Roope Parviainen

Liiketoiminnan jatkuvuussuunnitelma pk-yrityksessä

Johdanto

Nykypäivän yritysten toiminta perustuu entistä enemmän tietotekniikan käytölle. Yrityksen omien työntekijöiden lisäksi tiedon jatkuvaa saatavuutta vaativat myös asiakkaat ja kumppanit. Luodakseen kilpailuetua yrityksen on kyettävä käyttämään sen tietojärjestelmiä ja hyödyntämään tietotekniikkainfrastruktuuria mahdollisimman tehokkaasti. Tämän tehokkuuden saavutettuaan on yrityksen kyettävä myös säilyttämään se jatkuvasti muuttuvassa ja riskialttiissa ympäristössä. Katastrofin sattuessa sen on kyettävä palauttamaan toimintansa normaalille tasolle, mikä edellyttää liiketoiminnan jatkuvuussuunnitelman luomista ja käyttöönottoa.

Tässä harjoitustyössä tulemme tarkastelemaan liiketoiminnan jatkuvuussuunnitelman sisältöä ja merkitystä yritykselle erilaisten liiketoimintaa häiritsevissä tapauksissa. Koska suur- ja pk-yritykset eroavat ominaisuuksiltaan, pyrimme tarkastelemaan viitekehystä, joka on jälkimmäiselle näistä suotuisa.

Liiketoiminnan jatkuvuussuunnitelu

Liiketoiminnan jatkuvuussuunnitelman suhde muihin yrityksen suunnitelmiin

Puhuttaessa liiketoiminnan jatkuvuussuunnitelmasta on kyseessä pidemmän aikavälin suunnitelma tietojen ja tietojärjestelmien saatavuuden takaamiseksi. Liiketoiminnan jatkuvuussuunnitelmaan liittyy olennaisesti myös toipumissuunnitelma (disaster recovery plan) ja varautumissuunnitelma tai valmiussuunnitelma (contingency plan), joka on tälle edellä mainituille yläkäsite. [1.] Varautumissuunnitelmalla tarkoitetaan yrityksen kriittisten toimintojen tarkastelua, katastrofiskenaarioiden tunnistamista ja niihin liittyvien menettelytapojen kehittämistä. Toipumissuunnitelma puolestaan on olennainen osa liiketoiminnan jatkuvuussuunnitelmaa. Nimensä mukaisesti se keskittyy yrityksen tietotekniikkaosaston toipumisen ja järjestelmien seisahdusajan minimoimisen tarkasteluun. Näiden kolmen edellä mainitun suunnitelman keskinäistä suhdetta havainnollistaa kuva 1. [2.] Kuvassa ympyröidyt kirjaimet kuvaavat yrityksen suojattavia prosesseja.

Kuva 1:Yrityksen tietoturvaan liittyvien suunnitelmien välinen suhde (Botha & Von Solms 2002 [2]

Toipumissuunnitelman päämäärä on pyrkiä palauttamaan yrityksen tietotekninen toimintakyky ennalleen, mutta vakavammissa tapauksissa pelkän tietotekniikan toiminta saattaa olla merkityksetöntä, jos mikään muu toiminto ei palaa ennalleen. [3.] Usein IT:n toipumissuunnitelmaa pidetään samana kuin liiketoiminnan jatkuvuussuunnitelma, mutta näin ei kuitenkana ole. Sekaannus johtuu useimmiten siitä, että IT:n rooli yrityksille tekee sen merkityksestä niin suuren liiketoiminnan jatkuvuussuunnitelmassa. [4.] Kokonaisuuden jatkuvuutta tarkastellaan siis juuri liiketoiminnan jatkuvuussuunnitelman avulla.

