Beredskapsplan – slik planlegger du for det uforutsette

Artikkel

Hvor avhengig er din bedrift av deres IT-systemer, og hvor lenge ville organisasjonen klart seg uten tilgang til kritiske funksjoner? Situasjonen i resten av verden har blitt mer usikker. Krig i Ukraina, energimangel i Europa og økte cybertrusler mot bedrifter over hele verden er bare noen av faktorene som kan føre til at organisasjonens tilgang til kritiske systemer og funksjoner forsvinner. I et slikt scenario blir en godt tilpasset beredskapsplan helt avgjørende for å begrense de negative konsekvensene og håndtere situasjonen best mulig. Men hva skal en slik plan inneholde, og hvor begynner man?

Hva er formålet med en beredskapsplan?

Det overordnede formålet med en beredskapsplan er å sikre effektiv håndtering av alvorlige hendelser og kriser som kan ramme en organisasjon. Nøkkelordet er nettopp effektiv håndtering, siden dette er noe som i en krise blir avgjørende for utfallet. En vesentlig del handler om å sikre kontinuitet i bedriftens daglige oppgaver og holde virksomheten i gang på en god måte, også i en krise.

Når det oppstår en krise er det vanlig å få tunnelsyn ved at alle fokuserer på den akutte krisen. Men det er ikke nødvendigvis det gunstigste for organisasjonen. Hvis et skip begynner å ta inn vann er det ikke optimalt at hele besetningen slipper det de har i hendene for å øse vann. I stedet må man sørge for at noen til enhver tid står ved roret, at kokken i byssa fortsetter å lage mat til besetningen slik at de orker å jobbe overtid, og ikke minst at noen jobber med å tette hullet. Hvis alle sliter seg ut med samme oppgave blir ikke utholdenheten spesielt stor.

Når en krise oppstår, fører det til en periode med stor usikkerhet i hele organisasjonen. Da hjelper det å ha en plan med organisasjonsbeskrivelse, ansvarsfordeling og spesifikke arbeidsoppgaver på individnivå for å skape trygghet for både medarbeidere og ledere. I en krise er det også mange beslutninger som må tas på kort tid. Ved at man under arbeidet med beredskapsplanen tar flere av disse beslutningene skaper man forutsetninger for å håndtere krisen på en bedre måte. I stedet for at kriselederen må bruke tid på avgjørelser om for eksempel booking av møterom, hvem som skal ha ansvaret for å kontakte pårørende, hvem som skal skaffe mat og hvem som skal skrive pressemelding, kan hen i stedet fokusere på viktige strategiske beslutninger.

 

Hvordan lager man en beredskapsplan?

Når man utarbeider en beredskapsplan bør man begynne med å kartlegge bedriftens kritiske funksjoner, tilhørende systemer samt hvilke konsekvenser det vil ha om disse blir utilgjengelige. På fagspråket kalles dette Business Impact Analysis (BIA). Resultatet av arbeidet som gjøres i denne analysen kan, og bør, ligge til grunn for mye av beredskapsplanleggingen.

Arbeidet med en BIA kan oppleves som krevende, da det er en omfattende prosess. Dersom organisasjonen ikke har noen beredskapsplan bør man prioritere å lage en plan som fokuserer på det aller viktigste. Da har man et utgangspunkt å bygge videre på.

 

Innhold og struktur i en beredskapsplan

Det finnes ingen absolutte sannheter når det gjelder hva en beredskapsplan skal inneholde, eller hvordan den skal bygges opp. I stedet bør den tilpasses til hver enkelt organisasjons unike forutsetninger. Det finnes imidlertid enkelte elementer det er konsensus om og som det kan være lurt å ta med. Nedenfor presenterer vi en struktur og et minimum av elementer som en beredskapsplan bør inneholde:

1. Planens formål

Først bør du definere formålet med planen som utarbeides. Det må komme tydelig frem hvorfor planen finnes, hvilke områder den dekker, og hvordan den skal brukes.

I store og mer komplekse organisasjoner er det ikke uvanlig å lage flere beredskapsplaner med ulike formål. Det kan være kontinuitetsplaner for IT-systemer og andre kritiske funksjoner, planer for håndtering av henvisninger som oppstår i forbindelse med levering av tjenester til kunder, eller spesifikke beredskapsplaner for håndtering av trusselsituasjoner.

2. Mandat og fullmakter

Beskriv tydelig kriseledelsens mandat og fullmakter knyttet til krisehåndteringen. Kriselederen og andre roller i kriseledelsen trenger tydelige fullmakter for å kunne ta beslutninger effektivt.

