It-beredskabstest i PFA side 1 Agenda • Kort om indlægsholder, PFA og PFA IT • PFA’s IT-beredskab • Test af IT-beredskab side 2 Biografi - Jesper B. Hansen • Jesper Hansen har arbejdet med it-sikkerhed i mere end 10 år. Først som Management konsulent i Protego samt PricewaterhouseCoopers (PwC) og efterfølgende i 3 år som leder af PFA’s IT Sikkerhedsafdeling. • Jesper er i dag leder af PFA’s IT operations & Technology afdeling, som har det operationelle ansvar for PFA’s IT-drift, it-sikkerhed og it-beredskab. • Indenfor IT-sikkerhed er Jesper’s fokus på de ledelsesog styringsmæssige it-sikkerhedsområder herunder: • Risikostyring • Governance • Beredskabsplanlægning og –test. side 3 PFA PÅ TO MINUTTER … • Vi er markedets foretrukne pensionsleverandør • 1200 medarbejdere fordelt på tre kontorer • Grundlagt i 1917 af arbejdsmarkedets parter • Indbetalinger på 20,2 mia. kroner Vi har en bundsolid økonomi med en solvensdækning på 210 % I 2012 udførte Rådgivningscentret knap 230.000 samtaler • Balance på 370 mia. kroner • Samlet investeringsafkast på 31,1 mia. kroner • Stigende medarbejdertilfredshed, faldende sygefravær og lavere medarbejderomsætning • Fokus på kerneforretningen – pensionsopsparing, sundhed, velfærd og innovation Over 58.000 personlige rådgivningsmøder med beslutningstagere og pensionskunder Afkast i markedsrente på 12-18 % • Fokus på forretningsansvar Vi er vækstet 21 % i 2012 og fortsætter ind i 2013 side 4 Kilde: PFA Årsrapport 2012 VI ER MARKEDETS FORETRUKNE PENSIONSLEVERANDØR C20 Bredt funderet hos danske virksomheder… …og organisationer side 5 Opbygning af PFA’s IT-beredskab side 6 Business Continuity Management & Information and communications technology (ICT) continuity management BIA Kilde: BS 25777 : 2008 side 7 PFA’s samlede beredskab PFA’s centrale beredskabsorganisation Beredskabsleder Krisekommunikation Styregruppe (Direktionen) Kriseleder Forretningsberedskab Områdeansvarlig 1 Områdeansvarlig 2 Overordnet kommunikation og styring Områdeansvarlig X IT-beredskab ”Beredskabsplan ved alvorlige driftsforstyrrelser” og oversigt over kritiske forretningsgange i PFA PFA Ejendomme beredskab Kriseleder Kriseleder Kriseleder It-kriseleder Områdeansvarlig 1 Områdeansvarlig 2 Områdeansvarlig X BCP ”It-beredskabsplan” med områdespecifikke procedurer og kritiske forretningsgange BS 25999 (ISO 22301:2012) Detail kommunikation og styring Detail kommunikation og styring (ISO 27031:2011) Områdeansvarlig 2 Områdeansvarlig X ”Beredskabsplan” med områdespecifikke procedurer og kritiske forretningsgange Detail kommunikation og styring DRP BS 25777 side 8 Områdeansvarlig 1 PFA’s samlede it-beredskab Ansvar PFA’s it-beredskab Niveau 1 IT-sikkerhed 3. Instrukser til genetableringsteams T&O NNIT’s kundespecifikke it-beredskabsplan for PFA CSC’s kundespecifikke it-beredskabsplan for PFA X’s kundespecifikke it-beredskabsplan for PFA Leverandør Niveau 3 Leverandør side 9 IT-sikkerhed Niveau 2 Teknisk reetableringsplan System A Teknisk reetableringsplan System B Teknisk reetableringsplan System C Teknisk reetableringsplan System X 2. Operationel itberedskabsplan Teknisk reetableringsplan System A Teknisk reetableringsplan System B Teknisk reetableringsplan System C Teknisk reetableringsplan System X It-beredskabsplan IT-sikkerhed Teknisk reetableringsplan System A Teknisk reetableringsplan System B Teknisk reetableringsplan System C Teknisk reetableringsplan System X It-kriseleder 1. Overordnet itberedskabsplan Kontrol It-kriseorganisationen PFA’s it-kriseorganisation Styregruppe Henrik Heideby Anne Broeng Jon Johnsen Lars Ellehave-Andersen Kommunikation Søren P. Espersen Sekretariat Pia Rask, PSR (Claus Bartholin, CBT) It-kriseleder Michael Aagaard Biermann, MBI (Jon Johnsen, JON) Jesper Hansen, JEH (Leif Christophersen, LCH) genetableringsteam - klientplatform - telefoni