När en incident inträffar räcker det inte att ha skydd på plats. Verksamheten behöver också kunna återhämta sig snabbt, tydligt och kontrollerat. DRaaS, Disaster Recovery as a Service, handlar därför inte bara om teknik, utan om kontinuitet, ansvar och förmågan att fortsätta leverera när det verkligen gäller.
Det handlar inte bara om att förhindra incidenter
När vi pratar informationssäkerhet hamnar fokus ofta på skydd så som brandväggar, multifaktorautentisering, segmentering, övervakning och utbildning och det är viktigt, men förr eller senare kommer nästan alla verksamheter till samma insikt:
– Det handlar inte bara om att förhindra incidenter, det handlar också om att kunna fortsätta verksamheten när något faktiskt händer, för ransomware, driftstörningar, leverantörsproblem och mänskliga misstag händer hela tiden, frågan är inte längre om, utan snarare hur väl förberedd organisationen är när det väl inträffar och det är just här DRaaS kommer in i bilden, DRaaS handlar egentligen om verksamhetsförmåga.
DRaaS är mer än en teknisk lösning
DRaaS, Disaster Recovery as a Service, beskrivs ofta som en teknisk lösning, replikering, Backup, Failover, Återställningstider, mm.
Men ur ett informationssäkerhetsperspektiv handlar det om något större:
- Hur länge klarar verksamheten att stå still?
- Vad händer med kunderna om systemen inte går att nå?
- Hur påverkas produktion, ekonomi, kommunikation och förtroende?
- Och vem fattar besluten när stressen är som högst?
En fungerande DRaaS-lösning är därför inte bara en IT-tjänst, det är en viktig del av verksamhetens kontinuitetsförmåga. ISO 27001 ställer krav på kontinuitet och som ISO 27001-certifierad verksamhet arbetar vi på Tripnet med informationssäkerhet som en del av verksamheten, inte som en separat teknisk funktion.
ISO 27001 och kraven på kontinuitet
ISO 27001 lyfter tydligt vikten av:
- Kontinuitetsplanering
- Tillgänglighet
- Riskhantering
- Återställningsförmåga
- Regelbunden testning och uppföljning
Det räcker alltså inte att “ha backup”, organisationen behöver veta:
- Att återställning fungerar
- Hur lång tid det tar
- Vilka system som prioriteras
- Vem som ansvarar för vad
- Hur verksamheten kommunicerar under incidenten
NIS2 höjer kraven ytterligare
Det är ofta här vi ser de största skillnaderna mellan organisationer som klarar en större störning och de som får väldigt svårt att återhämta sig, NIS2 höjer kraven ytterligare, med NIS2 blir kontinuitetsförmåga ännu viktigare och direktivet ställer högre krav på riskhantering, incidenthantering och motståndskraft, det handlar inte bara om cybersäkerhet i traditionell mening, utan om verksamhetens förmåga att fortsätta leverera även under störningar.
Det innebär bland annat krav på:
- Kontinuitetsplaner
- Återställningsförmåga
- Hantering av leverantörsrisker
- Regelbundna tester och övningar
- Ledningens ansvar för cybersäkerhet
Många organisationer upptäcker nu att deras nuvarande backupstrategi inte räcker för de krav som faktiskt ställs, för det är stor skillnad mellan att ha en backup och att kunna återställa en verksamhet under tidspress, den viktigaste frågan är ofta den enklaste.
Hur länge kan verksamheten vara nere?
En fråga jag brukar ställa är:
– Hur lång tid kan verksamheten vara nere innan det blir ett riktigt problem? Det är först då diskussionen blir konkret, för vissa verksamheter handlar det om dagar och för andra om timmar i vissa fall minuter.
Men nästan alla inser ganska snabbt att:
- Återställning måste vara planerad
- Ansvar måste vara tydligt
- Kritiska system måste prioriteras
- Övning behövs
- Lösningen måste fungera även när människor är stressade
Teknik utan övning skapar falsk trygghet
Teknik utan övning skapar falsk trygghet, det är lätt att känna sig trygg när backupjobben visar grönt, men informationssäkerhet handlar inte om gröna statuslampor, det handlar om faktisk förmåga.
Ställ frågor, använd gärna metoden fem varför, Five Whys:
– Har ni testat återställning under realistiska förhållanden?
– Vet verksamheten hur den ska arbeta manuellt om systemen ligger nere?
– Finns kontaktvägar om ordinarie kommunikation inte fungerar?
– När fattas vilket beslut?
– Vet ledningen hur prioriteringar ska göras?
Det är ofta först under en tabletop-övning eller ett återställningstest som dessa frågor blir tydliga på riktigt, DRaaS behöver anpassas efter verksamheten, det finns ingen universallösning som passar alla, en verksamhet med produktion, logistik eller samhällskritiska tjänster har helt andra krav än ett mindre kontor med standardiserade system, därför börjar ett bra DRaaS-arbete aldrig med teknik, det börjar med verksamheten.
DRaaS behöver anpassas efter verksamheten
När man förstår det blir tekniken mycket enklare att dimensionera rätt, informationssäkerhet måste fungera i verkligheten.
- Vad är kritiskt?
- Hur länge kan olika delar vara nere?
- Vilka beroenden finns?
- Vilka regulatoriska krav gäller?
- Vad kräver kunderna?
- Hur påverkar NIS2 verksamheten?
Informationssäkerhet som fungerar i verkligheten
Det jag tycker är viktigt med DRaaS är att det gör informationssäkerhet konkret, inte bara policyer och dokument, utan faktisk förmåga att fortsätta verksamheten när något händer.
– Det handlar om trygghet för kunder, medarbetare och ledning.
– Det handlar om att minska konsekvenserna när incidenter inträffar.
– Och det handlar om att kunna fatta lugna och tydliga beslut även under press.
På Tripnet hjälper vi verksamheter att arbeta praktiskt med kontinuitet, återställningsförmåga och informationssäkerhet utifrån både ISO 27001 och NIS2.
För många börjar arbetet med en ganska enkel fråga:
– Skulle vi verkligen kunna fortsätta verksamheten om våra viktigaste system försvann imorgon?
Om svaret känns osäkert är det kanske dags att prata om det med oss på Tripnet.
Läs mer om hur en tabletop-övning går till och om metoden fem varför!
