om alla organisationer ska ta fram egna varianter som dessutom inte är koordinerade sinsemellan.

Denna dystra bild får ändå inte göra oss passiva eftersom kontinuitetshanteringen är så betydelsefull för oss både i den enskilda organisationen och på en samhällsnivå. Nedan följer några tips som ändå kan underlätta arbetet.

  • Prioritera verksamhetsprocesser. Vid en större störning kommer det inte att vara möjligt att upprätthålla all verksamhet utan de resurser i form av exempelvis tjänster, kommunikation och medarbetare måste användas för de processer som ledningen prioriterar. Prioriteringen ska inte ske under störningen utan under exempelvis verksamhetsplanering.
  • Kartlägg beroenden. Genom processkartläggning går det att identifiera vilken information och vilka bärare som är nödvändiga för att upprätthålla processen. Det ger också ett bra underlag för it-ansvariga att ta fram den planering som ska ske mellan olika tjänster och andra it-resurser.
  • Håll planeringen så enkel som möjligt. Alltför komplexa planer blir snabbt inaktuella och dessutom svåra att hantera i ett kritiskt läge. Det är sällan intressant att gå djupare i olika tänkbara orsaker till störningen utan det är störningens effekter på verksamheten som är det intressanta. Att koncentrera sig på effekterna gör också planeringen enklare än att ha en mängd olika alternativ utifrån olika orsaker till störningar.
  • Se till att ledningen är beslutsför. Under ett akut skede måste ett antal beslut tas som ligger utanför det som är möjligt att planera och då måste de som har en ledningsfunktion känna sig trygga i att de får fatta beslut.
  • Förbered för kommunikation. God kommunikation med de egna medarbetarna och med intressenter utanför den egna verksamheten är oumbärlig både före, under och efter en större störning.
  • Öva, öva,öva! Övningar kan ske under mycket anspråkslösa former som exempelvis på en arbetsplatsträff där man går igenom ett scenario och simulerar de steg som planen innehåller. Mycket nyttigt både för planen, den informationssäkerhetsansvarige och verksamheten.

2 reaktioner på ”Kontinuitetshanteringens hårda verklighet

  1. Tack Fia för att du sätter verksamhetsperspektivet i fokus. Om det är något område där det är viktigt att vara klar över ”skyddsmålet”, vad som ska skyddas, så är det incident- och kontinuitetshantering. Det var min främsta lärdom, erfarenhet och upplevelse från arbetet som du citerar. Läpparnas bekännelse är att alla sätter verksamheten i fokus, men i praktiken är det inte så. Sanningen är att det egna ansvarsområdet som regel hamnar i fokus, varmed incident- och kontinuitetshantering blir detsamma som incidenter som involverar it respektive driftsäkerhet. Problemet med det är att prioriteringar görs i stuprör. Ett aktuellt exempel är dataintrånget för demokraternas parti i USA. Vad innebär ”incident” och ”kontinuitet” här? Handlar problemet först och främst om ett dataintrång eller förtroenderisker? Är lösningen att sätta upp en ny säker e-postserver eller att säkra trovärdigheten i offentligheten på kort och lång sikt? Beroende på svar ställer det helt krav på ledning och styrning av både incident- och kontinuitetshantering. Frågan är hur många informations- och it-säkerhetsexperter som skulle klara av att samordna en sådan uppgift.

    • Ja, detta är verkligen en fråga som förtjänar uppmärksamhet både i enskilda organisationer och på nationell nivå. Det känns som det finns ett så stort kunskapsmässigt underskott att det är svårt att veta var man ska börja. Samordning och prioritering är centralt men det är svårt för den enskilda organisationen att ta tag i det när det saknas en övergripande struktur att ansluta till.

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *