Kontinuitetsplaner

Publicerad 6 november 2024 i Advitum Svarar, Blogginlägg, Nyheter

Jörg Wiesemann
Microsoft 365, projektledare
Advitum AB

Vad är en Kontinuitetsplan egentligen? Förr sade man katastrofplaner och det är det ju på ett sätt, men att man nu med hjälp av en kontinuitetsplan ser till att förbygga just katastrofen istället. I och med NIS2 eller Cybersäkerhetslagen som det kommer att heta i Sverige när den väl är på plats den1/8-2025. 
Det kommer krävas att man har kontinuitetsplan på plats för många delar i verksamheten. Genom att man använder sig av ISO27001 kan man få hjälp att skapa dessa på ett strukturerat sätt. Genom MSB och SIS (Svensk Institutet för Standarder) kan man beställa hem en handbok för kontinuitetshantering SS 22304:2023 vilket kan vara ett bra stöd i din verksamhet för att på ett strukturerat sätt bygga Kontinuitetsplaner. 

Vad är kontinuitetsplanering

Kontinuitetsplanering är en process för att utveckla, förebygga och skapa ett återhämtningssystem för att säkerställa att viktiga affärsverksamheter förblir oavbrutna eller snabbt återupptas efter negativa händelser. 

En effektiv plan hjälper till att minimera påverkan av potentiella scenarier som strömavbrott, cyberattacker eller naturkatastrofer. 

Kontinuitetsplanering inom informationssäkerhet handlar om att ha en reservplan vid avbrott oavsett vad som orsakat det. En bra kontinuitetsplan handlar om att proaktivt säkerställa att dina processer och system är motståndskraftiga och kan återhämta sig snabbt från alla typer av störningar.”  

Varför skall vi ha Kontinuitetsplaner

En kontinuitetsplan har man för att förbygga störningar i verksamheten att man hela tiden jobba proaktivt för att hindra eventuella störningar. Om det ändå bli en störning behöver man veta hur man skall agera och hur man kan återställa systemen eller minska effekterna av störningen. 

Exempel på händelser som man kan förbereda sig på 

Skapa kontinuitetsplaner för följande typer av negativa händelser: 

  • Externa katastrofer: Biologiska / kemiska / naturkatastrofer, kriminell aktivitet / terroristattacker, pandemier. 
  • Interna tekniska katastrofer: Dataintrång / dataläckage, databasfel, andra cyberattacker. 
  • Interna fysiska katastrofer: Brand i en anläggning med kritiska resurser, nyckelperson otillgänglig under lång tid. 
  • Partnerrelaterade katastrofer: Nyckelpartners konkurs, andra partners driftstopp, långvarigt driftstopp i nyckeldatasystem, strömavbrott i ett viktigt datacenter. 

Vad ska finnas med i din plan? 

För att få en bra struktur och överblick i dina kontinuitetsplaner bör man bör man inkludera följande: 

  • Mål med planen: Man skall göra risk/konsekvens-analyser på sina verksamheter vilket då kan bekräfta de nödvändiga svar- och återhämtningstiderna. Genom att man identifierar effekterna av störningar på relaterade affärsfunktioner och processer får man en överblick på de åtgärder man behöver göra och prioritera. När man gjort detta skapar man kontinuitetsplanerna och gör dessa i fallande ordning där man börjar med de mest kritiska områdena för sin verksamhet. Detta minimerar riskerna och om en risk inträffar ändå så har man en definierad plan 
  • Ansvariga personer och partners: Identifiera vilka som är ansvariga och vilka som behövs för att genomföra planen. 
  • Omedelbara åtgärder: Planen måste steg för steg beskriva vilka åtgärder som krävs och som omedelbart skall vidtas för att minska påverkan av den negativa händelsen och förhindra de mest katastrofala skadorna. 
  • Återhämtningssteg: I planen skall det tydligt framgå vad som krävs och hur man skall återställa de kritiska systemen, resurserna och/eller processerna. Dessa kan innefatta alternativa lösningar som att köpa in tillfälliga tjänster från tredjepartsleverantörer, alternativa arbetsplatser eller alternativa sätt att arbeta etc. 
  • Tester, övningar och utbildning: Man skall se till att testa verksamhetens beredskap och planens effektivitet genom olika testscenarier. Detta bör följas av relevant utbildning av personalen för att säkerställa att de är väl förberedda att agera vid en störning. 

Genom att ta fram kontinuitetsplaner skapar man en motståndskraft för de kritiska delarna inom organisationen. Genom att inkludera ovanstående delar säkerställer man att organisationen/verksamheten kan navigera snabbt och skickligt och på så sätt återhämta sig från en störning. 

Säkerhetskopiering en viktig del i Kontinuitetsplanen

Att ha en robust säkerhetskopiering på plats är en mycket viktig del för att snabbt kunna återställa efter störning i organisationens verksamheter. Därför skall denna process finnas definierad för respektive applikation/funktion som kräver kontinuitetshantering. Det finns ett antal frågeställningar som man skall kunna svara på för att säkerställa säkerhetskopieringsprocessen. 

