När jag och Marcelo Caceres, säkerhetschef på Tripnet, var på Orange Cyber Defense Day häromveckan noterade vi att merparten av föreläsningarna återkom till samma sak: vikten av att öva genom tabletop-övningar. Inte minst för verksamheter som omfattas av NIS2, cybersäkerhetslagen eller som har samhällskritiska beroenden.
Det blev en bekräftelse på något Marcelo har pratat om länge. För honom är tabletop-övningar ett av de bästa sätten att förstå hur organisationen faktiskt fungerar när något oväntat händer.
Vänta inte tills allt är perfekt
– Mitt första råd är ganska enkelt – vänta inte med att öva tills allt är perfekt, säger Marcelo. Många organisationer vill först skriva klart alla rutiner, alla roller, alla kontaktlistor och alla processer. Men det är ofta i övningen man upptäcker vad som saknas.
– En tabletop-övning behöver inte vara komplicerad för att ge stort värde. Det viktiga är att rätt personer sitter i samma rum och får prata igenom ett realistiskt scenario tillsammans. Det är då man ser om ansvar, beslutsvägar och kommunikation fungerar i praktiken.
Öva på beslut, inte bara teknik
Vid en incident är det sällan bara en server, ett system eller en brandvägg som är problemet. Frågorna blir snabbt större än så.
– Det andra rådet är att öva på beslut, inte bara teknik, säger Marcelo. Vem informerar kunden? Vem kontaktar leverantören? Vem får fatta beslut om att stänga ner ett system? Vad säger vi internt? Vad säger vi externt? Och hur gör vi om vår vanliga kommunikationskanal inte fungerar?
– Det är ofta här en tabletop-övning gör störst nytta. Den hjälper organisationen att lyfta blicken från det rent tekniska och se helheten: ansvar, prioriteringar, kommunikation, kundpåverkan och ledning.
Gör övningen konkret
En bra övning behöver kännas relevant för den egna verksamheten. Ju närmare scenariot ligger vardagen, desto bättre blir samtalen.
– Mitt tredje råd är att våga göra övningen konkret, säger Marcelo. Välj ett scenario som faktiskt skulle kunna drabba er verksamhet. Ett ransomwareangrepp. Ett bortfall hos en viktig leverantör. En misstänkt informationsläcka. En situation där nyckelpersoner inte går att nå. Det är först när scenariot känns nära den egna vardagen som samtalen blir riktigt värdefulla.
– Det handlar inte om att skapa dramatik för dramatikens skull. Det handlar om att hitta de situationer där osäkerhet, tidspress och beroenden kan påverka verksamheten på riktigt.
Aldrig för att sätta dit någon
En tabletop-övning ska aldrig handla om att hitta syndabockar. Den ska hjälpa organisationen att bli tryggare, tydligare och bättre förberedd.
– Aldrig för att sätta dit någon. Det är en av de viktigaste sakerna att komma ihåg med en tabletopövning, säger Marcelo. En bra övning ska skapa trygghet, inte skuld. Den ska hjälpa organisationen att hitta luckor, beroenden och oklarheter innan det blir skarpt läge. När man har övat tillsammans blir det lättare att agera lugnt, fatta beslut snabbare och kommunicera tydligare när något faktiskt händer.
– Det är en viktig poäng. Informationssäkerhet fungerar bäst när människor vågar prata öppet om risker, brister och osäkerheter. Då kan man förbättra organisationen innan det händer något, i stället för att upptäcka problemen mitt i en incident.
Gör det regelbundet
– Kanske viktigast av allt: gör det regelbundet, säger Marcelo. En tabletop-övning är bra, men säkerhetsförmåga byggs över tid. Organisationer förändras, system förändras, hotbilden förändras och människor byter roller. Därför behöver även övningarna återkomma. Det är så man bygger säkerhetskultur på riktigt. Dessutom ställer NIS2 krav på regelbundna övningar.
– Det är också så informationssäkerhet blir en naturlig del av verksamheten. Inte bara något som finns i dokument, utan något som människor förstår, övar på och använder i praktiken.
Informationssäkerhet som blir konkret
Det jag tycker om i Marcelos resonemang är att han gör informationssäkerhet enkelt och praktiskt. Det handlar inte bara om policyer, kontroller och krav, utan om människor som ska kunna fatta bra beslut under press. När vi övar tillsammans hittar vi både brister och styrkor. Vi får samsyn kring ansvarsfördelning, beslutsvägar och praktiska hinder innan de uppstår i skarpt läge. Vi ser vad som fungerar, vad som behöver förbättras och vilka frågor som behöver lösas innan nästa incident. Det är informationssäkerhet som blir konkret.
– När ska vi öva tillsammans med dig?
Läs mer om våra tabletop-övningar här:
https://tripnet.se/vad-vi-gor/vara-tjanster/tabletop-ovning/
Läs mer om varför vi tycker att övning är en viktig del av att förebygga katastrofer:
https://tripnet.se/att-forebygga-en-katastrof/
