Robusthet: Tåler vi virkeligheten? 

Geschäftsmann ist standhaft

Et provoserende spørsmål som stilles altfor sjelden – av andre og av oss selv. Kanskje fordi vi aner at svaret er ‘nei’. For minst 9 av 10 virksomheter – inklusive offentlig sektor – er anelsen korrekt. Ikke vet vi hvor lenge virksomheten kan være ute av drift og fortsatt overleve, ei heller hvor raskt vi kan være i gang igjen hvis katastrofen er et faktum.

Og katastrofen kan like godt være ransomware som malware, oversvømmelse, innbrudd eller terror. En overraskelse for mange – også IT-profesjonelle, som har oppfattet ransomware som utelukkende sikkerhets/forsvars-relatert. 

Men erfaringene fra ransomware-året 2019 er udiskutable: I en utpressingssituasjon er det robustheten som avgjør om offeret kan reise seg selv eller må betale seg ut. Ikke slik å forstå at sikring og cyberforsvar er mindre viktig enn før, men robusthet er viktigere enn noen gang.

I realiteten er begge deler underprioritert i organisasjoner flest. Cyberforsvaret skal redusere sjansene for at uvedkommende får tilgang til systemer, som i sin tur kan forårsake en ransomware-situasjon. Men sjansen bli aldri null, selv ikke om vi ‘air-gapper’ systemer, kobler dem fysisk fra nettverket. Og når ulykken er ute og utpressingssituasjonen et faktum, er det robustheten som avgjør om vi må kjøpe eller kjempe oss ut. 

Dette er – med mindre justeringer – den samme robustheten som redder oss i tilfelle naturkatastrofer, terror og store ulykker. Planer, tiltak, mekanismer og prosedyrer som skaper uavhengighet i forhold til fysiske ressurser og lokasjoner/lokaliteter. Og forholdene har aldri ligget bedre til rette for å bygge slik robusthet. Ingen trenger å eie sin egen infrastruktur og alle har råd til redundans på et nivå som holder hjulene i gang i et krisetilfelle. 

Den nødvendige robustheten skapes imidlertid ikke bare av redundant teknologi, gode planer og effektive prosedyrer. To andre faktorer er i praksis like viktige. Den ene er praktiske øvelser som sørger for at alle vet hvordan slike situasjoner skal håndteres og sin egen rolle i dem. Den andre er testing – ikke én gang i året eller en gang i måneden, men kontinuerlig i bokstavelig forstand.

Ikke nødvendigvis like dramatisk, men etter samme modell som Netflix’ berømte Simian Army (se Hvorfor Netflix alltid er oppe). Poenget er at omgivelsene og trusselbildene endres kontinuerlig, og tiltakene må følge med. Vi fanger ikke opp alle slike faktorer uten å kontinuerlig pushe grenser, sette systemer og tiltak på prøve. ‘Sitte stille i båten og håpe det går bra’-varianten gikk ut på dato for veldig lenge siden.

Robusthets-utfordringen gjelder hele organisasjonen, ikke bare IT, og trenger strategisk oppmerksomhet fra toppen og nedover.
Robusthets-utfordringen gjelder hele organisasjonen, ikke bare IT, og trenger strategisk oppmerksomhet fra toppen og nedover. Samtidig står IT i en spesiell situasjon fordi teknologi-avhengigheten er total og det forventes at IT har kontroll – også over robustheten. Når ulykken er ute, hjelper det lite å skylde på budsjetter – med mindre ledelsen har fått konkrete valg av typen ‘her er hva vi kan levere med dagens budsjett’ og ‘her er hva vi trenger for å oppfylle forventningene/kravene’.

Diskusjonen om robusthet i myPENDIUM nr. 11 setter ‘fingeren i såret’ så og si: Dagligdagse forhold og historier vi kjenner til, men unnlater å plassere inn i eget verdensbilde – av ulike årsaker. Men det er med robusthet som med en rekke andre strategiske utfordringer i en digital teknologi-hverdag: Det er ikke nødvendigvis vanskelig eller kostbart, men det krever tid og innsats å løfte seg opp på et nivå som er ansvarlig.

Les mer: myPENDIUM nr. 11
Artikkelen er et utdrag fra robusthets-kapitlet i myPENDIUM nr. 11 – IT 2.0: 12 Strategiske føringer for 2020 - del 1. Publisert i mars 2020.

Vær den første til å kommentere

Skriv en respons

Epostadressen din vil ikke vises.


*


Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.