5 grunner for hvorfor du skal holde beredskapsplanen oppdatert

"Noen mennesker liker ikke endring, men du må omfavne endring hvis alternativet er en katastrofe." Dette er en oversettelse av ordene til milliardær, filantrop og Tesla-gründer, Elon Musk. De ble opprinnelig brukt for å beskrive miljøpolitikk, men vi kan trekke paralleller, også til arbeidet med beredskap og krisehåndtering. Å sikre at beredskapsplanen din er oppdatert kan innebære betydelige endringer, men hvis alternativet er å unnlate å minimere skadevirkningene av en uønsket hendelse, ulykke eller krise - har du intet valg.

I mars i år, da realitetene rundt corona-pandemien begynte å materialisere seg for de fleste i Norge opplevde vi en strøm av henvendelser. De fleste dreide seg om import av brukere og kontakter for bruk i varslingslister for distribusjon av informasjon, samt innkalling av ressurser. Når krisen først rammer er tid en kritisk faktor, og fordelene med rutiner for kontinuerlig oppdatering kommer til syne. Du vil heller bruke tiden din på å håndtere krisen, enn å oppdatere varslingslister, se punkt 1 i lista under.

Det finnes selvfølgelig også automatiserte prosesser for å ivareta akkurat slike oppdateringer, vi viser de, og snakker om effekten av de i et webinar torsdag 25. juni kl. 09.00. Les mer og meld deg på her.  

Under er en liste med de fem viktigste grunnene til å behandle beredskapsplanen din som et levende dokument som kontinuerlig oppdateres for å best beskrive virkeligheten her og nå.

  1. Ansattes sikkerhet

    Øverste prioritet for alle virksomheter må være ansattes velferd og sikkerhet. Det er ikke tilstrekkelig at en person vet hva han og organisasjonen skal gjøre i en krise. Hensikten med en beredskapsplan er å gi alle involverte en felles forståelse av hva som skal gjøres, når det skal gjøres, av hvem, og hvordan det skal utføres. Ved en hendelse eller en krise reduserer dette sjansen for skader, eller det som verre er.

    Ved å regelmessig oppdatere beredskapsplanen for å sikre at endringer i personell, organisasjon og risikovurdering er tidsaktuelle - kan ansattes sikkerhet maksimeres. En beredskapsplan kan selvfølgelig ikke i seg selv trygge alle ansatte i enhver situasjon, men ved å sikre at alle som har en rolle i håndtering av en hendelse kjenner sitt ansvar, oppgaver og myndigheten de opererer under, er det mulig å gjøre risikoen mindre.

  2. Juridisk etterlevelse

    Et mangfold av lover og regler spesifiserer, regulerer eller setter krav til en virksomhets kontinuitetsplanlegging og krisehåndtering. Kravene varierer fra bransje til bransje, men et vanlig tema blant dem alle er nødvendigheten av å holde informasjon oppdatert.

    Les også: Kontinuitet i krisetid: Slik sikrer du driften av virksomheten

    Hvis ikke beredskapsprosedyrer vedlikeholdes er det ikke bare en alvorlig risiko for å ikke kunne sørge for at ansatte er trygge, men virksomheter er fortsatt ansvarlige for sine systemer og prosesser. Manglene overholdelse kan føre til alvorlige omdømmemessige konsekvenser, pålegg fra myndigheter og i ytterste konsekvens nedstenging av virksomhet. Ikke bare myndigheter, men også aksjonærer og andre interessenter forventer at en organisasjon utviser aktsomhet og sørger for at nødvendige systemer og data er tilgjengelige og oppdaterte.

  3. Responstid

    Det er umulig for en virksomhet å sikre seg mot alle potensielle hendelser. Uønskede hendelser og kriser kan oppstå når som helst, og mange ganger uten forvarsel. Når krisen oppstår, uavhengig av årsak, kan tiden det tar å respondere være forskjellen mellom en ripe i lakken og en katastrofe.

