Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Hånden på hjertet: Hvor længe er det siden, I havde jeres beredskabsplan mod cyberangreb oppe af skuffen?
Hvornår vurderede I sidst, om det er de rigtige personer, der er med i planen? Om rollefordelingen er optimal? Eller bare om alle telefonnumre stadig er de rigtige?
Mange beredskabsplaner får lov at blive i skuffen i alt for lang tid ad gangen.
I værste fald ved deltagerne måske kun, at de har en rolle, men har aldrig øvet sig i den, og den dag angrebet rammer, er det for sent.
Det føles trygt at have planen, men sandsynligheden for, at den virker som forventet, er meget lille.
Adrenalin ind – rationel tankegang ud
Først og fremmest bør man være bevidst om, at der er enorm stor forskel på at lægge en plan i fredstid og udføre den under stort pres.
Hvis et udspekuleret cyberangreb lammer forretningen, så går stressbarometeret fra 0 til 100 på ingen tid – spørg bare Vestas eller Mærsk.
Når stresshormonerne suser rundt i kroppen, falder vores evne til at løse komplekse opgaver. Vi bliver andre mennesker på en måde, der kan være svær at forstå, hvis man ikke har prøvet det.
I denne sammenhæng kan det medføre, at vores tolkning af problemer bliver stærkt påvirket. Vi kan for eksempel let komme til at løse forkerte problemer, hvis det er dem, vi får øje på først.
Derfor er gode beredskabsplaner især kendetegnet ved to ting: Den ene er, at de er enkle. Alle deltagere bør kender deres rolle, og den skal kunne beskrives på en halv A4-side.
Den bør ikke bestå af mere end fire-fem delopgaver. Det er det antal, vi realistisk set kan overskue under høj stress.
Øvelse gør mester
Det andet, der kendetegner en god beredskabsplan, er, at den bliver øvet – mange gange.
Selv har jeg deltaget i et utal af sikkerhedsøvelser, og jeg har stadig til gode at opleve en, som ikke førte ændringer af beredskabet med sig.
Der bliver ofte snakket om at "teste beredskabet". Men det er ikke en test, som man enten består eller dumper. Se i stedet øvelser som en helt naturlig del af beredskabet. Jo mere I øver, jo bedre bliver I.
Ja, øvelser tager tid, men at bruge det som argument mod at udføre dem, svarer til, at man ikke vil bruge penge på en forsikring, fordi man aldrig har haft brug for en. Det er ikke spild af tid.
I får en stor værdi ud af det: En langt bedre evne til at begrænse skaderne af cyberangreb.
Måske øvelserne viser, at en anden i gruppen faktisk er bedre til at lede under pres. Eller måske at en bestemt rolle er blevet tildelt for mange opgaver, der simpelthen ikke er tid til at løse, når det kommer til stykket.
Skjulte flaskehalse er klassiske fejl, og de er svære at opdage uden øvelser.
Tro mig: Hvis I aldrig har øvet jeres beredskabsplan, har den masser af svagheder. Det er ikke en opgave, der kan afsluttes og bindes sløjfe på. Det skal øves mindst en gang om året og helst oftere.
I en travl hverdag med fokus på drift vil nogle sikkert opfatte det som en høj frekvens – men hvad er alternativet?
Et godt råd: For mange virksomheder kan det være en fordel at lægge øvelserne ind i et årshjul på mindre forstyrrende tidspunkter.
Det giver en bedre rytme og typisk også mulighed for at øve oftere, fordi alle får bedre mulighed for at planlægge deres deltagelse.
I kan også vælge at øve dele af beredskabet i løbet af året. For eksempel hvordan I kommunikerer via den/de kanaler, I har tænkt jer at bruge i en skarp situation.
Sørg for frihed til at improvisere
Det er også vigtigt, at jeres beredskabsplan ikke bliver for rigid.
Det er rart at have en følelse af kontrol – og det er jo netop det, en beredskabsplan er til for: At sikre I rent faktisk kontrollerer de ting, I kan kontrollere under et angreb.
Planen skal sætte rammerne for koordinering af jeres forsvar, men der skal også være plads til at reagere på uforudsete faktorer.
For problemet er altid, at graden af kontrol ikke kan forudsiges med sikkerhed – hvad er det for systemer, der er påvirket, hvad er det hackerne har krypteret, stjålet eller ødelagt? Derfor nytter det ikke at se beredskabet som et slags manuskript.
Der skal være plads til improvisering, og – meget vigtigt – så skal beredskabets leder have fuldt mandat til at aktivere det efter behov.
Hellere en gang for meget end en gang for lidt, og hvis vedkommende frygter negative konsekvenser, kan det let føre til at tøve for længe.
Opsummering: Se ikke jeres beredskabsplan som en opgave, der kan afsluttes og lægges i skuffen. En god beredskabsplan bliver øvet jævnligt. Minimum en gang om året – og helst til der ikke er behov for at øve den mere.
Hvis I sammensætter den rigtige beredskabsgruppe, og I øver beredskabet mindst en gang om året og gerne flere, så bliver jeres chancer for at begrænse skaderne af cyberangreb markant bedre, end hvis planen ligger og samler støv, indtil det bliver jeres tur til at komme i ilden – for det gør det en dag.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.