Jatkuvuussuunnittelu pelastaa yrityksen kriisitilanteessa

Maailma, jossa suomalaiset yritykset toimivat, on muuttunut pienessä ajassa paljon. On aivan arkipäivää lukea aamukahvin äärellä uutisia sähkön tulevasta säännöstelystä, ja myöskään internetin toimivuutta ei enää pystytä pitämään itsestäänselvyytenä entiseen tapaan.

Frendyllä tietoturvasta vastaava liiketoimintapäällikkö Tuomas Karhula kertoo, että ympärillämme tapahtuviin muutoksiin lukeutuu myös tietoturvauhkien yleistyminen ja erityisesti tietoturvarikollisuuden ajatusmaailman muuttuminen.

– Hyökkäyksiä ei enää kohdenneta pelkästään tiettyihin tunnettuihin toimijoihin, vaan pyritään erilaisia työkaluja käyttäen tunkeutumaan mahdollisimman moniin yrityksiin. Yrityksen koolla tai toimialalla ole väliä, vaan rikollisten toimintatapana on vasta verkkoon sisään päästyä tutkailla, mitä varastettavaa yrityksestä löytyy, kertoo Tuomas Karhula.

Riskit ja todennäköisyys edellä mainittujen uhkien toteutumiselle ovat nousseet niin suuriksi, että myös varautumista niihin tulee tarkastella uudella tasolla.

– Jatkumisen suunnittelun merkitys yrityksen liiketoiminnan turvaajana on kasvanut moninkertaiseksi aiempaan verrattuna, ja viimeistään nyt tulisi jokaisen yrityksen selvittää organisaatiota uhkaavat tekijät ja luoda suunnitelma niistä selviämiseen, Karhula summaa.

 

Miten lähteä liikkeelle jatkuvuuden suunnittelussa

Aivan ensimmäiseksi tulisi arvioida yritykseen ja liiketoimintaan kohdistuvat riskit ja kartoittaa liiketoiminnalle tärkeät järjestelmät ja toiminnot; mitä ilman ei tulla toimeen ja millä on suurin vaikutus yrityksen toimintaan.

– Skenaarioajattelulla voidaan kartoittaa potentiaaliset uhat. Kaikki järjestelmät ja toiminteet yrityksessä tulisi käydä läpi ja pohtia miten toimitaan tilanteissa, joissa joku toiminnan osan on poissa käytöstä muutamia tunteja, päiviä tai jopa lopullisesti, kertoo Tuomas Karhula.

– Tietojärjestelmien kohdalla kyseessä voi esimerkiksi olla järjestelmän kaatuminen, joka tarkoittaa yleensä lyhyttä katkosta. Palvelinraudan vian korjaaminen taas vie toimitusaikoineen muutaman päivän, ja pilvitoimittajaan kohdistettu kyberhyökkäys voi pahimmillaan estää koko sovelluksen käytön lopullisesti, Karhula kuvailee ja jatkaa:

– Kun skenaarioajattelu ulotetaan fyysisiin tiloihin, voi esimerkiksi sähkövika logistiikka-alueella aiheuttaa savuhaittoja, jolloin tuulettaminen estää tilan käytön muutamien tuntien ajan. Sähköjen katkeaminen kiinteistöstä saattaa lopettaa logistiikkatoiminnan muutamaksi päiväksi, ja lopullinen stoppi toiminnalle syntyy, jos koko rakennus palaa kivijalkaa myöten.

Frendyllä skenaarioajattelu on tuttua, sillä IT-talon asiantuntijat ovat erikoistuneet kartoittamaan erilaisten yritysympäristöjen riskitekijöitä osana tietoturvapalveluita.

– Pystymme tarvittaessa tekemään asiakkaallemme hyvinkin kattavan jatkuvuussuunnitelman, kertoo liiketoimintapäällikkö Tuomas Karhula.

 

Mitä kaikkea jatkuvuussuunnittelussa tulisi huomioida

Jatkuvuussuunnittelu ei ole pelkkää atk:ta tai tietoturvaa, vaan siinä on monia ulottuvuuksia. Karhula kertoo, että tietojen varmistaminen on yksi tärkeä osa jatkuvuussuunnittelun palapeliä:

– Varmistusten osalta on oleellisen tärkeää, että data on hajautetusti tallessa paikassa, millä ei ole mitään tekemistä yrityksen tietojärjestelmien kanssa. Näin estetään mahdollista kiristyshaittaohjelmaa tuhoamasta myös varmistuksia.

Tietojen varmistus ei yksinään riitä jatkuvuussuunnitelmaksi, vaan vaatii rinnalleen palapelin muutkin osaset.

– Tietojärjestelmien jatkuvuuden turvaaminen on tärkeää: kuinka ja mihin varmistukset palautetaan, kauanko palautus kestää ja kuinka pian järjestelmät saadaan taas pystyyn. Myös infra tulisi ottaa huomioon: missä palvelimet ovat, saavatko ne sähköä, ja mitä tapahtuu, jos tietojärjestelmistä vastaavat henkilöt eivät syystä tai toisesta kykene hoitamaan töitään, pohtii Tuomas Karhula.

– Jatkuvuussuunnittelu olisi tärkeää ulottaa myös toimitusketjuihin. Vaikka itse yritykselle sähkönsaanti tai internetin toimiminen ei olisikaan kriittinen asia, voi alihankkijoiden ja toimittajien toiminta olla täysin niihin sidottua. Kaikki ulkopuoliset toimittajat olisi siis syytä arvioida jatkuvuussuunnittelun näkökulmasta; tähän lukeutuvat mm. sähköpostin, toiminnanohjaus- ja tietojärjestelmien, tietovarastojen sekä internetliittymien toimittajat, ynnäilee Karhula.

 

Selkeät toimintamallit poikkeustilanteita varten

Jatkuvuussuunnitelmaan tulisi selkeästi kirjata kuka henkilö tai organisaatioyksikkö on vastuussa mistäkin asiasta, milloin on aika ruveta toimimaan, miten toimitaan, kuka tekee päätöksen toiminnasta tai tarvitaanko valtuutuksia.

– Esimerkiksi tietojärjestelmän katkotilanteessa on tärkeää tietää, missä kohdassa käynnistetään korvaava tilapäinen toiminta. Pidemmän katkon ollessa kyseessä tulee selvittää, mikä on se hetki, joka aktivoi suurempia kustannuksia ja enemmän työtä vaativan toiminnan, Tuomas Karhula toteaa.

Organisaatiossa on myös hyvä miettiä, kenellä on vastuu ja valta tehdä päätöksiä. Selkeästi kirjatut ohjeet myös suojaavat yksittäistä työntekijää isoja päätöksiä vaativan tilanteen sattuessa kohdalle.

– Jos toimintaprosessia ja vastuun jakautumista ei ole avattu ja kirjattu ennalta mihinkään, voi kymmenien ja satojentuhansien eurojen arvoisten ratkaisujen tekeminen lennosta olla psykologisesti raskas taakka normaalille työntekijälle, pohtii Karhula.

 

Suunnitelma kannattaa pitää toimintakuntoisena

Jatkuvuussuunnitelmaa on ylläpidettävä ja päivitettävä säännöllisesti. Käytännössä päivittäminen jää kuitenkin helposti muiden kiireellisempien asioiden jalkoihin, ja siihen palataan ehkä vasta vuosien päästä.

– Hyvä tapa pitää jatkuvuussuunnitelman päivittäminen säännöllisenä on sitoa se yrityksen vuosikelloon. Tietty organisaation taho tai henkilö voi ottaa vastatakseen, että kaikki kohdat käydään läpi ja päivitetään säännöllisesti aina tiettyyn aikaan vuodesta. Oleellista on tietysti myös valvoa, että päivitys tulee aidosti tehtyä, muistuttaa Karhula.

Jatkuvuussuunnitelmia kannattaa kaiken muun lisäksi testata.

– Tietojärjestelmien osalta testaaminen on helppoa: vedetään töpseli irti ja katsotaan mitä tapahtuu, eli kuinka kauan oikeasti menee tietojärjestelmän palauttamiseen eri skenaarioista, Karhula kertoo.

– Tämän tekeminen on usein melko korkean kynnyksen takana, koska se aiheuttaa ylimääräistä vaivaa, aikaa ja rahaa. Testaaminen kuitenkin maksaa ihan varmasti itsensä moninkertaisesti takaisin mahdollisessa ongelmatilanteessa, ja kun testaus on kerran tehty, voi nukkua yönsä aiempaa levollisemmin.

 

Jatkuvuussuunnittelu osaksi yrityksen kokonaistietoturvaa

Koska jatkuvuuden suunnittelulla ei yrityksessä ole välitöntä vaikutusta päivittäiseen tekemiseen, sen tekeminen jää helposti kiireellisen asiakastyön jalkoihin. Ikävä kyllä laiminlyönneillä on tapana kostautua myöhemmin, ja vahingot voivatkin sitten kasvaa suuriin mittoihin.

Jatkuvuuden suunnittelu kannattaa ulkoistaa osaavan IT-kumppanin hoitoon.

– Me Frendyllä voimme jatkuvuussuunnitelman lisäksi tarjota kaikki yrityksen tarvitsemat IT-palvelut. IT-ympäristön kehittäminen, tietoturvan varmistaminen ja jatkuvuuden suunnitteleminen on helppoa, kun on yksi kumppani, joka vastaa kaikesta.