It-beredskab og beredskabstest Workshop Marts 2018

Transkript

1 It-beredskab og beredskabstest Workshop Marts 2018 Revision. Skat. Rådgivning.

2 Agenda Introduktion til it-beredskab v/ Præsentation af oplægsholdere og Assens kommunes At sætte scenen Præsentation af beredskabet Præsentation af test af beredskabet Case: at arbejde med beredskabet 2

3 At sætte scenen - det aktuelle trusselsbillede set i relation til forretningsnødplaner og it-beredskab 3

4 Det aktuelle trusselsbillede Situationen i dag: Cyberangreb er blevet forsidestof 4

5 Aktivering af forretnings- og it-beredskab - Hvad kan udløse en krise? Fysisk sikkerhed Brand, eksplosion, vand, tekniske fejl mv. Forsyningssikkerhed fx Strømsvigt Sabotage og hærværk eller indbrud Adgangsstyring Uautoriseret adgang til systemer og programmer Uautoriseret opdatering af software/applikationer Udvikling, anskaffelse og drift Udviklingsændring er ikke tilstrækkeligt testet Krav og test i udviklingsprocessen er ikke en styret proces Leverandørstyring Et hacker-angreb hos en leverandøre Utilstrækkelig styring af roller og ansvar og samarbejde 5

6 Praktisk forretnings- og it-beredskab Hvad bør en beredskabsplan indeholde? Hvordan sikres en styret proces i beredskabssituationen? 6

7 Formål med et it-beredskab At minimere forretningsmæssige konsekvenser Før en krise at have en styret proces fx Kriterier for hvornår en hændelse er en krise Danne sig et overblik og beslutningsgrundlag i krisesituationen Fastsætte styringsaktiviteter tidsplaner og arbejdsprocesser Under krisen at have rammer for styring vi ved hvad vi skal gøre! Kommunikationsplan og styring Har en log over beslutninger og visuel tidsstyring Efter krisen Erfaringsopsamling og grundlag til forbedringer 7

8 IT-beredskab Gennemgang af it-beredskabsplan Indledning Beredskabsmodel og skabelon Test af beredskab Gruppearbejde 8

9 Indledning Denne præsentation er en oversigt over hvordan en beredskabsplan bør designes En beskrivelse af en beredskabsmodel Opbygning er inspireret og bygget efter to ISO standarder (ISO22301 og ISO27031) Formålet med præsentationen er overordnet, at beskrive hvad der skal være etableret for at kunne håndtere en krisesituation, herunder grundlaget for kommunikation i en krisesituation 9

10 Beredskabsmodel 10

11 It-beredskabsplanlægning Beredskabsplanlægning Hændelseshåndtering Forretningsberedskab It - beredskab It-beredskabet er en struktureret måde at håndtere en krisesituation på Det betyder at it-beredskabsplanen skal favne en operationel og fleksibel tilgang til håndtering af en krise, uagtet hvad der har forårsaget krisen Beredskabet bør være integreret i organisationen således at de daglige processer, arbejdsrutiner og dokumentation er integreret i beredskabsplanen 11

12 Overordnet tilgang til it-beredskab Overordnet Beredskabsledelse Kommunikations afdeling Forretnings Beredskab It- Beredskab Facility Beredskab ISO22301: Ledelsessystem Videreførelse af virksomhedsdrift ISO27031: Information Kommunikation og Teknologi beredskab ISO22301 eller anden facility specifik standard* 12

13 Skabelon til it-beredskabsplanlægning - Den operationelle plan Detect React Recover Run Return Hændelsen opdages. Der tages stilling til aktivering af beredskabet initial skadesvurdering Detaljeret skadesvurdering Mobilisering af genetableringsteam Genetablering af itsystemer Prioritering ift. kritikalitet Nøddrift er etableret og overvåges Stabilisering af nøddrift afblæsning af krise 13

14 Skabelon til it-beredskabsplanlægning Definition af en it-krise En it-krise er en så alvorlig forstyrrelse at situationen ikke kan håndteres inden for den normale it-drift Her skal forretningen beslutte kriterier for hvornår, det er en krise ift. til den maksimale tolerable nedetid (MTD) It-beredskabsorganisationen Skal beskrive hvornår, og under hvilke forhold, beredskabsledelsen etableres Hvem deltagere i styregruppen, kriseledelse, sekretariat mv. Etablering af kommandocentral og kommunikation 14