I kriser er tid en kritisk faktor. Derfor vil man unngå en situasjon der kriseledelsen er nødt til å forankre og få ekstern godkjenning av beslutninger knyttet til krisehåndteringen. For at dette skal bli enklere bør beredskapsplanen tydelig beskrive de ulike rollenes mandat og fullmakter.

3. Organisasjon og oppgaver/tiltak

Kriseorganisasjonen bør defineres med roller, tilhørende ansvarsområder og arbeidsoppgaver. Ta gjerne utgangspunkt i disse grunnleggende prinsippene:

Ansvarsprinsippet

Den delen av organisasjonen som har ansvar for et spesialområde i en normalsituasjon, skal også ha det i en krisesituasjon. De bør i tillegg ha ansvar for nødvendige beredskapsforberedelser og for å håndtere ekstraordinære hendelser på det aktuelle området.

Likhetsprinsippet

I en krise skal organisasjonen i utgangspunktet være mest mulig lik den organisasjonen man har til daglig. Stor omorganisering i en krisesituasjon skaper unødig forvirring – i stedet bør man etterstrebe at organisasjonen skal fungere på samme måte som den vanligvis gjør.

Det kjente er det sikre, spesielt i kritiske situasjoner. Forsøk derfor å ha samme velkjente organisering i en krise som i en normalsituasjon.

Nærhetsprinsippet

En krise skal håndteres der den oppstår, og av de nærmeste berørte og ansvarlige. En tommelfingerregel er at kriser skal håndteres på lavest mulig nivå i organisasjonen.

Ikke la ledergruppen, som til vanlig tar beslutninger på strategisk nivå, bli «doers» i kriseorganisasjonen. Ledergruppen bør møtes og ta beslutninger med jevne mellomrom og la proffene arbeide og håndtere de operative sidene ved krisen.

Samvirkeprinsippet

Både etater, myndigheter og private virksomheter har et selvstendig ansvar for å sikre et best mulig samarbeid med andre relevante aktører i arbeidet med beredskap og krisehåndtering. Lag derfor ressurslister over relevante myndigheter, kontaktpersoner hos leverandører og kunder, samt andre interessenter som det kan være aktuelt å kontakte under håndteringen av en krise.

4. Kommunikasjon

Kommunikasjon spiller en sentral rolle i enhver krise og kan raskt gjøre en situasjon bedre eller verre avhengig av hvordan den håndteres. I beredskapsplanen blir det derfor viktig å beskrive hvordan kommunikasjonen skal foregå, hvem som har ansvaret for å utarbeide budskapet, og i hvilke kanaler kommunikasjonen skal skje.

Hvis vi tenker på kriser som rammer politikere, statlige organer eller store organisasjoner, er det ofte manglende kommunikasjon som er mest ødeleggende. Tillit er viktig uansett hvilken bransje organisasjonen tilhører, og hvis tilliten brytes gjennom feil eller utilstrekkelig informasjon, kan det få store konsekvenser. Vær åpen og transparent, bruk et tydelig og enkelt språk, og sørg for å ta eierskap til budskapet før det blir kjent for kunder eller skrevet om i mediene.

Utenom kunder er ansatte og/eller pårørende en gruppe som har stort behov for informasjon, men som fort kan bli glemt i en hektisk krisesituasjon. De samme prinsippene gjelder også her: Vær rask og presis i budskapet – si hva du vet, og hva du ikke vet.

5. Tiltakskort

Tiltakskort er en slags huskeliste over tiltak i en krisesituasjon. De fungerer som et verktøy for å skape trygghet for de involverte i kriseorganisasjonen og for å sikre effektiv håndtering tidlig i krisen. Tiltakskort består ofte av en enkel rollebeskrivelse, tydelige ansvarsområder, sjekklister over oppgaver samt relevante telefonnumre – alt presentert i et enkelt format. Du bør sikre at det finnes tiltakskort for alle nøkkelroller i den definerte kriseorganisasjonen, og legge disse ved beredskapsplanen.

Til slutt må du huske å gjøre beredskapsplanen og tiltakskortene tilgjengelige, og ikke bare oppbevare dem et eller annet sted på SharePoint eller en annen filserver som blir utilgjengelig når det oppstår strømbrudd eller IT-systemet er nede. Sørg for å skrive ut fysiske eksemplarer av planen og at medarbeiderne i kriseorganisasjonen har PDF-versjoner av sine tiltakskort på sin bærbare datamaskin eller telefon.

 

Trenger din bedrift hjelp med å gjennomgå systemavhengighet og bygge opp en solid beredskap? Kontakt oss! 

Koder: Cyber Security
Image Alt Text

Let’s bring yellow to your business!

Uansett hva digital transformasjon betyr for deg, hjelper vi deg med å finne din beste vei til skyen. 

Ta kontakt, så starter vi din nye digitale reise i dag.