Vi er forbundne. Det er vores trusselslandskab, IT-forsvar og IT-beredskab så også. Derfor er den ene del af forsyningskæden også dybt afhængig af sikkerheden i den anden ende.
Vores værdiskabelse sker i et samspil. Vi bygger den på leverancer af råvarer og halvfabrikata, med lokaler, kollegaer, fabrikker, finansiering og eksterne specialister, o.s.v., alt sammen muliggjort af et netværk af transport og telekommunikation.
Jo vigtigere vores organisationers værdiskabelse er for samfundets nøglefunktioner (energiforsyning, hospitaler, transport og pengeinstitutter), jo flere parter rammer vi, og jo flere retningslinjer og tilsyn vil komme fra myndigheder som Energistyrelsen, Sundhedsstyrelsen og Finanstilsynet. For vi er et fællesskab.
Virksomhedens IT-forsvar og -beredskab er således en del af et naboværn. Fungerer det ikke ét sted, sænkes sikkerheden og robustheden for de andre. Utilgængelighed, uanset årsag, har direkte betydning for vores kunder og partnere i form af tabt omsætning, sundhedspleje, varme, lys, indkøbsmuligheder, transport og så videre.
Naboer i lyst og nød
Når vi indgår et samarbejde med en partner omkring varer eller tjenesteydelser, laver vi en grundig troværdighedsanalyse (Due Diligence) for at få vished for, at leverandøren pålideligt kan levere aftalte varer og tjenesteydelser i rette tid.
Vi satser jo på dem og fejler de, så rammes vi. Just-in-Time og outsourcing giver mange fordele gennem minimal kapitalbinding i lagerbeholdninger, lagerfaciliteter og medarbejderpleje og træning, men tilsvarende også en stor afhængighed af leverandørernes leverancedygtighed.
Dermed bliver IT-forsvaret og IT-beredskabet konkurrenceparametre. Alle organisationer rammes af nedbrud og leveranceforstyrrelser. Det væsentlige er, hvor sjældent, samt hvor hurtigt drift og leverancedygtighed ved nedbrud genetableres, så negative følger minimeres eller gerne det meste af tiden helt undgås.
Omsorgsfulde myndigheder
Når en branche har betydning for nøglefunktioner i samfundet, bliver myndighederne omsorgsfulde. Branchen er jo vigtig og skal derfor beskyttes gennem lovgivning som ud fra en helhedsbetragtning sætter spillereglerne for ansvar, pligter og rettidigt omhu.
Eksempelvis dækker EU Direktiv om Netværks- og Informationssikkerhed en længere række brancher, herunder medicinalindustri og sociale platforme, samt skærpede sanktioner for utilstrækkeligt IT-forsvar og IT-beredskab.
Dette reflekterer den samfundsmæssige udvikling og en erkendelse af de indbyrdes afhængigheder. Hospitaler skal bruge medicin i behandlingen. Sociale platforme er for mange brugere den primære og naturlige indgangsvinkel til viden og kommunikation.
Kontrolbesøg
Virksomhedens IT-forsvar og IT-beredskab, med underliggende teknologilandskab, processer og procedurer, vil derfor blive genstand for stadig nøjere revision. Nedbrud hos én påvirker”nabolaget”, proportionalt med vigtigheden af dens nøglefunktion i samfundet og antallet af ”naboer”.
Denne risiko ønsker myndigheder og partnere selvsagt at imødekomme, hvorfor deres interesse i organisationens interne forhold må forventes at tiltage.
De forventninger og krav som kunder, myndigheder (samt naturligvis pressen og offentligheden) stiller til virksomheden, er grundlag for etablering af IT-forsvaret.
De forventninger og krav, som ikke adresseres tilfredsstillende af virksomheden, kan få negative konsekvenser i form at påbud, bøder, sagsanlæg og ophævede kontrakter. Andres forventninger og krav spiller derfor, hvad enten vi kan lide det eller ej, direkte ind i vores interne forhold og sætter ambition og rammer for vores IT-forsvar og IT-beredskab.