Hur förbereder man sig och gör sig redo för om en störning, haveri eller att en attack inträffar – för det är inte frågan om, utan när?
Se till att ha en plan för att säkerställa att ni kan komma tillbaka och låta er verksamhet arbeta vidare. Just detta har vi på INVOLVUS arbetat med tillsammans med en kund under en tid. Läs mer om hur vi vägledde dem genom detta arbete.
”Det började med en vunnen upphandling – ja, för mig och INVOLVUS, men för kunden började det så klart med ett behov, ett behov av att utvecklas och att lära sig mer om hur man ska navigera i en osäker värld” , berättar Markus Wikhav på INVOLVUS.
Genom TEK, Högskolan i Halmstad och Region Halland så fick vi på INVOLVUS uppdraget genom projektet Skills Halland (ett EU-finansierat projekt) att utbilda medarbetare på National i IT-säkerhet. Arbetet leddes av Markus Wikhav genom en mix av föreläsningar, övningar, hemläxor och samt säkerställande av att vi rörde oss framåt i säkerhetsarbetet. Målet var att lämna bolaget att känna sig trygga i att kunna ta ansvar för det fortsatta arbete på egen hand.
Så här i efterhand kan jag konstatera att bolaget är trygga och vet vad de ska göra samt har förutsättningarna för att fortsätta med detta på egen hand. Jag kan nu vara lugn och ta steget ut genom dörren och vet att National löser detta.”
Markus Wikhav
Så från att påbörjat IT-säkerhetsresan, där en tydlig osäkerhet infann sig, så har jag nu känslan av att lämnat företaget mer trygga i sitt arbete och vet var de ska. Jag har kunnat förse dem med en del verktyg och kunskap som kommer ta dem längre än vad som var möjligt innan denna utbildningsserie började.
FÖRÄNDRINGSRESA
Vad var det då vi gjorde som ledde dem vidare i denna förändringsresa och kunde säkerställa att de kunde skapa framgång?
Vi genomförde ett strukturerat förändringsledningspaket beskrivet i 6 punkter:
1. Utbildning
2. Träna
3. Dialog och struktur (planera)
4. Implementera (göra)
5. Följa upp (kontrollera)
6. Ständiga förbättringar (agera)
1. UTBILDNING
Här såg vi till att alla deltagare fick övergripande kunskap på alla områden, men även lite mer på djupet på vissa delar. Vi hade också workshops och dialoger kring olika händelser som kan inträffa, ex. attack av ransomware.
Utbildningen bestod av följande 7 sessioner:
1. Informationssäkerhet
2. Cybersäkerhet
3. Säkerhetsmedvetenhet
4. Säkerhetsanalys
5. Säkerhetsrutiner & processer
6. Krisberedskap
7. Uppföljning och återblick på tidigare sessioner
2. TRÄNA
Vid varje utbildningstillfälle fick deltagarna öva på olika scenarion. De fick också olika uppgifter att läsa in eller öva på emellan de olika tillfällena. Genom denna träning kom nya insikter fram både vad som krävdes i processen, men också olika åtgärder som behövde tas om hand för att säkerställa en ännu bättre hantering.
3. DIALOG OCH STRUKTUR
Mycket tid avsattes för dialog och att skapa struktur för att kunna ta hand om eventuella händelser. De fick i uppgift att tillsammans diskutera, ta fram och testa en beredskapsplan, kontinuitetsplan och återställningsplan.
4. IMPLEMENTERA
Deltagarna tränade och diskuterade en hel del, men det hela blir ju så att säga ogjort arbete om vi inte också implementerar och ser till att det används. Så en del av hemläxan var själva införandet av de olika planerna.
5. FÖLJA UPP
Vid varje tillfälle följde vi upp tidigare tillfälle samt vad de jobbat med emellan de olika tillfällena. Vi vill även säkerställa att uppföljning är en del i kontinuitetsarbetet och i alla delar i verksamheten.
6. STÄNDIGA FÖRBÄTTRINGAR
För att inte stanna i utvecklingen förde vi dialog om vad som krävs för att skapa framdrift. Det blev dialoger som handlade om organisationens förutsättningar, olika processer, möten och forum och olika uppföljningar, så som exempelvis ledningens genomgång. Vi vill säkerställa att säkerhetsarbetet implementeras som en del av det ordinarie ledningssystemet och blir en naturlig del i allas vardag, snarare än något som hanteras vid sidan om. Vi ville också säkerställa att alla har ett ansvar i säkerhetsarbetet samt att rapportering och implementering av åtgärder sker kontinuerligt.
UTBILDNINGEN INNEHÅLL
Så vad var det då vi gick igenom som höjde mognadsgraden och kunskapsnivån inom säkerhetsområdet hos National?