    Kun ved å sikre at alle interne og eksterne kommunikasjonsdetaljer i beredskapsplanen er oppdatert og nøyaktige, kan virksomheter minimere tiden det tar å svare på en krise, og dermed redusere den samlede virkningen. Dessuten kan hastigheten og effektiviteten din virksomhet håndterer en krise på, direkte påvirke skaden som oppstår, på mennesker, eiendeler og miljø, samt selvfølgelig begrense omdømmeskadene som ofte følger med.

    Et svar kan være så mangt, det kan være å informere ansatte, aksjonærer eller eiere, det kan være å mobilisere ekspertise, tilkalle redningsetater, opprettelse av en pårørendetelefon, frigi informasjon fra hendelsen, og så videre. 

  1. Systemsikkerhet

    Målet med beredskapsplanlegging er å kartlegge den risiko som truer virksomheten din. Mens dette tradisjonelt har inkluderer hendelser knyttet til ulykker som brann, flom, orkan, jordskjelv og også villedede handlinger som vold og terrorisme, er et nyere tillegg til listen cyberkriminalitet. I den moderne tid er skadepotensialet av datakriminalitet og hacking enorm. Cyberkriminelle utvikler stadig nye og mer sofistikerte måter å ødelegge systemer og stjele informasjon.

    For rammede selskap kan et vellykket angrep føre til tap av omdømme, tap av konkurranseevne, tap av kontrakter, og i ytterste konsekvens konkurs. For å unngå disse eventualitetene må man sørge for optimal systemsikkerhet. Beredskapsplanene må oppdateres jevnlig for å gjenspeile dagens beste praksis for beskyttelse, og svare på hackerangrep. Kun slik kan virksomheter være forberedt på å takle det som kommer.


    Les mer:
    Slik sjekker du at leverandøren av skytjenesten tar datasikkerheten på alvor.

  2. Trening

    Mange beredskapsledere og virksomheter kjemper en tøff kamp om ressurser for å forbedre sikkerhet og beredskapsplanlegging. Som andre forebyggende tiltak, er det lett at ledelsen flytter det ned på prioriteringslista, eller skyver ansvaret nedover i organisasjonen. Også i de tilfeller en robust plan er på plass, kan en dårlig holdning og kultur rundt kriseberedskap og kontinuitetsplanlegging, ha en innvirkning på andre viktige områder – for eksempel testing, trening og øving.

    Ingen liker å simulere en krise, men det er vel verdt tiden. Ikke bare vil det fortelle deg om planen fungerer i en skap situasjon, men det gir også de involverte ansatte en innsikt i deres roller under en hendelse. De får testet egne prosedyrer og rutiner, og gjennomført sine oppgaver i praksis.

    Når du oppdaterer beredskapsplanen din, tilsier beste praksis at du også bør gjennomføre trening. Dette skal sørge for at de nye rutinene er nødvendige, gjennomførbare og forståelige for alle involverte. Ved å involvere ledelsen kan du sørge for eierskap til planen og forståelse for viktigheten av å være forberedt. Hvis du sliter med å få ledelsen til å forstå viktigheten av forberedelser og trening, kan du jo forsøke å sende de uforberedt i et simulert pressemøte… da vil de nok ikke ønske å prøve det en gang til ;)
     

Her kan du laste ned en samling av skrivebordsøvelser som hverken tar lang tid eller store ressurser for å gjennomføre. New call-to-action

Av Jan Terje Sæterbø

Jan Terje er Leder Sikkerhet i F24 Nordics. Han har vært med på å designe løsninger for digital krisehåndtering helt fra slutten av 1990-tallet og har ledet implementeringen av slike løsninger for en rekke både nasjonale og internasjonale aktører. Han har bakgrunn fra forsvaret og har mange års erfaring fra IT-bransjen både som leder og prosjektleder.

Flere artikler fra denne forfatter

Abonner på bloggen