Fra prevensjon til resiliens
Cybersikkerhet har lenge fokusert på å forhindre hendelser. Men virkeligheten er at hendelser kommer til å inntreffe — spørsmålet er hvor godt dere kan håndtere dem.
Operasjonell resiliens handler om å bygge organisasjonens evne til å absorbere forstyrrelser, tilpasse seg og fortsette å levere. Det er et paradigmeskifte fra “det skjer ikke oss” til “når det skjer, er vi klare”.
Grunnspørsmålet: Hvis deres viktigste system går ned i morgen — hvor raskt kan dere gjenopprette? Og vet dere sikkert, eller tror dere bare?
Resiliensens fire pilarer
1. Forretningskontinuitet (BCP) Planer for å opprettholde kritiske forretningsprosesser ved forstyrrelser. Hva er kritisk? Hvordan fortsetter vi hvis X ikke fungerer?
2. Disaster Recovery (DR) Tekniske planer for å gjenopprette IT-systemer og data. Backup, redundans, gjenopprettingsprosedyrer.
3. Hendelseshåndtering Prosesser for å oppdage, håndtere og lære av sikkerhetshendelser. Roller, eskalering, kommunikasjon.
4. Krisekommunikasjon Hvordan kommuniserer vi internt og eksternt ved en krise? Hvem sier hva til hvem?
NIS2-krav til resiliens
Digitalsikkerhetsloven (NIS2) Artikkel 21.2c krever forretningskontinuitet og krisehåndtering, inkludert backup og disaster recovery.
Artikkel 21.2b krever håndtering av sikkerhetshendelser, inkludert 24-timers rapportering til NSM.
Implisitt krav om at planer skal fungere i praksis. Prosesser som ikke testes er upålitelige.
Tiltakene skal være proporsjonale mot risikoen. Kritiske systemer krever mer robust resiliens.
Bygg resiliens steg-for-steg
- Identifiser kritiske prosesser og systemer Hva må fungere for at virksomheten skal overleve? Kartlegg avhengigheter. Prioriter basert på forretningspåvirkning ved bortfall.
- Definer RTO og RPO Hvor raskt må hver kritiske prosess/system gjenopprettes (RTO)? Hvor mye datatap aksepteres (RPO)? Disse styrer utformingen av løsninger.
- Implementer teknisk kapasitet Backup, replikering, redundans, failover. Sikre at teknologien kan levere mot RTO/RPO. Dokumenter gjenopprettingsprosedyrer.
- Lag planer og prosedyrer Forretningskontinuitetsplan, DR-plan, hendelsesplan, krisekommunikasjonsplan. Tydelige roller, ansvar og eskaleringsveier.
- Test og øv Planer som ikke testes fungerer sjelden. Gjennomfør øvelser: tabletop, tekniske tester, fullskala simuleringer. Lær av resultatene.
- Forbedre kontinuerlig Oppdater planer basert på lærdommer, endringer i virksomheten og nye trusler. Resiliens er en prosess, ikke et prosjekt.
Øvelsestyper
| Type | Beskrivelse | Frekvens |
|---|---|---|
| Tabletop | Diskusjonsøvelse uten teknisk aktivering. “Hva gjør vi hvis X skjer?” | Kvartalsvis |
| Walkthrough | Steg-for-steg gjennomgang av prosedyrer. Identifiser hull. | Halvårlig |
| Funksjonell | Test spesifikk kapasitet, f.eks. backup-gjenoppretting | Månedlig |
| Fullskala | Simuler virkelig hendelse. Aktiver alle prosesser. | Årlig |
Vanlige mangler
Dokumentet finnes, men ingen vet om det fungerer. 73% som tester finner mangler.
Planen refererer til systemer som ikke lenger finnes, eller mangler nye kritiske systemer.
DR-plan finnes, men ingen forretningskontinuitetsplan. IT kan gjenopprette, men virksomheten vet ikke hva de skal gjøre.
Teknologien fungerer, men ingen vet hvordan man kommuniserer med kunder, media, NSM eller Datatilsynet.
Kritiske avhengigheter av nøkkelpersoner, enkeltssystemer eller leverandører.
Backuper tas, men ingen har testet å gjenopprette. "Schrödingers backup."
Sjekkliste for resiliens
Identifisering:
- Kritiske forretningsprosesser identifisert
- Kritiske systemer kartlagt
- Avhengigheter dokumentert
- RTO og RPO definert
Teknisk kapasitet:
- Backup-strategi implementert
- Gjenoppretting testet og verifisert
- Redundans for kritiske systemer
- Failover-mekanismer på plass
Planer og prosesser:
- Forretningskontinuitetsplan dokumentert
- DR-plan dokumentert
- Hendelseshåndteringsplan dokumentert
- Krisekommunikasjonsplan dokumentert
Test og øving:
- Tabletop-øvelse gjennomført siste kvartal
- Teknisk DR-test gjennomført siste halvår
- Fullskala øvelse gjennomført siste år
- Lærdommer dokumentert og planer oppdatert
Slik kan Securapilot hjelpe
Securapilot støtter organisasjonens resiliensarbeid:
- Forretningskontinuitet — Dokumenter og håndter BCP
- Hendelseshåndtering — Strukturert håndtering og rapportering
- Risikohåndtering — Identifiser trusler mot resiliens
- Dokumentasjon — Planer og prosedyrer på ett sted
- Oppfølging — Spor øvelser og forbedringstiltak
Book en demo og se hvordan vi kan støtte deres resilienskapasitet.
Ofte stilte spørsmål
Hva er forskjellen mellom resiliens og backup?
Backup er et teknisk tiltak for å gjenopprette data. Resiliens er organisasjonens evne til å fortsette å fungere til tross for forstyrrelser. Backup er en del av resiliens, men langt fra alt.
Hvordan henger resiliens sammen med NIS2?
Digitalsikkerhetsloven (NIS2) Artikkel 21 krever eksplisitt forretningskontinuitet og krisehåndtering. Organisasjoner skal kunne opprettholde eller gjenopprette kritiske tjenester ved forstyrrelser.
Hvor ofte skal vi teste vår resiliens?
Minimum årlig for overordnet forretningskontinuitet. Backup-gjenoppretting og teknisk DR oftere. Hendelsesøvelser 1-2 ganger per år. Tabletop-øvelser kan gjøres kvartalsvis.
Hva er RTO og RPO?
RTO (Recovery Time Objective) er maksimal akseptabel tid for å gjenopprette en tjeneste. RPO (Recovery Point Objective) er maksimal akseptabel datatap, målt i tid. Eksempel: RTO 4 timer, RPO 1 time.
