Från prevention till resiliens
Cybersäkerhet har länge fokuserat på att förhindra incidenter. Men verkligheten är att incidenter kommer att inträffa. Frågan är hur väl ni kan hantera dem.
Operationell resiliens handlar om att bygga organisationens förmåga att absorbera störningar, anpassa sig och fortsätta leverera. Det är ett paradigmskifte från “det händer inte oss” till “när det händer, är vi redo”.
Grundfrågan: Om ert viktigaste system går ner imorgon, hur snabbt kan ni återhämta er? Och vet ni säkert, eller tror ni bara?
Resiliensens fyra pelare
1. Affärskontinuitet (BCP) Planer för att upprätthålla kritiska affärsprocesser vid störningar. Vad är kritiskt? Hur fortsätter vi om X inte fungerar?
2. Disaster Recovery (DR) Tekniska planer för att återställa IT-system och data. Backup, redundans, återställningsprocedurer.
3. Incidenthantering Processer för att upptäcka, hantera och lära av säkerhetsincidenter. Roller, eskalering, kommunikation.
4. Krisskommunikation Hur kommunicerar vi internt och externt vid en kris? Vem säger vad till vem?
NIS2-krav på resiliens
NIS2 Artikel 21.2c kräver affärskontinuitet och krishantering, inklusive backup och disaster recovery.
Artikel 21.2b kräver hantering av säkerhetsincidenter, inklusive 24-timmarsrapportering.
Implicit krav på att planer ska fungera i praktiken. Processer som inte testats är opålitliga.
Åtgärderna ska vara proportionella mot risken. Kritiska system kräver mer robust resiliens.
Bygg resiliens steg-för-steg
- Identifiera kritiska processer och system Vad måste fungera för att verksamheten ska överleva? Kartlägg beroenden. Prioritera baserat på affärspåverkan vid bortfall.
- Definiera RTO och RPO Hur snabbt måste varje kritisk process/system återställas (RTO)? Hur mycket dataförlust accepteras (RPO)? Dessa styr designen av lösningar.
- Implementera teknisk förmåga Backup, replikering, redundans, failover. Säkerställ att tekniken kan leverera mot RTO/RPO. Dokumentera återställningsprocedurer.
- Skapa planer och procedurer Affärskontinuitetsplan, DR-plan, incidentplan, krisskommunikationsplan. Tydliga roller, ansvar och eskaleringsvägar.
- Testa och öva Planer som inte testas fungerar sällan. Genomför övningar: tabletop, tekniska tester, fullskaliga simuleringar. Lär av resultaten.
- Förbättra kontinuerligt Uppdatera planer baserat på lärdomar, förändringar i verksamheten och nya hot. Resiliens är en process, inte ett projekt.
Övningstyper
| Typ | Beskrivning | Frekvens |
|---|---|---|
| Tabletop | Diskussionsövning utan teknisk aktivering. “Vad gör vi om X händer?” | Kvartalsvis |
| Walkthrough | Steg-för-steg genomgång av procedurer. Identifiera luckor. | Halvårsvis |
| Funktionell | Testa specifik förmåga, t.ex. backup-återställning | Månadsvis |
| Fullskalig | Simulera verklig incident. Aktivera alla processer. | Årligen |
Vanliga brister
Dokumentet finns, men ingen vet om det fungerar. 73% som testar hittar brister.
Planen refererar till system som inte längre finns, eller saknar nya kritiska system.
DR-plan finns, men ingen affärskontinuitetsplan. IT kan återställa, men verksamheten vet inte vad de ska göra.
Tekniken fungerar, men ingen vet hur man kommunicerar med kunder, media, myndigheter.
Kritiska beroenden av nyckelpersoner, enskilda system eller leverantörer.
Backuper tas, men ingen har testat att återställa. "Schrödinger's backup."
Checklista för resiliens
Identifiering:
- Kritiska affärsprocesser identifierade
- Kritiska system kartlagda
- Beroenden dokumenterade
- RTO och RPO definierade
Teknisk förmåga:
- Backup-strategi implementerad
- Återställning testad och verifierad
- Redundans för kritiska system
- Failover-mekanismer på plats
Planer och processer:
- Affärskontinuitetsplan dokumenterad
- DR-plan dokumenterad
- Incidenthanteringsplan dokumenterad
- Krisskommunikationsplan dokumenterad
Test och övning:
- Tabletop-övning genomförd senaste kvartalet
- Teknisk DR-test genomförd senaste halvåret
- Fullskalig övning genomförd senaste året
- Lärdomar dokumenterade och planer uppdaterade
Så kan Securapilot hjälpa
Securapilot stödjer organisationens resiliensarbete:
- Affärskontinuitet: Dokumentera och hantera BCP
- Incidenthantering: Strukturerad hantering och rapportering
- Riskhantering: Identifiera hot mot resiliens
- Dokumentation: Planer och procedurer på ett ställe
- Uppföljning: Spåra övningar och förbättringsåtgärder
Boka en demo och se hur vi kan stödja er resiliensförmåga.
Vanliga frågor
Vad är skillnaden mellan resiliens och backup?
Backup är en teknisk åtgärd för att återställa data. Resiliens är organisationens förmåga att fortsätta fungera trots störningar. Backup är en del av resiliens, men långt ifrån allt.
Hur hänger resiliens ihop med NIS2?
NIS2 Artikel 21 kräver explicit affärskontinuitet och krishantering. Organisationer ska kunna upprätthålla eller återställa kritiska tjänster vid störningar.
Hur ofta ska vi testa vår resiliens?
Minst årligen för övergripande affärskontinuitet. Backup-återställning och teknisk DR oftare. Incidentövningar 1-2 gånger per år. Tabletop-övningar kan göras kvartalsvis.
Vad är RTO och RPO?
RTO (Recovery Time Objective) är maximal acceptabel tid för att återställa en tjänst. RPO (Recovery Point Objective) är maximal acceptabel dataförlust, mätt i tid. Exempel: RTO 4 timmar, RPO 1 timme.
