Organisatoriske sikkerhetsmål
Kontinuitetsplan som organisatorisk sikkerhetsforanstaltning
Det kan være nyttig å etablere en Kontinuitetsplan som organisatorisk sikkerhetsforanstaltning for å sikre at selskapet kan fungere selv i tilfelle krise, internt eller eksternt.
Fordeler med en kontinuitetsplan som organisatorisk sikkerhetsforanstaltning
- Reduserer risikoen for langsiktig forretningsavbrudd, noe som kan være en stor økonomisk fordel i tilfelle en fordel.
- Gir sikkerhet for både selskapets ansatte og datasubjekter.
- Hjelper selskapet med å overholde juridiske krav.
- Kan redusere mulige konsekvenser som følge av et cyberangrep, alvorlig forstyrrelse eller annen type krise.
Hva er en Kontinuitetsplan som organisatorisk sikkerhetsforanstaltning
En virksomhet kontinuitetplan er en plan for hvordan et selskap skal handle i tilfelle av en uventet krise. Målet er å sikre at krisen ikke hindrer selskapet i å fortsette sin virksomhet. Det samme gjelder store kriser. Etablering av en forretningskontinuitetsplan er et godt organisatorisk sikkerhetstiltak som bedrifter kan ta for å overholde GDPR-reglene og redusere konsekvensene i tilfelle krise.
Spørsmål som skal inngå i en Kontinuitetsplan
- Hva skal ansatte gjøre hvis IT-systemer ikke lenger er tilgjengelige?
- Kan ansatte fortsette å jobbe selv om det ikke er mulig å bruke kontoret?
- Hvem har ansvaret for hva i krisesituasjoner?
- Hva er de viktigste prosessene for selskapet å fortsette sitt arbeid?
- Hvordan informeres ansatte og andre relevante eksterne parter om krisen?
- Hvordan vil ansatte fortsette å behandle personopplysninger riktig under en pågående krise?
Hvordan kan en Kontinuitetsplan hjelpe bedrifter med å overholde GDPR?
Kontinuitetsplan som et organisatorisk sikkerhetstiltak kan hjelpe bedrifter med å overholde flere viktige forpliktelser i henhold til GDPR, samt å demonstrere selskapets overholdelse av regelverket i henhold til ansvarlighetsprinsippet i artikkel 5 (2) GDPR. GDPR krever blant annet at personopplysninger skal være tilgjengelige og gjenvinnbare i tilfelle brudd på personopplysningssikkerheten. Artikkel 32 i GDPR omhandler sikkerheten ved behandling og evnen til å sikre kontinuerlig integritet, konfidensialitet, tilgjengelighet og motstandskraft. En forretningskontinuitetsplan bidrar til å sikre at selskapet har sikkerhetskopier som kan gjenopprettes innen en rimelig tidsramme.
I tillegg bør Kontinuitetsplanen identifisere kritiske prosesser og sårbarheter, samt forebyggende tiltak for å redusere risikoen for utilsiktet sletting, uautorisert tilgang eller tap av data. Det kan dermed utfylle datasikkerhetsrisikoanalyser og konsekvensanalyser (DPIA) (artikkel 35 GDPR). Videre sikrer en god Kontinuitetsplan at de registrertes rettigheter i henhold til artikkel 12 til 22 i GDPR kan respekteres selv under en krise.
Fremgangsmåter som selskaper bør gjennomføre og dokumentere i en Kontinuitetsplan
Identifisere kritiske prosesser
For å etablere en effektiv Kontinuitetsplan er det viktig å først identifisere ulike kritiske prosesser og behandling av personopplysninger som er nødvendige for selskapet. For eksempel kritiske IT-systemer, finansielle systemer, HR-prosesser, verktøyene som brukes av selskapet for kommunikasjon, betalingsmetoder, etc. Selskapet må identifisere blant annet de nødvendige systemene, prosessene som må fungere for å fortsette å drive virksomheten, ressursene som trengs av selskapet for å utføre arbeidet, kritiske personopplysninger for å behandle, etc. Det er også nyttig å identifisere omtrent hvor lenge selskapets aktiviteter kan være helt eller delvis ute av drift, før alvorlige konsekvenser oppstår.
Risikoer
Etter at foretaket har identifisert de nødvendige prosessene og behandlingene, bør foretaket analysere risikoene og hvordan kontinuitetsplanen bør forebygge eller begrense dem mest mulig.
Tekniske hendelser
For eksempel et systemkrasj, nettverksavbrudd eller sikkerhetskopieringsfiler som har mislyktes.
Organisatoriske hendelser
For eksempel, når viktige personer i enheten slutter å jobbe for selskapet, leverer leverandører ikke under kontrakt, uvanlig stor mangel på ansatte på grunn av sykdomsspredning eller lignende.
Cyberangrep
For eksempel, hvis hackere krenker selskapets database, krever ransomware eller lignende.
Fysiske hendelser
For eksempel i tilfelle brann, flom, strømbrudd eller lignende hendelser på kontoret.
Roller og ansvar
For å håndtere en krise så effektivt som mulig, er det nyttig å ha klare roller og ansvar som er forhåndsbestemt og forhåndsfordelt. Hvis dette ikke er tilfelle, har det stor risiko for å være kaotisk i tilfelle krise. Eksempler på hva foretaket bør definere i en virksomhetskontinuitetsplan:
Leder av krisen.
Ansvarlig for IT.
Hvem skal dokumentere hendelsesforløpet, hvilke tiltak som er truffet osv.
Som har kontakt med eksterne parter, for eksempel registrerte og relevante myndigheter.
Personen som vil kontakte og administrere kommunikasjonen med eventuelle prosessorer, leverandører, etc.
Kommunikasjonsplan
God og tydelig kommunikasjon er ekstremt viktig i et selskap, spesielt under en pågående krise. Derfor er det nyttig å ha en klar plan for intern kommunikasjon om nødvendig. For eksempel kan det regulere hvordan alle ansatte skal informeres om hendelsen, hvordan de skal informere de registrerte om deres personopplysninger har blitt påvirket av hendelsen, hvis og når selskapet må rapportere til den nasjonale databeskyttelsesmyndigheten, hvilke alternative kommunikasjonskanaler selskapet kan bruke hvis det normalt ikke er mulig å bruke, etc.
Alternative tilnærminger
For å kunne fortsette å jobbe under en pågående krise, trenger selskapet alternative måter å jobbe på. Det handler ofte om å jobbe manuelt eller med nødløsninger. For eksempel bør forretningskontinuitetsplanen inneholde svar på følgende spørsmål.
Hvordan får medarbeiderne tilgang til de nødvendige dokumentene for å utføre sine oppgaver?
Hvordan foregår lagringen av personopplysninger uten at det går på bekostning av sikkerheten?
Hvordan håndteres kundesaker dersom bedriftens IT-systemer svikter?
Hvordan kan selskapet håndtere fakturering, lønnsadministrasjon, arbeidsordrer og andre økonomisk kritiske deler av et selskap?
Tilbakestilling
Jo raskere et selskap går tilbake til det normale etter en krise, desto bedre. Det er derfor nyttig å definere hvordan dette skal gjøres, ofte i en trinnvis tilnærming. Det er mulig å:
Start de forskjellige systemene på nytt.
Overfør manuelt arbeid tilbake til systemene.
Analyser skadene som oppstår. For eksempel datasubjekter. Husk å rapportere brudd på personopplysningssikkerheten til registrerte og/eller relevante myndigheter om nødvendig.
I tillegg er det nyttig å dokumentere hele prosessen for å kunne demonstrere samsvar med GDPR og for å kunne forbedre den i møte med en ny mulig krise.
Test og oppdatering
Det er viktig å teste en virksomhet kontinuitetplan for å vite om det fungerer eller ikke, før en reell krise oppstår. For eksempel bør bedrifter teste simulerte avbrudd og arbeide under en kontinuitetplan og katastrofegjenopprettingsplan for å se om det fungerer i praksis.
Mer informasjon
En katastrofegjenopprettingsplan utfyller en Kontinuitetsplan
Enkelt sagt fungerer en katastrofegjenopprettingsplan som den tekniske delen av selskapets Kontinuitetsplan. Det er bra for selskapene å utarbeide begge dokumentene. En forretningskontinuitetsplan beskriver hvordan selskapet vil handle i tilfelle krise, mens en katastrofegjenopprettingsplan beskriver hvordan ansatte vil gjenopprette IT-infrastrukturen og behandlingen av personopplysninger i etterkant av en katastrofe eller krise. En katastrofegjenopprettingsplan er vanligvis mer detaljert enn en Kontinuitetsplan.