Häiriötilanteet tulevat usein yllättäen, jonka takia organisaatioiden tulisi varautua niihin jo etukäteen. Varautumisen tavoitteena on varmistaa organisaation toiminnan jatkuvuus ja mahdollisimman keskeytyksetön toiminta erilaisissa häiriötilanteissa, kuten tällä hetkellä yhteiskuntaamme horjuttavassa kansainvälisessä kriisitilanteessa. Toisaalta häiriötilanteita voi olla myös normaalioloissa. Normaaliolojen häiriötilanteiden ohella organisaatioiden tulisikin tarkistaa nyt oma varautumissuunnitelma myös poikkeusolojen näkökulmasta.
Häiriötilanteiden aiheuttajia vallitsevien kansainvälisistä konflikteista johtuvien häiriöiden ohella voivat olla esimerkiksi tulipalot, luonnonilmiöt, sähkökatkokset, inhimilliset virheet, laiterikot ja erilaiset kyberhyökkäykset.
Varautumiseen sisältyy häiriötilanteista toipumisen ohella a. toiminnan jatkuvuuden varmistaminen vikasietoisuutta parantamalla ja b. häiriötilanteiden havaitseminen, ennakointi sekä estäminen. Mikäli estävistä toimenpiteistä huolimatta liiketoiminta häiriintyy, häiriöhallintaprosessilla havaitaan, analysoidaan ja käsitellään tuotantoon kohdistuvat häiriötilanteet ja palaudutaan takaisin normaalitilanteeseen.
Erilaiset häiriötilanteet ja niihin liittyvät uhkaskenaariot puolestaan tunnistetaan ja muotoillaan osana riskienhallintaa. Riskienhallinnan lisäksi syitä käynnistää erillinen jatkuvuushallintaprojekti voi löytyä asiakas-, sertifiointi- tai viranomaisvaatimuksista.
Häiriötilanteista jatkuvuudenhallintaan (6 vaihetta)
Jatkuvuudenhallintaan sisältyviä toimenpiteitä ovat mm.
- riskienhallinta
- liiketoiminnan vaikutusanalyysi (BIA)
- jatkuvuus- ja toipumissuunnittelu
- vikasietoisuuden parantaminen
- harjoittelu ja testaaminen
- jatkuvuutta suojaavien hallintakeinojen rakentaminen
1. Riskienhallinnan avulla tunnistetaan, arvioidaan, käsitellään sekä seurataan erilaisia riskejä. Riskienhallinnassa tunnistetaan organisaation ydinprosessit ja niihin kohdistuvat uhkat. Osa riskeistä aiheuttaa toteutuessaan eritasoisia tuotantokatkoksia ja katkosten vaikuttavuutta arvioidaan liiketoiminnan vaikutusanalyysin avulla. 2. Liiketoiminnan vaikutusanalyysi (BIA) on prosessi, jossa analysoidaan häiriön vaikutuksia organisaatioon ajan kuluessa. Vaikutusanalyysi auttaa organisaatiota kohdentamaan toimenpiteet jatkuvuuden kannalta tärkeimpiin prosesseihin ja järjestelmiin.
Keskeytysten vaikuttavuutta arvioitaessa tulee ottaa huomioon eri näkökulmia, joilla analyysistä saadaan kattavampi. Eri näkökulmia ovat mm.:
- liiketoiminta
- maine ja julkisuuskuva
- lainsäädännön velvoitteet
- muut organisaatiokohtaiset osa-alueet
Suorien taloudellisten tappioiden ohella organisaatio saattaa kärsiä myös mainehaittaa ja menettää luotettavuuttaan asiakkaiden silmissä. Organisaation toimialasta riippuen keskeytyksillä voi olla myös vaikutuksia, mikäli organisaatio ei suoriudu laillisista velvoitteistaan.
