Framfarten av covid-19, eller ”coronaviruset”, visar tydligt hur sårbart vårt moderna samhälle faktiskt är. Många organisationer har en god krisberedskap medan andra faktiskt blir tagna mer eller mindre på sängen när de drabbas. CGI:s ansvariga för Cybersecurity i Sverige, Christer Samuelsson, berättar om hur företag bör förbereda sig på att hantera kriser.
Vad händer om alla medarbetare måste jobba hemifrån? Kan vi ordna säkra uppkopplingar till alla? Och tänk om hela IT-avdelningen blir sjuk? Har vi tillräckliga backuprutiner, vilka verksamheter är egentligen de mest kritiska och vilka kan vi driva på sparlåga?
Det här är frågor som många verksamheter plötsligt har fått ställa sig i spåren av covid-19. Många har bra koll på läget, men förvånansvärt många har det inte. Vilket som gäller handlar faktiskt ofta om vilket fokus säkerhetsfrågorna får från ledningens sida och hur ofta man har tränat för liknande situationer, menar Christer Samuelsson.
Christer leder ett expertteam på cirka 70 personer som är vana vid att arbeta proaktivt med att hantera olika typer av risker inom en mängd verksamheter. I korthet handlar det om att identifiera, analysera och värdera riskerna för att sedan systematiskt följa upp att de hanteras på bästa sätt.
Vi hjälper till med att säkra upp arbetsplatser på distans, men ofta behöver även den totala verksamheten ses över ur ett riskperspektiv och där är många osäkra på i vilken ände de ska börja. Då går vi in och hjälper dem att sortera i prioriteringarna.
När det gäller covid-19 handlar beredskapen till stor del om att se till att verksamheten fungerar även om nyckelpersoner inte kan komma till jobbet. Då måste sådant som säkra vpn-linor och inloggningsmetoder finnas. På företag där distansarbete redan är vanligt har förberedelsearbetet ofta kommit långt. Annat är det för exempelvis tillverkningsindustrin. Där har man ofta ingen tradition av, eller möjlighet till distansarbete, och många står nu lite handfallna när personalen plötsligt behöver jobba hemifrån.
”Vi hjälper till med att säkra upp arbetsplatser på distans, men ofta behöver även den totala verksamheten ses över ur ett riskperspektiv och där är många osäkra på i vilken ände de ska börja. Då går vi in och hjälper dem att sortera i prioriteringarna. Vi tar ett helhetsgrepp om verksamheten och ställer frågor som: Vilka system är de viktigaste? Vad skulle hända om de går ner? Vilka ringlistor och beslutsforum finns? Vilka informerar leverantörer och kunder? Vilka rykten och ”fake news” kan börja ta fart? Behöver några medier kontaktas?” för att ta några exempel”, berättar Christer.
Genom att inkorporera säkerhetsaspekter i den dagliga verksamheten kan man öka säkerhetsmedvetenheten och bedriva ett systematiskt och riskbaserat arbetssätt, menar han.
Här är Christers tips på vilka frågor du som CIO eller säkerhetsansvarig bör ställa dig så att ni kan hantera krisen på bästa sätt om, eller kanske till och med när, den kommer:
- Har ni gjort en riskanalys av era verksamhetskritiska funktioner, system och processer?
- Vet ni hur många resurser som behövs för att bibehålla produktion/leverans av verksamhetskritiska funktioner vid en krissituation?
- Har ni analyserat vilka som är era kritiska IT-system som måste hållas i drift för att bibehålla minimal verksamhet?
- Har ni aktuella och beprövade kontinuitetsplaner?
- Har ni en etablerad process och utpekade personer som fattar beslut om krisen eskalerar?
- Har ni en disaster recovery-plan som inkluderar möjlighet att bedriva er verksamhet från annan plats?
- Har ni validerat att era anställda kan arbeta säkert och tryggt på distans, exempelvis validerat VPN och inloggningsmetoder?
Det finns ju självklart fler frågor att besvara, i krissituationer måste man bedöma från fall till fall vilka frågor det handlar om då verksamheter ser olika ut och har olika utmaningar, säger Christer.