15 Skabelon til it-beredskabsplanlægning Hver af de 5 faser skal indeholde: Flow diagram med beslutningstræ Aktiviteter og tidsplaner Instrukser og rapportering Overblik over situationen Logbog Forretningsansvar Er selv ansvarlig for at deres egne beredskabsplaner Fx etablering af Beredskabskoordinator Kommunikation Oversigt og plan for såvel intern kommunikation som ekstern kommunikation Beredskabsledelsen skal sikre at kommunikationen, opretholdes og styres 15

16 Skabelon til it-beredskabsplanlægning Instrukser - Action card Der skal udarbejdes instrukser/action card der beskriver de enkelte aktiviteter i hver fase. Det vedrører fx: Vurdering om der er en krise Første møde i beredskabsgruppen Distribution af roller Kommunikation til/fra BU, kunder og leverandører Skadesoversigt og detaljeret skadesvurdering Løbende vurdering af genetableringsarbejdet Afblæsning af krisen 16

17 Test af beredskabet Citat: Obstacles are those frightful things you see when you take your eyes off your goal. - Henry Ford 17

18 Formål 1.Træne et realistisk scenarie Realistisk scenarie kriseledelsen 2.Teste kriseledelsens evne til at styre situationen Samarbejde 3.Vurdere samarbejdet og informationsstrømme: Udførsel 4.Vurderes medarbejdernes evne til at følge instrukser og beslutninger 18

19 Træningstemaet og forbindelsen til formålet - oplysning til deltagere i testen Baggrund for temaet Der er indtruffet en ithændelse Situationen betyder, at kriseledelsen bliver aktiveret Det er en simuleret og struktureret gennemgang af kriseledelsen for at påse om beredskabsplanen er anvendelig i praksis Formålet Træne kriseledelsen i intern/ ekstern kommunikation og prioritering ved it-nedbrud Teste sammenhæng i beredskabet Teste de praktiske handlemuligheder Dokumentere, at der er gennemført test på tværs af væsentlige forretningsområder 19

20 Øvelsesscenariet eksempel - Hvad forventes af reaktion? It-øvelsesscenariet Koordineret hackerangreb stopper driften af nøgleinfrastruktur De primære leverandører er påvirket og oplever nedbrud, som forstyrrer driften af kernesystemer Der er afledte konsekvenser af driftsforstyrrelserne i den virkelige verden med konsekvenser for organisationens medarbejdere Alle tre elementer i scenariet er sammenkædet og har indflydelse på hinanden Forventet reaktion Nedbruddet i it-systemerne har introduceret flere fejl og dermed kræves en fokuseret samt prioriteret indsats Kriseledelsen forventes at prioritere mellem indsatsområder og skal beslutte sig for relevante aktiviteter og handlinger Topledelsen bør inddrages af kriseledelsen, så de løbende er informeret og er inkluderet i at træffe beslutninger Kriseledelsen forventes at udvise, at de kan agere og reagere på ændringer i situationen 20

21 Træningsforløbet for kriseledelsen - eksempel Træningsforløbet skitseret Situationen er, at der er alvorlige nedbrud i organisationens systemer (det vil blive angivet hvilke samt de dertilhørende leverandører) kriseledelsen skal løbende skabe sig et overblik over situationen Der skal igangsættes passende handlinger efter en struktureret metodik. fx hvis der opstår behov for informationer, skal der vurderes hvem der har disse og hvilke områder skal prioriteres Træningsforløbet påvirkes ved, at der udleveres supplerende situationsbeskrivelse (ITEM kort) ITEM kort beskriver den overordnet situation samt en eller flere detaljerede problemstillinger. Disse behandles af kriseledelsen og afføder nye beslutninger Efter nogen tid vil situation blive normaliseret og krisestab kan afblæse beredskabet Trænings- og testforløbet afsluttes med en debriefing, hvor vi sammen vil give feedback og opsummere læringspunkter 21

