It-beredskab og beredskabstestaf interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation,

Revision. Skat. Rådgivning.

It-beredskab og beredskabstest

WorkshopMarts 2018

www.pwc.dk

PwC

Agenda

• Introduktion til it-beredskab v/PwC

• Præsentation af oplægsholdere PwC og Assens kommunes

• At sætte scenen

• Præsentation af beredskabet

• Præsentation af test af beredskabet

• Case: at arbejde med beredskabet

2

marts 2018It-beredskab og beredskabstest

PwC

At sætte scenen- det aktuelle trusselsbillede set i relation til forretningsnødplaner og it-beredskab

3


PwC

Situationen i dag: Cyberangreb er blevet forsidestof

Det aktuelle trusselsbillede

4


PwC

Aktivering af forretnings- og it-beredskab- Hvad kan udløse en krise?

• Brand, eksplosion, vand, tekniske fejl mv. • Forsyningssikkerhed fx Strømsvigt• Sabotage og hærværk eller indbrud

Fysisk sikkerhed

• Uautoriseret adgang til systemer og programmer• Uautoriseret opdatering af software/applikationer

Adgangsstyring

• Udviklingsændring er ikke tilstrækkeligt testet• Krav og test i udviklingsprocessen er ikke en styret

proces

Udvikling, anskaffelse og drift

• Et hacker-angreb hos en leverandøre• Utilstrækkelig styring af roller og ansvar og

samarbejdeLeverandørstyring

5


PwC

Praktisk forretnings- og it-beredskab

• Hvad bør en beredskabsplan indeholde?

• Hvordan sikres en styret proces i beredskabssituationen?

6


PwC

Formål med et it-beredskab

At minimere forretningsmæssige konsekvenser

• Før en krise at have en styret proces fx

• Kriterier for hvornår en hændelse er en krise

• Danne sig et overblik og beslutningsgrundlag i krisesituationen

• Fastsætte styringsaktiviteter – tidsplaner og arbejdsprocesser

• Under krisen at have rammer for styring – vi ved hvad vi skal gøre!

• Kommunikationsplan og styring

• Har en log over beslutninger og visuel tidsstyring

• Efter krisen

• Erfaringsopsamling og grundlag til forbedringer

7


PwC

IT-beredskab

Gennemgang af it-beredskabsplan

Indledning

Beredskabsmodel og skabelon

Test af beredskab

Gruppearbejde

8


PwC

Indledning

• Denne præsentation er en oversigt over hvordan en beredskabsplan bør designes

• En beskrivelse af en beredskabsmodel

• Opbygning er inspireret og bygget efter to ISO standarder (ISO22301 og ISO27031)

• Formålet med præsentationen er overordnet, at beskrive hvad der skal være etableret for at kunne håndtere en krisesituation, herunder grundlaget for kommunikation i en krisesituation

9


PwC

Beredskabsmodel

10


PwC

It-beredskabsplanlægning

• It-beredskabet er en struktureret måde at håndtere en krisesituation på

• Det betyder at it-beredskabsplanen skal favne en operationel og fleksibel tilgang til håndtering af en krise, uagtet hvad der har forårsaget krisen

• Beredskabet bør være integreret i organisationen således at de daglige processer, arbejdsrutiner og dokumentation er integreret i beredskabsplanen

Beredskabs-planlægning

Hændelses-håndtering

Forretnings-beredskab

It - beredskab

11


PwC

Overordnet Beredskabsledelse

Overordnet tilgang til it-beredskab

Forretnings Beredskab

It-Beredskab

FacilityBeredskab

Kommunikations afdeling

ISO27031: Information Kommunikation og Teknologi

beredskab

ISO22301: Ledelsessystem –Videreførelse af

virksomhedsdrift

ISO22301 eller anden facilityspecifik standard*

12


PwC

Skabelon til it-beredskabsplanlægning- Den operationelle plan

Detect React Recover Run Return

• Hændelsen

opdages.

• Der tages

stilling til

aktivering af

beredskabet

• initial skades-

vurdering

• Detaljeret

skades-

vurdering

• Mobilisering af

genetab-

leringsteam

• Genetab-

lering af it-

systemer

• Prioritering ift.

kritikalitet

• Nøddrift er

etableret og

overvåges

• Stabilisering

af nøddrift

• afblæsning af

krise

13


PwC

Skabelon til it-beredskabsplanlægning

Definition af en it-krise

• En it-krise er en så alvorlig forstyrrelse at situationen ikke kan håndteres inden for den normale it-drift

• Her skal forretningen beslutte kriterier for hvornår, det er en krise ift. til den maksimale tolerable nedetid (MTD)

It-beredskabsorganisationen

• Skal beskrive hvornår, og under hvilke forhold, beredskabsledelsen etableres

• Hvem deltagere i styregruppen, kriseledelse, sekretariat mv.

