Incidenthantering, mer än bara hantera händelsen

Från och i dag, den första april blir det, som de flesta vet, obligatoriskt för svenska myndigheter med it-incidentrapportering, vilket i de flesta fall görs till MSB. Förhoppningsvis betyder det att de flesta myndigheter febrilt håller på att implementera nya rutiner och funktioner för att möta detta krav. Men incidentrapportering behöver inte vara något myndigheter måste göra enbart för att uppfylla lagkravet. Det kan även vara något myndigheter kan dra verklig nytta av.

Allt för ofta är incidenthanteringen något som hanteras och överses av IT-avdelningen, och ledningen får eller kräver endast rapporter när de känner att det är motiverat. Med tanke på hur viktigt IT oftast är för hela verksamheten räcker det helt enkelt inte att arbeta med incidenthantering på detta begränsade sätt.

Vad menas med det?

Jo, jag tror tyvärr att det är rätt vanligt att incidenthanteringen ser ut ungefär så här:

Bild

En process som naturligtvis räcker för att hantera IT-incidenter, men det behövs mer. Processen utelämnar till exempel en förberedelsefas. Det går faktiskt att förbereda sig för incidenter genom att ta fram en plan för hur incidenter ska hanteras och planera för de resurser som behövs. Det kan handla om dokumentation över system och dess säkerhetsfunktioner, utrustning, kontaktlistor eller bara att säkerställa att det finns en incidenthanteringsgrupp. Det är även viktigt att incidenten utvärderas så att man kan lära sig något av den. Förutom att utvärdera varför incidenten hände och hur man kan förhindra att den inträffar igen, är det även viktigt att utvärdera själva incidenthanteringen - vad som gjordes bra och vad som kunde ha gjorts bättre.

En bättre process för incidenthantering skulle kunna se ut så här:

Bild

Incidenthantering och planeringen av denna bör vara en del av organisationens hela kontinuitetsplan och det övergripande ansvaret bör inte enbart ligga hos IT-avdelningen. Det är även bra om ”resultatet” av incidenthanteringsarbetet omhändertas och används, inte enbart för att förbättra processen i sig, utan även som en del av organisationens kontinuitetsarbete. Resultaten kan även användas som ett sätt att utvärdera organisationens resistens och som indata för det kontinuerliga riskarbetet.

Hur ser det ut hos er, tar ni er tid för att lära av era incidenter?