Blog om informationssikkerhed, GDPR og compliance

De tre beredskabsdyder

[fa icon="calendar"] 15. august 2014 / af Jakob Holm Hansen

"Hvor lang skal en beredskabsplan være?" Dette spørgsmål hører vi tit ude hos vores kunder. Mit svar plejer altid at være: "Så kort som muligt!" For sandheden er, at den perfekte beredskabsplan (hvis den overhovedet findes) skal være tre, nogen gange modstridende, ting på én gang:

  • Omfattende
  • Kort
  • Operationel

Som jeg også antyder, lever vi jo ikke i den perfekte verden, så nogen gange handler det også om at skabe en balance mellem de tre. Lad os kigge lidt nærmere på de tre "beredskabsdyder".

Omfattende

Beredskabsplanen skal være omfattende. Eller i hvert fald omfattende nok. Læg venligst mærke til at jeg skriver omfattende og ikke lang. For beredskabsplanen bør nødvendigvis omfatte de kritiske processer og systemer, ellers er den ikke noget værd. Det er blandt andet derfor, vi altid anbefaler at starte med en risikovurdering. 

Så det er vores første dyd. Beredskabet skal omfatte det, der er kritisk og vigtigt for vores virksomhed, ellers opfylder den ikke sin eneste og vigtigste funktion: At sikre os mod uacceptable tab som følge af en hændelse.

Kort

Men beredskabsplanen skal stadig være kort. Vi ser jævnligt beredskabsplaner på 150 sider og derover. Og selvom det er et imponerende stykke skrivearbejde, så kunne noget af al den tastetid måske være brugt bedre.


Men hvorfor er det så den skal være kort og enkel? Vi er interesseret i en kort beredskabsplan fordi vi skal huske på hvornår og under hvilke omstændigheder, den skal anvendes. I en beredskabssituation skal beredskabsledelsen kun have den information de har behov for i situationen. Hvis vi producerer 150 siders beredskabsplan, vil der ske en af to ting i en beredskabssituation:

  • Beredskabet bliver langsomt, ineffektivt og ufleksibelt
  • Beredskabsplanen bliver skrottet, og situationen bliver håndteret "på rygraden"

Hvis det sker, er det naturligvis kedelige spildte kræfter overhovedet at lave en beredskabsplan.

Operationel

Endelig skal vores beredskabsplan være operationel. Dette hænger sammen med det jeg nævnte før, at beredskabsplanen skal være brugbar i en beredskabssituation. Mange beredskabsplaner har lange afsnit med overordnede betragtninger, såsom indledning, formål, målsætninger, interessenter, godkendelser, referencer til standarder og lovgivning, mv.  En beredskabsplan skal være operationel fra side 1! Derfor skal den slags overordnede betragtninger, selvom de er berettiget, fjernes fra planen. En god måde at gøre det på er, at lave en separat overordnet "Beredskabspolitik". Eller som minimum lægge disse ting helt til sidst i planen.

For at gøre selve planen operationel, er det vigtigt at vi tænker over struktur og flow i beredskabsplanen. Det nytter ikke noget, hvis beredskabsledelsen skal sidde og bladre for meget frem og tilbage i planen, og dermed mister overblikket. Derfor kan det være en god idé at starte beredskabsplanen med et flowdiagram, sådan at beredskabsledelsen altid kan vende tilbage til dette for at få overblik. Jeg er stor tilhænger af "one page management" tanken, hvor man beskriver hele sit beredskabs-flow på én side.

Man skal også tænke over hvilken stil og hvilket sprog man anvender i planen. Korte klare budskaber, helst i bullet-form er meget bedre end snørklet brødtekst. Husk på at der er begrænset tid og en ikke uanseelig mængde stress i en beredskabssituation.

Så husk vores 3 beredskabsdyder: Omfattende, Kort og Operationel.

Har du erfaringer med at lave effektive, pragmatiske og operationelle beredskabsplaner? Så del dem gerne i kommentarfeltet nedenfor.

Om vores GRC blog

Vores GRC blog giver gode råd og viden om effektiv styring af governance, risk og compliance. Vi fokuserer på at tale primært om informationssikkerhed og databeskyttelse. Standarderne er oftest ISO 27001/2, GDPR, NIS2, DORA og TISAX.

Populære indlæg