Från prevention till resiliens
Cybersäkerhet har länge fokuserat på att förhindra incidenter. Men verkligheten är att incidenter kommer att inträffa. Frågan är hur väl du kan hantera dem.
Operationell resiliens handlar om att bygga din organisations förmåga att absorbera störningar, anpassa sig och fortsätta leverera. Det är ett tankeskifte: från “det händer inte oss” till “när det händer, är vi redo”.
Grundfrågan: Om ditt viktigaste system går ner imorgon, hur snabbt kan du återhämta dig? Vet du säkert, eller tror du bara?
Resiliensens fyra pelare
1. Affärskontinuitet (BCP) Planer för att upprätthålla kritiska affärsprocesser vid störningar. Vad är kritiskt? Hur fortsätter vi om X inte fungerar?
2. Disaster Recovery (DR) Tekniska planer för att återställa IT-system och data. Säkerhetskopiering, redundans, återställningsprocedurer.
3. Incidenthantering Processer för att upptäcka, hantera och lära av säkerhetsincidenter. Roller, eskalering, kommunikation.
4. Krisskommunikation Hur kommunicerar vi internt och externt vid en kris? Vem säger vad till vem?
NIS2-krav på resiliens
NIS2 Artikel 21.2c kräver affärskontinuitet och krishantering, inklusive säkerhetskopiering och disaster recovery.
Artikel 21.2b kräver hantering av säkerhetsincidenter, inklusive 24-timmarsrapportering.
Underförstått krav på att planer ska fungera i praktiken. Processer som du inte har testat är opålitliga.
Åtgärderna ska vara proportionella mot risken. Kritiska system kräver mer robust resiliens.
Bygg resiliens steg-för-steg
- Identifiera kritiska processer och system Vad måste fungera för att verksamheten ska överleva? Kartlägg beroenden. Prioritera utifrån affärspåverkan vid bortfall.
- Definiera RTO och RPO Hur snabbt måste varje kritisk process eller system återställas (RTO)? Hur mycket dataförlust accepterar du (RPO)? Svaren styr hur du utformar lösningarna.
- Implementera teknisk förmåga Säkerhetskopiering, replikering, redundans och failover. Se till att tekniken kan leverera mot RTO/RPO. Dokumentera återställningsprocedurer.
- Skapa planer och procedurer Affärskontinuitetsplan, DR-plan, incidentplan, krisskommunikationsplan. Tydliga roller, ansvar och eskaleringsvägar.
- Testa och öva Planer som du inte testar fungerar sällan. Genomför övningar: bordsskissövningar, tekniska tester och fullskaliga simuleringar. Lär av resultaten.
- Förbättra kontinuerligt Uppdatera planer utifrån lärdomar, förändringar i verksamheten och nya hot. Resiliens är en process, inte ett projekt.
Övningstyper
| Typ | Beskrivning | Frekvens |
|---|---|---|
| Bordsskiss | Diskussionsövning utan teknisk aktivering. “Vad gör vi om X händer?” | Kvartalsvis |
| Genomgång | Steg-för-steg genomgång av procedurer. Identifiera luckor. | Halvårsvis |
| Funktionell | Testa specifik förmåga, till exempel återställning av säkerhetskopior | Månadsvis |
| Fullskalig | Simulera verklig incident. Aktivera alla processer. | Årligen |
Vanliga brister
Dokumentet finns, men ingen vet om det fungerar. 73 procent av dem som testar hittar brister.
Planen refererar till system som inte längre finns, eller saknar nya kritiska system.
DR-plan finns, men ingen affärskontinuitetsplan. IT kan återställa systemen, men verksamheten vet inte vad de ska göra.
Tekniken fungerar, men ingen vet hur man kommunicerar med kunder, media, myndigheter.
Kritiska beroenden av nyckelpersoner, enskilda system eller leverantörer.
Säkerhetskopior tas, men ingen har testat att återställa. "Schrödingers säkerhetskopia."
Checklista för resiliens
Identifiering:
- Kritiska affärsprocesser identifierade
- Kritiska system kartlagda
- Beroenden dokumenterade
- RTO och RPO definierade
Teknisk förmåga:
- Strategi för säkerhetskopiering finns
- Återställning testad och verifierad
- Redundans för kritiska system
- Mekanismer för automatisk övergång på plats
Planer och processer:
- Affärskontinuitetsplan dokumenterad
- DR-plan dokumenterad
- Incidenthanteringsplan dokumenterad
- Krisskommunikationsplan dokumenterad
Test och övning:
- Bordsskissövning genomförd senaste kvartalet
- Teknisk DR-test genomförd senaste halvåret
- Fullskalig övning genomförd senaste året
- Lärdomar dokumenterade och planer uppdaterade
Så kan Securapilot hjälpa
Securapilot stödjer din organisations resiliensarbete:
- Affärskontinuitet: Dokumentera och hantera BCP
- Incidenthantering: Strukturerad hantering och rapportering
- Riskhantering: Identifiera hot mot resiliens
- Dokumentation: Planer och procedurer på ett ställe
- Uppföljning: Spåra övningar och förbättringsåtgärder
Boka en demo och se hur vi kan stödja er resiliensförmåga.
Vanliga frågor
Vad är skillnaden mellan resiliens och backup?
Backup är en teknisk åtgärd för att återställa data. Resiliens är organisationens förmåga att fortsätta fungera trots störningar. Backup är en del av resiliens, men långt ifrån allt.
Hur hänger resiliens ihop med NIS2?
NIS2 Artikel 21 kräver explicit affärskontinuitet och krishantering. Organisationer ska kunna upprätthålla eller återställa kritiska tjänster vid störningar.
Hur ofta ska vi testa vår resiliens?
Minst årligen för övergripande affärskontinuitet. Backup-återställning och teknisk DR oftare. Incidentövningar 1-2 gånger per år. Tabletop-övningar kan göras kvartalsvis.
Vad är RTO och RPO?
RTO (Recovery Time Objective) är maximal acceptabel tid för att återställa en tjänst. RPO (Recovery Point Objective) är maximal acceptabel dataförlust, mätt i tid. Exempel: RTO 4 timmar, RPO 1 timme.
