Jatkuvuussuunnittelu - SecMeter

Sisältöön

Jatkuvuussuunnittelu

Yritysturvallisuus > Johtaminen
Epävarmuutta ei voi hallita, mutta sen voi oppia kohtaamaan.

Yrityksen johdon on ymmärrettävä, että häiriö- tai keskeytystilanteiden hallinta ei voi perustua ennalta laaditun suunnitelman tai ohjeistuksen noudattamiseen.

Kaikissa epäjatkuvuustilanteissa operatiivinen toiminta tulee suunnitella ja johtaa tilannekuvan pohjalta. Yrityksellä tulee olla kyky ja edellytykset luoda sekä ylläpitää ajantasainen tilannekuva.

Keskeytystilanteista palautumisen menestyksellisyys on suoraan riippuvainen tilannekuvan muodostuskyvystä ja sen perusteella tehtävistä päätöksistä.


Perinteisen ajattelutavan mukaisesti yrityksissä on laadittu jatkuvuussuunnitelmia (toimintaohjeita tai -suunnitelmia) kuvitteellisten riskiskenaarioiden pohjalta ja laiminlyöty tilannekuvan muodostamiseen ja tilannekuvajohtamiseen liittyvät valmiudet.

Ei ole tavatonta, että ohjeistukset ja suunnitelmat ovat korvanneet ymmärryksen ja järjenkäytön. On tapauksia, joissa hyödylliseksi katsottu toimintaohje on estänyt järjenkäytön ja johtanut tilanteen eskaloitumiseen. Jatkuvuussuunnitelmien ongelmana on, että riskiskenaariot, joiden perusteella ne on laadittu eivät käytännössä toteudu ennakoidulla tavalla.

Näin ollen riskiskenaarioihin pohjautuvien ennakkosuunnitelmien käyttöarvo yrityksen liiketoiminnan jatkuvuuden varmistamisessa voidaan asettaa kyseenalaiseksi ja tietyissä tilanteissa jopa lisävahinkoa aiheuttaviksi, jos suunnitelmissa ohjeistetut toimenpiteet ovat ristiriitaisia ajantasaisen tilannekuvan edellyttämien toimenpiteiden kanssa.

Perinteisen jatkuvuussunnittelun ja tilannekuvajohtamisen välillä on kysymys ennen kaikkea resurssien käytön ja palautumisnopeuden kannalta tärkeä strateginen valinta. Jokainen yritys tekee lopulta omat valintansa harkintansa mukaisesti.

Yrityksen operatiivisen jatkuvuuden tavoitetila
Yrityksen johdon on ymmärrettävä, että operatiivisen toiminnan jatkuvuuden tavoitteena ei voi olla ehdoton häiriöttömyyden tila. On ymmärrettävä, että epätoivottavat tilanteet liittyvät luonnollisena osana kaikkeen operatiiviseen toimintaan ja teknisiin ympäristöihin. Tavoitetilassa yrityksen normaali operatiivinen toimintaympäristö toimii häiriösietoisesti. Tavoitetilassa tapahtumien seurausten vaikutukset eivät myöskään ylitä yrityksen riskinkantokykyä.

Luotettava operatiivinen toimintaympäristö
Resilienssin yrityksen toimintojen jatkuvuuden turvaaminen on dynaaminen kehittämisprosessi, jossa ensisijainen huomio on kiinnitetty johtamisjärjestelmän toimivuuteen ja kriittisten operatiivisten järjestelmien varmistamiseen eli redundanssiin, ei suinkaan riskiskenaariopohjaiseen jatkuvuussuunnitelman laadintaan. Juoksemalla ei voita mitään. Tärkeämpää on lähteä liikkeelle ajoissa. Olennaista on varmistaa yrityksen johdon toimintakyky ja tietotekniikkapalveluiden operatiivinen vaatimustenmukaisuus.

Käytännössä häiriösietoisuus (resilienssi) on huomioitava ICT-arkkitehtuurissa ja varmistettava tietojärjestelmien normaalissa kehittämistyössä. Tietotekniikkapalveluiden lisäksi on kiinnitettävä huomiota myös liiketoimintaprosessien varmuuteen. Suositeltava lähestymistapa on systeeminen, joka huomioi toiminnallisia kokonaisuuksia.

Vastuut
Operatiivisten tietojärjestelmien vaatimustenmukaisuuden toteuttaminen sekä tiedostojen varmuus-, turva- ja suojakopioinnit liittyvät tietohallinnon perustehtäviin. Toimintojen palveluprosessien tehokkuuden ja sujuvuuden varmistaminen liittyy toimintojen johtajien vastuisiin.

Vastuualueidensa mukaisesti toimintojen johtajat delegoivat operatiivisten tietojärjestelmien palveluvaatimukset tietohallinnolle (yleensä tietojärjestelmän hallinnollinen omistaja), jonka tehtävänä on tarjota toimintojen käyttöön vaatimusten mukaiset tietojärjestelmät.

Muista

  • Jatkuvuussuunnitelma ei suojaa yritystä häiriö- tai poikkeustilanteilta
  • On tärkeätä ymmärtää, että jatkuvuussuunnitelma on parhaassa tapauksessa luonteeltaan lieventävä kontrolli.
  • Jatkuvuussuunnitelmalla ei ole itse tapahtumaa ehkäisevää tai ilmaisevaa funktiota.

Ennakolta laadittu jatkuvuussuunnitelma on tarpeeton
Ennakolta tapahtuva jatkuvuussuunnitelman laadinta on tarpeetonta työtä, koska:

  • yritys ei voi tietää etukäteen mitä tulee tapahtumaan
  • yrityksellä ei ole kykyä todentaa millaisen tapahtuman eteen se voi seuraavaksi joutua
  • yrityksellä ei ole mahdollisuuksia laatia ohjeita ja ylläpitää niitä kaikkien mahdollisten riskiskenaarioiden varalle
  • jatkuvuussuunnitelmia ei ole kyetty käytännössä soveltamaan, vaan asiat on käytännössä hoidettu tilannekuvan pohjalta.

Lopputulema
Jokainen häiriö- ja keskeytystilanne on ainutkertainen tapahtuma, joka ei toistu täsmälleen samanlaisena uudelleen.

Etukäteen tapahtuva tiettyyn tilanteeseen laadittu jatkuvuussuunnitelma tai toimintaohje ei ole yleispätevä. Tällaisen suunnitelman tai ohjeen noudattaminen on todennäköisesti omiaan syventämään tapahtuman seurausvaikutuksia ja pitkittämään palautumista.

Jatkuvuussuunnitelmien sijaan yrityksen on hyödyllisempää keskittää voimavarat kriittisten operatiivisten järjestelmien vaatimusmäärittelyyn ja varmistamiseen (redundanssiin).

Ennalta tapahtuva jatkuvuussuunnitelmien laadinta, ohjeistus, koordinointi, ylläpito ja harjoittelu aiheuttavat yritykselle merkittäviä lisäkustannuksia ja resurssitarpeita. Keskipitkällä tai pitkällä aikavälillä jatkuvuussuunnittelun vuotuiset kustannukset ylittävät helposti häiriö- ja keskeytystilanteista aiheutuvat kustannukset.

Vankat käsitykset ja vaatimukset jatkuvuussuunnitelman tarpeellisuudesta ovat kuitenkin siinä mielessä ymmärrettäviä, että ihmiset yleisesti pelkäävät tilannehallinnan menetystä ja haluavat tukea kirjallisesta ohjeesta.

Kirjallisen ohjeen hyöty on kuitenkin psykologista. Häiriö- ja keskeytystilanteiden hallinnassa on olennaista tilannetietoisuus ja kyky toimia tilanteen edellyttämällä tavalla.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön