Sisältöön

Palautuminen - SecMeter

Ohita valikko
Ohita valikko

Palautuminen

Yritysturvallisuus > Johtaminen
Palautuminen



Yrityksen häiriö- ja keskeytystilanteet ovat väistämättömiä. Ne voivat johtua monista tekijöistä, kuten teknisistä ongelmista, kyberhyökkäyksistä, luonnonkatastrofeista tai yllättävistä inhimillisistä virheistä. Häiriötilanteet voivat vaikuttaa merkittävästi liiketoiminnan jatkuvuuteen, asiakaspalveluun, tuotantoon ja turvallisuuteen. Tämän vuoksi yrityksen on valmistaututtava palautumaan nopeasti ja estämään pitkän aikavälin haitat.

Häiriö- ja keskeytystilanteet ovat aina haasteita, mutta niihin valmistautuminen voi merkittävästi vähentää niiden vaikutuksia liiketoimintaan. Hyvin suunnitellut ja testatut palautumisprosessit auttavat yritystä reagoimaan tehokkaasti ja palauttamaan liiketoiminnan normaaliin tilaan mahdollisimman nopeasti. Kriittisten toimintojen varmistaminen, nopea reagointi ja jatkuva parantaminen ovat avaintekijöitä, jotka auttavat yritystä selviämään häiriöistä.

Palautumissuunnitelman luominen ei ole vain reaktiivinen prosessi; se on myös ennakoivaa ja proaktiivista työtä, joka kehittää yrityksen turvallisuuskulttuuria ja liiketoiminnan resilienssiä.
Tehtävälista
Ennakointi ja valmistautuminen

  1. Tunnista liiketoiminnan kriittiset toiminnot ja resurssit.
  2. Laadi IT-järjestelmien palautumissuunnitelma (DRP, Disaster Recovery Plan)..
  3. Tunnista ja arvioi riskit (riskikartoitus ja -matriisi).
  4. Määrittele vastuuhenkilöt ja kriisitiimi (johtoryhmä, viestintä, IT, turvallisuus).
  5. Varmista kriittisten järjestelmien varmuuskopiointi.
  6. Testaa säännöllisesti palautumis- ja varautumissuunnitelmat.
  7. Kouluta henkilöstö häiriötilanteiden varalle.

Häiriön tai keskeytyksen havaitseminen

  1. Ota käyttöön hälytys- ja valvontajärjestelmät.
  2. Ilmoita välittömästi kriisitiimille tapahtuneesta.
  3. Aktivoi tilannehuone tai -johtoryhmä.
  4. Arvioi tilanteen laajuus ja vaikutukset (toiminnallisesti ja ajallisesti).

Tilanteen hallinta

  1. Määrittele tilannekohtaiset prioriteetit (mitkä toiminnot palautetaan ensin).
  2. Varmista henkilöstön ja tilojen turvallisuus.
  3. Aktivoi mahdolliset varajärjestelmät (esim. pilvipalvelut, varasijainnit).
  4. Dokumentoi kaikki toimenpiteet ja päätökset (jälkiarviointia varten).

Viestintä

  1. Aktivoi sisäinen ja ulkoinen kriisiviestintäsuunnitelma.
  2. Informoi henkilöstöä selkeästi ja säännöllisesti.
  3. Informoi asiakkaita ja yhteistyökumppaneita vaikutuksista ja palautumisaikatauluista.
  4. Koordinoi viestintää yhden vastuutahon kautta (esim. viestintäpäällikkö).

Palautuminen ja toiminnan normalisointi

  1. Palauta kriittiset toiminnot mahdollisimman nopeasti.
  2. Tarkista tietojärjestelmät ja varmista tiedon eheys.
  3. Käynnistä asiakas- ja toimitusketjut uudelleen.
  4. Arvioi toimenpiteiden onnistuminen ja kerää palautetta henkilöstöltä.

Jälkiarviointi ja kehittäminen

  1. Pidä jälkiarviointipalaveri.
  2. Päivitä jatkuvuus- ja palautumissuunnitelmat opittujen kokemusten perusteella.
  3. Laadi raportti johdolle ja tarvittaessa viranomaisille.
  4. Suunnittele mahdolliset lisäkoulutukset ja resurssitarpeet.

Dokumentointi ja arkistointi

  1. Arkistoi kaikki tilannekohtaiset raportit, viestit ja palautteet.
  2. Säilytä toimenpideloki ja oppien yhteenveto tulevia tilanteita varten.
  3. Päivitä yrityksen riskienhallinta- ja turvallisuusdokumentaatio.
Tapahtumasta palautuminen on prosessi
Toimintojen palautumisprosessit suunnitellaan ja käynnistetään häiriö- tai keskeytystilanteissa, joista palautuminen edellyttää poikkeamista normaaleista prosesseista. Palautumisprosessi koostuu joukosta toimenpiteitä, joilla on ennalta määritelty palautumista edistävä tavoite. Prosessien tehtävänä on varmistaa toimintojen vastuulla olevien operatiivisten liiketoimintaprosessien joustava palautuminen yllättävissä ja äkillisesti syntyneissä häiriö- tai keskeytystilanteissa.

Palautumisprosessit etenevät deduktiivisesti. Yksittäinen palautumisprosessi kattaa kerrallaan vain yhden vaiheen toimenpiteet, joiden avulla saavutetaan suotuisampi operatiivinen tilanne. Uudessa tilanteessa suunnitellaan mahdollisesti tarvittavat lisätoimenpiteet, kunnes on lopulta saavutettu tavoiteltu liiketoimintaprosessien operatiivinen tila.