Liiketoiminnan jatkuvuussuunnitelman prosessiluontoisuus

Kuten yleensä muitakin yrityksen tietoturvatoimia varten myös liiketoiminnan jatkuvuussuunnitelmalle on luotava politiikoita, joissa on käsitelty kunkin politiikan sisältö, laajuus, vastuut ja noudattamisohjeet. Politiikka on syytä muodostaa yksinkertaiseksi ja yksiselitteiseksi dokumentiksi, jossa kuvaillaan vaatimukset jatkuvuuden takaamiselle ja yrityksen tarpeet. [3.] Poltiikan sisältöihin ei syvennytä tässä esseessä enempää.

Liiketoiminnan jatkuvuuden suunnittelu on prosessi, joka koostuu noin seitsemästä vaiheesta lähteestä riippuen. Itse liiketoiminnan jatkuvuussuunnitelman voidaan nähdä olevan vain oheistuote sen tuottamisesta muodostuvassa prosessissa. [2.] Prosessin kuvauksen yhteydessä käytetyt sulkeet ja kirjanlyhenteet viittaavat alla olevassa kappaleessa esiteltyyn kuvaan 2.

Ensimmäinen vaihe prosessissa on Bothan ja Von Solmsin [2] mukaan on projektisuunnitteluvaihe (PP), joka sisältää kaikki ne toimet, joilla taataan liiketoiminnan jatkuvuussuunnitelman riittävä suunnittelu. Ensimmäinen vaihe ikään kuin toimii perustana tulevalle prosessille. Seuraava vaihe on liiketoiminnan vaikutusten arviointi (BIA), jossa yrityksen tunnistetaan yrityksen liiketoiminnan kriittisimmät prosessit ja analysoidaan erilaisten negatiivisten tapahtumien vaikutusta niille. Analyysin jälkeen yritykselle on luultavasti varsin selvää erilaisten katastrofien vaikutus omalle liiketoiminnalle. [5, katso 2.] Seuraava vaihe on liiketoiminnan jatkuvuussuunnitelmaan liittyvien strategioiden identifiointi (BCS). Niiden määrittäminen vaatii erilaisten katastrofiskenaarioiden hallintaan liittyvien toimien tarkastelua. [6, katso 2.] Neljännessä vaiheessa (CSI) edellä luotuja strategioita tarkennetaan ja otetaan käyttöön yrityksen jokapäiväisessä toiminnassa [2]. Viides Viides vaihe on jatkuvuuden harjoitteluvaihe (CTR), joka on oltava osa organisaation muita harjoittelun viitekehyksiä. Käytännön harjoittelu on voitava aloittaa mahdollisuuksien mukaan heti suunnitelman valmistuttua tai suurempien suunnitelman muutoksien jälkeen. [7, katso 2.] Toisiksi viimeisessä vaiheessa (CTE) pyritään kartoittamaan laadittujen jatkuvuussuunnitelmien kattavuus. Tämä tarkoittaa riittävyyden tarkastelua tärkeimpien liiketoimintaprosessien ja ennen kaikkea datakeskuksen toipumisen kannalta. [8, katso 2.] Viimeisenä vaiheena on jatkuvuussuunitelman ylläpito (CPM), johon kuuluu säännölliset tarkastukset ja tarvittavat päivitykset [9, katso 2.]

Pk-yrityksen ominaisuuksien vaikutus sen jatkuvuussuunnitelmaan

Usein kirjallisuudessa määritellään liiketoiminnan jatkuvuussuunnitelma suurempien yritysten näkökulmasta. Koska suuryritys ja pk-yritys poikkeavat ominaisuuksiltaan olennaisilta osin, on jatkuvuussuunnitelman lähestymistapaa muutettava pk-yrityksen tarpeita palvelevaksi sen rajoitteet huomioon ottaen. Yrityksiä vaarantavat uhat eivät kuitenkaan poikkea toisistaan, joten ei ole järkevää luoda kahta toisistaan poikkeavaa suunnitelmaa.


