Gorm Grosen Christiansen er leder af Globeteams forretningsenhed for cyber- og informationssikkerhed.
Hvilken udgift har det for virksomheden, hvis en større eller mindre del af den lammes f.eks. som følge af et cyberangreb? Det spørgsmål er centralt at få svar på i forhold til den energi og de udgifter, der skal bruges på at sikre virksomheden mod netop sådanne cyberangreb. Man kan sige, at virksomheden skal finde ”nedbrudsværdien” af de processer, der kan blive ramt og dermed lagt ned, hvis det skulle lykkes hackere at trænge ind i virksomhedens it-system.
Nedbrudsværdien kan opgøres ud fra følgende parametre;
- Tab af direkte omsætning
- Ekstraudgifter til personale og ekstern assistance
- Relevante bøder og bod
Som en tommelfingerregel bør omkostninger ved sikkerhedstiltag over en typisk tre- til femårig årrække ikke overstige den forventede nedbrudsværdi, da det fra en totalbetragtning i så fald vil koste mere at forsikre sig end at miste det forsikrede.
Det nytter ikke at sige, at “det sker aldrig for os”. Som nævnt i første indlæg, rammes alle organisationer af hændelser, som kræver krisestyring. Det er et spørgsmål om hvornår og hvor meget, ikke om hvorvidt.
Find værdierne og vurdér hvad et nedbrud koster
Vi ser værdiskabelse som resultat af en eller flere forretningsprocesser, som tilvejebringer en service eller et produkt med en finansiel nytteværdi. Dette kan være salgs-/lagerstyringsplatforme, kundesupport, sagsbehandling, automatik-/processystemer, investeringsplatforme med flere. Nytteværdien kan være kommerciel eller lovgivningsbestemt. Omdrejningspunktet er, at nogen vil betale for den – og vil bemærke fraværet.
Den nedbrudsværdi som et fravær af en fungerende proces vil påføre virksomheden, estimeres gennem en BIA (Business Impact Analysis). En BIA er en nødvendig forløber for beredskabsarbejdet, da nedbrudsværdierne dels sætter en øvre budgetramme for sikringstiltag, dels er kilde til kravspecifikationen for beredskabsopbygningen.
I vores arbejde med beredskaber er estimering af nedbrudsværdier ofte kilde til hovedbrud. Den forudsætter et kvantificeret overblik over både værdiskabelsen og kompenserende tiltag. Dette forudsætter igen indsigt i de forretningsmæssige aspekter af virksomhedens værdiskabelse, men er som nævnt nødvendig for en forretningsmæssigt forsvarlig sikringsindsats.
I vores arbejde med beredskaber er estimering af nedbrudsværdier ofte kilde til hovedbrud.
Gorm Grosen Christiansen
I klassisk værdisættelse inkluderes ofte tab af ikke-finansielle værdier, så som omdømme (f.eks. reflekteret i aktiekurser), medarbejderflugt (udgifter til rekruttering) og lignende, hvilket vi dog grundet den høje grad af subjektivitet anbefaler udeladt fra beslutningsgrundlaget. Børsnoterede virksomheder oplever ofte et dyk i aktiekurs i forbindelse med en offentliggjort it-krise. Dette dyk er oftest kortvarigt, da cyberangreb eller teknologisvigt er hyppige hændelser på tværs af vores digitaliserede værdikæder. De er derfor ikke som enkeltstående kortvarige tilfælde nødvendigvis udtryk for inkompetence eller mangel på omhu. Tab af omsætning under krisen, som kan forventes indhentet efterfølgende, hvis kunderne venter, medtages af samme grund heller ikke i nedbrudsværdien.
Hvor lang tid må nedbruddet vare?
Når de parametre, der indgår i virksomhedens beregning af nedbrudsværdien, er fastlagte, skal den kronologiske dimension vurderes. Dette udføres for en række fastlagte tidsenheder for at etablere en skala for graden af nødvendig parathed i beredskabet, f.eks. én time, fire timer, tolv timer, én dag, én uge og én måned. Jo højere nedbrudsværdi, jo bedre belæg for et mere aktionsklart og dermed relativt dyrere operationelt beredskab. Men da etableringen af krisestyringen forbliver en modenhedsrejse, er opgaven enklere og kræver mindre organisatorisk omstilling, hvis modenhedsniveauet (mål ved f.eks. CMMI) er højt. Opgaven bliver tilsvarende mere kompleks og kræver mere organisatorisk udvikling, hvis modenhedsniveauet er lavt.
Det er selvsagt også en bekymring ved et lavt modenhedsniveau, at scope hurtigt kan vokse vildt på grund af uafklarede organisatoriske og procesmæssige snitflader. Af denne grund er udførelsen af en foranalyse praktisk, for at præcisere snitflader og omfang, samt forventningsafstemme forløbet i organisationen. Ellers vil miskommunikation mellem interessenter ofte ende med at kræve så mange ressourcer, at gevinstrealisering ikke kan opnås, endsige forankres indenfor budget.
Hvor skabes værdien i virksomheden?
Dernæst skal forretningsprocesserne identificeres via en BIA, hvilket forudsætter en kortlægning af organisationens værdiskabelsesaktiviteter på tværs af produktion, support, udvikling, salg, markedsføring, personaleafdelinger, med videre. Nogle af disse aktiviteter vil have lav nedbrudsværdi, nogle vil have en høj. Et godt udgangspunkt for dette arbejde er virksomhedens leverancer til kunder, samt jobbeskrivelser og eksisterende procesdokumentation. Denne dokumentation er et godt udgangspunkt for afklaringer under foranalysen og giver desuden et godt grundlag for uddybende interviews med de medarbejdere, som bruger systemerne i selve forløbet med at bygge eller modernisere beredskabskompetencerne.
Det er naturligvis fordelagtigt at komme hele vejen rundt i kortlægningen af forretningsprocesserne, for at sikre en kvalificeret prioritering af hvilke, som først skal kunne genetableres. Når beredskabet er kommet på plads, kan nedbrudsværdien for de øvrige forretningsprocesser vurderes og processeres efter behov.
Virksomheden vil have en god start, såfremt der allerede er etableret et retvisende forretningsprocesoverblik i forbindelse med en Privacy analyse som f.eks. GDPR eller et overblik over strukturerede processer og artefakter i forbindelse med et EA initiativ. Modenhedsniveauet vil i dette tilfælde være relativt høj og nedbrydning i systembaserede og manuelle trin allerede i noget omfang være foretaget.
Kan et mindre nedbrud lamme større del af virksomheden?
Vi indledte denne artikel med at angive værdiskabelse som resultatet af én eller flere forretningsprocessers arbejde. For at kunne adskille nedbrudsværdierne for flere forretningsprocesser fra hinanden via BIA, er det enklest at anlægge en afhængighedsvinkel; kan processerne fungere isoleret? Hvis ja, kan nedbrudsværdi for processen opgøres. Hvis nej, er de afhængige processer reelt delprocesser i en overordnet forretningsproces, for hvilken nedbrudsværdi kan opgøres. Delprocesserne er i denne sammenhæng ikke selvstændige og har ikke individuelle nytteværdier eller nedbrudsværdier. Når proceshierarkiet ligger fast, kan forretningsprocesserne prioriteres ud fra væsentlighed.