Tre ting du bör tänka på innan en incident

av Jesper Erbs, säkerhetskonsult på Conscia

Incidentberedskap

Vad händer om IT-larmknappen trycks in? Vet personalen vad de ska göra vid en incident? Vet dina medarbetare utanför IT-organisationen vad de ska göra enligt beredskapsplan?

Jag tillbringade nyligen ett par dagar på sjukhuset medan min fru och nyfödda son återhämtade sig från ett kejsarsnitt.

Under vår vistelse ägnade jag lite tid åt att leta efter indikationer på att sjukhuset var berett på krissituationer. Jag märkte att det fanns en larmknapp i varje rum, och vid en tidpunkt, när vi hade en sjuksköterska i vårt rum, utlöstes larmet. Sjuksköterskan sade helt lugnt ”Jag kommer tillbaka”, sedan stod hon upp och lämnade tyst vårt rum. När dörren stängdes kunde jag höra henne springa mot källan till larmet.

Larmknapp inför en incident beredskapsplan
Som IT-proffs kunde jag inte låta bli att reflektera över likheterna mellan hantering av en medicinsk incident och en IT-incident. Den första frågan som slår mig är; vad händer i din IT-organisation när en kritisk IT-incident inträffar? Har du en larmknapp?

Om svaret på ovanstående är ja, har du någonsin testat den (… er beredskapsplan)? Vad händer om IT-larmknappen trycks in? Vet IT-personalen vad de ska göra? Vet dina medarbetare utanför IT-organisationen vad de ska göra?

Få ut din beredskapsplan och testa den! För de flesta IT-organisationer, små eller stora är detta ett stimulerande undantag från den vanliga dagliga projekten och underhållet. Om du inte har en beredskapsplan för en händelse, en incident eller i värsta fall en katastrof, skapa en eller be en partner att hjälpa dig ta fram en som passar din verksamhet.

Du kanske funderar på hur vi övar för en ny typ av attack? Eller en oväntad händelse?

Börja med att ta reda på vad du ska göra i händelse av en incident. Sjuksköterskan i vårt rum visste inte om hon sprang mot en hjärtattack eller ett barn som tryckte på larmknappen av misstag. Hon visste exakt vad hon skulle göra när larmet gick; Hon var tvungen att springa mot larmet, och hon visste vilken redskap hon skulle använda om det faktiskt skulle röra sig om en hjärtattack.

Här är några exempel för att komma igång:

  • Var möts ni om en incident inträffat? I ett mötesrum eller i ett online-möte?
  • Vem arrangerar mötet, och vad händer om personen som arrangerar mötet inte är tillgänglig?
  • Vem ska träffas? Är det samma personer för olika IT-system?
  • Vilka ledare / beslutsfattare behöver du i rummet? Har du befogenhet att stänga ett helt kontor med till exempel 100 arbetare? Eller har du CXO på kortnummer?
  • Har du system, där du är beroende av externa medarbetare? Finns det en SLA för att ta in dem?

När du har testat er respons till incidenten, tänk över vad som gick rätt, vad som kan förbättras och uppdatera beredskapsplan Vid en kritisk incident, som en hjärtattack, räknas varje sekund. Be de inblandade att också lämna feedback. Vad kunde ha förbättrat reaktionen på incidenten? National Institute of Standards and Technology (NIST) har ett dokument med en checklista här (punkt 3.5) som kan vara en utgångspunkt.

Men viktigast av allt, börja med att överväga:

1) Har vi en IT-larmknapp? Och om vi gör det, vad händer om någon trycker på knappen?

2) Vet rätt människor vad de ska göra?

3) Vet våra medarbetare, var knappen är, eller är den gömd i intranätets mörkaste hörn – tillsammans med er beredskapsplan?

Hör gärna av dig till mig eller någon av mina kollegor om du vill få hjälpa att agera före, snarare än efter, en incident ägt rum. IDG har även skrivit lite om svenska myndigheters beredskap här.

Kontakta oss!
Svar inom 24h