Pk- ja suuryritysten eroavaisuudet, joilla on merkitystä liiketoiminnan jatkuvuussuunnittelussa on ensin tunnistettava. Von Solms ja Botha [2] ovat poimineet kirjallisuudesta useampia tekijöitä, joista useimmat liittyvät työvoiman suuruuteen ja liikevaihtoon [10, katso 2]. Muita suunnitteluun vaikuttavia tekijöitä ovat myös innovaatiot, markkinoiden voimakkaampi vaikutus pienempiin yrityksiin [11, katso 2] ja organisaaiotrakenne [12, katso 2]. Nämä seikat luovat sekä rajoitteita että mahdollisuuksia jatkuvuussuunnittelussa.

Suunnittelun eri syklit

Koska liiketoiminnan jatkuvuussuunnitelman tekeminen suorittaminen laajamittainen tehtävä, kannattaa sen toteuttamista säädellä resurssien saatavuuden mukaan neljään eri vaiheeseen. Jokaisessa vaiheessa suunnitelmat tehdään eri lähtökohdista ja päämäärällä. Kerroksellisen lähestymistavan taustalla on ajatus siitä, ettei resurssien puute yrityksessä aiheuta ilmiötä, jossa suunnitelmissa keskitytään liikaa tiettyihin osa-alueisiin ja jätetä toisia vähemmälle huomiolle. Tarkoituksena on luoda laaja-alainen perusta korkeamman tason suunnitelmille. Periaatetta on havainnollistettu kuvassa 2. [2.] Suunnittelun vaiheita kuvaavat kaksi- ja kolmekirjaimiset laatikot, jotka on vastaavassa järjestyksessä esittelykappaleessa.

Kuva 2. Suunnittelun syklinen luonne ja suunnitelmien kerroksellisuus [2]

Kuvan sykleistä ensimmäinen on varasuunnitelmasykli, jonka päämäärä on ainoastaan taata liiketoiminnalle arvokkaan datan saatavuus. Toisiksi sisimmällä oleva sykli on toipumissuunnitelmasykli, jossa lähtökohta suunnittelulle on yrityksen IT:n toipumisen varmistaminen. Kolmannen syklin nimi on varautumissuunnitelma- tai valmiussuunnitelmasykli, joka tähtää tärkeimpien liiketoimintaprosessien jatkuvuuteen IT:n toipuessa. Viimeinen vaihe ja kuvassa uloimpana oleva on itse jatkuvuussuunnitelmasykli, joka keskittyy liiketoiminnan jatkuvuuteen kokonaisuutena. Tämä tarkoittaa sekä toipumista että liiketoimintaprosessien jatkuvuutta. [2.] Jokainen vaihe koostuu esseessä aikaisemmin esitellystä seitsemänvaiheisesta suunnitteluprosessista, joka toistuu kerta toisensa jälkeen. Suunnittelun lähtökohdat vain vaihtelevat edellämainitun jaottelun mukaisesti. Eri syklien tarkastelun jälkeen lienee selvää, mitkä tekstin alussa mainittujen suunnitelmien riippuvuussuhteet ovat toisiinsa.

Suunnittelun viitekehyksen implementointi pk-yritykseen

Kuten aikaisemmin mainittiin, pk-yrityksellä on tiettyjä rajoitteita mutta myös mahdollisuuksia suuryrityksistä poiketen. Tärkeimpänä näistä voidaan pitää taloudellisia rajoitteita. Koska suunnitelmien teko vaatii lähes poikkeuksetta rahankäyttöä, on jatkuvuussuunnitelukin mahdollista vain tiettyyn rajaan asti. Pk-yritys voi resurssien puitteissa suorittaa esimerkiksi vain kaksi ensimmäistä sykliä, jotta perusasioiden turvaaminen tulee hoidettua, tai vastaavasti niin monta kuin omalle liiketoiminnalle on tarkoituksenmukaista. IT:n kannalta ei toisaalta voida tyytyäkään vähempään, sillä syklin toisen vaiheen pois jättäminen tietää tietoteknisten palveluiden ja sitä kautta koko liiketoiminnan keskeytymistä.


