.png)
Som beslutsfattare i dagens digitala värld är du väl medveten om hur viktigt det är med cybersäkerhet. En viktig aspekt av varje informationssäkerhetsprogram är att förbereda sig för negativa händelser med god kontinuitetsplanering och säkerhetskopiering. Detta är ett ämne som krävs i EU:s NIS2-direktiv och som behandlas utförligt i ISO 27001-standarden.
Vi är här för att ge vägledning och för att avmystifiera detta säkerhetsämne. Den här artikeln ger vägledning i hur du skapar dina NIS2-rutiner för affärskontinuitet och säkerhetskopiering genom att dra nytta av ISO 27001:s beprövade bästa praxis.
Kontinuitetsplanering är processen att utveckla förebyggande och återställande system för att säkerställa att viktiga affärsverksamheter förblir oavbrutna eller snabbt återupptas efter negativa händelser. En effektiv plan hjälper till att minimera effekterna av potentiella scenarier som strömavbrott, cyberattacker eller naturkatastrofer.
Inom informationssäkerhet avser kontinuitet också att upprätthålla informationssäkerheten på en lämplig nivå under störningar eller andra negativa händelser.
Säkerhetskopior, inom ramen för affärskontinuitet, avser processen att skapa kopior av dina data, system och programvara och lagra dem på ett säkert sätt på annan plats än den primära affärsplatsen. Målet är att se till att ditt företag, i händelse av katastrofala händelser, dataintrång, driftstörningar eller systemfel, snabbt kan få igång sina system igen, vilket avsevärt minskar driftstopp och de potentiella förluster som är förknippade med sådana incidenter.
I NIS2-direktivet har kontinuitetsplanering och säkerhetskopiering samlats i samma avsnitt. Detta är logiskt eftersom båda metoderna har ett liknande mål - effektiv återhämtning från negativa händelser. I många andra säkerhetsramverk ses dessa dock som separata ämnen, eftersom säkerhetskopiering har en mycket data- och teknikfokuserad syn på kontinuitet. Att förstå sambandet mellan dessa två är viktigt, oavsett hur separat du implementerar dem i din egen verksamhet.
Kontinuitetsplanering inom informationssäkerhet handlar inte bara om att ha en reservplan i händelse av en systemkollaps eller cyberattack. Det handlar om att proaktivt säkerställa att dina processer och system är motståndskraftiga och snabbt kan återhämta sig från alla typer av störningar.
Kontinuiteten i din verksamhet är beroende av tillgången till många olika saker: människor, teknik, partners, fysiska platser, data ...
Kontinuitetsplanering börjar med att förstå kontinuitetskraven för olika delar av din databehandlingsmiljö. Kan du klara dig 2 timmar utan ett datasystem? För vissa kan man säkert det, men för andra kan det vara mycket skadligt.
Prioritering av dina tillgångar och andra viktiga databehandlingsmiljöer bör göras innan du börjar skapa kontinuitetsplaner för att säkerställa att du planerar för rätt saker.
Du bör skapa kontinuitetsplaner t.ex. för den här typen av negativa händelser (som kan äventyra din kontinuitet):
Kontinuitetsplaner är den konkreta nivån av kontinuitetsplanering. Dina kontinuitetsplaner bör innehålla följande:
Du bygger en kritisk del av ditt företags motståndskraft. Genom att införliva dessa element säkerställer du att ditt företag kan navigera skickligt och snabbt återhämta sig från en störning.
I den digitala världen av informationsteknik är säkerhetskopior detsamma som skyddsnät. De utgör kopior av dina värdefulla och känsliga data, som lagras säkert på olika platser och ger ett idiotsäkert sätt att återställa dessa data om de går förlorade eller äventyras. Säkerhetskopior är helt avgörande för alla kontinuitetsplaner eftersom de säkerställer att driftstopp minimeras kraftigt vid negativa händelser och att verksamheten kan återupptas omedelbart utan betydande informationsförluster.
För att säkerställa att dina säkerhetskopieringsprocesser är proportionerliga finns det flera viktiga aspekter som du bör tänka på. Se till att du kan svara på följande frågor:
Här är några frågor som du kan arbeta för att undvika i samband med kontinuitetsplanering och säkerhetskopiering.
Bristande engagemang och stöd från ledningen: Du bör göra ditt bästa för att öka medvetenheten om fördelarna med kontinuitetsplanering och uppmuntra till samarbete - så att viktiga negativa händelser kan identifieras ur alla synvinklar.
Begränsade resurser (tid, budget, personal) och lagarbete: När man förstår vilka katastrofer kontinuitetsplaneringen försöker begränsa, börjar man förstå dess relevans. Besluta separat om tillräckliga resurser och de personer som behövs för arbetet - med stöd från högsta ledningen.
Känsla av komplexitet i IT-infrastrukturen: En komplex miljö kan få det att kännas som om det är svårt att få koll på t.ex. backup-processerna. Men när du går framåt steg för steg - först dokumenterar backup-processer och sedan kategoriserar backup-ansvar för datasystem - kommer du att göra stadiga framsteg och snart kommer ämnet inte att verka så komplext längre.
Otillräcklig testning och underhåll av kontinuitetsplaner: En plan är inte tillräckligt kraftfull om den implementeras för första gången i en verklig situation. Alla säkerhetsramverk nämner att man regelbundet ska öva på kontinuitetsplaner och återställning av säkerhetskopior, så att implementeringen i en stressig verklig situation kan bli framgångsrik.
ISO 27001 tar upp kontinuitet i flera kontroller, som rör aspekter som skydd av information under störande händelser, beredskap för organisationens ICT för kontinuitet och redundans för informationsbehandlingsanläggningar.
