You are here: TUTWiki>Tietoturva/Tutkielmat>TyoLuettelo?>2008-5

Jaakko Huhtapelto

Liiketoiminnan jatkuvuussuunnitelma kriisitilanteessa

Pohdittaessa yrityksen tietoturvauhkia, ensimmäisenä varmasti nousevat esiin erilaiset tietomurrot ja hyökkäykset yrityksen tietovarastoihin. Nämä ovat ihmisen tai joissain tapauksissa koneen aiheuttamia uhkia, joita on oikealla toiminnalla mahdollista ehkäistä. Tämän lisäksi yrityksillä on myös fyysisen maailman uhkia, joihin ei välttämättä omalla toiminnalla voi vaikuttaa. Kun kyseessä on erimerkiksi hirmumyrsky tai tulipalo, ei ennaltaehkäisy ole välttämättä mahdollista, vaan kriittiseksi kysymykseksi nousee, kuinka nopeasti tilanteeseen reagoidaan. Kyseisessä tilanteessa yrityksen kokemat tappiot eivät johdu vain laitteistosta, vaan tappiota syntyy joka hetki, kun normaalia liiketoimintaa ei pystytä harjoittamaan. Mitä nopeammin siis järjestelmät saadaan jälleen toimintaan, sitä nopeammin liiketoiminta palaa normaaliksi ja kassavirta yritykseen jatkuu taas.

Yllättäviä kriisitilanteita varten yrityksillä tulisi olla selkeä, dokumentoitu suunnitelma siitä kuka tekee, mitä tekee ja milloin. Teoksessa Security in Computing nimetään kyseinen suunnitelma yrityksen jatkuvuussuunnitelmaksi (Pfleeger et al., 2003). Jatkuvuussuunnitelman pohjimmaisena tarkoituksena on liiketoiminnan jatkumisen turvaaminen, jotta ylimääräisiltä tappioilta vältyttäisiin. Valtionhallinnon tietoturvallisuuden johtoryhmä antaa myös oman suosituksensa, jonka mukaan organisaatioilla tulisi olla poikkeusoloja varten ajantasaiset tietojenkäsittelyn jatkuvuus-, toipumis- ja valmiussuunnitelmat toiminnan jatkamisesta mahdollisesti eri paikassa ja pienemmässä mittakaavassa kuin normaalioloissa (VAHTI 1/2002).

Tässä työssä käsitellään tietoturvallisuuden hallinnollista puolta jatkuvuussuunnitelman näkökulmasta. Alussa pyrin vastaamaan kysymyksiin, mitä yrityksen eri toimintoja jatkuvuussuunnitelmalla tulisi suojata ja miten jatkuvuussuunnitelma teoriassa rakennetaan. Tämän jälkeen pyrin saamaan teorialle hieman syvyyttä haastattelemalla erästä yritystä ja tutkimalla, miten teoria olisi heidän yrityksessään sovellettavissa. Lopuksi listaan tärkeimpiä huomioita ja kompastuskiviä jatkuvuussuunnitelmaa rakennettaessa.

Jatkuvuussuunnitelman perimmäisenä tarkoituksena voidaan tietyssä mielessä pitää kustannussäästöjä, jotka saavutetaan kun liiketoiminta pidetään käynnissä kriisistä huolimatta. Tämän perusteella jatkuvuussuunnitelmaa rakennettaessa tulisi pitää mielessä myös realismi siitä, minkä varalle suunnitelmia tehdään. Ei ole kannattavaa tuhlata yrityksen resursseja sellaisten toimintojen jatkuvuuden suunnittelulle, jotka eivät ole kriittisimpiä liiketoiminnan jatkuvuuden kannalta. Tästä syystä liiketoiminnan jatkuvuussuunnitelman rakentaminen lähteekin juuri kriittisten kohtien löytämisestä, josta sitten edetään suunnitelman kehittämiseen (Pfleeger et al. 2003). Seuraavassa tutustutaan ydinliiketoiminnan kannalta merkittävimpien osa-alueiden tunnistamiseen ja näiden jatkuvuuden turvaamiseksi tehtävän suunnitelman rakentamiseen.

