Har ditt företag en Business Continuity- och Disaster Recovery Plan?

Lena Graungaard Lindahl 1 mars, 2023

Introduktion

Kontinuitetsplanering förbereder och underlättar konsekvenser och efterarbete

Supportavdelningen blir nerringd av arga kunder som inte kan beställa, leverantörer stängs ute från system och dina kollegor springer runt i korridoren som förvirrade höns – ingen vet vad som händer eller vad som behöver göras.

När något som en plötsligt trasig server, ett misstag vid en systemuppdatering eller en cyberattack gör många av dina viktigaste IT-funktioner oanvändbara kan ditt företag vara illa ute. Det är här en Business Continuity Plan (BCP) och Disaster Recovery Plan (DRP) kan hjälpa dig.

En Business continuity- och disaster plan är en uppsättning förbestämda steg och åtgärder som tas fram på förhand för att förbereda en kommande hantering och återställning efter att en incident eller kris inträffar.

Det kan ses som självklart att en organisation har en plan vid en brand och att brandövningar genomförs regelbundet. Alla ska veta vad de ska göra – vart närmsta nödutgång finns, uppsamlingsplats, att hissen inte ska användas, dörrar ska hållas stängda för att minska spridningsrisken och du vet vem som har koll på att alla har lämnat byggnaden.

Men har du en plan för hur ditt företag ska hantera en kritisk IT-incident före, under och efter incidenten inträffat?

Det är nog inte realistiskt med en nollvision för IT-incidenter, men med en genomtänkt plan kan man minimera konsekvenserna när de väl inträffar.

Steg 1: Gör en Business Impact Analysis (Affärskonsekvensanalys)

Alla företag bör ha en plan som fastställer de steg du och din organisation måste ta i händelse av en katastrof eller större incident. Dessa planer kallas för Business Continuity Plan (BCP), och Disaster Recovery Plan (DRP), kontinuitetsplan och katastrofåterställningsplan på svenska. Ett första steg är att göra en Business Impact Analysis (BIA), även kallt affärskonsekvensanalys, som är en systematisk process för att hitta potentiella konsekvenser på kritiska affärsoperationer till följd av en katastrof, olycka eller nödsituation. Du analyserar vilka tillgångar som är mest kritiska för att ert företag ska fortsätta att fungera innan, under och efter en katastrof.

När ni utformar en Business Impact Analysis bör ni fråga er:

Vilka är era mest kritiska affärsprocesser?
Vilka tillgångar och aktiviteter stödjer dessa processer? (Glöm inte bort er personal som viktigt stöd i era processer! Sprid ut kunskap bland flera personer, så att ni inte står handfallna om delar av er personalstyrka är otillgänglig)
Definiera vilka krav ni måste ställa avseende maximalt tolerabel avbrottstid och återställningstid för varje kritisk aktivitet och resurser som är beroende för dessa aktiviteter.
Hur länge kan en aktivitet ligger nere utan att det skapar stora konsekvenser för er?

Bingley Floods 2015 Boxing Day – Brown Cow Bingley

Steg 2: Förstå era risker

Det går inte att ha en specifik plan för alla potentiella nödsituationer, men med hjälp av en riskvärdering kan du få en överblick över vilka risker som är mest sannolika och kan ha störst påverkan på ditt företag. Du bör minimera och förebygga de största riskerna för att undvika att de uppstår men även ta fram en detaljerad plan för att hantera störningen om den ändå skulle uppstå.

Genom följande steg genomför du en riskvärdering:

Riskidentifiering: Identifiera vilka hot som kan påverka era kritiska affärsprocesser
Riskanalys: Värdera riskerna utifrån konsekvens och sannolikhet med hänsyn till tolerabla avbrottstiden som tagits fram i er Business Impact Analysis.
Riskbedömning: Bedöm vilka risker som inte kan accepteras.

Steg 3: Utforma en incidenthanteringsplan för kritiska IT-incidenter

Det kan handla om sekunder från att en incident inträffar till att hela ditt företag, anställda och kunder drabbas. Det är viktigt att alla incidenter hanteras skyndsamt för att minimera skadan och stoppa potentiell spridning. Detta kräver en tydligt utformad, dokumenterad och övad process om hur incidenter ska rapporteras, hanteras, åtgärdas och följas upp. Vid större incidenter kan det behövas en mer detaljerad plan där exempelvis vissa personer inom din verksamhet måste lämna sina vardagliga arbetsuppgifter för att prioritera hanteringen av incidenten. En plan för att hantera kritiska incidenter behövs för att undvika att en incident eskalerar till en katastrof. Vissa typer av verksamheter och incidenter kan också omfattas av externa rapporteringskrav så som vid en personuppgiftsincident eller om man är en NIS-leverantör. (Ni kan läsa mer om NIS2-direktivet här: https://www.secify.com/artiklar/nis2-direktivet-vad-innebar-det/)

Tips när du utformningar en incidenthanteringsplan:

Forma ett incidenthanteringsteam.
Använd er av en säkerhetsstandard vid utformning av planen, exempelvis ISO 27035.
Lär er från era tidigare incidenter.
Tänk på att en incident som påverkar din verksamhet även kan ske hos någon av dina leverantörer.
Dokumentera alla steg vid incidenthanteringen, från början till slut. Ta fram en bra rapportmall.
Glöm inte att öva och testa planen så att ni kan känna er trygga med att den fungerar i skarpt läge.