• Etablering af kommandocentral og kommunikation

14


PwC


Hver af de 5 faser skal indeholde:

• Flow diagram med beslutningstræ

• Aktiviteter og tidsplaner

• Instrukser og rapportering

• Overblik over situationen

• Logbog

Forretningsansvar

• Er selv ansvarlig for at deres egne beredskabsplaner

• Fx etablering af Beredskabskoordinator

Kommunikation

• Oversigt og plan for såvel intern kommunikation som ekstern kommunikation

• Beredskabsledelsen skal sikre at kommunikationen, opretholdes og styres

15


PwC


Instrukser - Action card

Der skal udarbejdes instrukser/Action card der beskriver de enkelte aktiviteter i hver fase. Det vedrører fx:

• Vurdering om der er en krise

• Første møde i beredskabsgruppen

• Distribution af roller

• Kommunikation til/fra BU, kunder og leverandører

• Skadesoversigt og detaljeret skadesvurdering

• Løbende vurdering af genetableringsarbejdet

• Afblæsning af krisen

16


PwC

Test af beredskabet

Citat: Obstacles

are those frightful things you see when youtake your eyes off your goal.

- Henry Ford

17


PwC

Formål

Realistisk scenarie

kriseledelsen

Samarbejde

Udførsel

1.Træne et realistisk scenarie

2.Teste kriseledelsens evne til at styre situationen

3.Vurdere samarbejdet og informationsstrømme:

4.Vurderes medarbejdernes evne til at følge instrukser og beslutninger

18


PwC

Formålet

• Træne kriseledelsen i intern/ ekstern kommunikation og prioritering ved it-nedbrud

• Teste sammenhæng i beredskabet

• Teste de praktiske handlemuligheder

• Dokumentere, at der er gennemført test på tværs af væsentlige forretningsområder

Træningstemaet og forbindelsen til formålet- oplysning til deltagere i testen

Baggrund for temaet

• Der er indtruffet en it-hændelse

• Situationen betyder, at kriseledelsen bliver aktiveret

• Det er en simuleret og struktureret gennemgang af kriseledelsen for at påse om beredskabsplanen er anvendelig i praksis

19


PwC

Øvelsesscenariet – eksempel- Hvad forventes af reaktion?

Forventet reaktion

• Nedbruddet i it-systemerne har introduceret flere fejl og dermed kræves en fokuseret samt prioriteret indsats

• Kriseledelsen forventes at prioritere mellem indsatsområder og skal beslutte sig for relevante aktiviteter og handlinger

• Topledelsen bør inddrages af kriseledelsen, så de løbende er informeret og er inkluderet i at træffe beslutninger

• Kriseledelsen forventes at udvise, at de kan agere og reagere på ændringer i situationen

It-øvelsesscenariet

• Koordineret hackerangreb stopper driften af nøgleinfrastruktur

• De primære leverandører er påvirket og oplever nedbrud, som forstyrrer driften af kernesystemer

• Der er afledte konsekvenser af driftsforstyrrelserne i den ”virkelige” verden med konsekvenser for organisationens medarbejdere

• Alle tre elementer i scenariet er sammenkædet og har indflydelse på hinanden

20


PwC

Træningsforløbet for kriseledelsen- eksempel

Træningsforløbet skitseret

• Situationen er, at der er alvorlige nedbrud i organisationens systemer (det vil blive angivet hvilke samt de dertilhørende leverandører)

• kriseledelsen skal løbende skabe sig et overblik over situationen

• Der skal igangsættes passende handlinger efter en struktureret metodik. fx hvis der opstår behov for informationer, skal der vurderes hvem der har disse og hvilke områder skal prioriteres

• Træningsforløbet påvirkes ved, at der udleveres supplerende situationsbeskrivelse (ITEM kort)

• ITEM kort beskriver den overordnet situation samt en eller flere detaljerede problemstillinger. Disse behandles af kriseledelsen og afføder nye beslutninger

• Efter nogen tid vil situation blive ”normaliseret” og krisestab kan afblæse beredskabet

• Trænings- og testforløbet afsluttes med en debriefing, hvor vi sammen vil give feedback og opsummere læringspunkter

21


PwC

Eksempel på ITEM kort

Item 1: Situationsbeskrivelse

Tidligere oplyst til XXXXX

• The Legion of Doom (LoD) har tilsyneladende hacketleverandør XXX og YYYY.

