De fleste av oss må vel innrømme at vi kunne vært bedre forberedt på både små og store kriser.

Hendelser trigger ofte behovet for beredskapsplaner. Krigen i Ukraina er en tydelig hendelse som vi ikke helt aner konsekvensene av ennå. 11. september 2001 med angrepet på Twin Towers i New York var en terrorhendelse som "sitter" i alle oss som opplevde den på nært hold.

Personlig var jeg ansatt i British Telecom på den tiden og jeg hadde ansvar for IKT sikkerhet på tvers av BT's selskaper og virksomhet internasjonalt. I dagene før 11.09 deltok jeg på en sikkerhetskonferanse i Palm Springs der nettopp "Business Continuity" var hovedtema for konferansen.

På siste dagen av konferansen, 10. september, var hovedinnlegget på konferansen holdt av sikkerhetsansvarlig i et større finansselskap som hadde sitt hovedkontor i Twin Towers i New York. Han presenterte firmaets beredskapsplan i detalj og jeg husker at vi var imponert. Og vi var alle enig om at så paranoid som han var det vel ikke nødvendig å være.

Selskapets beredskapsplan var strukturert i scenarier basert på hendelser. Alt fra hva de skulle gjøre ved det enkle strømbruddet til full utslettelse av selskapet. Han beskrev rutinene de hadde lagt opp til for gjenoppretting av bedriftens virksomhet etter alle tenkelige hendelser. Og det mest ekstreme var hvordan selskapet skulle gjenopprettes etter full utslettelse.

De hadde planer og tydelige beskrivelser lagret hos 3. part for hvordan datasystemene skulle etableres på nytt. Fysisk kopi av alle data ble transportert til sikker 3. part daglig slik at det skulle ta maks ett døgn å gjenopprette. Det var beskrivelser av alle roller som måtte fylles dersom ansatte var drept eller utilgjengelig, og de hadde til og med avtale med et bemanningsselskap som hadde navngitte personer som skulle kunne tre inn i rollene om det ble behov. De skulle altså kunne re-etablere hele selskapet og være fullt operativ på ny lokasjon i løpet av få dager fra en hvilken som helst "total utslettelse" hendelse.

Jeg husker godt at vi alle diskuterte over middagen den kvelden at en så ekstrem plan ville vi aldri få gjennomslag for å etablere i våre selskaper. Og, for å være helt ærlig, så trodde vel egentlig ingen av oss at det noen gang skulle være nødvendig.

Neste morgen, 11. september 2001, fikk vi erfare hvor feil vi tok! Selskapet hans ble totalt utslettet i angrepet på Twin Towers, og vi fikk oppleve hvordan han gjennomførte i praksis sin mest ekstreme beredskapsplan og selskapet ble re-etablert i løpet av den uken som vi var strandet sammen med ham i Palm Springs.

scott-graham-5fNmWej4tAA-unsplash.jpg

Beredskapsplanlegging fikk en helt ny betydning for oss som opplevde dette den dagen. Rutinene i British Telecom ble drastisk lagt om og jeg fikk virkelig erfare hvor viktig det er å ha en god og testet beredskapsplan for alle tenkelige scenarier.

Hva så med deg og ditt firma? Er dere forberedt på krise? Hvordan skal dere håndtere den enkle krisen og de mer ekstreme?

 Alle selskaper skal (ikke bør) ha en beredskapsplan som er godt kjent i virksomheten og testet i praksis. En plan på et papir i en skuff (eller enda verre i et digitalt arkiv på en personlig PC) har tilnærmet null verdi.

Veldig få er eksperter på dette, men det er lov til å bruke sunn fornuft. Og det trenger ikke å koste så veldig mye. Utnevn en ansvarlig for beredskapsplanleggingen. Husk nå at det ikke bare gjelder for IT-systemer og Cyber security. 

  • Hva gjør ditt firma egentlig? 
  • Hvilke kunder er avhengig av det dere gjør? 
  • Hvordan jobber dere? 
  • Har dere godt beskrevne prosesser og arbeidsinstrukser? 
  • Er dere avhengig av leverandører? 
  • Vet dere hvordan leverandørene vil fungere i en krise?

En god beredskapsplan forutsetter at dere har en god og dokumentert beskrivelse av alt dere faktisk gjør, er avhengig av fra andre og er garantist for overfor andre.

Bruk "scenarie-tankegang" og tenk igjennom hvilke hendelser som man bør være forberedt på.

Eksempler:

Legg til en underoverskrift.png


Eksemplene kan være mye enklere og mer hverdagslig enn de over. Tenk igjennom din egen situasjon. 

Har du et lite selskap, gå sammen med andre selskaper og se på mulighetene for samarbeid og felles planlegging. Inviter til workshop og diskusjon om hvordan dere enklest kan komme i gang. "Rom ble ikke bygd på en dag", men hvert steg er viktig og bør være målrettet. Når planen er komplett, skal den testes og vedlikeholdes. Beredskapsplanlegging er en kontinuerlig oppgave.

 


 

GeirAalesund.jpg
Geir Balsnes
Leder Digital Rådgivning
Visma Avento