Jo, genom de olika tillfällena fick de kunskaper kring olika hotbilder. De fick större insikt i olika metoder som hackers använder sig av för att störa verksamheten, komma åt information eller få ekonomisk vinning genom detta. Även olika krav från olika lagar och regelverk samt vikten av att genomföra en riskanalys, inte bara idag utan kontinuerligt eftersom krav, risker och hot förändras över tid.
Vi diskuterade varför det kan vara avgörande att ta fram en beredskapsplan, kontinuitetsplan och en återställningsplan. Att det är några bra första steg mot att vara förberedd för en eventuell störning för att säkerställa att verksamheten inte helt går omkull.
För att stärka arbetet runt området så finns det bra metodstöd att ta hjälp av, exempelvis genom MSB. Det finns också ramverk, så som ISO och NIS2, som finns som krav för vissa verksamheter, men som även kan vara ett bra stöd i säkerhetsarbetet för alla verksamheter.
VAR BÖRJAR VI?
Var börjar man då? En bra start är att man bör inventera sina informationstillgångar och skapa en medvetenhet om vad som är kritiskt i ens verksamhet. Genom detta kan man börja tydligöra vad som krävs för att implementera relevanta skyddsmekanismer, både tekniska och genom de processer vi arbetar i.
Även nedanstående frågeställningar är en bra start för att komma igång.
1. Genomför en riskanalys för att få en tydlig bild över nuläget. En riskanalys ger ett stöd i att ta fram de olika planerna, så att man sätter in rätt och relevanta åtgärder samt har processer som säkerställer en återgång efter en störning eller har en plan B och kan hantera en temporär process under en period.
2. Allt börjar hos ledningen, tar inte de ansvaret för detta så kommer allt att fallera. Men se sedan också till att bryta ner olika frågeställningar och delegera ut ansvar i organisationen. I slutändan har vi alla ett ansvar på individnivå för att säkerställa att vi agerar rätt i olika situationer. Här är utbildning inom säkerhetsmedvetenhet en viktig komponent för att höja mognaden och se till att organisationen inte har någon svag länk.
3. Ta fram en beredskapsplan, skapa ett koncept kring ständiga förbättringar som hjälper er att underhålla och utveckla en koninuitetsplan samt se till att det finns en plan för att komma tillbaka från en störning i form av en återställningsplan.
4. Se till att inventera era informationstillgångar och vidta åtgärder runt de som är kritiska för att er verksamhet ska fungera.
En viktig aspekt är också att genom att ha en plan, byggt upp hållbara processer, god kommunikation, implementerat skyddsåtgärder så skapar man konkurrenskraft och genom det vårdar sitt varumärke.
Förutom ovanstående kan ett utomstående öga ge andra perspektiv och se saker som man själv inte tänker på i sin verksamhet. Genom en extern konsult kan ni få vägledning och genom INVOLVUS kan ni dessutom luta er mot ett digitalt verktyg med ett gediget frågebatteri där ni kan följa er utveckling från analys, till att skapa en plan med aktiviteter. Ni kan i verktyget även tilldela ansvarig och sätta deadline samt följa upp status på de olika aktiviteterna.
Efter utbildningen genomfördes en utvärdering för att följa upp förväntningarna och deras förändringsresa.
” Stort tack för ett engagerat och proffsigt sätt att hjälpa oss ta oss an dessa frågor. Bra och genomtänkt upplägg och väldigt nyttigt för oss att strukturerat få jobba med frågorna. Nu ska vi bara se till att få detta att rulla på – samtidigt som vi ska hinna med allt annat. Det blir vår nästa utmaning.”
Jennie Rössel, HR-chef National
” Bra coachat i det uppdrag ni genomfört. Tycker ert upplägg hade en bra mix mellan utbildning, övningar, hemläxor och säkerställande av att vi rört oss framåt i datasäkerhetsarbetet. Ett plus också för mycket snygga presentationer! ”
Daniel Cervin, Quality & Environmental Manager National
” Tack för denna resa som gjort oss mer medvetna och börjat ta steg mot en säkrare och robustare IT- miljö.”
Zakarias Gagner, Technical Manager National
VÅR REKOMMENDATION
Vår rekommendation är att styrelser och ledningsgrupper utbildar sig på området och också ser till att hela organisationen får utbildning – alla ska med! Att ta hjälp eller samarbeta med andra är också en viktig del – kroka arm för att utveckla och stärka varandra!
Jag vill också skicka med att det är viktigt att träna ofta – avsätt tid när kontinuerligt för att göra detta. Precis som vi tränar andra saker i livet för att lära oss, utvecklas och bli riktigt bra på något, så krävs detsamma inom planarbetet och att hantera säkerhetsmekanismer. Vi behöver testa funktionalitet, vi behöver testa våra processer och vi behöver testa vår egen kunskap. Träna, träna, träna!
Varmt välkommen att höra av Er!