Följande frågeställningar som man bör svara på: 

  • Vilken data behöver säkerhetskopieras?  
    Svaret beror till stor del på den specifika organisation, men som en tumregel bör all data som behövs för att återställa affärsverksamheten inkluderas. 
  • Var kommer säkerhetskopiorna att lagras?  
    En bra praxis är att lagra säkerhetskopior på en annan plats än den primära. Detta kan vara på en extern plats eller möjligen i ett molnbaserat lagringssystem. Tänk på att den valda platsen bör följa de krav på vart din data få lagras baserat på dess säkerhetsklassning, exempelvis enbart inom Sverige eller inom EU och hur snabbt du kan återställa data från den externa platsen. 
  • Hur ofta bör säkerhetskopior göras? 
    Frekvensen av säkerhetskopior styrs av hur ofta informationen ändras och risken för dataförlust. Om ingen information får gå förlorad måste man tänka på realtidsreplikering av databasen. I vissa fall kan t.ex. veckovisa säkerhetskopior vara tillräckliga. Man måste även ta hänsyn till om det är mycket transaktioner och andra system involverade/applikationer vilket kan skapa en komplexitet när man skall återsätta informationen. 
  • Hur länge bör säkerhetskopiorna behållas? 
    Speciellt personuppgifter bör inte behållas utan en giltig anledning, man är skyldig att följa GDPR. Vad är en realistisk tidsram för att behöva säkerhetskopiorna? 
  • Vem är ansvarig för att hantera säkerhetskopior? 
    Klara och tydliga ansvarslinjer måste fastställas, vilket definierar vem som är ansvarig för att ställa in, övervaka och återställa säkerhetskopior vid behov. Detta kan vara ett dedikerat team eller en individ, beroende på organisationens storlek och komplexitet. 
  • Hur kommer säkerhetskopior att testas? 
    Regelbunden testning av säkerhetskopior är avgörande för att säkerställa att de kan återställas framgångsrikt vid behov. En plan måste finnas på plats som beskriver hur och när dessa tester kommer att genomföras.  

Utmaningar med kontinuitetsplaner

Som organisation har man oftast utmaningar som man måste hanteras när man skall implementera och jobbar med sina kontinuitetsplaner 

Följande saker ka man tänka på: 

  • Brist på ledningens engagemang och stöd: Man bör göra ditt bästa för att öka medvetenheten om fördelarna med kontinuitetsplanering och uppmuntra till samarbete. kontinuitetsplanering bör komma som ett krav från ledningen men samtidigt måste ledningen ge tid och resurser till verksamheten så att det skapa förutsättningar för verksamheten att ta fram kontinuitetsplanerna. Samarbete måste ske i en positiv anda och det för att viktiga negativa händelser skall identifieras från alla perspektiv. 
  • Begränsade resurser (tid, budget, personal) och teamarbete: När man förstår de katastrofer som kontinuitetsplanering försöker kontrollera, börjar man se dess relevans. Besluta separat om tillräckliga resurser och de personer som behövs för arbetet – med stöd från högsta ledningen. 
  • Känsla av komplexitet i IT-infrastrukturen: En komplex miljö kan göra att det känns svårt att få grepp om systemens olika säkerhetsprocesser som behövs/krävs. Men genom att man går framåt steg för steg  
  • Först identifiera och dokumenterar dessa säkerhetsprocesser, 
  • Därefter kategoriserar och prioritera dem och skapa rutiner för dem.  

Detta gör att man kan gå stadigt framåt och snart kommer ämnet inte att verka så komplext längre. 

  • Otillräcklig testning och underhåll av kontinuitetsplaner: En plan är inte så kraftfull om den implementeras för första gången i en verklig situation. Alla säkerhetsramverk nämner att kontinuitetsplaner och återställning av säkerhetskopior bör övas regelbundet, så att implementeringen i en stressig verklig situation kan bli framgångsrik därför är det en viktig komponent i kontinuitetsplanen att man planera för övningar/tester 

Hur få men en struktur på detta? 

Det viktiga är att påbörja arbetet med att identifiera system i verksamheten och klassificera riskerna. Vilka är kritiska och hur påverkas verksamheten om det ske störningar I dessa system? 

För att göra det på ett strukturerat sätt kan ni göra på flera olika sätt ett sätt är att luta sig mot ISO27001/ISO22301 eller använda sig av den svenska anpassningen av ISO22301 som en handbok för kontinuitetshantering SS 22304:2023
 
Det viktigaste är att man börja! För om man inte är förbered då kan det tyvärr bli mycket allvarliga konsekvenser. Se till att du är förbered inte bara för att den kommande cybersäkerhetslagen (NIS2) säger/kräver det om du bli inkluderad i denna utan för att du är rädd om din verksamhet. Så detta gäller egentligen alla verksamhet att man är medveten om de risken man kan råka utför.  

Vill ni ha en IT-partner som hjälper er i det här angelägna men ändå lite knöliga arbete så kontakta oss gärna.   

Jörg Wiesemann

073-504 79 18

jorg.wiesemann@advitum.se

Tillbaka

Prenumerera på Advitums nyhetsbrev

Om du väljer att prenumerera på vårt nyhetsbrev kommer du att erhålla information om vad som händer på Advitum, våra utbildningar och kundevent, nyttiga blogginlägg och viktiga produktnyheter. Självklart kan du säga upp din prenumeration med en enkel knapptryckning.