Steg 4: Bygg er Business Continuity Plan (Kontinuitetsplan)

Baserat på din affärskonsekvensanalys och riskvärdering vet du vilka era kritiska processer och resurser är samt vilka risker dessa är exponerad mot. Om någon av dessa risker realiseras behöver du en plan för att se till att dina väsentliga funktioner ändå fungerar på en accepterad nivå.

Du behöver en Business Continuity Plan ”en plan B” för att säkerställa detta. Vilka alternativa banker, transporter eller lokaler kan du använda om din primära bank, leverantörer, transportmedel eller kontor är otillgängliga? Hur håller du och dina kollegor kontakten om telefonlinjen ligger nere? Kommer du att behöva extern hjälp? Vem kontaktar du då? Du behöver vrida och vända på olika scenarier och försöka hitta lösningar och ha en plan som du snabbt kan aktiveras för att skydda ditt företag, dina kollegor, kunder och partners.

Tips när du utformar en Business Continuity Plan:

Planen ska vara omfattande, anta inte att den första planen kommer att funka, utan ha även en plan C och D.
Era planer måste vara realistiska, du vill inte i en nödsituation upptäcka att din plan inte är genomförbar när det väl gäller.
Lämna utrymme i din plan att vara flexibel, ingen katastrof kommer att vara den annan lik.
Kommunikation är a och o under en katastrof. Se till att ni har alla nödvändiga kontaktuppgifter och vet hur ni ska kommunicera internt och externt om era primära kommunikationskanaler är otillgängliga.
För att inte skapa förvirring kan det vara bra att inte nämna IT-relaterade planer i Business Continuity Panen utan istället samla det i Disaster Recovery Planen.

Steg 5: Utforma en Disaster Recovery Plan (IT-katastrofåterställningsplan)

Vi blir alltmer beroende av digitala tjänster. Oavsett företag sker någon slags dokumentation och kommunikation digitalt och hos många är beroende av digitala tjänster kritiska för verksamheten. Vid en större IT-incident är det troligt att stora delar av ditt företag på ett eller annat sätt kommer att drabbas. En Disaster Recovery Plan syftar till att snabbt återställa den påverkade verksamheten efter en incident och på så sätt minimera och förkorta återhämtningstiden.

Några tips för hur de du utformar en Disaster Recovery Plan:

Inventera vilka IT-resurser – hårdvara, mjukvara, system – som krävs för era kritiska affärsprocesser och vilken data som lagras på dessa.
Kontrollera att ni har lämpliga backupsystem som är fysiskt och logiskt skilda från era ordinarie system.
Sätt era återställningsmål. Fråga er hur snabbt er organisation ska återställas efter en katastrof. Hur mycket data och vilken data har ni råd att förlora? Att sätta en RPO (Recovery Point Objective) och RTO (Recovery Time Objective) är viktigt för en effektiv Disaster Recovery Plan.
Utforma ett Disaster recovery team med expertis inom era kritiska IT-system som är tränade och vet hur de ska agera i händelse av en katastrof. Om expertisen saknas inom er verksamhet, etablera en kontakt med ett externt bolag som med kort varsel kan hjälpa er.
Det blir allt vanligare med cyberförsäkringar som ett plåster på såret i händelse av en cyberattack. Dock är det absolut viktigast att lägga resurser på att förhindra att en cyberattack faktiskt sker. Dessutom är villkoren ofta otydliga och ni riskerar att skador inte täcks av försäkringen. Vissa försäkringar täcker exempelvis endast skador om ni direkt blivit attackerade, inte om attacken börjat hos en av era leverantörer.

Steg 6: Testa era planer, revidera och utbilda personalen regelbundet

Samtliga planer måste regelbundet övas utifrån scenariot att en större incident eller katastrof sker. Planerna behöver även uppdateras och er personal behöver utbildas i hur planen ska användas. Genom att testa planen kan ni identifiera svagheter och behov av ändringar för att ständigt kunna förbättra era planer.

Behöver du och ditt företag hjälp med att bygga upp en plan för att hantera kritiska IT-incidenter och katastrofer?

Secify har hjälpt företag att bygga upp deras Business Continuity och Disaster Recovery Plan. Som en del av vår CISO-tjänst ger vi råd och stöd och genomför intervjuer och workshops tillsammans med dig för att bygga upp en robust plan för hur ditt företag ska agera i händelse av en större incident. Är du en NIS-leverantör och omfattas av rapporteringskrav eller behöver hjälp med frågor kopplat till dataskydd erbjuder vi även rådgivning och stöd inom dessa områden.

Ta gärna kontakt med oss om du vill veta mer!

Om
Senaste inläggen

Lena Graungaard Lindahl

Managementkonsult - Informationssäkerhet och privacy på Secify

Lena har en masterexamen i data- och systemvenskap med inriktning informationssäkerhet och har tidigare arbetat på olika myndigheter i Sverige. Hos oss jobbar Lena inom områdena privacy och informationssäkerhet.

Senaste inläggen av Lena Graungaard Lindahl

NIS2-direktivet – vad innebär det för svenska organisationer? - 3 april, 2024
Vad är informationssäkerhet? - 6 december, 2023
Så förbereder du dig inför en ISO/IEC 27001 implementering och certifiering tillsammans med oss! - 18 oktober, 2023

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.