Kun liiketoiminnan vaikutusanalyysi on laadittu, voidaan edetä tarkempaan 3. jatkuvuussuunnitteluun ja asettaa tavoitteet liiketoiminnan jatkuvuudelle. Tavoitteet luovat perusteet suunnitella jatkuvuutta tukevia 6. hallintakeinoja sekä 4. vikasietoisuutta. Suunnittelun lisäksi on myös hyvä 5. harjoitella erilaisia häiriötilanteita varten. Toiminnalliset harjoitukset soveltuvat myös häiriöhallinnan testaamisen ohella henkilöstön kouluttamiseen. Harjoitukset mahdollistavat kokemuksesta oppimisen ilman toteutuneen häiriön negatiivisia vaikutuksia.
Jatkuvuussuunnittelu organisaation eri tasoilla
Häritiötilanteiden jatkuvuussuunnittelua tehdään usein monella tasolla. Yleisesti on hyvä tehdä priorisointi ja liiketoiminnan vaikutusanalyysi organisaation johdon toimesta. Koko organisaation tasolla olisi hyvä laatia yhteismitallinen kriteeristö liiketoiminnan vaikutusanalyysiä varten. Tällöin kriittisyyden arviointi ei perustu liiaksi yksilöiden harkintaan vaan kunkin prosessin ja järjestelmän kriittisyyttä arvioidaan osana kokonaisuutta.
Varsinaista jatkuvuussuunnittelua tehdään mm. yksiköille, prosesseille tai järjestelmille. Yksikön tasolla tehdään mm. yksikön prosessien BIA-arviointi ja tarkastellaan yksikön sisäistä organisoitumista sekä rooleja.
Prosessin tasolla tarkastelun kohteena oleva prosessi eritellään komponenteiksi, joiden kriittisyyttä ja vikasietoisuutta arvioidaan jatkuvuuden kannalta. Prosessien arvioinnissa on tärkeää tunnistaa mm. prosessin kannalta kriittiset tietojärjestelmät. Tietojärjestelmien jatkuvuussuunnittelu lienee yleisin ja suurimmalle osalle tutuin taso tehdä konkreettista jatkuvuussuunnittelua. Siihen kuuluu häiriötilanteiden estäminen, niiden hallinta ja palautuminen normaaliin tilanteeseen.
Hallintakeinot häiriötilanteisiin varautumisen tukena
Käytännössä vaikutusanalyysin ja jatkuvuussuunnittelun kautta tunnistetaan yksittäiset kehityskohteet sekä tarvittavat estävät, havainnoivat ja korjaavat 6. hallintakeinot. Estävien hallintakeinojen tarkoitus on nimensä mukaisesti estää häiriötilanteiden syntyminen ylipäätään. Havaitsevilla hallintakeinoilla saadaan tieto eri häiriötilanteista mahdollisimman varhaisessa vaiheessa. Korjaavien hallintakeinojen avulla taas palaudutaan häiriötilanteesta takaisin normaaliin toimintaan.
Toiminnan jatkuvuuden takaamiseksi jatkuvuudenhallinnan toimenpiteet on hyvä sisällyttää esimerkiksi riskienhallinnan vuosikelloon.
Mistä tukea häiriötilanteisiin?
Mikäli varautuminen ja jatkuvuussuunnittelu ovat ajankohtaisia organisaatiossasi, muttei aiheesta vielä ole omaa osaamista eikä aikaa löydy suunnitteluun, kannattaa jatkuvuudenhallinnan kanssa lähteä liikkeelle ulkopuolisen kumppanin kanssa.
2NS tarjoaa valmiin kehitysprojektin, jonka avulla on helppo lähteä liikkeelle ja aloittaa kehitystyö pienin vaihein ja osaprojektein.
Lisätietoa jatkuvuudenhallinnasta löydät myös Vahti-ohjeista sekä jatkuvuudenhallinnan standardeista (esimerkiksi ISO 22301:2019).
Pasi Hakkarainen
Tietoturva-asiantuntija, 2NS