Det finns också en annan ISO-standard, ISO 22301, som är helt inriktad på hantering av affärskontinuitet. Denna standard stöder planering för, reaktion på och återhämtning från störande incidenter genom att erbjuda ett mer övergripande ramverk för kontinuitetsplanering. Om du ser detta som en central aspekt av ditt informationssäkerhetsprogram kanske du vill bekanta dig med den här standarden också.
Denna kontroll understryker behovet av att skapa kontinuitetsplaner för att säkerställa att informationssäkerheten förblir på en lämplig nivå även under störningar, i syfte att skydda information och relaterade tillgångar under utmanande omständigheter.
Dessa kontinuitetsplaner bör ha tydliga ägare och de bör testas och regelbundet ses över för att upprätthålla eller återställa informationssäkerheten i kritiska affärsprocesser efter avbrott.
Denna kontroll belyser säkerställandet av att organisationens IKT-beredskap är tillräckligt hög för att kunna matcha målen för affärskontinuitet och kraven på IKT-kontinuitet. I grund och botten innebär detta att t.ex. datasystem som behövs för kritiska verksamheter måste kunna återställas inom samma tidsram som krävs för huvudprocessen.
Organisationen måste identifiera vilka återställningstider och återställningspunkter som olika ICT-tjänster måste kunna uppnå, med hänsyn till de definierade återställningsmålen för relaterade processer, och säkerställa förmågan att uppnå dem. I relation till tidigare kontroll bör kontinuitetsplaner, särskilt relaterade till ICT-tjänster, skapas, godkännas och testas regelbundet.
Organisationer måste övervaka sin användning av ICT och andra viktiga resurser. Detta hjälper dem att säkerställa att de har tillräckligt med informationsbehandlingsanläggningar, personalresurser, kontor och andra anläggningar, med tanke på affärskritiken för de relevanta systemen och processerna. Det är bra att ha system för tidig upptäckt och varning, så att problem kan upptäckas och prognoser för framtida kapacitet kan anpassas till t.ex. affärstillväxt och tekniktrender.
Denna kontroll betonar behovet av reservsystem för viktiga databehandlingsresurser för att möta tillgänglighetsbehov och hålla verksamheten igång. Organisationen bör planera och upprätta rutiner för användning av redundanta delar och anläggningar. Rutinerna bör fastställa om de redundanta delarna alltid är aktiva eller om de aktiveras automatiskt eller manuellt i nödsituationer. Det är viktigt att redundanta delar och anläggningar har samma säkerhetsnivå som de primära.
ISO 27001 behandlar säkerhetskopiering mestadels i en enda kontroll 8.13. Denna kontroll kräver regelbundet underhållna och testade säkerhetskopior, men ger också många viktiga tips i sin implementeringsvägledning, t.ex. relaterade till förståelse av affärskrav för säkerhetskopiering, lagringsplatser för säkerhetskopior, lämpligt skydd för säkerhetskopior och kryptering.
Organisationen bör säkerställa att säkerhetskopior av information, programvara och system regelbundet underhålls och testas, i enlighet med fastställd policy för säkerhetskopiering. Detta är viktigt för att kunna återskapa data eller system vid förlust.
Du bör kartlägga dina nuvarande backupprocesser och se till att du har proportionerliga svar på nyckelfrågorna: Vilka data säkerhetskopieras? Var lagras säkerhetskopiorna? Hur ofta görs säkerhetskopieringarna? Hur länge ska säkerhetskopiorna sparas? Vem är ansvarig?
När du är nöjd med beskrivningarna av din säkerhetskopieringsprocess är den svåra delen över. Sedan är det bara att se till att säkerhetskopiorna fungerar, granska hur omfattande de är och testa återställningen regelbundet.
Denna kontroll avser snarare säker konfiguration i allmänhet, men att fastställa och tillämpa tydliga regler för kryptering och nyckelhantering i samband med säkerhetskopiering är en viktig del av en stark strategi för säkerhetskopiering.
När molntjänster används måste organisationen säkerställa en tydlig uppdelning av säkerhetsrelaterade ansvarsområden. Säkerhetskopiering av data kan ofta vara tjänsteleverantörens ansvar, men saker som vald plan och typ av hosting kan påverka säkerhetskopieringsdetaljerna. Se till att du är väl medveten om hur omfattande säkerhetskopior som tillhandahålls för viktiga system.
För att uppfylla NIS2 i förhållande till affärskontinuitet och säkerhetskopiering måste du ha proportionerliga, tydligt dokumenterade och implementerade åtgärder för dessa säkerhetsämnen. Genom att anpassa dina åtgärder till de beprövade bästa metoderna i ISO 27001 kan du vara säker på att du har implementerat ämnet på lämpligt sätt och förbättrar din övergripande motståndskraft och beredskap i processen.
Kom ihåg att kontinuitetsplanering inte bara handlar om att bocka av en lista. Det handlar om att skapa en robust struktur som kan motstå negativa händelser och säkerställa en smidig verksamhet. Saker kan gå fel; det viktiga är att ha en väl genomtänkt strategi för att återhämta sig och fortsätta. Och även om säkerhetskopieringstekniker finns i varierande komplexitet, bör det primära övervägandet vara ett tillförlitligt och säkert system som säkerställer att dina viktiga data förblir tillgängliga även under kritiska tider.
Så i grund och botten är kontinuitetsplanering och säkerhetskopiering åtgärder för att förhindra och kontrollera de mest fruktansvärda katastroferna i förhållande till din verksamhet! Ur denna synvinkel kan man mycket väl hävda att de är ett av de allra viktigaste områdena i alla motståndskraftiga informationssäkerhetsprogram.