2.1 Ydinliiketoiminnan tunnistaminen

Tunnistettaessa kriittisimpiä kohtia liiketoiminnalle, on syytä lähteä liikkeelle yrityksen prosessien kuvaamisesta, eli siitä mitä yrityksessä todellisuudessa tapahtuu. Prosessien kuvaaminen itsessään voi monille yrityksille tuottaa ongelmia, sillä tarjooma saattaa olla monen tekijän summa ja tällaisissa tapauksissa jatkuvuussuunnitelman luominen ilman ylilyöntejä voi olla hankalaa. Pfleeger et al. huomauttavat kuitenkin, että kriittisten toimintojen listan paisuessa, tulisi pitäytyä minimissä ja pohtia esimerkiksi kysymystä, millä välineillä liiketoiminta saadaan edes jollain tasolla jatkumaan (Pfleeger et al. 2003). Listaa toiminnoista, joiden varalle suunnitelmaa tehdään, tulee pitää siis mahdollisimman pienenä, jottei jatkuvuussuunnitelman pohjimmainen tavoite hukkuisi. Kriittisimpien prosessien ja resurssien tunnistamisen lisäksi on tunnistettava myös keskeisimmät tietoturva-asiat tähän liittyen, sekä yleisimmät uhat, jotka näihin voivat vaikuttaa (Miettinen 1999). Kun yleisimpiin uhkiin on varauduttu, suunnitelmaa on mahdollista tietenkin soveltaa, jolloin jokaisen tilanteen varalle ei tarvitse erillistä suunnitelmaa tehdä.

2.2 Suunnitelman rakentaminen

Harjoitustyön alussa määriteltiin, että jatkuvuussuunnitelma antaa vastaukset kysymyksiin kuka tekee ja mitä. On tärkeää, että poikkeusolojen kohdatessa aikaa ei käytetä tehtävien jakamiseen ja pohtimiseen kenen vastuulla mikäkin asia on, vaan kaikilla tulisi olla välittömästi kirkkaana mielessä omat tehtävät ja toimenpiteet. Kriisiorganisaation määrittelyn sanotaan antavan vastauksen siihen, kuka tekee. Sen tulee koostua oman alansa ammattilaisista, jotka kykenevät toimimaan virheettömästi myös paineen alla. (Miettinen 1999) Toimintojen suunnittelu ja tehtävien jakaminen teorian tasolla ei kuitenkaan riitä, sillä kriisitilanne on aina luonteeltaan ainutlaatuinen, joten henkilöstöä on tällaisten tilanteiden varalta myös koulutettava ja suunnitelmaa harjoiteltava käytännössä. Koko jatkuvuussuunnitelman toimivuus on suurilta osin kiinni siitä, kuinka hyvin henkilöstö on koulutettu havaitsemaan alkavia kriisejä ja toimimaan niissä (Dodson 2001).

Kysymykseen mitä kriisitilanteessa tehdään, vaikuttavat monet asiat. Ensinnäkin on mahdotonta tehdä yhtä tiettyä toimintamallia, jota noudattamalla yritys voi kriisitilanteessa jatkaa liiketoimintaansa, vaan toimenpiteet vaihtelevat muun muassa siitä, minkälaiset liiketoimintaprosessit yritys omaa, minkä suuruusluokan kriisi on kyseessä ja minkä suuruisilla panostuksilla tähän halutaan vastata. On mahdollista luoda skenaarioita yleisimpien riskien perusteella ja tehdä ylimalkaisia strategisia päätöksiä toiminnan luonteesta kriisitilanteessa. Strategisten päätösten tehtävänä on juuri luoda suuntaviivoja suunnitelmalle, jota poikkeusoloissa noudatetaan (Pfleeger et al. 2003). Tämän tyyppisiä päätöksiä ovat esimerkiksi investoinnit reservissä olevaan tuotannolliseen kapasiteettiin tai toimitiloihin. Myös päätös siitä, että panostuksia ennen kriisiä ei tehdä, on strateginen päätös, jolloin tietynlaisten katastrofien vaikutusta liiketoiminnan jatkuvuudelle ei pidetä merkittävänä.