Leverandør X Leverandør(er) Leverandør C Leverandør X Leverandør C Leverandør B Jesper Hansen, JEH (Stig Hansen, STH) Desktop Data Leverandør A Leverandør X Leverandør C Leverandør(er) Leverandør B Leverandør(er) Leverandør A Leverandør(er) Leverandør X genetableringsteam - data - backup Leverandør C Applikationer genetableringsteam - middleware - portaler - forretningsapplikationer Leverandør B Infrastruktur genetableringsteam - netværk - servere - databaser Leverandør A side 10 Tommy Vesterskov, TVE (Per Jylling, PJY) Leverandør A Susan Blitz, SUB (Allan Vitting, ALV) Leverandør B It-kriseledelse Faserne i PFA’s operationelle it-beredskab Faserne i PFA’s operationelle it-beredskab (rød) Major incident proces (blå) Majorincident incident Beredskab Major Beredskab (EPI) (it-kriseledelse) (EPI) (it-kriseledelse) Sammenhæng mellem Major Incident processen og it-beredskab React Hændelse indtræffer Run Return Afslut Major Incident Detect ! side 12 Recover Beslutning træffes af IT-kriseleder om at iværksætte beredskabet ! Beslutning træffes af IT-kriseledelse om at afblæse beredskabet Flow i plan Major incident processen (EPI center) Mulig krise Retur til Major Retur til Major Fase 1 Detect Fase 2 React Notifikation til Kriseledelse 3.7.1 Instruks: Modtagelse af notifikation og erklæring af krise, side 21 Førstemøde i kommandocentral 3.7.2 Agenda: Første møde i kommandoce ntralen, side 23 Mobiliseing af it-kriseledelse 3.1.2 side 8 og 4.1 Varslingsliste itkriseledelse, side 35 Kommandocentral 4.4 Varsling ejendomme, side 37 Etabler kommandocentral 3.7.5 Instruks: Etabler kommandoce ntral og sekretariat, side 28 (DEL I) Indkald genetablering steams Varslingsliste genetablering steams og itsystemejere, side 36 Detaljeret skadesvurdering 3.7.4 Instruks: Detaljeret skadesvurderi ng, side 27 Fase 4 Run 3.7.6 Skema: Oversigt over skade på PFA infrastruktur , side 29 Påbegynd logbog Tildel Roller Instruks: Distribuer roller, side 26. Fase 5 Return 3.7.8 Instruks: Afblæsning af kriseberedska bet, side. 33 3.7.8 Instruks: Afblæsning af kriseberedska bet, side. 33 Løbende monitorering og tilpasning 3.7.7 Agenda: Løbende monitorering og tilpasning af genetablering sarbejdet, side 31 Bilag 2; Skema: Oversigt over genetablerin gstider, side 39. Nej Nej Fortsat krise? Anvend Bilag 3; Beslutningslog, side 44 side 13 Fase 3 Recover Retur til Major Stadig Krise? Ja Etabler kommandocentral 3.7.5 Instruks: Etabler kommandoce ntral og sekretariat, side 28 (DEL II) Evaluering af skade 3.2.3 Evaluering af skaden, side 12 JA Tidslinje for initiel håndtering af it-krisen Major incident Beslutning senest efter 1 time 2 timer Beslutning senest efter 3 timer 1. Major incident opdaget 2. PFA EPI notificeres 3. EPI-center kontakter it-kriseleder som erklærer krise (eller retur til Major incident proces) 4. It-kriseledelse notificeres og samles (evt. virtuelt) ! 5. Detaljeret skadesvurdering udføres 6. It-kriseleder iværksætter mobilisering af itkriseledelse (eller retur til Major incident proces) 7. Styregruppe informeres og beslutter evt. iværksættelse af forretningsberedskabsplan ! 8. Genetableringsarbejde igangsættes Hændelse indtræffer side 14 ! Beslutning træffes Interessent informeres Fase 1 - Detect Maksimum 1. time Mulig krise rapporteret til It-kriseleder Er hændelse en krise ? Instruks: ”Notificering og erklæring af krise” Ja (eller tvivl) Fase 2 REACT Kriseberedskabet afblæses Nej Retur til major incident proces side 15 Fase 2 - React Krise er erklæret Fase 1 Maksimum 1. time It-kriseledelse mobiliseres og vurderer skaden Agenda: ”Første møde i kommandocentralen” Instruks: ”Detaljeret skadesvurdering” Maksimum 2. timer Understøtter den detaljerede skadesvurdering erklæringen af krisen? Nej Ja Påbegynd arbejde og monitorer situationen It-kriseleder rapporterer til styregruppe Sektion: ”It-kriseledelsens statusrapport til styregruppe” Kriseberedskabet termineres Fase 3 Retur til major incident proces side 16 Instrukserne side 17 It-beredskabstest i PFA Scenarierne 2011 Oversvømmelse af datacenter side 19 2012 Giftudslip på Nordhavn station Nordhavn Station 3. December 2012 JEH Testobjectives og forløb • Testobjectives – fokus på at teste: • generel anvendelse af PFA IT’s overordnet IT-beredskabsplan • IT-kriseledelsen og deres indbyrdes kommunikation • nedlukning af PFA’s hovedkvarter • kommunikation til 1200 medarbejdere • plan for genetablering af ca. 100 nødarbejdspladser, herunder: • Prioritering af forretningskritiske arbejdspladser • Løsning af tekniske udfordringer • ikke test af presseberedskab, testet 2011. • Forløbet var fastlagt til kl. 11.00 - 14.00 og fordelt cirka sådan her: • 11:00 – 11:10 Testen startes op i internt mødelokale (under dække af at være IT revision) • 11:10 – 11:30 Afgang til alternativ lokation • 11:30 – 13:45 Selve øvelsen • 13:45 – 14:00 Opsummering af testforløbet side 21 Opstarten – brandmand som formidler af info side 22 Selve øvelsen side 23 Eksempler på udarbejdet materiale side 24 Konklusion Positive ting: Primære observationer: • Kriseledelsen anvendte itberedskabsplanen og tilhørende instrukser (tidligere obs.) 1. Overblik over forretningsområders behov bør detaljeres. • Kriseledelsen var aktive og opsøgende med henblik på løsninger • Kriseleder var hurtig til at skabe overblik – også over tekniske barrierer • Kriseledelsen havde god dialog med leverandørerne (tidligere obs.) • God dialog og konsensus ved beslutninger • God løsning at anvende Vejle og Århus kontorer med eksisterende infrastruktur side 25 2. Ansvar og procedurer for kommunikation bør præciseres 3. Enkelte genetableringsteams mangler instrukser. 4. Der bør etableres bedre styring af overblik over aktuel status både teknisk og handlingsmæssigt. Eksempel på detaljeret tilbagemelding 4. Genetableringsteams mangler instrukser Observationer: Anbefalinger: • Der manglede planer for enkelte genetableringsteams, som kan illustrere hvordan de på forhånd kendte kritiske områder genetableres. • • Der var uklarhed omkring hvordan man skulle skaffe pc´er til medarbejdere, der ikke havde en bærbar til rådighed. • o vigtige batchkørsler (Ansvarlige: TVE, SUB & JEH). Erkendelsen af, at vi ikke ”bare” kunne etablere nye pc´er. • side 26 Alle genetableringsteams skal udarbejde genetableringsplaner for kritiske systemer og / eller områder. Genetableringsplanerne bør indeholde punkter så som: It-beredskabsplanen bør indeholde en skabelon / checkliste for genetableringen, således at det hele tiden er tydeligt, hvilke systemer der er oppe og køre igen. (Ansvarlig: IT Sikkerhed) Opsummering - Vejen til en god test • Før • Overvej hvad er det du vil teste – Vær konkret og fokuseret • Vær velforberedt - Udarbejd gode test scenarier, og mulige udfald • Keep it simple - ting tager længere tid end forventet • Under • Husk afgrænsning og spilleregler • Anvend evt. en ekstern ”gamemaster”, som ikke har noget i klemme • Følg planen, men afvig når det er nødvendigt • Pas på med at blive kørt ud på et sidespor • Skab noget stress – få statister til at ringe til it-kriseledelsen • Efter • Evaluering, forankring og opfølgning side 27 Spørgsmål ? Jesper Hansen E-mail: JEH@PFA.DK Tlf. 2488 4283 side 28 3 Ting til at tage med • Do • Vær velforberedt, forsøg at tænke scenariet helt igennem • Få afklaret dine testobjectives med relevant direktør, så der er overensstemmelse med dine og virksomhedens mål • Don’t • Gør ikke scenarier eller øvelsen for kompleks – du skal kunne styre det og tiden, hellere lidt men godt. • Awareness skabes bedst ved, at få folk til at spidse ører af sig selv • ”Hyr” en brandmand • Lav scenarierne så realistiske som muligt • Gør det sjov side 29
© Copyright 2024