Säkerhetsincidenter

Uppbyggnad av rutiner, verktyg samt organisation för hantering av säkerhetsincidenter samt rutiner, verktyg och rapportunderlag och/eller statistik för rapportering och beslutsunderlag till ledning.
Det är sannolikt ingen överdrift att påstå att organisationer som hanterar mer än en handfull incidenter mycket snart ställs inför ett antal frågor; bl.a.

  • Hur många incidenter tar vi hand om?
  • Hur många rapporteras?
  • Vilka typer av incidenter handlar det om?
  • Får vi reda på alla incidenter?
  • Varifrån kommer/rapporteras incidenterna?
  • Hur tillser vi att alla, eller åtminstone merparten, incidenter rapporteras?
  • Vad kostar incidenterna oss?
  • Hur ska vi rapportera?
  • Behöver vi rapportera/berätta om vad som händer?
  • Vad, och hur, ska vi få ledningen att inse vad som händer?
  • Hur ska vi få ledningen att fatta de beslut som är relevanta?
  • Kan vi använda statistik och erfarenheter från hantering av säkerhetsincidenter för att skapa förståelse hos ledningen?
  • Vilka råd ska vi föreslå ledningen?
  • Vad ska vi säga om incidenterna till; anställda, kunder, press, ledning etc
  • Ska vi, och i så fall hur, återkoppla till anmälare?
    m.m.

Bl.a. dessa frågor har jag varit ansvarig för. Den kanske viktigaste erfarenheten var att när vi tog fram sammanställningar på vad som hade inträffat, enkelt och överskådligt presenterat samt översatt till kostnad och besparingspotential dvs ”säkerhet översatt till pengar” så lyssnade ledningen uppmärksamt på våra slutsater och förslag! Och, agerade…!
 
Hur gör man för att införa ett system för hantering av säkerhetsincidenter?
Ordning och reda samt förberedelser är ett sätt att hantera de flesta av dessa frågor.
Hanteringen av dessa frågor görs lämpligen på ungefär följande sätt
1. Första frågan är om något redan finns som kan användas. T.ex. en organisation som är certifierad enligt ISO 9000 eller 14000 har/skall ha ett avvikelsesystem. Det kan normalt kompletteras med de regler/delar som behövs för hantering av säkerhetsincidenter.
Om inget befintligt system finns så behövs ett incidenthanteringssystem.
– Standardiserade termer
– Standardiserade, och överenskomna, kostnader. Om uppföljning av incidenter önskas innehålla ”pengar” bör så långt som möjligt standardkostnader spikas.
– Val av system (manuellt eller datoriserat).
2. Information internt och externt; nu kan du rapportera incidenter.
Varifrån, och hur, rapporteras incidenterna?
Automatiserat varningssystem
egen personal
externt; kunder/kontakter etc
3. Hantering av rapporterade incidenter.
Utse incidenthanterare som har till uppgift att gå igenom ”inkorgen” och utreda det som anmäls.
3. Uppföljning av hanteringen av incidenter
3b. Intern, och eventuell extern, rapportering; ingen uppföljning, dokument, mejl, webb.
4. Uppföljning och eventuell vidareutveckling.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *