I dagens konkurrensutsatta och snabbrörliga värld måste verksamheter vara förberedda för alla tänkbara och otänkbara händelser. Här ligger ett stort ansvar på de IT-nära delarna av verksamheten. Ett driftsstopp i ett system eller i verksamhetens IT-miljö kan vara mycket allvarligt, orsaka stora problem och innebära stora intäktsbortfall eller ovälkomna kostnader.
Rutiner för kontinuitetsplanering och disaster recovery är A och O för en välfungerande verksamhet – både när allt fungerar som det ska, men särskilt då delar av verksamheten störs ut av olika anledningar. För oss är detta alltid ett område högt upp på agendan, och därför skulle vi vilja dela med oss av lite insikter som kan vara bra att ta med sig för att undvika stopp i verksamheten.
Tre anledningar till att lyfta frågan
1. Hårdare reglering kräver det
För många verksamheter och branscher kommer det i snabb takt allt fler och hårdare regelverk, såsom NIS2-direktivet. Flera av dessa innefattar också krav på både kontinuitetsplanering och att övningar och tester regelbundet genomförs.
2. För att du ska kunna ställa krav på dina IT-leverantörer
Du behöver kunna vara noga med och utvärdera vad som ligger i din IT-leverantörs SLA:er och att de kan uppfylla dina tillgänglighetskrav.
3. Skapa medvetenhet och konsekvensanalys kring verksamhetens IT-beroende
Att ha en samsyn kring risker och konsekvenser kopplat till avbrott eller nedtid i era tjänster eller i er IT-miljö är viktigt för att kunna prioritera, planera och investera i rätt åtgärder och resurser.
Vad som är viktigt att tänka på när det kommer till kontinuitetsplanering
Kontinuitetsplanering handlar om att skapa och implementera system för att både förebygga och kunna återställa verksamheten i händelse av en kris, avbrott eller driftsstopp. En bra utgångspunkt är att genomföra en analys av:
- Hur er verksamhet kan påverkas
- Era önskade återställningstider
- Vilka funktioner som är kritiska
- Vilken redundans ni behöver
- Hur lång tid era olika applikationer kan vara otillgängliga
Disaster Recovery är också en viktig del i kontinuitetsplaneringen. Den bör innefatta processer, funktioner och planer för hur ni återställer IT-system efter ett driftsstopp. En viktig del är att skydda och återställa verksamhetsdata. En Disaster Recovery-plan måste innefatta ansvarsfördelningar, beslutsfattare och olika typer av beroenden. Den måste också testas regelbundet.
Det är viktigt att leverantören lever som den lär
Kontinuitetsplanering för leverantörens egna tjänster, miljöer, datacenter och de IT-miljöer som den ansvarar för behöver ha mycket hög prioritet. Alla deras tjänster måste ha tydliga Disaster Recovery- och kontinuitetsplaner. Det är även viktigt att de gör regelbundna revisioner och tester av planerna.
Något som också är viktigt att utvärdera är olika systems beroenden. Leverantören måste ha mycket höga krav på sina tjänster, men det behöver också finnas en tydlig prioritetsordning för deras system för att hantering och återställning ska fungera smidigt.
Det är viktigt att de planer och åtgärder som finns på plats också fungerar i praktiken. Har de krav på sig att en tjänst ska återställas på en timme, ska de alltid känna sig helt komfortabla med att de klarar det. Som standard bör de avsätta många dagar och veckor årligen till att kontrollera, öva och uppdatera sina kontinuitets- och Disaster Recovery-planer.
Ytterligare en aspekt som är grundläggande är övning. Leverantörer ska öva ofta tillsammans med sina kunder, både för deras och leverantörens egen skull. Genom att lägga mycket krut och fokus på kontinuitetsplanering och Disaster Recovery kan de då vara trygga med att de kan leva upp till sina åtaganden och kundernas förväntningar.
CGI:s erfarenhet
Under lång tid har vi på CGI ansvarat för drift av och tillgänglighet för såväl andra verksamheters applikationer, system och hela IT-miljöer som vår egen IT. Det har gjort att vi har utvecklat mycket kompetens, strategier, processer och verktyg för både kontinuitetsplanering och Disaster Recovery.
Vill du utforma eller utvärdera er kontinuitetsplanering, öva i praktiken eller testa era Disaster Recovery-planer, hjälper vi er gärna. Vi har koncept och erfarenhet av att stötta verksamheter inom en rad olika branscher och verksamhetsområden.
About these authors
Emma Hagrot
Consultant, Continuity, Security & ESG
Emma är specialist inom kontinuitetsplanering och disaster recovery och arbetar med att skapa effektiva och motståndskraftiga IT-miljöer. Genom strategiska och innovativa lösningar fokuserar hon på att minimera driftstörningar, säkerställa efterlevnad av regulatoriska krav och effektivisera processer med hjälp av automatisering.
Martin de Bruin
Director Consulting, Security
Martin de Bruin har mångårig erfarenhet av arbete med höga säkerhetskrav. Han har djup kompetens inom cybersäkerhet, informationssäkerhet, revisioner och efterlevnad av regelverk som ISO 27001 ISAE3402 ochSOC 2, samt en teknisk bakgrund som möjliggör ett helhetsgrepp på både strategi och genomförande.
