Liiketoiminnan jatkuvuus ja tietoturva

Liiketoiminnan jatkuvuus ja tietoturva

Liiketoiminnan jatkuvuus sekä toipumissuunnitelmat ovat välttämättömiä jokaiselle yritykselle. Niiden avulla yritys kykenee jatkamaan toimintaansa poikkeuksellisissa tai epäsuotuisissa olosuhteissa, kun jokin sen ydinliiketoimintaprosesseista on vaarantunut. 

Ajankohtaisena esimerkkinä yllättävästä ja akuutista liiketoiminnan jatkuvuuteen vaikuttavasta asiasta on koronavirus. Epidemia on yrityksillä, toimialasta huolimatta, nostanut riskiä esimerkiksi työvoiman saatavuudesta. Mikäli tartuntojen määrä jatkaa Suomessa kasvuaan, tulee myös yhä useampi ihminen olemaan sairaslomalla tai viranomaisten asettamassa karanteenissa, jolloin ei myöskään työpaikalle voi saapua. Tämän riskin kasvaessa on hyvä muistuttaa yrityksiä liiketoiminnan jatkuvuuden hallinnasta sekä kyvystä toimia epäsuotuisissa tai poikkeuksellisissa olosuhteissa. 

Nykyisenkaltaisiin epidemioiden aiheuttamiin akuutteihin tilanteisiin tulisi jokaisen yrityksen varmentua sillä, että etätyöskentelyratkaisut toimivat ja henkilöstölle on mahdollistettu etätyöskentely aina kun se vain on mahdollista. Nykypäivänä hyvänä lähtökohtana tulisi olla, että työskentely tulisi mahdollistaa mistä tahansa, ellei siihen ole selkeitä esteitä – kuten esimerkiksi työntekijän läsnäolon pakollisuus, turvallisuusseikat tai fyysisesti tietyssä paikassa olevat laitteistot. Työntekijöille tulisi myös painottaa näin influenssakaudella etätöitä aina kuin se on järkevästi mahdollista. 

Laajemmassa mittakaavassa jokaisella yrityksellä tulisi olla liiketoiminnan jatkuvuussuunnitelma. Tämä tarkoittaa sitä, että yritys on suunnitellut, miten se kykenee selviytymään tilanteissa, jossa jokin sen ydinliiketoimintaprosesseista on häiriintynyt tavalla tai toisella. Tämä voi esimerkiksi tarkoittaa merkittävää henkilöstön puutetta, kriittisten järjestelmien alhaalla oloa tai kriittisen toimipisteen tulipaloa. Näille tunnistetuille poikkeusoloille tulisi luoda myös toipumissuunnitelma, miten yritys pyrkii palautumaan normaaliin tilaan mahdollisimman pienin tappioin. Tietenkään kaikissa tilanteissa, kuten esimerkiksi erilaisten epidemioiden yhteydessä, toipuminen ei ole ainoastaan yrityksestä itsestään kiinni. Esimerkin tilanteessa tulisi varmentaa yrityksen kyky toteuttaa minimimäärä toiminteita, jotta ydinliiketoimintaprosessit toimivat edelleen – vaikkakaan eivät toimisi niin tehokkaasti. Liiketoiminnan jatkuvuussuunnitelma poikii puolestaan toipumissuunnitelmat eri järjestelmille ja resursseille kriittisyyden mukaan. Näiden avulla organisaatio kykenee palautumaan epäsuotuisista olosuhteista mahdollisimman tehokkaasti.  

Tietoturvan merkitys liiketoiminnan jatkuvuudessa 

Liiketoiminnan jatkuvuus on myös hyvä suunnitella tietoturvaa silmällä pitäen. Vaihtoehtoiset prosessit poikkeustilanteiden aikana eivät saisi vaarantaa organisaatiota uusille uhkille. Esimerkiksi olisi varmennettava, että työntekijöille tarjottavat etätyömahdollisuudet ovat riittävän turvalliset eivätkä altista organisaatiota uusille uhkille. Tämä puolestaan tarkoittaa esimerkiksi teknisiä ratkaisuja, kuten mahdollisesti VPN:n käyttöönottoa, jos tarvittavat järjestelmät ovat organisaation sisäverkossa tai halutaan mahdollistaa työntekijöille turvallinen yhdyskäytävä organisaation verkon kautta julkiseen Internetiin. Tämän lisäksi työntekijöitä täytyy ohjeistaa esimerkiksi työvälineiden turvallisesta käytöstä omien toimitilojen ulkopuolella ja mitä mahdollisia uhkia siihen liittyy. Vastaavat asiat täytyy miettiä myös muiden poikkeustilanteiden varalta, mikäli päädytään käyttämään vaihtoehtoisia toimintatapoja poikkeustilanteiden aikana. 

Pilvipalveluiden käytön yhteydessä tulee toipumissuunnitelman ohessa suunnitella toimintatavat, joita voidaan käyttää, jos yrityksen kannalta kriittinen palvelu ei ole saatavilla. Näissä palveluissa haasteena on se, että saatavuus ei aina ole itse yrityksestä kiinni, vaan kyse voi olla monikansallisesta pilvipalveluntarjoajasta. Tällöin pitäisi miettiä, miten pilvipalvelu voidaan korvata tilapäisesti tai kokonaan. Tämä voi esimerkiksi olla vaihtoehtoinen sovellus tai jopa manuaalinen prosessi. Yritysten tulisi aina muistaa, vaikka pilvipalveluiden osalta ylläpito ja hallinta onkin usein ulkoistettu pilvipalvelun tuottajalle, mahdolliset riskit esimerkiksi käyttökatkoista tai tietomurroista kantaa palvelua käyttävä yritys itse. Tästä syystä vaihtoehtoiset toimintatavat tulisi miettiä, koska itse yritys harvoin voi vaikuttaa pilvipalvelun hallintaan. 

Mikäli yrityksesi tarvitsee apua liiketoiminnan jatkuvuussuunnitelman suunnittelemisessa tai toipumissuunnitelmien tekemisessä, ota meihin yhteyttä, autamme mielellämme.

Juho Ranta
CTO

Juho Ranta (CISA, CISM, CISSP, CRISC) on 2NS:n teknologiajohtaja ja yksi yrityksen perustajista. Juholla on mittava kokemus organisaatioiden tietoturvan kehittämisestä ja hänen erityisosaamiseensa kuuluvat tekninen sekä hallinnollinen tietoturva.