EN INTRODUKTION TILL KONTINUITETSHANTERING Säkerhetsträff, Umeå och Örnsköldsviks kommun 25 oktober 2012 Nils Kjellgren och Michael Lindeen, 4C Strategies
AGENDA Varför kontinuitetshantering? Metod för kontinuitetshantering Kontinuitetshantering som en del av RSA Sammanfattning 2
FÖRVÄNTNINGAR 3
VAD ÄR KONTINUITETSHANTERING 4
VAD ÄR KONTINUITETSHANTERING? Den process som säkerställer att organisationen kan driva den verksamhetskritiska samhällsviktiga verksamheten på en tolerabel nivå oavsett vilka störningar som inträffar 5
DET HANDLAR OM Operativ nivå av kritiska processer 100 % Tid
DET HANDLAR OM Operativ nivå av kritiska processer 100 % Incident Tid
DET HANDLAR OM Operativ nivå av kritiska processer 100 % Incident Reducera Initial effekt Reducera avbrottstid Tid Före introduktionen av ett program för kontinuitetshantering Efter introduktionen av ett program för kontinuitetshantering
KONTINUITETSHANTERING - LIVSCYKELN
DEN STORA PREMIÄREN
DEN STORA PREMIÄREN Marknadsföra Sälja Visa
Process Sälja Aktivitet Försäljning internet Försäljning kassa Interna resurser Personal Hemsida Betalningssystem Lokal RGW Externa resurser El Internet Telefoni
KRITERIEMODELL En kriteriemodell avgör vad som är tolerabel förlust för en organisation baserat på olika kriterier Konsekvens Obetydlig Märkbar Allvarlig Finansiell Förlust < 500.000 Förlust < 5.000.000 Förlust > 5.000.000 Rykte Ingen förlust av kunder Förlust av låg andel kunder Förlust av stor andel kunder 13
Process Sälja Försäljning internet 3h Försäljning kassa Aktivitet 3 h 3 h Interna resurser Personal Hemsida Betalningssystem 3 h Lokal RGW 3h 3h El Internet Telefoni Externa resurser 3h
RISKBEDÖMNING Aktivitet: Tillgänglighetskrav: Försäljning 3 h Resurs (Återhämtningstid 3 h) Händelse Befintlig redundans Sannolikhet Prioritet (för vidare åtgärder) 0,2 0,4 0,6 0,8 Hemsida Teleavbrott Saknas X 2 Internetavbrott Saknas X 1 Betalningssystem Virus Virusprogram X 3 Alla Elavbrott UPS + Elverk X 3
LÖSNINGAR OCH PLANER
ÖVNINGAR Form Skrivbordsövning/simuleringsövning Upplägg Annonserad/oannonserad Centraliserad/decentraliserad
STANDARDS BS25999 JISC NFPA1600 INS 24001:2007 HB221 SPRING 18
EN KOMPLEX VÄRLD Källa: Dr. Linton Wells II
20
VÄRLDEN SOM VI KÄNNER DEN Known knowns known unknowns and unknown unknowns
KNOWN AND UNKNOWN UNKNOWN S
RISKHANTERING, KONTINUITETSHANTERING OCH KRISHANTERING Exempel: Pappersbruk
RISKHANTERING, KONTINUITETSHANTERING OCH KRISHANTERING Hur hänger det samman? Exempel: Pappersbruk Riskhantering Kontinuitetshantering Krishantering
RISKLANDSKAPETS BESTÅNDSDELAR HÖG PÅVERKAN Kärnan i Kontinuitetshantering Hantering av Grundläggande förmågor (Incidenthantering, krishantering, m.m.) Planera Behandla LÅG/OKÄND SANNOLIKHET HÖG/KÄND SANNOLIKHET Acceptera Kontrollera Kärnan i Riskhantering LÅG PÅVERKAN Källa: Business Continuity Institute Good Practice Guidelines 2008 Vidareutveckling: 4C Strategies, 2012
EXEMPEL: BRANDEN I ALBUQUERQUE Philips Electronics halvledarfabrik av komponenter till radiofrekvenschips i Albuquerque, New Mexico, var en strategisk leverantör till både Nokias och Ericssons mobiltelefontillverkning Fredagen den 17 mars 2000 inträffade en mindre brand i fabriken Inom några få timmar hade Philips informerat sina kunder om branden vilken förväntades orsaka endast mindre konsekvenser för produktionen Produktionen ligger nere i ett halvår
BRANDEN I ALBUQUERQUE: NOKIA Snabb aktivering av insatsstyrka för att hantera händelsen Högsta ledningen involverades tidigt Omdesign av datorchips (för att kunna använda andra leverantörer om nödvändigt) Ökat tempo i existerande produktionsanläggningar Snabb och kraftfull förhandling med Philips för att säkra leveranserna av de viktiga komponenterna
BRANDEN I ALBUQUERQUE: ERICSSON Branden uppfattades inte som någon större katastrof Tog flera veckor innan företaget ens förstod att det inträffat en kritisk händelse All kapacitet hos Philips upptagen för att hjälpa Nokia Bristande kommunikation med högsta ledning Beroende av specifika komponenter Avsaknad av "plan B, enligt marknadschefen för Ericssons mobiltelefoner
BRANDEN I ALBUQUERQUE: SLUTSATS Större delen av Ericssons hela mobilproduktion avstannade i flera månader Kostnad på upp till 4 miljarder kronor Telefontillverkningen lades ut på Flextronics Nokias handlande ledde till att Nokia utan större avbrott kunde återfå full produktion av mobiltelefoner trots branden i den strategiska fabriken Kraftigt ökade marknadsandelar 29
TIETO Fredag den 25 november 2011 uppstår ett hårdvarufel hos Tieto. Först är endast huvudsystemet påverkat men efter några minuter är även reservsystemen >50 kunder påverkas Söndagen den 27 november är all hårdvara återställd.men informationen som lagrades är inte det 4 januari 2012 är alla kunderna tillbaka till business as usual
TIETO - ERFARENHETER Tekniken blir mer och mer komplicerad och konsoliderad vilket utsätter företag för en ökad risk. Fler applikationer ligger på färre servrar och man förlitar sig mycket på att tekniken är felfri. Kostnadspressen -> färre speglade system. Kritiska och mindre viktiga system ligger på samma servrar Återställningsplaner etc. ligger ej separerade Kunskapen vad gäller kontinuitet/redundans/återställning för olika system är lägre idag då man tror att tekniken står för detta. Återställning-/Kontinuitetsplaner behövs för kritiska system med syfte att möta ex. kunders SLAs SLA->OLA->RTO.
VÄRDET EFFEKTIV KRISHANTERING Response from the market Efficient Management Inefficient Management Trading days after the event
FRÅGA Vad är verksamhetskritiskt för er? 33
METOD FÖR KONTINUITETSHANTERING 34
KONTINUITETSHANTERING - LIVSCYKELN
METOD FÖR KONTINUITETSHANTERING Organisationens mål och strategi Verksamhetskonsekvensanalys (BIA) Riskbedömning (RA)
ORGANISATIONENS MÅL OCH STRATEGI Att förstå det sammanhang organisationen verkar i är av avgörande betydelse för att kunna gå vidare och genomföra en samhällskonsekvensanalys. Faktorer att ta hänsyn till kan vara: Mål Strategiska riktlinjer och policies Krav och skyldigheter gentemot intressenter Lagar och regler Omgivningen i vilken organisationen verkar Kriteriemodell
KRITERIEMODELL En kriteriemodell avgör vad som är tolerabel förlust för en organisation baserat på olika kriterier Exempel: Konsekvens Obetydlig Märkbar Allvarlig Finansiell Förlust < 500.000 Förlust < 5.000.000 Förlust > 5.000.000 Rykte Ingen förlust av kunder Förlust av låg andel kunder Förlust av stor andel kunder 38
KRITERIEMODELL: DET STORA KLÄDFÖRETAGET Konsekvens Obetydlig Liten Märkbar Kritisk Katastrofal Definition Obetydlig i förhållande till organisationens storlek, budgeten påverkas knappt, produktionsförmågan bibehålles - Varumärket ej skadat - Extern part ej skadad Begränsade skadeföljder som kan finansieras/täckas av kassaflödet, budgeten påverkas lätt - Varumärket ifrågasatt - Extern part eventuellt skadad Årsredovisningen påverkas, utfallet av årsvinsten kommer att bli mindre än väntat, produktionsförmågan kommer temporärt att minska - Varumärket ifrågasatt - Extern part delvis skadad Det finansiella resultatet kommer att påverkas starkt, årsvinster kommer att försvinna, produktionsförmågan kommer att påverkas för en längre tid - Varumärket kraftigt ifrågasatt - Extern part skadad Organisationens existens är hotad, det egna kapitalet kommer att förbrukas helt eller delvis, produktionsförmågan kommer att vara långsiktigt förlorad - Varumärket totalförstört - Extern part allvarligt skadad Uppskattad ekonomisk skada Förlust <1 000 000 Förlust <10 000 000 Förlust <40 000 000 Förlust <75 000 000 Förlust >75 000 000 39
EXEMPEL: VATTENFÖRSÖRJNING Konsekvens Kategori Leverans Kvalitet Ekonomi Information Rykte Obetydlig Märkbar Kritisk Planerat och överenskommet avbrott i leverans Obetydlig kvalitetssänkning (tex. förhöjd halt av normal bakterieflora) Smärre justering i gällande budget Information nått ut i god tid vid planerat avbrott i leverans Korrekt och lättillgänglig information Korrekt information i media Normalt kundtryck (telefon, mail, besök hemsida) Begränsad leverans till prioriterade kunder (omedelbart) Utebliven leverans till enskilda kunder (efter 2-3 dygn) Utebliven leverans till kvarter (efter 24 timmar) Utebliven leverans till stadsdel (omedelbart) Tjänligt med anmärkning Fåtal personer insjuknat pga. dålig vattenkvalitet Otjänligt vatten (information har nått ut till drabbade i tid) Utebliven leverans till prioriterade kunder (omedelbart) Utebliven leverans till kvarter (efter 36-48 timmar) Utebliven leverans till stadsdel (efter 12 timmar) Otjänligt vatten (ej drickbart) Större antal personer insjuknat pga. dålig vattenkvalitet Dödsfall efter insjuknat pga. dålig vattenkvalitet Omprioriteringar i gällande budget Måste ansöka om mer pengar Information går ut, men ej i god tid, i samband med leverans- och kvalitetsproblem Otydlig och/eller bristfällig information Otydlig och/eller bristfällig information i media Högre kundtryck än normalt (telefon, mail, besök hemsida) Ingen eller felaktig information går ut i samband med leverans- och kvalitetsproblem Prioriterade kunder nås ej av information i samband med leverans- och kvalitetsproblem Stadsdel nås ej av information i samband med leverans- och kvalitetsproblem Felaktig information med negativ påverkan i media Betydligt högre kundtryck än normalt (telefon, mail, besök hemsida) 40
KRITERIEMODELL: EXEMPEL SJUKHUS Konsekvens Mindre Måttlig Betydande Katastrofal Effekt på patientsäkerheten Obehag eller obetydlig skada Förlängd vårdtid för en eller två patienter Högre vårdnivå för en eller två patienter Förlängd vårdtid för tre eller fler patienter Högre vårdnivå för tre eller fler patienter Dödsfall eller större kvarstående funktionsnedsättning Ekonomi Egendomsskador understigande Egendomsskador understigande Skador på egendom mellan en 0,5-1MSEK Skador på egendom överstigande 1 MSEK 10 000 SEK 100 000 SEK Effekt på produktionssäkerheten Antal personer i kö i linje med verksamhetens mål Verksamhetens mål för kötid överskrids med.. Verksamhetens mål för kötid överskrids med.. Verksamhetens mål för kötid överskrids med.. 41
FASTSTÄLL RISKACCEPTANS Konsekvens Mindre Måttlig Betydande Katastrofal Effekt på patientsäkerheten Obehag eller obetydlig skada Förlängd vårdtid för en eller två patienter Högre vårdnivå för en eller två patienter Förlängd vårdtid för tre eller fler patienter Högre vårdnivå för tre eller fler patienter Dödsfall eller större kvarstående funktionsnedsättning Ekonomi Egendomsskador understigande Egendomsskador understigande Skador på egendom mellan en 0,5-1MSEK Skador på egendom överstigande 1 MSEK 10 000 SEK 100 000 SEK Effekt på produktionssäkerheten Antal personer i kö i linje med verksamhetens mål Verksamhetens mål för kötid överskrids med.. Verksamhetens mål för kötid överskrids med.. Verksamhetens mål för kötid överskrids med.. 42
VERKSAMHETSKONSEKVENS- ANALYS Skapar kunskap om organisationens affärskritiska processer, aktiviteter och resurser Syftar till att identifiera organisationens känslighet för störningar Identifierar tidsgränser för hur länge kritiska aktiviteter kan ligga nere Hur länge klarar vi oss utan aktiviteten X utan att överskrida vår riskacceptans
EXEMPEL: RESEBOLAGET 44
KRITERIEMODELL Konsekvens Obetydlig Liten Märkbar Kritisk Katastrofal Definitioner Obetydlig i förhållande till organisationens storlek; budgeten påverkas knappt; produktionsförmågan bibehålles Begränsade skadeföljder som kan finansieras/täckas av kassaflödet, budgeten påverkas lätt Årsredovisningen påverkas, utfallet av årsvinsten kommer att bli mindre än väntat, produktionsförmågan kommer temporärt att minska Det finansiella resultatet kommer att påverkas starkt, årsvinsten kommer att försvinna, produktionsförmågan kommer att påverkas för en längre tid Organisationens existens är hotad, det egna kapitalet kommer att förbrukas helt eller delvis, produktionsförmågan kommer att vara långsiktigt förlorad Uppskattad skada på varumärket Varumärket ej skadat Varumärket ifrågasatt Varumärket ifrågasatt Varumärket kraftigt ifrågasatt Varumärket totalförstört Uppskattad ekonomisk skada Förlust <1 000 000 Förlust <8 000 000 Förlust <80 000 000 Förlust <200 000 000 Förlust >250 000 000
EXEMPEL: RESEBOLAG Affärsprocesser Affärskritisk process Kommunikation Kritiska aktiviteter 1 Insamla information 2 3 Värdera information Kommunicera internt 4 Kommunicera externt Kritiska resurser 3 Intranät 1,3 Server IT-avd 2,4 Kommunikationsdirektören 1,2 Sambandscentralen 4 Hemsida 3,4 Telefoni 1-4 Huvudkontor Kritisk infrastruktur och andra externa beroenden El Internet Tele Media
MAXIMAL TOLERABEL AVBROTTSTID MTPD - den maximalt tolerabla tiden som en organisations kritiska aktiviteter kan ligga nere efter en störning. Fastställs med hjälp av kriteriemodellen RTO återställningstid för kritiska resurser (RTO<MTPD)
MAXIMAL TOLERABEL AVBROTTSTID Vad blir konsekvensen av att leveransen av en kritisk aktivitet helt försvinner under 1, 2 eller 6 timmar? Affärskritisk verksamhet X Aktivitet #1 Aktivitet #2 Aktivitet #3 Vad är maximalt tolerabel avbrottstid? Resurser Personal System Leverantör Utrustning
EXEMPEL: RESEBOLAG Affärsprocesser Affärskritisk process Kommunikation Kritiska aktiviteter 1 Insamla information 2 3 Värdera information Kommunicera internt 4 Kommunicera externt Kritiska resurser 3 Intranät 1,3 Server IT-avd 2,4 Kommunikationsdirektören 1,2 Sambandscentralen 4 Hemsida 3,4 Telefoni 1-4 Huvudkontor Kritisk infrastruktur och andra externa beroenden El Internet Tele Media
EXEMPEL: RESEBOLAG Affärsprocesser Affärskritisk process Kommunikation Kritiska aktiviteter Kritiska resurser Kritisk infrastruktur och andra externa beroenden 3 Intranät 1 El Insamla information 1,3 Server 2 IT-avd Internet 3 Värdera information Kommunicera internt 2,4 4 Kommunikationsdirektören Tolerabel återhämtningstid < 1 timme Kommunicera externt Maximalt tolerabel avbrottstid (MTPD): 1 timme 1,2 Sambandscentralen Tele 4 Hemsida Tolerabel återhämtningstid < 1 timme Pressmeddelande Media 4 1-4 Huvudkontor Tolerabel återhämtningstid < 1 timme Tolerabel återhämtningstid < 1 timme
RISKBEDÖMNING I riskbedömningen identifieras, analyseras och utvärderas hot mot verksamheten Riskbedömning utförs genom att uppskatta sannolikheten att en händelse leder till ett avbrott som överstiger kravet på återhämtningstid för någon av de kritiska resurserna Hänsyn tas till befintlig redundans vid bedömning av sannolikhet Riskbedömningen möjliggör prioriteringar mellan de kritiska resurserna för var åtgärder behöver sättas in. 51
RISKBEDÖMNING Affärskritisk process: Kommunikation Kritisk resurs (Tolerabel återhämtningstid) Hemsida (< 1 h) Hot/händelsen Befintlig redundans Sannolikhet att ett avbrott överstiger mål för återhämtningstid Elavbrott Reservkraft, diesel, 3 dagars drift 0 0.2 0.4 0.6 0.8 1 X Prioritet 2 Företagets internet- förbindelse går ner X Saknas 1
KONTINUITETSHANTERING - LIVSCYKELN
STRATEGIUTVECKLING I en kontinuitetsstrategi formuleras grundläggande principer för hur företaget avser uppnå de krav på kontinuitet som definierats i de inledande stegen Redundanta system, reservdrift Ha flera leverantörer av kritiska tjänster och produkter Multikompetent personal Flexibla arbetsplatser och rutiner Outsourcing/Inhouse-lösningar Försäkringar
EXEMPEL: UPS Snöstorm i Louisville 1994 Rekordlåga temperaturer skapar otjänliga vägar alla transporter i området paralyseras Samma morgon förbereder sig 100 UPS plan för avfärd Även om startbanorna rensas på en dag är det omöjligt för UPSanställda i området att ta sig till jobbet
EXEMPEL: UPS Känner man till en UPS-anläggning har man sett alla! Enhetliga arbetsprocesser gör det möjligt att ta in anställda från andra orter Lösningen blir att flyga in folk från övriga landet Kan t ex även nyttjas vid julhelger, andra intensiva högtider, personalstrejker Standardiserade processer gör det även möjligt att snabbare agera vid variationer i efterfrågan
LÄRDOMAR FRÅN UPS-EXEMPLET Effektivt återupptagande och återställande av kritiska aktiviteter Standardiserade processer Möjliggör flexibilitet och robusthet Gör det möjligt att jämföra resultat mellan divisioner, avdelningar, regioner etc. Möjliggör effektivitetsförbättringar 57
LEVERANTÖRSRELATIONER Ytlig Djup Leverantörsrelation Få Många Antal leverantörer Källa: the Resilient Enterprise, Sheffi Yossi (2005)
KONTINUITETSHANTERING - LIVSCYKELN
KONTINUITETSLÖSNINGAR Identifiera detaljerade lösningar inom ramen för beslutade strategier Lösningarna ska tydligt visa på positiva effekter för kritiska aktiviteter, resurser och/eller externa beroenden Identifiera också risker för respektive lösningsförslag Fastställ om hur besluten ska inkluderas i organisationens verksamhetsplanering/budgetarbete
KONTINUITETSPLANER STRUKTUR Introduktion Mål, syfte och omfattning Vilka kritiska resurser omfattas? Roller, individer och ansvar Kontaktuppgifter till relevanta personer Åtgärdslistor / Checklistor Vem? Hur? När? Resurser och hur de aktiveras
KONTINUITETSHANTERING - LIVSCYKELN
VARFÖR ÖVA? Chesley B Sullenberger
VARFÖR ÖVA?
ÖVNINGAR Plans are nothing but planning is everything Övningar är ett utmärkt sätt att utvärdera och förbättra organisationens kris- och kontinuitetsplaner Enligt best practice är planerna inte trovärdiga om de inte övats
KONTINUITETSHANTERING - LIVSCYKELN
EXEMPEL: KÄRNKRAFTVERKET
KONTINUITETS- HANTERING INOM RAMEN FÖR RSA EXEMPEL: STOCKHOLMS STAD 68
TVÅ NIVÅER Hela kommunen Varje verksamhet 69
RSA PÅ TRE NIVÅER: GRUNDLÄGGANDE, UTVECKLAD OCH FÖRDJUPAD Grundläggande RSA Alla förvaltningar och bolag måste kunna hantera en kris Genom att bedöma förmågan att hantera kriser får vi underlag för åtgärder och övning Utvecklad RSA För att förebygga kriser, identifiera och värderar vi risker genom en traditionell riskanalys och säkerställer att riskerna accepteras eller behandlas Fördjupad RSA Vissa åtaganden måste alltid kunna upprätthållas Med en mer detaljerad, fördjupad riskanalys, säkerställer vi att prioriterad verksamhet alltid kan upprätthållas, oavsett risk
INEFFEKTIVITET KAN BYGGAS BORT GENOM DIFFERENTIERING PÅ ÅTAGANDE/ VERKSAMHETSNIVÅ Idag springer alla till mitten Arbetsinsatsen bör istället anpassas efter verksamhetens betydelse för organisationens mål Effektivitet genom säkerställande av att rätt verksamheter når rätt nivå i mognadstrappan 3. Fördjupad 2. Utvecklad 1. Grundläggande A B,C D,E
SAMHÄLLS- KONSEKVENSANALYS Skapar kunskap om kommunens förvaltningar/bolag, deras åtaganden och resurser Skapar kunskap om konsekvenserna av ett avbrott för samhället/medborgarna Leder till en ökad förståelse om verksamhetens beroenden och bättre kravställning 72
Analysen är i detta fall avgränsad mot Trafikkontoret Trafikkontoret Förvaltning/bolag Samhällskonsekvensanalys genomförs för åtaganden med höga tillgänglighetskrav Åtaganden Interna resurser Resurser som är nödvändiga för att upprätthålla åtagandet identifieras, samt tillgänglighetskrav Kopplingen för mellan att dessa externa ska kunna resurser, stödja interna aktuellt resurser och åtagande åtaganden är organisationens kritiska beroenden Vinterväghållning Plogbil Personal 3h Vid teleavbrott eller transportstrejk Vid avbrott i dieselleverans finns finns exempelvis redundans genom däremot ingen redundans att personal kan hämtas förmågan bedöms som mycket förmågan bedöms i dessa fall vara bristfällig god 2 h h RGW Förmågan att motstå allvarliga störningar mäts utifrån huruvida redundans finns i händelse av ett 2 h avbrott h h Externa resurser identifieras, samt tillgänglighetskrav för att dessa ska kunna stödja åtagandet 1h 1h Diesel Tele Transporter Externa resurser 1h
RISKBEDÖMNING Åtagande: Kartläggning av kritiska beroenden visar inom vilken tid en resurs måste vara tillgänglig för att åtagandet ska klara sitt tillgänglighetskrav Tillgänglighetskrav: För varje kritiskt beroende, analysera Vinterväghållning hur resurser påverkas av en händelse och vilken redundans som finns 3 h Gör en bedömning av förmågan att möta Lägst förmåga ges högst tillgänglighetskravet, givet prioritet för åtgärder befintlig redundans Resurs (Återhämtningstid 2 h) Händelse Befintlig redundans Förmåga att möta tillgänglighetskrav Prioritet (för vidare åtgärder) 1 2 3 4 Personal Teleavbrott Personal kan hämtas X 2 Transportstrejk Personal kan hämtas X 3 Plogbil Avbrott i dieselleverans Redundans saknas X 1 Samlad förmågebedömning 4 (Mycket bristfällig)
UPPGIFT Identifiera i din förvaltning: - ett kritiskt åtagande - interna resurser som är nödvändiga för att kunna fullgöra detta åtagande - externa resurser som de interna resurserna är beroende av 75
SAMMANFATTNING Leder till Vilket skapar Det vill säga Strukturerat arbete Tydligt ansvar för kritiska delar Ansvar Kontinuitetshantering Prioriterade åtgärder Ökad kostnadseffektivitet Ökad förmåga vid verksamhetsplanering Effektiviserad intern fördelning av resurser Effektivt beslutsfattande Ställda krav Beslut Transparens Kommunicerad riskaptit Systematiskt tillvägagångssätt Minskad risk för att missa viktiga detaljer Trygghet
LÄSTIPS 77
SIS-UTBILDNING SIS-utbildning 2 dagar 78
BEGIN WITH AND KEEP THE END IN MIND 79
Tack för visat intresse! Nils Kjellgren nils.kjellgren@4cstrategies.com +46 70-580 30 87 Michael Lindeen michael.lindeen@4cstrategies.com +46 72-253 79 79
Stockholm Malmö London