IT-kriseberedskabet skal indarbejdes i virksomhedens DNA for at fungere. Jo mere det ligger på rygraden, jo mere effektivt bekæmpes IT-krisen, når den indtræffer.
Øvelse gør mester, siger man. IT-kriseberedskabet træder i kræft, når forsvaret fejler. Netop derfor må virksomhedernes IT-beredskabet ikke blive et ”skuffeberedskab”, som i en krisesituation bliver vraget til fordel for et måske mindre egnet, men til gengæld velafprøvet incident management forløb.
Digitaliseringens kompleksitet
Den øgede kompleksitet i IT-landskabet medfører, at et uøvet IT-kriseberedskab i de fleste tilfælde ikke vil kunne imødekomme forretningens forventninger til robusthed. Nogle virksomheder vælger af denne grund at bygge IT-kriseberedskabet ovenpå den eksisterende og samarbejdsvante Incident Management organisation, som i en IT-krise vil kunne agere effektivt og udføre genetablering efter best-effort uden understøttende dokumentation.
Dette kan fungere tilfredsstillende for mindre IT-miljøer over få fysiske lokationer og en lille IT-kriseorganisation, men i større organisationer vil modellen derimod være sårbar overfor organisatoriske udskiftninger, da den er afhængig af den samlede faglige og driftsmiljømæssige erfaring samt forretningsindsigt.
For større organisationer og IT-miljøer er mere formel systemdokumentation og genetableringsprocedurer derfor nødvendig – på grund af den iboende organisatoriske og tekniske kompleksitet. Hvis dokumentationen ikke findes, vil behovet for koordination hurtigt vokse sig stort, endda uoverskueligt, da foruddefinerede arbejdsopgaver for de enkelte aktører ikke er klare og indøvede.
Man kan altså komme i en situation, hvor den enkelte medarbejder ikke præcist ved, hvad personens opgave er, når krisen opstår.
Relevans i hverdagen – ikke kun i kriser
Opbygning og udrulning af IT-beredskabsopgaven vil have størst chance for at lykkes, når såvel forretnings- og IT-aktører i IT-kriseorganisationen tidligt inddrages. Dette dækker såvel ledelseslag som udførende medarbejdere.
Eksempler er:
- Forretningsprocesejere og systemejere med indsigt i koblingen mellem IT-robusthed og værdiskabelsen, som i ”fredstid” udenfor IT-kriser kan prioritere IT-nyinvesteringer og opgraderinger.
- Forretningsbrugerne med indsigt i procesforløb og systembrug, som udenfor IT-kriser kan verificere kritisk funktionalitet efter almindelige incidents samt brugertests.
- Systemansvarlige med overblik over teknisk og organisatorisk genetableringsforløb, som udenfor IT-kriser bedre kan udføre outsourcing eller decentralisering.
- Arkitekter med overblik over system- og servicelandskab, som udenfor IT-kriser effektivt og mere sikkert kan planlægge ændringer til driftsmiljøet.
IT-beredskabsdokumentation, processer og procedurer skal derfor have en funktion og værdi i ”fredstid”, altså i den daglige drift udenfor IT-kriser. Det forhold sikrer, at dokumentation forbliver operationel, vedligeholdt og vedvarende velkendt over tid.
Klar til brug når IT-krisen indtræffer.
Helge Djernes er cybersikkerhedsrådgiver ved Globeteam.