Konkreettinen jatkuvuussuunnitelma on strategian jalkautettu versio, joka puolestaan kertoo mitä konkreettisesti tehdään. Hyvänä esimerkkinä tästä on Miettisen kuvaama tilanne, jossa poikkeusolojen sattuessa yrityksen toiminta siirretään toiseen paikkaan esimerkiksi tulipalossa tuhoutuneiden toimitilojen vuoksi (Miettinen 1999). Vastaavanlaisessa tilanteessa jatkuvuussuunnitelma voi sisältää muun muassa tiedon uusista toimitiloista, menetelmistä laitteiston siirtämiseksi, toiminnan uudelleen käynnistämisestä ja siitä mikä on kenenkin vastuulla. Suunnitelma ei kuitenkaan ota kantaa itsestäänselvyyksiin, kuten henkilöstön pelastamiseen tulipalosta, vaan pitää fokuksen tiukasti liiketoiminnassa (Pfleeger et al. 2003).

Seuraavaksi tässä harjoitustyössä käsitellään konkreettista yritystä, sen haavoittuvuuksia, sekä sitä miten näiden varalle tulisi suojautua. Tästä syystä ja kyseisen yrityksen vaatimuksesta harjoitustyössä ei paljasteta nimiä, eikä muitakaan yksityiskohtia, joista kyseinen yritys voitaisiin päätellä, vaan tästä eteenpäin yrityksestä puhutaan nimellä X.

3.1 Yrityksen X järjestelmän kuvaaminen ja kriittiset osa-alueet

Yrityksen liiketoiminta perustuu hyvin laajalti ASP-sovellukseen (Application Service Providing), jonka palvelin fyysisesti sijaitsee toisella paikkakunnalla. Sovelluksen eri osa-alueilla tehdään päivittäisiä transaktioita, laaditaan raportteja ja hallitaan kokonaisuutta. Fyysistä laitteistoa yrityksessä on verkkopalvelin, kuusi työasemaa ja seitsemän kannettavaa tietokonetta, joissa kaikissa on Windows-käyttöjärjestelmä. Verkkoratkaisut on toteutettu langattomalla ethernet-lähiverkolla. Yrityksellä on myös yhteistyökumppani, jonka kanssa tehdään tiivistä yhteistyötä ASP-sovelluksen välityksellä.

Yrityksen X ydinliiketoimintaa ovat toimintojen koordinointi ja tietokannasta saatujen erilaisten raporttien tulkitseminen ja näiden perusteella tiettyjen johtopäätösten tekeminen. Tämän perusteella voidaan todeta, että kyseessä olevan ASP-sovelluksen käyttö ja tämän kanssa kommunikointi on kriittisintä liiketoiminnalle ja estyessään lamauttaisi yrityksen liiketoiminnan.

3.2 Jatkuvuussuunnitelma

Lähtökohtaisesti Yrityksen X tilanne on hyvä, sillä se ei esimerkiksi valmista mitään fyysistä tuotetta, joten mihinkään suuren tuotantolinjan perustamiseen ei jatkuvuussuunnitelmassa tarvitse ottaa kantaa. Minkä varalle tulisi sitten valmistautua? Käytännössä yrityksen on varauduttava kahteen asiaan, verkkoyhteyksien säilyttämiseen, sekä fyysisen laitteiston toimintakykyisenä pitämiseen. Edellä mainittuihin tekijöihin voivat vaikuttaa esimerkiksi operaattorin ongelmat tai toimitilassa sattuneet onnettomuudet, kuten esimerkiksi tulipalo, varkaus tai vesivahinko.

Strategisia linjauksia yrityksen jatkuvuussuunnittelussa kyseisessä tilanteessa voivat olla esimerkiksi varalle tehdyt sopimukset toisen operaattorin kanssa, jotka otetaan käyttöön, mikäli päätoiminen operaattori ei yhteyttä kykene toimittamaan. Vastaavanlaisia sopimuksia on mahdollista tehdä myös laitetoimittajien kanssa, jossa ennalta jo sovitaan yksityiskohdista, jolloin kriisitilanteessa ei tarvitse, kuin aktivoida osapuolet. Strategisia linjauksia tulee myös miettiä toimipisteen suhteen, siirretäänkö toiminta väliaikaiseen toimipisteeseen, vai tehdäänkö jokin muu ratkaisu, huomioiden tietysti tuhojen laajuus.

Yrityksen X jatkuvuussuunnitelmassa tärkeimmäksi nousee vastuiden jako. Koska väliaikaisen toimipisteen toimintakuntoon saattaminen ei suuria resursseja vaadi, vaan kyse on ennemminkin asioiden organisoimisesta, on tärkeää että kukin kriisiorganisaation jäsen tietää tehtävänsä ja kriisin sattuessa osaa toimia. Tämänlaisen suunnitelman toimivuus on tietenkin suoraan verrannollinen henkilöstön valistukseen ja koulutukseen. Esimerkiksi kaikenlaisilla henkilöstön toimintavalmiutta ja tietotaitoa testaavilla harjoituksilla voidaan toimintatapoja hioa kuntoon, jotta tositilanteessa kaikki sujuisi suunnitelmien mukaan.

Monenlaisista suunnitelmista ja proseduureista poikkeusolojen varalle on varmasti suurimmassa osassa yrityksistä ainakin jollain tasolla keskusteltu. Jotta tappiot kriisin kohdatessa saataisiin minimoitua, tulee suunnitelmien olla kuitenkin yksityiskohtaisesti dokumentoitu, vastuut jaettu sekä henkilöstö koulutettu ja käytännön harjoituksella testattu.

Suunnitelman rakentaminen ei käytännössä kuitenkaan ole helppoa ja erityisesti jatkuvuussuunnitelmaan suunnattavien resurssien määrää voi olla vaikea hahmottaa. Jotta toimenpiteet saadaan kohdistettua oikeisiin kohteisiin ja riittävässä suhteessa tulee olla selkeä kuva siitä, mikä todellisuudessa on yrityksen ydinliiketoimintaa. Voisin kuvitella, että yritykset jotka aiemmin ovat joutuneet toimimaan poikkeusoloissa, ovat ehkä valveutuneempia asialle, muihin yrityksiin nähden, mutta toisaalta jo tarpeen tunnistaminenkin on alku kohti parempaa suunnitelmaa ja jatkuvaa liiketoimintaa.

ICT-jatkuvuussuunnittelun nykytila Suomessa

Sumalaisen varautumissuunnittelun tärkeimmät intressiryhmät suorittavat parhaillaan tutkimusta, jolla on tarkoitus selvittää suomalaisten yritysten ICT-jatkuvuussuunnittelun tilanne. Painotuksena on kartoittaa ICT:n huomioimisen taso jatkuvuussuunnittelussa, riskien havainnoinnin onnistuminen, kehittämisen ja johtamisen tilanne sekä johdon suhtautuminen ICT:hen osana organisaation riskienhallintaa ja varautumista. Tulokset julkistetaan vuonna 2010. Tutkimuksen kohteena on 30 suurta ja keskisuurta organisaatiota. Kyseessä on merkittävän kokoluokan tutkimus suomalaisen jatkuvuussuunnitelun saralla. Kyseessä on monitilaajahanke, jossa Marketvisio, Huoltovarmuuskeskus, Puolustusministeriö, Valtiovarainministeriö, Tekes, Eaton Power Quality, Fujitsu, Logica, TeliaSonera ja Tieto muodostavat ohjausryhmän.[5].

Print version |  PDF  | History: r4 < r3 < r2 < r1 | 
Topic revision: r4 - 17 Nov 2009 - 02:38:35 - JarkkoHolmberg?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback