Kontinuitetshantering

Transkript

1 Kontinuitetshantering Johan Vestin Senior Risk Control Officer (CM och BC) Nordea Camilla Modig Hill (ISO Lead Implementer) Business Continuity Manager, Folksam

2 Agenda Introduktion till kontinuitetshantering Vad är det och varför är det viktigt? Koppling till risk- och krishantering Kontinuitetshantering i praktiken Organisationsförståelse (BIA/konsekvensanalys) Riskbedömning Kontinuitetsstrategier/planer Uppföljning / övning Bra material och källor

3 Kursmål Kunna genomföra en analys för att identifiera verksamhetens kritiska processer Vara förtrogen med att genomföra en konsekvensanalys och identifiera maxtider för avbrott Kunna genomföra en riskanalys utifrån ett kontinuitetsperspektiv Kunna upprätta en kontinuitetsstrategi och en kontinuitetsplan Ha en förmåga att följa upp och utvärdera kontinuitetsarbetet

4 Kort presentationsrunda Vad har ni för erfarenhet av området och förväntningar på dagen?

5 Introduktion till kontinuitetshantering

6 Definition enligt ISO holistisk ledningsprocess som identifierar potentiella hot mot en organisation och den inverkan på verksamheten som dessa hot skulle kunna medföra om hoten blir verklighet och som ger ett ramverk för att utforma en anpassningsbar organisation med förmåga till en effektiv reaktion som tryggar anseende, varumärke, värdeskapande aktiviteter och de viktigaste intressenternas intressen

7 Förenklad beskrivning (FSPOS) Den process som säkerställer att organisationen kan driva den kritiska verksamheten på en tolerabel nivå oavsett vilka störningar som inträffar Exempel: Kritisk verksamhet är sådan som signifikant bidrar till kärnverksamhetens framgång och fullföljande av våra åtaganden gentemot våra kunder. Detta utgörs i huvudsak av aktiviteter, som om de inte kan utföras, får omedelbara allvarliga eller katastrofala konsekvenser för bolaget. Denna beskrivning för vad som är kritisk verksamhet ska utgöra en utgångspunkt för omfattningen av kontinuitetsarbetet.

8 Varför kontinuitetshantering? Don t plan for everything but plan for anything

9 Viktiga begrepp Förkortning Betyder Förklaring RTO RPO MTPD MAO MBCO BIA recovery time objective (mål för återställningstid) recovery point objective (mål för återställningspunkt eller maximum data loss) maximum tolerable period of disruption (maximalt tolerabel avbrottstid) maximum acceptable outage(maximalt acceptabel avbrottstid) minimum business continuity objective (lägsta kontinuitetsmål) Business impact analysis (konsekvensanalys) tid efter en incident inom vilken det är nödvändigt att en tjänst eller tillhandahållande av en vara återupptas en aktivitet återupptas eller resurser återställs punkt till vilken det är nödvändigt att återställa den information som används av en aktivitet, för att göra det möjligt för aktiviteten att fungera efter återställning tid det skulle ta för en negativ inverkan, som skulle kunna uppkomma som resultat av att inte tillhandhålla vara/tjänst eller utföra en aktivitet, att bli oacceptabel Samma som ovan minsta volym tjänster och/eller varor som är acceptabel för organisationen för att uppfylla dess verksamhetsmål under ett avbrott process för analys av verksamhet och den effekt som ett avbrott skulle kunna ha på verksamheten

10 Förhållandet mellan risk- krisoch kontinuitetshantering Riskhantering Kontinuitetshantering Krishantering

11 Förhållandet mellan risk- kris- och kontinuitetshantering

12 OPERATIV NIVÅ Effekt av kontinuitetshantering Incident 100 % Reducera avbrottstid Reducera initial effekt Före introduktionen av ett program för kontinuitetshantering Efter introduktionen av ett program för kontinuitetshantering TID Källa: ISO22301:2012 BCMS - Requirements

13 Kontinuitetshantering i praktiken

14 Process för kontinuitetshantering Vad är det som alltid måste fungera? Identifiera samhällsviktig verksamhet i Organisations- Förståelse (kritiska processer) Övning, tester, uppdatering Uppföljning / övning Program för BCM Styrande dokument Konsekvensanalys Vad gör vi (aktiviteter)? Hur tidskritiskt är det? Vilka resurser behöver vi? Kritiska beroenden Kontinuitets strategi / planer Riskbedömning Reserv-, återställningsoch återgångsrutiner Vilka händelser kan påverka resursens tillgänglighet?

15 Program för kontinuitetshantering Ramar för arbetet Övergripande syfte Omfattning Mål med implementeringen Hur arbetet ska genomföras och följas upp Organisation Processer Säkerställa ledningens stöd

16 Styrande dokument ISO kap 4 Organisationen ska avgöra vilka externa och interna frågor som är relevanta för dess syfte och som påverkar dess förmåga att nå de avsedda resultaten med sitt ledningssystem för kontinuitet ISO kap 5 (5.2 Ledningens åtagande, 5.3 Policy, 5.4 Befattningar, Ansvar och Befogenheter. ) Styrande regelverk: Fastställer syfte och mål Tydliggör ansvar och roller Fastställer metoder och rutiner Fastställer riskacceptans

17 Roller och ansvar Högsta ledningen: Beslutar om policyn Finansierar programmet Tar det yttersta ansvaret för kontinuitetshanteringen Strategisk Kontinuitetsansvarig: Kompetensstöd avseende kontinuitetshantering Utvecklar program för övning, utbildning och medvetenhet Utvecklar och underhåller mallar och verktyg Hanterar dokumentation Koordinatorer i verksamheten: Taktisk Operativ Utvecklar planer för sina områden Testar och övar sina planer Hög kompetens avseende kontinuitet inom sitt område Källa: FSPOS Vägledning 17

18 Exempel på policy Källa: SS Svensk Vägledning

19 Exempel på policy Källa: SS Svensk Vägledning

20 Fastställ riskacceptans genom kriteriemodellen Kriteriemodellen - riskacceptans anger acceptabel förlust baserat på olika konsekvenskategorier används som ett verktyg i konsekvensanalysen för att ange maximalt acceptabla avbrottstider. Obetydlig Märkbar Allvarlig/ oacceptabel Liv och hälsa Ett avbrott som leder till övergående lindriga obehag Ett avbrott som leder till enstaka svårt skadade och svåra obehag Ett avbrott som leder till enstaka dödsfall och flertal svårt skadade Förtroende Liten skada på anseende Kortvarig skada på anseende Stor skada på anseende, stort negativ massmedialt intresse Leveransförmåga Ingen eller obetydlig påverkan på leveransförmåga Märkbar påverkan på delar av leveransförmåga Mycket allvarlig påverkan där minst 50 % av lev.förmåga påverkas

21 Övning 1) Vilka konsekvenskriterier är relevanta för er verksamhet? 2) Ge exempel på konsekvenser i nivån allvarlig/oacceptabel

22 Identifiering av kritisk verksamhet/ processer genom BIA

23 Business Impact Analys (BIA) BIA:n (konsekvensanalysen/verksamhetsanalysen) är den huvudsakliga metoden för att analysera en verksamhet ur ett kontinuitetsperspektiv. är inte en engångsaktivitet utan måste ses över regelbundet. Kan initialt användas för att tydliggöra omfattningen (scope) av BCM programmet. Tillhandahåller underlag för prioritering av verksamheter (information om vilken verksamhet som är mest kritisk och tidskritisk) Ger information om resurser/beroenden Tips: BIA:n delas med fördel upp i en strategisk BIA och en operativ BIA Strategisk BIA = underlag för prioritering av verksamheter Operativ BIA = mer detaljerad information om resurser och beroenden

24 Business Impact Analys (BIA) ISO kap Organisationen ska upprätta, införa och underhålla en formell och dokumenterad utvärderingsprocess för att bestämma prioriteter, övergripande och detaljerade mål för kontinuitet och återställning. I denna process ska ingå att bedöma verkan av att avbryta verksamhet som stöder organisationens varor och tjänster. Fastställer vilka processer/verksamheter som är mest kritiska och tidskritiska Skapar förståelse för vilka konsekvenser som avbrott kan leda till Ger underlag för att kunna fatta beslut om omfattning av kontinuitetsarbetet samt prioritering av processer/verksamheter. Ger information om vilka resurser som vi är beroende av 24

25 Exempel Strategisk BIA 26

26 Övning Strategisk BIA/Konsekvensanalys Genomför Strategisk BIA på ert företag eller avdelning Dokumentera resultatet i mallen

27 Redovisning

28 Operativ BIA/Konsekvensanalys

29 Operativ BIA/Konsekvensanalys ISO kap Organisationen ska upprätta, införa och underhålla en formell och dokumenterad utvärderingsprocess för att bestämma prioriteter, övergripande och detaljerade mål för kontinuitet och återställning. I denna process ska ingå att bedöma verkan av att avbryta verksamhet som stöder organisationens varor och tjänster. Steg 1 identifierar de aktiviteter som stödjer de kritiska processerna. Steg 2 - identifierar beroenden och vilka interna och externa resurser som behövs Steg 3 identifierar maximalt acceptabla avbrottstider MAO/RTO och RPO. Utgår alltid ifrån worst case scenario 30 Vad gör vi? Vilka resurser behöver vi? Hur långa avbrott är ok?

30 Operativ BIA/Konsekvensanalys steg1: identifiera aktiviteter Vilka aktiviteter stödjer Vattenrening i ytvattenverk 31

31 Operativ BIA/Konsekvensanalys steg 2: identifiera interna och externa resurser 32

32 Genomförande av konsekvensanalys Format Deltagare Tidsåtgång Slutprodukt Konsekvensanalysen utförs med fördel genom en workshop för respektive identifierad kritisk process/verksamhet Som komplement kan intervjuer göras. Dessa riskerar dock ofta att bli tidskrävande och att man förlorar kontrollen över format och detaljgrad. Även enkäter kan användas men då kan i kontrollen över kvaliteten i insamlat underlag riskera att förloras deltagare, viktigt att säkerställa att gruppen inkluderar: Personer som har en övergripande roll och har mandat att fatta beslut Personer med operativ kunskap om aktiviteter och resurser samt vilka konsekvenser det får om resurser är otillgängliga. En till två halvdagar för att rita upp kartan och en till två halvdagar för att sätta tidskraven (beroende på omfattning och komplexitet) En karta som visualiserar den kritiska processens aktiviteter samt beroende till interna och externa resurser Definierade maximalt tolerabla avbrottsperioder för aktiviteter samt mål för återställningstid för resurser Källa: FSPOS Vägledning 33

33 Gruppövning Genomför konsekvensanalys för en av de kritiska verksamheter som ni identifierat. Alternativ: fiktivt exempel-kundtjänst

34 Konsekvensanalys - exempel

35 Kontinuitetshantering verksamhet och it Lagkrav Avtal Kundkrav Styrande regelverk Policy för kontinuitetshantering Verksamhetsprocesser IT-system och tjänster Krav Analys av verksamheten Kontinuitetslösning Kontinuitetsplaner Riktlinje för kontinuitetshantering Kontinuitetslösning Kontinuitetslösning Kontinuitetsplan Återställningsplan

36 Riskbedömning

37 Riskbedömning ISO kap Organisationen ska upprätta, införa och underhålla en formell och dokumenterad process som systematiskt identifierar, analyserar och värderar organisationens risk för avbrott.. Identifiera risker för avbrott i organisationens prioriterade Vad kan verksamhet och i de processer, de system, den information, hända? det arbete, de tillgångar, de outsourcepartners och andra resurser som stöder dem. Systematiskt analysera risk. Värdera vilka avbrottsrelaterade risker som kräver åtgärder. Identifiera åtgärder för att uppfylla kontinuitetsmål och i enlighet med organisationens riskvillighet. 38 Hur allvarligt är det? Vad behöver åtgärdas? Vilka åtgärder behövs?

38 Riskbedömning: Exempel

39 Riskbedömning För respektive identifierad resurs: Vilka händelser kan påverka resursens tillgänglighet? Vilken befintlig redundans finns för att hantera händelserna? Om händelsen skulle inträffa, hur troligt är det att avbrottet blir längre än RTO?

40 Behov av ytterligare kontinuitetslösningar I de fall där befintlig redundans ej är tillräcklig: Beskrivning av ny kontinuitetslösning Ansvarig och deadline för implementering Kommentar om förmåga att möta krav på RTO (efter implementering) 41 Informationsklass: Intern

41 Kontinuitetsstrategi och utveckling av kontinuitetsplaner ISO kap Bestämning och val av strategi ska grundas på resultaten från konsekvensanalys och riskbedömning Organisationen ska upprätta dokumenterade rutiner för att agera på ett avbrott och hur den avser att fortsätta eller återuppta sin verksamhet inom en i förväg bestämd tidsram. Sådana rutiner ska ange kraven på de som kommer att tillämpa dem Återställning Resultatet av genomförd konsekvensanalys och riskbedömning används för att ta fram kontinuitetsplaner för de kritiska processerna I kontinuitetsplanen beskrivs reserv- och återgångsrutiner för identifierade kritiska resurser Åtgärdslistor/Checklistor Vem? Hur? När? Hur kommunicerar vi? Kontaktuppgifter till relevanta personer

42 Kontinuitetsstrategi (lösning) Kontinuitetsstrategi = identifiering och val av alternativa lösningar som behövs för att upprätthålla den kritiska verksamheten. 2 typer av strategier/lösningar: Företagsövergripande (t.ex. distansarbete) Specifika lösningar för den aktuella funktionen/processen

43 Mall för kontinuitetsplan Reserv- och återgångsrutiner för att kunna bedriva prioriterad verksamhet, oavsett vad som hänt Görs t.ex. för områdena Personal Lokaler och utrustning System och teknisk infrastruktur Leverantörer med följande innehåll: Reservrutin plan B Återgångsrutin Hur gör vi när resurser har kommit tillbaka? Återställningsrutin Kontaktuppgifter

44 Kontinuitetsplan - upplägg 45

45 Kontinuitetsplan - exempel på innehåll

46 Granskning, revidering och övning ISO kap Övning och testning: Organisationen ska öva och testa sina rutiner i fråga om kontinuitetshantering för att säkerställa att de är förenliga med organisationens kontinuitetsmål. Löpande utvärdering och förbättring av kontinuitetsarbetet : Regelbundna övningar, tester, incidenter, omvärldsförändringar, organisationsförändringar etc. kan ligga till grund för ev. förändringar. I de interna rutinerna bör det finnas en process för hur regelbundna interna granskningar ska ske och hur granskningar ska tillvaratas Test av lösningar. Övningar för personer.

47 Utbildning/Information Utbildning/information bör ske på olika nivåer i organisationen med olika syften Utbildningen/information ska vara anpassad till den roll som deltagaren kommer att ha i organisationen Ett lyckat kontinuitetshanteringsarbetet är en del av det dagliga arbetet (inte en pappersprodukt) kräver upprepade informations och utbildningsinsatser. Samordnas med fördel med awarenessprogram för säkerhet. 48

48 Exempel på övning för att öka medvetenhet. En tisdagsmorgon när ni kommer till kontoret ser ni att byggnaden är avspärrad. En brand har utbrutit tidigt på morgonen och räddningstjänst har spärrat av hela området. Vad gör ni? Vad är de första aktionerna ni skulle vidta? Fundera på: Är det tydligt vem som gör vad, när och hur? Finns det en uttalad organisation inkl ersättare? Vad känner ni skulle fungera bra och vart finns det brister?

49 Fortsättning exempel på övning På tisdagseftermiddagen får ni veta att det kommer dröja minst en månad innan ni kan använda kontoret pga. omfattande rök- och vattenskador. Servrarna i byggnaden har omfattande skador.

50 Bra material och källor STANDARDER ISO 22301:2012/ISO 22313:2013 SS Svensk vägledning ISO/IEC 27031:2011 ISO/TS 22317:2015 ANNAT STÖD Finansinspektionens föreskrifter och allmänna råd om styrning, riskhantering och kontroll i kreditinstitut (FFFS 2014:1) hantering av operativa risker (FFFS 2014:4) MSBFS 2009:10 om statliga myndigheters Informationssäkerhet BCI, Good Practice Guidelines 2013 MSB - Vägledning för samhällsviktig verksamhet FSPOS vägledning för kontinuitetshantering NIST Contingency Planning Guide for Federal Information Systems 51

51 Tålamod Stycka elefanten Underskatta inte vikten av att sälja in varför vi jobbar med BCM/SSV Exemplifiera Utgå från vad som är viktigast i verksamheten Samordna med andra aktiviteter - ej IT drivet Arbeta metodiskt 52

52 Slutövning - bikupa Vad tar ni med er? Skriv ner tre aktioner som ni kan börja jobba med när ni kommer hem 53

53 Avslutning Frågor/funderingar? 54