Den 25 november 2011 fick en stor IT-leverantör problem i en av sina datahallar. Händelsen påverkade bland annat möjligheten att hämta ut receptbelagd medicin, besikta bilen och besöka kommuners hemsidor. Detta var den hittills största IT incidenten i Sveriges historia och en statlig haveriutredning genomfördes. Cirka 50 kunder fick sin IT-drift utslagen. Tjänsten E-recept hos Apoteket låg nere i fem dagar, bilprovningen i tio dagar och vissa kommuner hade fortfarande problem efter en månad.
Händelsen fick många att inse hur viktigt det är med kontinuitetsarbete och att ha processer och rutiner på plats för att hantera de oväntade. Hur hade ditt företag klarat sig om IT-systemen var otillgängliga i fem eller dagar? Maj månad är Business Continuity Awareness month och därför passar vi på att intervjua Dolores Bergquist som arbetar som Business Continuity Coordinator för CGI i Skandinavien.
Dolores, hur ser din roll ut på CGI?
”Jag tar hand om vår interna process för Business Continuity. Jag stöttar våra olika verksamheter med att ta fram och öva planer, följa upp och göra förbättringar i processen. Till viss del hjälper jag även till i några av våra leveranser till kunder. Det är viktigt att CGI har ett bra kontinuitetsarbete eftersom vi har ett stort ansvar gentemot alla kunder att leverera våra tjänster till dem även när det oväntade inträffar.”
Covid-19-pandemin är den största globala händelsen inom kontinuitetsområdet i modern tid som påverkar allt från leverantörskedjor och hela samhällen med restriktioner och rekommendationer till individer som inte kan arbeta på grund av nedstängningar.
Vad handlar kontinuitet egentligen om?
”Det handlar om en verksamhets förmåga att stå emot och hantera stora oväntade händelser. Covid-19-pandemin är den största globala händelsen inom kontinuitetsområdet i modern tid som påverkar allt från leverantörskedjor och hela samhällen med restriktioner och rekommendationer till individer som inte kan arbeta på grund av nedstängningar. Stoppet i Suezkanalen orsakade ytterligare störningar i redan påverkade och känsliga leverantörskedjor. Fabriker kan inte producera om komponenterna inte kommer fram. Det medför i sin tur förseningar i leveranser av produkter som bilar, IT-komponenter och material till vården.”
”Kontinuitet handlar inte enbart om att säkerställa att alla viktiga IT system fortsätter att fungera om en eller flera komponenter går sönder. Det handlar även om att ha rutiner och planering för andra risker inom den egna verksamheten.”
Vilka är dina viktigaste tips till verksamheter för att klara oförutsedda händelser?
”Alla företag, stora som små, behöver arbeta med kontinuitetsplanering. På mindre företag behövs inte något certifierat proffs utan man kommer långt med logiskt tänkande och den kompetens som finns inom ledningen och hos medarbetarna. Däremot bör man ha en dedikerad person som driver arbetet. Ofta landar rollen på den som är IT-säkerhetsansvarig eller informationssäkerhetsansvarig, men andra roller kan fungera precis lika bra. Börja med att titta på vilka risker som finns, vad som skulle kunna hända och vilken påverkan den händelsen skulle kunna få. Planera alltid för att den oönskade händelsen kan ske vid absolut sämsta tidpunkt. Fokusera inte för mycket på specifika scenarier. Oavsett hur många scenarier du tar fram specifika planer för så kommer du att råka ut för något du inte planerat för. Tänk bredare och ta fram planer som stöttar i arbetet att komma tillbaka till normalt läge. Tänk inte så mycket på varför en lokal eller ett IT-system är otillgängligt utan på hur ni hanterar händelsen. Tydliggör beslutsvägar och kommunikationsvägar. Vilka har mandat att fatta beslut, hur kommunicerar vi med våra intressenter och med pressen?”
”Nästa steg är att öva. Föreställ dig att olika scenarier inträffar och öva på att hantera dem med hjälp av era planer. Uppdatera planerna med det ni lärt er. Det är genom övningar och i arbetet med att ta fram planer ni lär er allra mest. Glöm inte bort att ställa liknande krav på de underleverantörer ni är beroende av. Kan de hantera en krissituation?”
Det är inom verksamhetens olika avdelningar som kontinuitetsarbetet utförs. Planer ska skrivas av dem som har störst kompetens inom aktuellt område. Oavsett storlek på företag bör man tänka på principen om Ansvar - Närhet - Likhet.
Ser kontinuitetsplaneringen olika ut beroende på verksamhetens storlek?
”Tittar vi på större företag är det egentligen ingen skillnad på processen, men komplexiteten ökar med storleken. En liten händelse i en del av verksamheten kan få stora konsekvenser i andra delar. Här är det ännu viktigare med ett brett engagemang både från olika ledningsgrupper och medarbetare. Även om en eller flera personer är utpekade och ansvariga för kontinuitetsområdet är det inom verksamhetens olika avdelningar som kontinuitetsarbetet utförs. Planer ska skrivas av dem som har störst kompetens inom aktuellt område. Oavsett storlek på företag bör man tänka på principen om Ansvar - Närhet - Likhet. Är du ansvarig för något i vardagen är du även ansvarig när det krisar. En händelse ska hanteras så nära den verksamhet som är drabbad som möjligt, det är där den största kompetensen finns. Förändra inte processerna för att ni befinner er i en kris. Försök att stanna så nära de ordinarie processerna som möjligt.”
Dolores påminner om ett citat som myntades under andra världskriget av USA:s president Dwight D. Eisenhower och som är mycket använt inom kontinuitetsområdet: “Plans are worthless, but planning is everything.”
”Han menade att det ger ett väldigt stort värde att ta fram planer och att öva på dem, men när slaget väl börjar måste man vara flexibel och anpassa sig till situationen. Precis så är det! Hur många planer du än har, hur mycket du än övar så kommer du att råka ut för något annorlunda. Den kunskap och kompetens du får genom arbetet med att ta fram dina planer och öva på dem ger dig en bra förmåga att hantera situationen. Du kommer att ha ett stort stöd av dina planer, men delar av detaljerna måste tas fram under resans gång.”