IT-kriseberedskabet koster tid og penge at bygge og opretholde. Indsatsen skal kunne retfærdiggøres gennem estimering af nedbrudsværdi.
Virksomhedens eksistensberettigelse er værdiskabelse for en eller flere målgrupper. Værdiskabelsen kan være salg af rejser, huse, maskiner, tøj og rengøring eller hospitalsbehandling og hjemmepleje. Værdiskabelsen er resultatet af forretningsprocesser, som er afhængige af kørende IT-systemer.
Bliver virksomheden, hospitalet eller hjemmeplejen ramt af IT-nedbrud i eksempelvis lager-, logistik-, salgs-, patient- eller kalendersystemer, rammes værdiskabelsen tilsvarende og vil ofte helt ophøre så længe systemerne er utilgængelige. Nedbrud kan bl.a. skyldes ransomware og basale IT-fejl.
Når proceshierarkiet ligger fast, kan de uafhængige forretningsprocesser prioriteres ud fra væsentlighed.
Helge Djernes.
Estimering af nedbrudsværdier
Den nedbrudsværdi, som fravær af en fungerende forretningsproces vil påføre virksomheden, estimeres gennem en BIA (Business Impact Analysis). Den indikerer en øvre budgetramme for beredskabsarbejdet, og bidrager samtidig til kravspecifikation.
Bestemmelse af nedbrudsværdier giver ofte hovedbrud, da det forudsætter et kvantificeret overblik over værdiskabelsens forretningsprocesser og indsigt i de forretningsmæssige aspekter af virksomhedens værdiskabelse. Omkostninger ved kompenserede tiltag og opretholdelse af IT-kriseberedskabet bør over en typisk tre- til femårig årrække ikke overstige den estimerede nedbrudsværdi, da forsikringen ud fra en totalbetragtning i så fald koster mere end tabet af det forsikrede.
Hold fokus
I klassisk værdisættelse inkluderes ofte tab af svært estimérbare finansielle værdier, så som omdømme (f.eks. reflekteret i aktiekurser), medarbejderflugt (udgifter til rekruttering) og lignende, hvilket grundet den høje grad af subjektivitet udelades fra beslutningsgrundlaget.
Børsnoterede virksomheder oplever for eksempel ofte et dyk i aktiekurs i forbindelse med en offentliggjort IT-krise. Dette dyk er typisk kortvarigt, da cyberangreb eller teknologisvigt er hyppige hændelser på tværs af vores digitaliserede værdikæder. De er derfor ikke som enkeltstående kortvarige tilfælde nødvendigvis udtryk for inkompetence eller mangel på omhu.
Tab af omsætning under krisen, som kan forventes indhentet efterfølgende, hvis kunderne venter, medtages af samme grund heller ikke i nedbrudsværdien.
Nedbrudsværdien opgøres således godt dækkende ud fra følgende parametre:
- Tab af direkte omsætning
- Ekstraudgifter til personale og ekstern assistance
- Relevante bøder og bod.
Klarlagt forretningsproceshierarki
For at kunne adskille nedbrudsværdierne for flere forretningsprocesser fra hinanden via BIA, er det enklest at anlægge en afhængighedsvinkel; kan processerne fungere selvstændigt?
Hvis ja, kan nedbrudsværdi for processen opgøres. Hvis nej, er de afhængige processer reelt delprocesser i en overordnet forretningsproces, for hvilken en nedbrudsværdi opgøres. Delprocesserne er i denne sammenhæng ikke selvstændige og har ikke individuelle nytteværdier eller nedbrudsværdier. Når proceshierarkiet ligger fast, kan de uafhængige forretningsprocesser prioriteres ud fra væsentlighed.
Virksomheden får en god start, såfremt der allerede er etableret et rimeligt retvisende forretningsprocesoverblik i forbindelse med en Privacy analyse som f.eks. GDPR eller et overblik over strukturerede processer og artefakter i forbindelse med et EA initiativ.
Helge Skov Djernes er informationssikkerhedsekspert i sikkerhedsfirmaet Djernes & Diernaes. Han rådgiver om, og leder projekter indenfor, informationssikkerhed, målrettet især kritisk infrastruktur som f.eks. medicinal- og produktionsindustri, forsynings- og finanssektoren.