Kontinuitetshantering IT-avbrott - hur beroende är ditt företag?
IT-avbrott - hur beroende är ditt företag? Automatisk kontroll av mängd och vikt, kontinuerlig övervakning av kyl- och frystemperaturer, momentan inventering av råvarulagret samt uppdatering av produktionsrecept med hjälp av ett knapptryck. Ja, att datoriseringen av livsmedelsproduktionen har hjälpt oss att öka såväl produktionseffektivitet som kvalitetssäkring är vi nog alla tämligen överens om. Vi kan idag med betydligt högre säkerhet än för 30 år sedan säkerställa att de produkter som levereras till våra kunder håller den kvalitet som utlovats. Vi kan enkelt lägga in automatiska beställningar av råvaror när den inlagda produktionsplanen visar att det är dags för en viss produkt att tillverkas. Vi kan programmera ugnar att baka vid en viss temperatur under en exakt tid och frysar att ha precis den infrysningstid som behövs för att produkten ska ha korrekt temperatur när den packas. Det är en fantastisk utveckling, och den kommer sannolikt att fortsätta. Frågan är hur vi säkerställer att detta förblir en styrka och inte förvandlas till en svaghet eller akilleshäl? Det är ett faktum att livsmedelsbranschen, liksom övriga samhället, är allt mer beroende av IT. Flera tillbud de senaste åren, och Tietohaveriet i synnerhet, har visat på de utmaningar som finns med ett ökat IT-beroende. De kunder som har drabbats hårdast av krascherna har varit de som inte förberett sig för ett avbrott. I flera fall återhämtar sig företagen inte överhuvudtaget, utan försvinner från marknaden och ersätts av andra som är bättre förberedda. Ju större beroende, desto större blir vikten av att planera för avbrott. Ju fler kritiska delar av verksamheten som är kopplad till IT-system, desto viktigare är det att säkerställa att det finns avbrotts- och återgångsplaner och manuella rutiner för att kunna upprätthålla verksamheten på en tolerabel nivå, även utan tillgång till IT-systemen. Att planera för avbrott är nyckeln Lösningen heter kontinuitetshantering (Business Continuity Management på engelska), vilket är en process för att skapa robusthet i en organisation, eller med andra ord kunna hantera avbrott eller bortfall av kritiska resurser (t ex IT) utan att den operativa förmågan slås (helt) ut. Kontinuitetshantering används för att förebygga alla typer av avbrott, men här fokuserar vi alltså på avbrott kopplade till IT. 1
Det övergripande syftet med IT-kontinuitetshantering är att identifiera kritiska delar av verksamheten, såsom kritiska processer och delprocesser, som är beroende av IT för att fungera. Därefter utvecklar man kontinuitetsplaner (reservplaner) för att säkra den operativa förmågan vid störningar och avbrott. Ett sätt att visualisera nyttan med kontinuitetshantering illustreras i bild 1. Bild 1. Nyttan med kontinuitetshantering 1 Det är främst två effekter som uppnås genom kontinuitetshantering. Konsekvenserna av en störning minskar, dels genom att minimera störningens omedelbara påverkan på den operativa nivån, och dels genom att minska avbrottstiden. Det är oftast det sistnämnda som är den stora vinsten. Orsakerna till varför man väljer att arbeta med IT-kontinuitetshantering kan vara många. De kan vara internt drivna, av exempelvis organisationens egen ambition och mål, men de kan även vara kopplade till lag- eller kundkrav. Oavsett orsak så ser de flesta organisationer ofta flera positiva effekter med ett strukturerat IT-kontinuitetshanteringsarbete. 1 SS-ISO 22304:2014, Samhällssäkerhet -Ledningssystem för kontinuitet Vägledning till SS-EN ISO 22301. 2
Några exempel är: Tolerabel operativ nivå identifieras för samtliga processer Förbättrad teknig/it-infrastruktur Kostnadseffektivitet med bättre anpassade IT-resurser Förbättrade affärsprocesser Minskad riskexponering Högre tjänstekvalitet internt såväl som mot kunder och andra intressenter Färre och kortare avbrott Konkurrensfördelar Man kommer långt med sunt förnuft, men det finns som tur är även strukturerade arbetssätt att följa, som t ex ISO 22301. Att ta stöd i en vedertagen standard bidrar till ökad trygghet, genom att man minskar risken att missa viktiga steg. En extra bonus är ökad trovärdighet internt såväl som externt. I takt med den allmänna utvecklingen av IT-stöd och system måste även IT-kontinuitetshanteringen löpande utvärderas och uppdateras, se bild 2. Bild 2. Standardbaserat arbetssätt, ISO 22310:2012 3
Hur komma igång? Det första steget i ett kontinuitetsarbete är att skaffa sig en djup förståelse för den egna organisationen och vilka dess mest kritiska processer och delprocesser är. I ett mindre företag, med endast en eller ett par produkter, få anställda och få tekniska lösningar så behöver detta arbete inte vara så komplicerat, utan kan skötas av ett fåtal personer. Ju större, och mer komplexa, processer man har, desto fler individer bör dock involveras i arbetet för att säkerställa att man får med alla vinklar från det strategiska till det tekniska och rent operativa. De steg det rör sig om visas i bild 3. Bild 3. Processtegen för att skapa förståelse för organisationen i ett IT-kontinuitetsarbete. Genom att arbeta på detta sätt utvecklas och struktureras fakta/information som ofta redan finns i organisationen, på ett sammanhållet sätt. När all information finns på plats blir samband och beroenden tydliga och ledningen kan enas om vad som är acceptabla respektive oacceptabla konsekvenser för företaget vid ett avbrott. Stegen innehåller: Organisationens mål och strategi - Definiera oacceptable konsekvenser (en så kallad kriteriemodell tas fram) - Visualisera organisationens processer Affärskonsekvensanalys - Identifiera kritiska processer och delprocesser - Identifiera interna och externa resurser som processerna är beroende av - Identifiera acceptabla tidsgränser för hur länge processen/delprocessen kan ligga nere (utifrån konsekvenser/kriteriemodell ovan) Överlämning till IT - Identifierade IT-resurser - Krav på återhämtningstid (utifrån acceptabel tidsgräns ovan) - Verksamhetens reservrutiner - Faktorer som påverkar tillgänglighetskrav - 4
Riskbedömning - Identifiera händelser, samt uppskatta sannolikheten för att de skulle kunna leda till ett avbrott, som överstiger kravet på återhämtningstid - Identifiera de IT-resurser som har störst behov av att kontinuitetssäkras När ovanstående är genomfört har man ett gediget underlag att utveckla kontinuitetsplaner (inom IT även kallade återhämtningsplaner) ifrån. Dessa planer behöver sedan implementeras, övas, revideras och uppdateras regelbundet som en del i organisationens kontinuitetshanteringsprogram. Varför investera i något som kanske aldrig händer? Forskningen visar att företag som genomgått kriser, där avbrott i kritiska resurser kan vara en orsak, kan delas in i två tydliga grupper Återhämtare och Icke-återhämtare. Återhämtarna har ökat sitt börsvärde på lång sikt genom att visa prov på en effektiv och framgångsrik hantering av den kritiska händelsen medan Icke-återhämtarna uppfattas ha varit oförberedda och därmed inte kunnat hantera den kritiska händelsen väl. Skillnaden manifesterar sig i ett stärkt förtroende ( Återhämtare ) respektive ett förlorat förtroende ( Icke återhämtare ) hos marknaden. Flera av de icke förberedda företagen överlever inte. Det handlar alltså inte om att helt undvika avbrott, vilket ingen kan, utan om hur väl du kan hantera det när det väl inträffar. Låter det svårt? Det kan möjligen upplevas lite krångligt första gången man arbetar igenom processen, och då kan de vara bra att ta hjälp av någon, men väl förbi denna tröskel så brukar mycket falla på plats och markanta framsteg i robusthet tas. 5
Bild 4. Källa The Impact of Catastrophes on Shareholder Value, Rory F. Knight & Deborah J. Pretty, Templeton College, University of Oxford, p. 3. 6