Samfundets specialisering muliggør en optimeret udnyttelse af vores kompetencer, så vi er dygtigere til færre opgaver. Dette gør os mere afhængige af hinanden – og mere sårbare.
Virksomheder indgår i et fint, værdiskabende net af gensidige forpligtelser og leverancer som tilsammen udgør de forretningsprocesser som tilvejebringer finansiel nytteværdi. Nytteværdien kan være kommerciel eller lovgivningsbestemt. Omdrejningspunktet er, at nogen vil betale for den – og vil bemærke fraværet.
Vurdering af den nedbrudsværdi, som et fravær af en fungerende forretningsproces vil påføre virksomheden, er ofte kilde til hovedbrud. Den forudsætter et kvantificeret overblik over både værdiskabelsen og kompenserende tiltag. Dette forudsætter en ofte uafklaret indsigt i de forretningsmæssige aspekter af virksomhedens værdiskabelse, men er nødvendig for en forretningsmæssigt forsvarlig sikringsindsats.
Når proceshierarkiet ligger fast, kan forretningsprocesserne prioriteres ud fra væsentlighed.
Helge Djernes, cybersikkerhedsrådgiver.
Et dyk i aktiekurser i forbindelse med en offentliggjort it-krise ofte er kortvarig. Cyberangreb eller teknologisvigt er hyppige hændelser på tværs af digitaliserede værdikæder. De er derfor ikke som enkeltstående kortvarige tilfælde nødvendigvis udtryk for inkompetence eller mangel på omhu. Tab af omsætning under krisen, som kan forventes indhentet efterfølgende, hvis kunderne venter, medtages af samme grund heller ikke i nedbrudsværdien.
Ikke-finansielle værdier, så som omdømme, reflekteret i aktiekurser, medarbejderflugt og lignende, har en høj grad af subjektivitet. De kan derfor indgå sekundært i beslutningsgrundlaget, som primært bør baseres på tab af direkte omsætning, ekstraudgifter til personale, ekstern assistance samt relevante bøder og bod.
Dernæst skal den kronologiske dimension vurderes for at etablere en skala for graden af nødvendig parathed i beredskabet, f.eks. én time, fire timer, tolv timer, én dag, én uge og én måned. Jo højere nedbrudsværdi, jo bedre belæg for et mere aktionsklart og dermed relativt dyrere operationelt beredskab.
Alle organisationer rammes fra tid til anden af kriser, så det er et spørgsmål om hvornår og hvor meget, ikke om hvorvidt. Etableringen og vedligeholdelse af krisestyringen er derfor en modenhedsrejse og rejsen bliver enklere og kræver mindre organisatorisk omstilling, hvis modenhedsniveauet (målt ved f.eks. CMMI) er højt. Opgaven bliver tilsvarende mere eksplorativ og kræver mere organisatorisk udvikling hvis modenhedsniveauet er lavt.
Modenhedsrejsen
Det er selvsagt også en bekymring ved et lavt modenhedsniveau, at scope hurtigt kan vokse vildt på grund af uafklarede organisatoriske og procesmæssige snitflader. Af denne grund kan en foranalyse være godt til at præcisere snitflader og omfang, samt forventningsafstemme forløbet i organisationen. Ellers vil miskommunikation mellem interessenter ofte ende med at kræve så mange tomgangsressourcer, at gevinstrealisering ikke kan opnås, endsige forankres indenfor budget.
I kortlægningen af forretningsprocesserne behøves et overblik over organisationens værdiskabelsesaktiviteter på tværs af produktion, support, udvikling, salg, markedsføring, personaleafdelinger, med videre. Nogle af disse aktiviteter vil have lav nedbrudsværdi, nogle vil have en høj. Et godt udgangspunkt for dette arbejde er virksomhedens leverancer til kunder, samt jobbeskrivelser og eksisterende procesdokumentation.
Denne dokumentation er et godt udgangspunkt for afklaringer under en eventuel foranalysen og giver et godt grundlag for uddybende interviews med de medarbejdere, som bruger systemerne i selve forløbet med at bygge eller modernisere beredskabskompetencerne.
Det er naturligvis fordelagtigt at komme hele vejen rundt i kortlægningen af forretningsprocesserne, for at sikre en kvalificeret prioritering af hvilke, som først skal kunne genetableres. Når beredskabet er kommet på plads, kan nedbrudsværdien for de øvrige forretningsprocesser vurderes og processeres efter behov.
Proceshierarkiet
Virksomheden vil have en god start, såfremt der allerede er etableret et retvisende forretningsprocesoverblik i forbindelse med en Privacy analyse som f.eks. GDPR eller et overblik over strukturerede processer og artefakter i forbindelse med et EA initiativ. Modenhedsniveauet vil i dette tilfælde være relativt højere og nedbrydning i systembaserede og manuelle trin allerede i noget omfang være foretaget.
Få styr på proceshierarkiet. Kan processerne fungere isoleret? Hvis ja, kan nedbrudsværdi for denne isolerede proces opgøres. Hvis nej, er de afhængige processer reelt delprocesser i en overordnet forretningsproces, for hvilken nedbrudsværdi så kan opgøres. Delprocesserne er i denne sammenhæng ikke selvstændige og har ikke meningsfulde individuelle nytteværdier eller nedbrudsværdier.
Når proceshierarkiet ligger fast, kan forretningsprocesserne prioriteres ud fra væsentlighed – og bliver som en sidegevinst noget enklere at vedligeholde fremover.
Helge Djernes er cybersikkerhedsrådgiver ved Globeteam.