it-beredskab og beredskabstestaf interesse, og gør det ikke ud for professionel rådgivning. du...
TRANSCRIPT
Revision. Skat. Rådgivning.
It-beredskab og beredskabstest
WorkshopMarts 2018
www.pwc.dk
PwC
Agenda
• Introduktion til it-beredskab v/PwC
• Præsentation af oplægsholdere PwC og Assens kommunes
• At sætte scenen
• Præsentation af beredskabet
• Præsentation af test af beredskabet
• Case: at arbejde med beredskabet
2
marts 2018It-beredskab og beredskabstest
PwC
At sætte scenen- det aktuelle trusselsbillede set i relation til forretningsnødplaner og it-beredskab
3
marts 2018It-beredskab og beredskabstest
PwC
Situationen i dag: Cyberangreb er blevet forsidestof
Det aktuelle trusselsbillede
4
marts 2018It-beredskab og beredskabstest
PwC
Aktivering af forretnings- og it-beredskab- Hvad kan udløse en krise?
• Brand, eksplosion, vand, tekniske fejl mv. • Forsyningssikkerhed fx Strømsvigt• Sabotage og hærværk eller indbrud
Fysisk sikkerhed
• Uautoriseret adgang til systemer og programmer• Uautoriseret opdatering af software/applikationer
Adgangsstyring
• Udviklingsændring er ikke tilstrækkeligt testet• Krav og test i udviklingsprocessen er ikke en styret
proces
Udvikling, anskaffelse og drift
• Et hacker-angreb hos en leverandøre• Utilstrækkelig styring af roller og ansvar og
samarbejdeLeverandørstyring
5
marts 2018It-beredskab og beredskabstest
PwC
Praktisk forretnings- og it-beredskab
• Hvad bør en beredskabsplan indeholde?
• Hvordan sikres en styret proces i beredskabssituationen?
6
marts 2018It-beredskab og beredskabstest
PwC
Formål med et it-beredskab
At minimere forretningsmæssige konsekvenser
• Før en krise at have en styret proces fx
• Kriterier for hvornår en hændelse er en krise
• Danne sig et overblik og beslutningsgrundlag i krisesituationen
• Fastsætte styringsaktiviteter – tidsplaner og arbejdsprocesser
• Under krisen at have rammer for styring – vi ved hvad vi skal gøre!
• Kommunikationsplan og styring
• Har en log over beslutninger og visuel tidsstyring
• Efter krisen
• Erfaringsopsamling og grundlag til forbedringer
7
marts 2018It-beredskab og beredskabstest
PwC
IT-beredskab
Gennemgang af it-beredskabsplan
Indledning
Beredskabsmodel og skabelon
Test af beredskab
Gruppearbejde
8
marts 2018It-beredskab og beredskabstest
PwC
Indledning
• Denne præsentation er en oversigt over hvordan en beredskabsplan bør designes
• En beskrivelse af en beredskabsmodel
• Opbygning er inspireret og bygget efter to ISO standarder (ISO22301 og ISO27031)
• Formålet med præsentationen er overordnet, at beskrive hvad der skal være etableret for at kunne håndtere en krisesituation, herunder grundlaget for kommunikation i en krisesituation
9
marts 2018It-beredskab og beredskabstest
PwC
Beredskabsmodel
10
marts 2018It-beredskab og beredskabstest
PwC
It-beredskabsplanlægning
• It-beredskabet er en struktureret måde at håndtere en krisesituation på
• Det betyder at it-beredskabsplanen skal favne en operationel og fleksibel tilgang til håndtering af en krise, uagtet hvad der har forårsaget krisen
• Beredskabet bør være integreret i organisationen således at de daglige processer, arbejdsrutiner og dokumentation er integreret i beredskabsplanen
Beredskabs-planlægning
Hændelses-håndtering
Forretnings-beredskab
It - beredskab
11
marts 2018It-beredskab og beredskabstest
PwC
Overordnet Beredskabsledelse
Overordnet tilgang til it-beredskab
Forretnings Beredskab
It-Beredskab
FacilityBeredskab
Kommunikations afdeling
ISO27031: Information Kommunikation og Teknologi
beredskab
ISO22301: Ledelsessystem –Videreførelse af
virksomhedsdrift
ISO22301 eller anden facilityspecifik standard*
12
marts 2018It-beredskab og beredskabstest
PwC
Skabelon til it-beredskabsplanlægning- Den operationelle plan
Detect React Recover Run Return
• Hændelsen
opdages.
• Der tages
stilling til
aktivering af
beredskabet
• initial skades-
vurdering
• Detaljeret
skades-
vurdering
• Mobilisering af
genetab-
leringsteam
• Genetab-
lering af it-
systemer
• Prioritering ift.
kritikalitet
• Nøddrift er
etableret og
overvåges
• Stabilisering
af nøddrift
• afblæsning af
krise
13
marts 2018It-beredskab og beredskabstest
PwC
Skabelon til it-beredskabsplanlægning
Definition af en it-krise
• En it-krise er en så alvorlig forstyrrelse at situationen ikke kan håndteres inden for den normale it-drift
• Her skal forretningen beslutte kriterier for hvornår, det er en krise ift. til den maksimale tolerable nedetid (MTD)
It-beredskabsorganisationen
• Skal beskrive hvornår, og under hvilke forhold, beredskabsledelsen etableres
• Hvem deltagere i styregruppen, kriseledelse, sekretariat mv.
• Etablering af kommandocentral og kommunikation
14
marts 2018It-beredskab og beredskabstest
PwC
Skabelon til it-beredskabsplanlægning
Hver af de 5 faser skal indeholde:
• Flow diagram med beslutningstræ
• Aktiviteter og tidsplaner
• Instrukser og rapportering
• Overblik over situationen
• Logbog
Forretningsansvar
• Er selv ansvarlig for at deres egne beredskabsplaner
• Fx etablering af Beredskabskoordinator
Kommunikation
• Oversigt og plan for såvel intern kommunikation som ekstern kommunikation
• Beredskabsledelsen skal sikre at kommunikationen, opretholdes og styres
15
marts 2018It-beredskab og beredskabstest
PwC
Skabelon til it-beredskabsplanlægning
Instrukser - Action card
Der skal udarbejdes instrukser/Action card der beskriver de enkelte aktiviteter i hver fase. Det vedrører fx:
• Vurdering om der er en krise
• Første møde i beredskabsgruppen
• Distribution af roller
• Kommunikation til/fra BU, kunder og leverandører
• Skadesoversigt og detaljeret skadesvurdering
• Løbende vurdering af genetableringsarbejdet
• Afblæsning af krisen
16
marts 2018It-beredskab og beredskabstest
PwC
Test af beredskabet
Citat: Obstacles
are those frightful things you see when youtake your eyes off your goal.
- Henry Ford
17
marts 2018It-beredskab og beredskabstest
PwC
Formål
Realistisk scenarie
kriseledelsen
Samarbejde
Udførsel
1.Træne et realistisk scenarie
2.Teste kriseledelsens evne til at styre situationen
3.Vurdere samarbejdet og informationsstrømme:
4.Vurderes medarbejdernes evne til at følge instrukser og beslutninger
18
marts 2018It-beredskab og beredskabstest
PwC
Formålet
• Træne kriseledelsen i intern/ ekstern kommunikation og prioritering ved it-nedbrud
• Teste sammenhæng i beredskabet
• Teste de praktiske handlemuligheder
• Dokumentere, at der er gennemført test på tværs af væsentlige forretningsområder
Træningstemaet og forbindelsen til formålet- oplysning til deltagere i testen
Baggrund for temaet
• Der er indtruffet en it-hændelse
• Situationen betyder, at kriseledelsen bliver aktiveret
• Det er en simuleret og struktureret gennemgang af kriseledelsen for at påse om beredskabsplanen er anvendelig i praksis
19
marts 2018It-beredskab og beredskabstest
PwC
Øvelsesscenariet – eksempel- Hvad forventes af reaktion?
Forventet reaktion
• Nedbruddet i it-systemerne har introduceret flere fejl og dermed kræves en fokuseret samt prioriteret indsats
• Kriseledelsen forventes at prioritere mellem indsatsområder og skal beslutte sig for relevante aktiviteter og handlinger
• Topledelsen bør inddrages af kriseledelsen, så de løbende er informeret og er inkluderet i at træffe beslutninger
• Kriseledelsen forventes at udvise, at de kan agere og reagere på ændringer i situationen
It-øvelsesscenariet
• Koordineret hackerangreb stopper driften af nøgleinfrastruktur
• De primære leverandører er påvirket og oplever nedbrud, som forstyrrer driften af kernesystemer
• Der er afledte konsekvenser af driftsforstyrrelserne i den ”virkelige” verden med konsekvenser for organisationens medarbejdere
• Alle tre elementer i scenariet er sammenkædet og har indflydelse på hinanden
20
marts 2018It-beredskab og beredskabstest
PwC
Træningsforløbet for kriseledelsen- eksempel
Træningsforløbet skitseret
• Situationen er, at der er alvorlige nedbrud i organisationens systemer (det vil blive angivet hvilke samt de dertilhørende leverandører)
• kriseledelsen skal løbende skabe sig et overblik over situationen
• Der skal igangsættes passende handlinger efter en struktureret metodik. fx hvis der opstår behov for informationer, skal der vurderes hvem der har disse og hvilke områder skal prioriteres
• Træningsforløbet påvirkes ved, at der udleveres supplerende situationsbeskrivelse (ITEM kort)
• ITEM kort beskriver den overordnet situation samt en eller flere detaljerede problemstillinger. Disse behandles af kriseledelsen og afføder nye beslutninger
• Efter nogen tid vil situation blive ”normaliseret” og krisestab kan afblæse beredskabet
• Trænings- og testforløbet afsluttes med en debriefing, hvor vi sammen vil give feedback og opsummere læringspunkter
21
marts 2018It-beredskab og beredskabstest
PwC
Eksempel på ITEM kort
Item 1: Situationsbeskrivelse
Tidligere oplyst til XXXXX
• The Legion of Doom (LoD) har tilsyneladende hacketleverandør XXX og YYYY.
• Centrale systemer er lagt ned
• Beredskabsgruppen er aktiveret
Situationen opdateret
• XXXXX er orienteret og har valgt at indkalde kriseledelsen
• kriseledelsen har nu fået oplyst, at det er lykkedes LoD at nedlægge System ZZZZZ
• Der er ustabil kommunikation mellem XXX, YYYY og Organisationens egen drift. Leverandørerne kan på nuværende tidspunkt ikke oplyse andet end, at de er ramt
• Hvordan vil I nu handle?
22
marts 2018It-beredskab og beredskabstest
PwC
Øvelser
Gruppeopgaver
23
marts 2018It-beredskab og beredskabstest
PwC
Scenarie
• Medarbejderne i Andeby kommune modtager en e-mail omhandlende den årlige kantineundersøgelse. E-mailen indeholder et link, der skal åbnes for at deltage.
• Flere medarbejdere trykker på linket og ligger mærke til, at linket ikke reagerer som forventet. Medarbejderne tænker dog ikke yderligere over dette og fortsætter deres arbejdsopgaver….
• CFO’en Karl oplever tekniske udfordringer med computeren kort efter at have klikket på mailen. Han kan ikke længere få adgang til ledelsessystemerne.
• Efter et par timer står det klart for Karl, at mere end 80% af Andebykommunes kritiske dokumenter og forretningssystemer er utilgængelige.