Eräs toinen pk-yrityksen ominaisuus, joka on otettava huomioon suunnittelussa ja toteutuksessa on voimakkaampi ympäristön vaikutus yritysten toimintaan. Tämä saa aikaan sen, että yrityksen on pidettävä tiheämpää päivityssykliä ja oltava enemmän varuillaan etenkin ylläpitovaiheessa. Politiikat on luotava sen mukaan, mikä liiketoimintajohdon näkemys asiaan on.

Mahdollisuuksia, jotka pk-yrityksen ominaisuudet voi luoda, on erilainen organisaatiorakenne. Työntekijöiden määrän ollessa vähäinen on osaamisen kartoittaminen helpompaa ja prosessiin voidaan käyttää mahdollisesti hyvinkin laaja-alaisesti tietoa ja innovaatioita yrityksestä. Näkemykset eri yksiköistä, kuten tietohallinnosta tai myynnistä ja markkinoinnista, voivat tarjota hyvinkin erilaisia näkökulmia uhkien ja skenaarioiden tunnistamiseen

Päätelmät / yhteenveto

Esseessä tarkastelimme yrityksen jatkuvuuden tavoittelemiseksi luotavia suunnitelmia ja näiden eri suunnitelmien välisiä suhteita, jotka tulivat havainnollistettua monipuolisesti selitysten ja kuvien avulla. Käsittelyssä perehdyimme myös suunnitelmanteon prosessiin ja sivuutimme lyhyehkösti myös politiikoiden luontia. Esseen perusteella voimme todeta esitellyn metodin olevan käyttökelpoinen siinä mielessä, että sitä voidaan soveltaa pk-yrityksiin, sekä myös suuryrityksiin, sillä se on koon perusteella skaalautuva.

Lähteet

[1] Koskinen, J. 2011. Tietoturvallisuuden jatkokurssin verkkomateriaali. Saatavissa: http://sec.cs.tut.fi/maso/valinta.php. Viitattu 15.11.2011.

[2] Botha, J. & Von Solms, R. 2002. A cyclic approach to business continuity planning, Information Management & Computer Security, Vol. 12, No. 4, ss. 328-337.

[4] Savage, M. 2002. Business continuity planning. Work Study, Vol. 51, No. 5, ss. 254 – 261.

[3] Peltier, J., Peltier, T. R., Blackley, J. 2005. Information Security Fundamentals. Auerbach Publications.

[5] Gordon, C. 2000. How to cost-justify a business continuation plan to management, Disaster Recovery Journal, Saatavissa: www.drj.com/articles/spring00/1302-05.html. Viitattu 7.3.2002.

[6] Wilson, B. 2000. Business continuity planning: a necessity in the new e-commerce era, Disaster Recovery Journal, Saatavissa: www.drj.com/articles/fal00/1304-02.htm. Viitattu 21.10.2002.

[7] Morwood, G. 1998. Business continuity: awareness and training programmes, Information Management & Computer Security, Vol. 6 No. 1, ss. 28-32.

[8] United States General Accounting Office. 1999. Year 2000 Computing Crisis: Business Continuity and Contingency Planning, Saatavissa: www.gao.gov/special.pubs/ai10119.pdf. Viitattu 23.9.2000.

[9] BS7799-1. Information Security Management: Part 1: Code of Practice for Information Security Management, London 1999, British Standards Institution.

[10] Megginson, W.L. 1994. Small Business Management: An Entrepreneur’s Guide to Success, R.R. Donnelley & Sons Company, Chicago, IL.

[11] Barrow, C. 1993. The Essence of Small Business, Prentice-Hall Inc., Englewood Cliffs, NJ.

[12] Devargas, M. 1999. Survival is not compulsory: an introduction to business continuityplanning, Computers & Security, Vol. 18 No. 1, pp. 35-46.

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmis
Tyyppi Ydin
Luokitus Hallinto
Mitä Saatavuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Titu-ammattilainen
Milloin Ennakolta
Miksi Muu
Print version |  PDF  | History: r7 < r6 < r5 < r4 | 
Topic revision: r7 - 16 Dec 2011 - 10:13:31 - RoopeParviainen
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback