Fra forebyggelse til resiliens
Cybersikkerhed har længe fokuseret på at forhindre hændelser. Men virkeligheden er, at hændelser vil forekomme — spørgsmålet er, hvor godt I kan håndtere dem.
Operationel resiliens handler om at opbygge organisationens evne til at absorbere forstyrrelser, tilpasse sig og fortsætte med at levere. Det er et paradigmeskift fra “det sker ikke for os” til “når det sker, er vi klar”.
Grundspørgsmålet: Hvis jeres vigtigste system går ned i morgen — hvor hurtigt kan I komme jer? Og ved I det sikkert, eller tror I det bare?
Resiliensens fire søjler
1. Forretningskontinuitet (BCP) Planer for at opretholde kritiske forretningsprocesser ved forstyrrelser. Hvad er kritisk? Hvordan fortsætter vi, hvis X ikke fungerer?
2. Disaster Recovery (DR) Tekniske planer for at genoprette IT-systemer og data. Backup, redundans, gendannelsesprocedurer.
3. Hændelseshåndtering Processer for at opdage, håndtere og lære af sikkerhedshændelser. Roller, eskalering, kommunikation.
4. Krisekommunikation Hvordan kommunikerer vi internt og eksternt ved en krise? Hvem siger hvad til hvem?
NIS2-krav til resiliens
NIS2 Artikel 21.2c kræver forretningskontinuitet og krisehåndtering, inklusiv backup og disaster recovery.
Artikel 21.2b kræver håndtering af sikkerhedshændelser, inklusiv 24-timers rapportering.
Implicit krav om, at planer skal fungere i praksis. Processer, der ikke er testet, er upålidelige.
Foranstaltningerne skal være proportionale med risikoen. Kritiske systemer kræver mere robust resiliens.
Byg resiliens trin-for-trin
- Identificer kritiske processer og systemer Hvad skal fungere, for at virksomheden kan overleve? Kortlæg afhængigheder. Prioriter baseret på forretningspåvirkning ved bortfald.
- Definer RTO og RPO Hvor hurtigt skal hver kritisk proces/system genoprettes (RTO)? Hvor meget datatab accepteres (RPO)? Disse styrer designet af løsninger.
- Implementer teknisk kapacitet Backup, replikering, redundans, failover. Sikr, at teknologien kan levere imod RTO/RPO. Dokumenter gendannelsesprocedurer.
- Opret planer og procedurer Forretningskontinuitetsplan, DR-plan, hændelsesplan, krisekommunikationsplan. Tydelige roller, ansvar og eskaleringsveje.
- Test og øv Planer, der ikke testes, fungerer sjældent. Gennemfør øvelser: tabletop, tekniske tests, fuldskala-simuleringer. Lær af resultaterne.
- Forbedre kontinuerligt Opdater planer baseret på læring, ændringer i virksomheden og nye trusler. Resiliens er en proces, ikke et projekt.
Øvelsestyper
| Type | Beskrivelse | Frekvens |
|---|---|---|
| Tabletop | Diskussionsøvelse uden teknisk aktivering. “Hvad gør vi, hvis X sker?” | Kvartalsvis |
| Walkthrough | Trin-for-trin gennemgang af procedurer. Identificer huller. | Halvårligt |
| Funktionel | Test specifik kapacitet, f.eks. backup-gendannelse | Månedligt |
| Fuldskala | Simuler virkelig hændelse. Aktiver alle processer. | Årligt |
Almindelige mangler
Dokumentet findes, men ingen ved, om det virker. 73% som tester finder mangler.
Planen refererer til systemer, der ikke længere findes, eller mangler nye kritiske systemer.
DR-plan findes, men ingen forretningskontinuitetsplan. IT kan gendanne, men virksomheden ved ikke, hvad de skal gøre.
Teknologien fungerer, men ingen ved, hvordan man kommunikerer med kunder, medier, myndigheder.
Kritiske afhængigheder af nøglepersoner, enkelte systemer eller leverandører.
Backups tages, men ingen har testet at gendanne. "Schrödingers backup."
Tjekliste for resiliens
Identificering:
- Kritiske forretningsprocesser identificeret
- Kritiske systemer kortlagt
- Afhængigheder dokumenteret
- RTO og RPO defineret
Teknisk kapacitet:
- Backup-strategi implementeret
- Gendannelse testet og verificeret
- Redundans for kritiske systemer
- Failover-mekanismer på plads
Planer og processer:
- Forretningskontinuitetsplan dokumenteret
- DR-plan dokumenteret
- Hændelseshåndteringsplan dokumenteret
- Krisekommunikationsplan dokumenteret
Test og øvelse:
- Tabletop-øvelse gennemført seneste kvartal
- Teknisk DR-test gennemført seneste halvår
- Fuldskala-øvelse gennemført seneste år
- Læring dokumenteret og planer opdateret
Sådan kan Securapilot hjælpe
Securapilot understøtter organisationens resiliensarbejde:
- Forretningskontinuitet — Dokumenter og håndter BCP
- Hændelseshåndtering — Struktureret håndtering og rapportering
- Risikohåndtering — Identificer trusler mod resiliens
- Dokumentation — Planer og procedurer på ét sted
- Opfølgning — Spor øvelser og forbedringsforanstaltninger
Book en demo og se, hvordan vi kan understøtte jeres resilienskapacitet.
Ofte stillede spørgsmål
Hvad er forskellen mellem resiliens og backup?
Backup er en teknisk foranstaltning til at gendanne data. Resiliens er organisationens evne til at fortsætte med at fungere trods forstyrrelser. Backup er en del af resiliens, men langt fra alt.
Hvordan hænger resiliens sammen med NIS2?
NIS2 Artikel 21 kræver eksplicit forretningskontinuitet og krisehåndtering. Organisationer skal kunne opretholde eller genoprette kritiske tjenester ved forstyrrelser.
Hvor ofte skal vi teste vores resiliens?
Mindst årligt for overordnet forretningskontinuitet. Backup-gendannelse og teknisk DR oftere. Hændelsesøvelser 1-2 gange om året. Tabletop-øvelser kan gennemføres kvartalsvis.
Hvad er RTO og RPO?
RTO (Recovery Time Objective) er maksimal acceptabel tid for at genoprette en tjeneste. RPO (Recovery Point Objective) er maksimal acceptabel datatab, målt i tid. Eksempel: RTO 4 timer, RPO 1 time.