Hvad gør du?24
marts 2018It-beredskab og beredskabstest
PwC
Plenum debat
1. Hvad ville du gøre i den konkrete situation?
2. Hvilke risici er der forbundet ved ikke, at have en beredskabsplan?
3. Hvilke risici er der ved ikke, at teste beredskabet op imod forretningens eksisterende processer og procedurer mv?
Maks 10 minutter og opsamling
25
marts 2018It-beredskab og beredskabstest
PwC
Scenarie - fortsat
• Efter nogle uger med oprydning efter ransomware-angrebet hos Andebykommune indkalder CFO’en Karl til evaluering af forløbet.
• Karl er overordnet set tilfreds med indsatsen fra it-afdelingen i forhold til genetableringen af de forretningskritiske systemer.
• Det står dog samtidigt klart for Karl, at en række problemstillinger kunne være minimeret og håndteret mere effektivt i forretningen, såfremt man havde været forberedt på en lignende situation.
• Karl ønsker derfor, at der igangsættes et projekt med fokus på at udvikle forretningens evne til at håndtere lignende kritiske situationer.
Hvad gør du?
26
marts 2018It-beredskab og beredskabstest
PwC
Øvelse 1 – hvornår er det en beredskabssituation?
Definer de scenarier som jeres beredskabsplan skal kunne håndtere
1. dvs. skal i kunne håndtere katastrofer, kriser eller hændelser og hvilket detaljeringsniveau?
2. hvilke scenarier i synes jeres beredskabsplan skal kunne dække
- tænk gerne ind hvad I tidligere har oplevet
3. Skal en beredskabsplan være scenarie baseret, hvorfor, hvorfor ikke?
Gruppearbejde
Tid 15. minutter
Plenum fremlæggelse og opsamling
27
marts 2018It-beredskab og beredskabstest
PwC
Øvelse 2 Hvem bør deltage i kriseledelsen?
1. Overvej den mest hensigtsmæssige organisering af beredskabsteamet
2. Er der dubletter til alle positioner
- Er det et problem?
3. Hvilke beslutningstagere bør være repræsenteret?
4. Hvilke roller og eller afdelinger bør være repræsenteret?
Gruppearbejde
Tid 10. minutter
Plenum fremlæggelse og opsamling
28
marts 2018It-beredskab og beredskabstest
PwC
Øvelse 3 - Kommunikation
1. Overvej om der er nogen tilfælde hvor det bliver nødvendigt med ekstern kommunikation
2. Hvem vil skulle håndtere dette, såfremt det bliver nødvendigt?
3. Hvad bør være indeholdt/forberedt i en beredskabsplan for, at sikre en god kommunikation?
Gruppearbejde
Tid 15. minutter
Plenum fremlæggelse og opsamling
29
marts 2018It-beredskab og beredskabstest
PwC
Øvelse 4 Test af beredskabet
Hvordan kan test af beredskab gennemføres:
1. Hvilken form for test er anvendelig og realistisk
1. Skrivebordstest
2. Simuleret test
3. Rigtig test på produktionssystemer
4. Andet?
1. Med hvilken frekvens skal aktiver (forretningsprocesser/it-systemer) testes?
1. En samlet test årligt
2. Periodisk test systemer/forretningsprocessen
3. Andet?
Gruppearbejde
Tid 20. minutter
Plenum fremlæggelse og opsamling
30
marts 2018It-beredskab og beredskabstest
Beredskab skaber vi sammen…
Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være
af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund
af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel
rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad
angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i
det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret
Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen
forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du
eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen,
eller for eventuelle beslutninger truffet på baggrund af publikationen.
© 2018 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder
forbeholdes. I dette dokument refererer “PwC” til PricewaterhouseCoopers Statsautoriseret
Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International
Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed.
Tak for i dag
Claus Bartholin
Senior Manager
Mobil 23639921