PenSam puster liv og konkret erfaring ind i sit forretningsmæssige kriseberedskab med årlige øvelser, hvor man ”leger” en krise og dermed tester og justerer planen.

PenSam ramt af ransomware! Investeringsdirektøren taget som gidsel i Afrika! PenSam udsat for bombetrussel! PenSam-
medarbejdere syge af fugleinfluenza! Hovedkontoret i Farum er i brand! Disse scenarier er blandt de temaer, som PenSam’s årlige kriseøvelse har taget fat i. Formålet er at finde ud af, hvordan selskabet agerer i praksis, når krisen rammer. Den øverste kriseledelse bliver samlet og ”smidt ud på dybt vand”, når eksterne konsulenter fra LinkGRC faciliterer øvelsen.

ÆGTE OG LIVAGTIG KRISESTYRING

”Diskussionerne bliver meget mere ægte og livlige på den måde. Vores ledere går hurtigt ind på øvelsens præmisser, så de næsten glemmer, at det kun er en øvelse,” siger Information Security Manager Hans Hedegaard fra PenSam, som har gode erfaringer med øvelser i stedet for klassiske oplæg.

”Oplevelsen er livagtig, når man lever sig ind i rollen. Selvfølgelig foregår det i en meget mindre alvorlig stemning, end hvis krisen var virkelig. Styrken er den konkrete smagsprøve på at styre virksomheden gennem en krise. Og desuden er det en perfekt anledning for alle til at sætte sig ind i vores beredskabsplan for de store og truende kriser,” siger Hans Hedegaard.

ERFARING PÅ RYGRADEN

Den faste kriseledelse består af CEO, CIO, CFO, HR-chef, kundedirektør og kommunikation, og denne gruppe får under øvelsen et konkret problem, som måske udvikler sig med flere dilemmaer undervejs. Konsulenterne fra LinkGRC agerer i rollen som de ydre instanser, men kriseledelsen trækker på organisationen, som sagtens kan blive inddraget i det fiktive krisescenarie. Når telefonen ringer, kan det være et nyt opkald fra den somaliske gidseltager.

”Kriseøvelserne har givetvis gjort os bedre til at håndtere en krise i det virkelige liv. Den første gang herskede der i hvert fald langt større forvirring og tvivl, end i de senere kriseøvelser. Nu har flere i ledelsen nogle erfaringer på rygraden, som de trækker på. Vi er eksempelvis bedre til følge en plan og til at uddelegere i størst muligt omfang, så vi bevarer en kriseledelse, der kan tage det overordnede ansvar og samle trådene,” siger Hans Hedegaard.

PLANEN FÅR LIV

Kriseøvelserne lægger sig op ad den forretningsberedskabsplan, som PenSam har lagt for at håndtere større kriser, der kan involvere menneskeliv, store økonomiske tab eller alvorlige ridser i omdømmet. Øvelserne er også en måde at øge kendskabet til planen. Når lederne får den top-of-mind, kan den også komme gennem en justering og modernisering, i stedet for at være et statisk dokument på en harddisk.

”Vores arbejde med business continuity bygger på ISO-standarderne, og på den måde bygger vi på best practice, der tilpasses vores forretningssituation. Forretningsberedskabsplanen afspejler dette arbejde,” fortæller Hans Hedegaard. Samarbejdet med LinkGRC gælder også meget mere end kriseøvelser, for PenSams it-system til Enterprise Risk Management er leveret af samme virksomhed.

”Konsulenterne har den erfaring og viden, som gør det interessant for ledelsen at spille bold op mod dem. Både i selve øvelsen og bagefter. Styrken er, at de kan deres stof rigtig godt, og de formår ikke at komplicere sagerne mere end højst nødvendigt. Vi får et relevant modspil her og nu. Det er langt stærkere end oplæg med anekdoter fra fortiden,” siger Hans Hedegaard, som selv er observatør under kriseøvelsen og har ansvaret for arrangere øvelsen.

”Vi tænker os ret godt om hver gang for at finde et tema, som er aktuelt i kriseøvelsen. Og man er selvfølgelig hver gang spændt på, om kriseledelsen synes, at problemstillingen er relevant og realistisk nok til, at de lever sig ind i øvelsen.” Temaet må ikke være for banalt, men omvendt heller ikke alt for urealistisk.

TRUSSELSBILLEDET

PenSam er et kundeejet pensionsselskab, der leverer arbejdsmarkedspension til FOAs faggrupper. Selskabet har omtrent 400.000 kunder, som typisk er lønmodtagere i kommuner, regioner eller private virksomheder. PenSam leverer også bank- og forsikrings-produkter, og gruppen med 250 medarbejdere sætter en ære i at give et godt afkast af pensionsopsparingen og løbende reducere omkostningerne til administration.

”Vi håndterer både store økonomiske værdier, og vi har ansvaret for mange personoplysninger om vores kunder. Derfor er vi
bevidste om, at vi kan være et attraktivt mål for it-kriminelle, og vores sikkerhed skal være helt i top,” siger Hans Hedegaard.

”Vi må dog erkende, at det ikke er muligt at sikre sig 100 procent. Der vil altid være en risiko for, at man kan blive ramt af et cyber-angreb eller en anden alvorlig hændelse. Derfor skal vi have effektive beredskabsplaner, der lever i organisationen, så vi er i stand til at håndtere en krisesituation korrekt og hurtigt. Her vil det handle om at begrænse skaderne så meget som muligt.”

De seneste år har risikoen for cyberkriminalitet fået større plads i trusselbilledet, og PenSam sørger for en løbende opdatering af sit beredskab. Det er samtidig lykkedes at forenkle og forkorte beredskabsplanen, så den er nemmere at kommunikere og bringe i anvendelse. Løbende overvågning og opmærksomhed er PenSams kur mod at møde risikostyringens værste mareridt; nemlig ”den sorte svane”, som er en risiko man slet ikke har set og forholdt sig til. Kriseøvelsen er blot en lille del af dette arbejde.

Information Security Manager Hans Hedegaard fra PenSam har gode erfaringer med kriseøvelser som en del af beredskabet: ”Konsulenterne har den erfaring og viden, som gør det interessant for ledelsen at spille bold op mod dem. Både i selve øvelsen og bagefter,” siger han.

Hans Hedegaard, Information Security Manager, PenSam