• Centrale systemer er lagt ned

• Beredskabsgruppen er aktiveret

Situationen opdateret

• XXXXX er orienteret og har valgt at indkalde kriseledelsen

• kriseledelsen har nu fået oplyst, at det er lykkedes LoD at nedlægge System ZZZZZ

• Der er ustabil kommunikation mellem XXX, YYYY og Organisationens egen drift. Leverandørerne kan på nuværende tidspunkt ikke oplyse andet end, at de er ramt

• Hvordan vil I nu handle?

22


PwC

Øvelser

Gruppeopgaver

23


PwC

Scenarie

• Medarbejderne i Andeby kommune modtager en e-mail omhandlende den årlige kantineundersøgelse. E-mailen indeholder et link, der skal åbnes for at deltage.

• Flere medarbejdere trykker på linket og ligger mærke til, at linket ikke reagerer som forventet. Medarbejderne tænker dog ikke yderligere over dette og fortsætter deres arbejdsopgaver….

• CFO’en Karl oplever tekniske udfordringer med computeren kort efter at have klikket på mailen. Han kan ikke længere få adgang til ledelsessystemerne.

• Efter et par timer står det klart for Karl, at mere end 80% af Andebykommunes kritiske dokumenter og forretningssystemer er utilgængelige.

Hvad gør du?24


PwC

Plenum debat

1. Hvad ville du gøre i den konkrete situation?

2. Hvilke risici er der forbundet ved ikke, at have en beredskabsplan?

3. Hvilke risici er der ved ikke, at teste beredskabet op imod forretningens eksisterende processer og procedurer mv?

Maks 10 minutter og opsamling

25


PwC

Scenarie - fortsat

• Efter nogle uger med oprydning efter ransomware-angrebet hos Andebykommune indkalder CFO’en Karl til evaluering af forløbet.

• Karl er overordnet set tilfreds med indsatsen fra it-afdelingen i forhold til genetableringen af de forretningskritiske systemer.

• Det står dog samtidigt klart for Karl, at en række problemstillinger kunne være minimeret og håndteret mere effektivt i forretningen, såfremt man havde været forberedt på en lignende situation.

• Karl ønsker derfor, at der igangsættes et projekt med fokus på at udvikle forretningens evne til at håndtere lignende kritiske situationer.

Hvad gør du?

26


PwC

Øvelse 1 – hvornår er det en beredskabssituation?

Definer de scenarier som jeres beredskabsplan skal kunne håndtere

1. dvs. skal i kunne håndtere katastrofer, kriser eller hændelser og hvilket detaljeringsniveau?

2. hvilke scenarier i synes jeres beredskabsplan skal kunne dække

- tænk gerne ind hvad I tidligere har oplevet

3. Skal en beredskabsplan være scenarie baseret, hvorfor, hvorfor ikke?

Gruppearbejde

Tid 15. minutter

Plenum fremlæggelse og opsamling

27


PwC

Øvelse 2 Hvem bør deltage i kriseledelsen?

1. Overvej den mest hensigtsmæssige organisering af beredskabsteamet

2. Er der dubletter til alle positioner

- Er det et problem?

3. Hvilke beslutningstagere bør være repræsenteret?

4. Hvilke roller og eller afdelinger bør være repræsenteret?

Gruppearbejde

Tid 10. minutter


28


PwC

Øvelse 3 - Kommunikation

1. Overvej om der er nogen tilfælde hvor det bliver nødvendigt med ekstern kommunikation

2. Hvem vil skulle håndtere dette, såfremt det bliver nødvendigt?

3. Hvad bør være indeholdt/forberedt i en beredskabsplan for, at sikre en god kommunikation?

Gruppearbejde

Tid 15. minutter


29


PwC

Øvelse 4 Test af beredskabet

Hvordan kan test af beredskab gennemføres:

1. Hvilken form for test er anvendelig og realistisk

1. Skrivebordstest

2. Simuleret test

3. Rigtig test på produktionssystemer

4. Andet?

1. Med hvilken frekvens skal aktiver (forretningsprocesser/it-systemer) testes?

1. En samlet test årligt

2. Periodisk test systemer/forretningsprocessen

3. Andet?

Gruppearbejde

Tid 20. minutter


30


Beredskab skaber vi sammen…

Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være

af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund

af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel

rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad

angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i

det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret

Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen

forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du

eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen,

eller for eventuelle beslutninger truffet på baggrund af publikationen.

© 2018 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder

forbeholdes. I dette dokument refererer “PwC” til PricewaterhouseCoopers Statsautoriseret

Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International

Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed.

Tak for i dag

Claus Bartholin

Senior Manager

[email protected]

Mobil 23639921

mailto:[email protected]

Documents

It-beredskab og beredskabstestaf interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation,