Sikkerhedshændelser er uundgåelige, men man kan minimere besværet ved at forberede sig i tide, skriver Shehzad Ahmad i denne klumme fra Computerworld.
Shehzad Ahmad, UNI•C, der er chef for det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Hvad gør du, når din virksomhed bliver ramt af et hackerangreb eller et virusudbrud?
Jeg skriver med vilje ikke "hvis," men "når." For sandsynligheden taler for, at også din virksomhed en dag oplever en sikkerhedshændelse.
Det kan være et hackerangreb, infektion af skadelig software, nedbrud af et kritisk system eller noget helt fjerde.
Hvad betyder det for din virksomheds drift, hvis jeres it er utilgængeligt i en time? I en dag? I en uge?
Hvad medfører det, hvis fortrolige oplysninger om produkter og kunder kommer i hackeres hænder? Tendensen inden for it-kriminalitet går imod, at stadig flere angreb er målrettede og ondsindede: Forbryderne ved, hvad de vil have fat i, og de tilpasser deres angreb til offeret.
Uanset truslens karakter er en ting sikker: Det er bedst at være forberedt, før det går galt.
Til det formål foreslår jeg, at I udarbejder en beredskabsplan. Hvis I allerede har en, skal I holde den opdateret.
En madopskrift
Den gode beredskabsplan er som en madopskrift. Den fortæller, hvad man skal gøre i hvilken rækkefølge.
Typisk kommer planen i spil, når nogen opdager en sikkerhedshændelse. Hvis de vurderer, at den ikke kan håndteres af de daglige driftsrutiner, eller hvis konsekvenserne er uoverskuelige, begynder man at følge planen.
Så længe man følger beredskabsplanen, er de normale kommandoveje sat ud af kraft. I stedet bestemmer beredskabsledelsen – så vidt muligt ud fra de retningslinjer, der står i planen.
Derfor er det vigtigt at få en god blanding af praktikere og generalister med: Man skal både have det store overblik over organisationens it-systemer og detailkendskab til de vigtigste systemer.
Fungerer beredskabet?
Som led i arbejdet med at skrive beredskabsplanen skal man sikre, at beredskabet er i stand til at løfte opgaven.
Hvad vil du gøre, hvis alle jeres pc'er rammes på samme tid af en virus?
Hvis I har tre pc'er, kan I måske klare jer med en gendannelses-cd. Men har I hundrede, skal der mere potente værktøjer til.
Husk batterier
Mange beredskabsplaner overser, at de skal virke i en undtagelsessituation.
For eksempel kan man ikke tage det for givet, at virksomheden har en fungerende internetforbindelse, eller at telefonsystemet virker. Måske er der slet ingen strøm.
Så tænk lavpraktisk: Beredskabsplanen skal ikke kun ligge på en server, den skal også findes på papir og være nem at få fat i, når uheldet er ude. Husk lommelygter og batterier, hvis I vil undgå at sætte lamper til nødstrømsanlægget.
En anden almindelig fejl er, at man overser væsentlige it-aktiver, der skal beskyttes. De fleste virksomheder har styr på backup af kernesystemer såsom økonomisystemet og mail-serveren.
Men hvad med de mange andre systemer, der efterhånden er blevet udviklet? Bliver der taget backup af dem – og af de databaser, de anvender?
På den måde kan opgaven med at udarbejde beredskabsplanen føre til, at man tager andre it-beslutninger op til revision.
Jeg kender en organisation, der undervejs i arbejdet blev opmærksom på, at alle teknikere havde adgang på administratorniveau til alle firmaets servere. Det lavede de om – ikke som en del af beredskabsplanen, men som en følge af arbejdet med at skrive den.
Tænk kommunikationen ind
Kommunikation er et vigtigt led i beredskabsplanen. Hvem skal informeres hvornår?
Det siger sig selv, at man i første omgang skal informere dem, der er direkte berørt – det vil sige it-folkene og brugerne af systemerne.
Ledelsen skal også informeres hurtigt. Mere vanskeligt er det med kunder og samarbejdspartnere. Hvornår skal de have besked, og hvor meget skal man fortælle?
Test og opdater
Alt for mange beredskabsplaner ender i et ringbind, hvor de bliver forældet, uden nogen opdager det. Der er to midler til at undgå den situation: Test og vedligeholdelse.
En beredskabsplan skal testes mindst en gang om året. De fleste nøjes med en papirtest, hvor man løber procedurerne igennem.
Men jeg vil anbefale, at I går videre end det. Selvfølgelig kan de færreste organisationer leve med, at man sætter deres systemer ud af drift. Men selv et simuleret angreb med nedetid i et par timer kan gøre underværker for forståelsen af, hvor vigtigt beredskabet er.
Efter testen ser I på, hvor godt planen svarede til virkeligheden. Skriv de manglende ting ind i planen.
Oprindelig offentliggjort i avisen Computerworld og på Computerworld Online den 27. april 2012
LINKS
Drejebog til udarbejdelse af beredskabsplaner, udarbejdet for Københavns Universitet (PDF-format)
Word-skabelon til beredskabsplan fra Københavns Universitet (Word-format)
Denne klumme på Computerworld Online