22 Eksempel på ITEM kort Item 1: Situationsbeskrivelse Tidligere oplyst til XXXXX The Legion of Doom (LoD) har tilsyneladende hacket leverandør XXX og YYYY. Centrale systemer er lagt ned Beredskabsgruppen er aktiveret Situationen opdateret XXXXX er orienteret og har valgt at indkalde kriseledelsen kriseledelsen har nu fået oplyst, at det er lykkedes LoD at nedlægge System ZZZZZ Der er ustabil kommunikation mellem XXX, YYYY og Organisationens egen drift. Leverandørerne kan på nuværende tidspunkt ikke oplyse andet end, at de er ramt Hvordan vil I nu handle? 22

23 Øvelser Gruppeopgaver 23

24 Scenarie Medarbejderne i Andeby kommune modtager en omhandlende den årlige kantineundersøgelse. en indeholder et link, der skal åbnes for at deltage. Flere medarbejdere trykker på linket og ligger mærke til, at linket ikke reagerer som forventet. Medarbejderne tænker dog ikke yderligere over dette og fortsætter deres arbejdsopgaver. CFO en Karl oplever tekniske udfordringer med computeren kort efter at have klikket på mailen. Han kan ikke længere få adgang til ledelsessystemerne. Efter et par timer står det klart for Karl, at mere end 80% af Andeby kommunes kritiske dokumenter og forretningssystemer er utilgængelige. Hvad gør du? 24

25 Plenum debat 1. Hvad ville du gøre i den konkrete situation? 2. Hvilke risici er der forbundet ved ikke, at have en beredskabsplan? 3. Hvilke risici er der ved ikke, at teste beredskabet op imod forretningens eksisterende processer og procedurer mv? Maks 10 minutter og opsamling 25

26 Scenarie - fortsat Efter nogle uger med oprydning efter ransomware-angrebet hos Andeby kommune indkalder CFO en Karl til evaluering af forløbet. Karl er overordnet set tilfreds med indsatsen fra it-afdelingen i forhold til genetableringen af de forretningskritiske systemer. Det står dog samtidigt klart for Karl, at en række problemstillinger kunne være minimeret og håndteret mere effektivt i forretningen, såfremt man havde været forberedt på en lignende situation. Karl ønsker derfor, at der igangsættes et projekt med fokus på at udvikle forretningens evne til at håndtere lignende kritiske situationer. Hvad gør du? 26

27 Øvelse 1 hvornår er det en beredskabssituation? Definer de scenarier som jeres beredskabsplan skal kunne håndtere 1. dvs. skal i kunne håndtere katastrofer, kriser eller hændelser og hvilket detaljeringsniveau? 2. hvilke scenarier i synes jeres beredskabsplan skal kunne dække - tænk gerne ind hvad I tidligere har oplevet 3. Skal en beredskabsplan være scenarie baseret, hvorfor, hvorfor ikke? Gruppearbejde Tid 15. minutter Plenum fremlæggelse og opsamling 27

28 Øvelse 2 Hvem bør deltage i kriseledelsen? 1. Overvej den mest hensigtsmæssige organisering af beredskabsteamet 2. Er der dubletter til alle positioner - Er det et problem? 3. Hvilke beslutningstagere bør være repræsenteret? 4. Hvilke roller og eller afdelinger bør være repræsenteret? Gruppearbejde Tid 10. minutter Plenum fremlæggelse og opsamling 28

29 Øvelse 3 - Kommunikation 1. Overvej om der er nogen tilfælde hvor det bliver nødvendigt med ekstern kommunikation 2. Hvem vil skulle håndtere dette, såfremt det bliver nødvendigt? 3. Hvad bør være indeholdt/forberedt i en beredskabsplan for, at sikre en god kommunikation? Gruppearbejde Tid 15. minutter Plenum fremlæggelse og opsamling 29

30 Øvelse 4 Test af beredskabet Hvordan kan test af beredskab gennemføres: 1. Hvilken form for test er anvendelig og realistisk 1. Skrivebordstest 2. Simuleret test 3. Rigtig test på produktionssystemer 4. Andet? 1. Med hvilken frekvens skal aktiver (forretningsprocesser/itsystemer) testes? 1. En samlet test årligt 2. Periodisk test systemer/forretningsprocessen 3. Andet? Gruppearbejde Tid 20. minutter Plenum fremlæggelse og opsamling 30

31 Beredskab skaber vi sammen Tak for i dag Claus Bartholin Senior Manager [email protected] Mobil Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen, eller for eventuelle beslutninger truffet på baggrund af publikationen PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder forbeholdes. I dette dokument refererer til PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed.