<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Hvordan sikrer man beredskap og kontinuitet i et uforutsigbart trusselbilde?

‹ Tilbake til artikler

Virksomheter opplever i dag et trusselbilde som består av en rekke ulike risikoer, høy grad av kompleksitet og høy endringstakt, noe som øker behovet for beredskaps- og kontinuitetsarbeid. Vi ser at mange virksomheter har et høyt fokus på økt beredskap og kontinuitet (her kan både begrepet forretningskontinuitet og virksomhetskontinuitet brukes), men at mange likevel er usikre på om man har gjennomført de riktige tiltakene for å være forberedt på en uønsket hendelse. Det har derfor stor verdi for en virksomhet å vite hvor disse begrepene overlapper og hvor de skiller seg fra hverandre.

Hva er beredskap?

Begrepet beredskap referer til innsatsen og forarbeidet en virksomhet har lagt ned for å være forberedt på større, uønskede hendelser og kriser. Da er det særlig snakk om hendelser der skadeomfanget potensielt er stort. Formålet med beredskapsarbeidet er derfor å øke virksomhetenes motstandsdyktighet og redusere potensielt skadeomfang om en hendelse skulle inntreffe. Det handler om å være beredt.

En sentral kjerne i beredskapsarbeidet er å være bevisst på hva som skal prioriteres i situasjoner der avgjørelser må fattes på et begrenset beslutningsgrunnlag. En virksomhets beredskapsplan og -innsats vil avhenge av flere faktorer og det vil sjeldent se likt ut, men tross dette så vil prioriteringene til ulike virksomheter ofte være som følgende:

1. Liv og helse
2. Miljø
3. Finansielle verdier
4. Omdømme

Ved inntreffelse av en hendelse vil en virksomhets beredskapsarbeid som regel være basert på fire hovedprinsipper. Disse prinsippene gjelder særlig for offentlig sektor, men kan anvendes uavhengig av virksomhetens sektor og aktiviteter:

  1. Ansvarsprinsippet - Det er den rollen / funksjonen som har ansvar for et fagområde til vanlig som burde ha ansvaret for forberedelsen for og håndteringen av en hendelse. Ettersom denne rollen / funksjonen er best kjent med fagområdet er de vurdert til best rustet til å forstå omfang og fatte riktige beslutninger. 
  2. Likhetsprinsippet - Organisasjonen og strukturen som benyttes ved krisetider burde, til den grad det er mulig, være så lik som mulig den organisasjonen og strukturen som benyttes ved virksomhetens vanlige drift. Dette forhindrer at det skapes unødvendig intern forvirring og kompleksitet i krisetider. 
  3. Nærhetsprinsippet - Ved kriser skal man unngå unødvendig eskalering opp i virksomheten, og kriser burde håndteres på lavest mulig nivå i virksomheten. Det nærmere en beslutning er situasjonen som pågår, det større er sannsynlighet for at beslutningen er basert på mer riktig informasjon.
  4. Samvirkeprinsippet - Det forventes at virksomheter har et selvstendig ansvar for å sikre et best mulig samvirke med relevante aktører og virksomheter i arbeidet med forebygging, beredskap og krisehåndtering. Kriser er ofte av et slikt omfang og kompleksitet at håndtering blir mer effektiv ved samhandling med andre, heller enn at en enkelt virksomhet arbeider i isolasjon.

Hva er virksomhetskontinuitet?

I likhet med beredskap så handler kontinuitet om å være forberedt ved uønskede hendelser. Men en av hovedforskjellene mellom de to er at kontinuitet handler om å styrke en virksomhets evne til å opprettholde kritiske nøkkelprosesser når en hendelse fører til avbrudd i virksomhetens drift. Når man snakker om kontinuitetsarbeid så henviser man derfor til planleggingen og forberedelsene en virksomhet gjør for å opprettholde eller gjenopprette kritiske forretningsprosesser til et forhåndsbestemt nivå. Avbrudd i drift kan skyldes en rekke årsaker, fra dataangrep til sykdom hos ansatte.Virksomheter er nødt til å planlegge for en rekke ulike scenarioer. Typisk vil disse forberedelsene inneholde følgende steg:

  • Ønsket oppetid og akseptabel nedetid: Fastsetting av hva som er ønsket nivå for oppetid på virksomhetens nøkkelprosesser og hvor lang nedetid som kan aksepteres før det begynner å ha alvorlige konsekvenser for virksomhetens drift og krav. Disse faktorene blir ofte fastsatt ved å utføre en Business Impact Analysis (BIA), som bidrar med å kartlegge konsekvenser av nedetid.
  • Trussel- og risikovurdering: Ulike hendelser vil ha ulik grad av innvirkning på en virksomhets forretningsprosesser, avhengig av virksomhetens næringsgrunnlag, sektor og andre variabler. For eksempel så vil en brann på en fysisk lokasjon, som en fabrikk og dens fabrikklokaler, gi store konsekvenser. Mens for et kontor, som ikke er avhengig av at det jobbes på kontoret, vil ikke nødvendigvis en brann gi like store konsekvenser eller påvirke virksomhetens evne til å gjennomføre normale arbeidsoppgaver. I disse vurderingene vil en virksomhet vurdere viktigheten av og avhengigheten til fysiske lokasjoner, mennesker, utstyr og tredjeparter slik som leverandører. 
  • Gjenoppretting: Når en uønsket hendelse først har inntruffet gjelder det å ha etablert strategier for hvordan nøkkelprosessene skal kunne gjenopprettes. Strategien skal være tilpasset virksomhetens behov og sørge for at, dersom en forstyrrende hendelse inntreffer, så har virksomheten allerede kartlagt hvilke steg som må tas for at nøkkelprosesser kan gjenopprettes. I en verden der IT-systemer og informasjon er kjernen i de fleste virksomheter, omhandler ofte disse strategiene hvordan en virksomhet skal få IT-systemene opp og stå igjen. Det er viktig at virksomheten har tilgang på oppdatert og riktig informasjon som er essensiell for sin drift. 

Planlegging av forretningskontinuitet er et effektivt tiltak som øker en virksomhets motstandsdyktighet når man står overfor en uforutsigbar fremtid. Formålet er å sørge for at uønskede hendelser skal ha en begrenset innvirkning på virksomhetens drift, og om det blir avbrudd i forretningsdrift så skal virksomheten så raskt som mulig komme tilbake til normal drift eller “business as usual”.

Hva har beredskap og kontinuitet til felles?

Beredskap og kontinuitet grupperes ofte sammen. Dette kan være hensiktsmessig ettersom de  overlapper på flere områder, men samtidig så er det viktig at en virksomhet er bevisst på at de to ulike temaene også avviker fra hverandre på andre områder. Kontinuitetsarbeid fortusetter en dyptgående forståelse av forretningsprosesser, avhengigheter og økonomiske konsekvenser, og har som mål at vanlig drift skal kunne vedlikeholdes eller gjenopprettes. Beredskap omhandler i stor grad at en virksomhet skal kunne reagere på og løse seriøse situasjoner som kan ha alvorlige konsekvenser for interessenter. Tross ulikhetene kan en virksomhets beredskap- og kontinuitetsarbeid dra stor nytte av de følgende: 

  • Konsekvensanalyse: Analyser av forretningsprosesser, avhengigheter og risikoer som bidrar med å gi innsikt i og veilede en virksomhets forberedelser for unønskede hendelser. Disse analysene burde belyse mulige scenarioer og hvilken innvirkning de vil ha på virksomheten. 
  • Planverk og prosesser: Virksomhetens planverk skal bidra til å tydeliggjøre strukturen, rollene og ansvaret som skal bidra til håndtering av hendelser, samt gi retningslinjer for når og hvordan de riktige prosessene skal gjennomføres av virksomheten.
  • Øvelser: Det er først ved øvelser at virksomheten virkelig får testet planer, prosesser, strukturer og systemer som skal bidra i håndtering av hendelser. Øvelser utgjør derav også en av de viktigste mekanismene for organisatorisk læring og videreutvikling. Det er gjennom øvelse at man blir kjent med de ulike rollene og ansvaret som hører til beredskaps- og kontinuitetsarbeidet.

Det er viktig at virksomheter forstår hvordan beredskaps- og kontinuitetsarbeid kan henge sammen. Beredskapsarbeidet utøves før uønskede hendelser og kriser. Når slike hendelser inntreffer iverksettes beredskapsplaner og man starter med å håndtering av hendelser - ofte gjennom det man betegner som krisehåndtering. Virksomheter håndtere de mest akutte hendelsene først gjennom krisehåndtering, og går så over til å fokusere på kontinuitetsledelse for å sikre at virksomheten er i stand til å opprettholde minimumsdrift.

I starten av COVID-19, dvs. de første to ukene, befant enkelte virksomheter seg i en krisesituasjon. Deretter handlet det for de fleste om å opprettholde drift og drive kontinuitetsledelse. Samtidig opplevde enkelte virksomheter flere utfordringer som fordret et godt kontinuitetsarbeid, som når andel syke økte. Dette satt press på virksomheters evne til å opprettholde normal drift. Beredskapsarbeid bidrar til å forberede virksomheter på det uforutsette og de ønskede hendelene, mens kontinuitetsarbeidet hjelper virksomheter å opprettholde en ønskelig driftssituasjon og en “normal” man kan holde over tid ved uønskede hendelser.

Ved å ta de nødvendige stegene for å planlegge for og forberede seg på uønskede hendelser, både fra et beredskap- og et kontinuitetsperspektiv, vil en virksomhet være i bedre stand for å mestre ekstraordinære påkjenninger.

Alvhild Skjelvik

Alvhild Skjelvik

Alvhild Skjelvik jobber i PwCs granskingsavdeling og tar en doktorgrad i informasjonssikkerhet ved NTNU. I PwC jobber hun primært med informasjonssikkerhet, samfunnssikkerhet, beredskap og krisehåndtering. Alvhild bistår kunder med strategisk rådgiving innen sikkerhetsledelse og digitale sikkerhetsutfordringer.

Henrik Jenssen

Henrik Jenssen

Henrik er Senior Associate i PwC i avdelingen for Gransking og Compliance. Han er utdannet både statsviter og teknolog. Henrik jobber i skjærepunktet mellom informasjonssikkerhet, digital etterforskning, krisehåndtering og beredskap. Han er spesielt interessert i utfordringene og mulighetene som er knyttet til sikkerhetsstyring og digital transformasjon. Hvis du har synspunkter eller spørsmål knyttet til disse områdene så er det bare å ta kontakt.

Legg igjen en kommentar