Tilannekuvaa ei voi omata ennen tapahtumaa
Onnistunut palautumisprosessi johdattaa yleisten kriisinhallintaperiaatteiden mukaisesti yrityksen hallitusti häiriö- tai keskeytystilanteen ensimmäiseen vaiheeseen, jossa muodostetaan tilannekuva ja tilanneanalyysi niin, että yrityksen toiminnoilla on tarvittavat valmiudet tehdä jatkopäätöksiä.

Ei ole olemassa mitään yleispätevää toimintamallia, jolla samantyyppiset häiriö- tai keskeytystilanteet voitaisiin hallita ennalta laadittujen suunnitelmien mukaisesti. Joitakin toimenpiteitä voidaan painottaa tavanomaista enemmän, mutta edelleenkin on kysymys vain kyvystä ratkaista ongelmia luontaisella tavalla tavanomaista kovemman paineen alaisuudessa.

On tärkeätä valmistautua mentaalisesti siihen, että jotakin yllättävää voi sattua. Mentaalinen varautuminen edistää myös vaihtoehtoisten toimintamallien huomioimista normaalissa päivittäisessä kehittämistoiminnassa. Useimmat ongelmatilanteet ovat syntyneet siitä, että toiminto ei ole huolehtinut normaalin operatiivisen toiminnan varmistamisesta. Lähtökohtana tulee pitää, että toiminnot suunnittelevat liiketoimintaprosessinsa mahdollisimman häiriösietoisiksi.

Palautumisprosessi on lieventävä kontrolli
Palautumisprosessit ovat lieventäviä kontrolleja, jotka suunnitellaan tilannekuvan perusteella ja käynnistetään häiriö- tai keskeytystilanteissa. Tarkoituksena on vähentää vahingollisen tapahtuman seurausvaikutuksia ja edistää palautumista.

Palautumisprosesseja ei ole mahdollista suunnitella ennakolta, koska jokainen häiriö- tai keskeytystilanne on ainutkertainen tapahtuma, joka ei toteudu ennakko-odotusten mukaisesti, eikä toistu täsmälleen samanlaisena uudelleen.

Palautumisprosessi edistää palautumista
Periaatteena on, että jokainen toiminto vastaa häiriötilanteessa omista palautumisprosesseistaan. Yhteisten palveluiden ja riippuvuuksien osalta on toimenpiteitä koordinoitava niin, että palautuminen onnistuu joustavasti.

Palautumisprosessin keskeisin vaihe on antaa tarpeelliset toimintaohjeet kriittisten liiketoimintaprosessien käynnistymistä edistäville toimenpiteille. Häiriötekijät voidaan yleensä poistaa kokonaan tai osittain tai kiertää vaihtoehtoisilla toimintatavoilla.

Vastuita ei voi ulkoistaa. Vastuu palautumisprosessien käynnistämisestä ja toimivuudesta on aina normaalien johtosuhteiden mukainen. Vastuuta ei siirretä erityiskokoonpanoille. Mitä vähemmän tehdään organisoinnissa muutoksia, sitä tehokkaampaa palautuminen on.

Operatiivisen palautumisen edistämiseksi voidaan toimintaa tehostaa lisäämällä resursseja tai suuntaamalla käytettävissä olevia resursseja oikeisiin kohteisiin johtosuhteita muuttamatta.

Kriittisten liiketoimintaprosessien priorisointi
Laajavaikutteisissa keskeytystilanteissa ensimmäisenä tehtävänä on käynnistää laajimmin työntekoon käytettyjen välineiden palautumisprosessit esimerkiksi viestintäpalvelut ja toimistoverkon palvelut esimerkiksi pikaviesti- ja sähköpostipalvelut, asiakirjojen saatavuuteen ja tuottamiseen liittyvät palvelut sekä asiakkaiden neuvontaan liittyvät esimerkiksi contact center-palvelut.

Näillä toimenpiteillä varmistetaan yrityksen johdon toimintakyky, kyky tuottaa ja viestittää ajantasainen tilannekuva sekä kyky toimeenpanna tilanteen edellyttämät operatiiviset päätökset.

Seuraavana tehtävänä on käynnistää yrityksen kassavirtaan oleellisesti vaikuttavien järjestelmien ja palvelujen palautumisprosessit (esimerkiksi henkilöstö- ja taloushallinnon järjestelmät, varastokirjanpito, asianhallinta, liiketoimintayksiköiden prosessit). Erilaisten tukipalveluiden (esimerkiksi kehittämistoiminta ja hallintopalvelut) palautumisprosessien vuoro on operatiivisten liiketoimintaprosessien jälkeen.

Tietojärjestelmät
Tietojärjestelmien palautumisprosessien kannalta keskeisiä lähtökohtia ovat:

  • Tietojärjestelmille asetetut palautusaikavaatimukset. Palautusvaatimus muodostuu suurimmasta sallitusta palvelukeskeytysajasta, jonka tietojärjestelmä voi olla pois käytöstä ennen kuin haitta ylittää ennalta asetetun raja-arvon.
  • Tietojärjestelmien palautuspisteet (checkpoint). Palautuspiste on tietojärjestelmän operatiivinen tila, johon järjestelmän on palauduttava, jotta palautumisprosessi voidaan todeta loppuun suoritetuksi.
  • Tietojärjestelmien keskeiset riippuvuudet. Riippuvuudella tarkoitetaan operatiivista sidosta muihin järjestelmiin, jotka on myös liitettävä saman palautumisprosessin piiriin (keskinäiset riippuvuudet).

Tietojärjestelmien osalta on varmistettava, että ei tehdä vahingossa näennäisiä kahdennuksia. Kyseessä on näennäinen kahdennus, jos samaan fyysiseen ”purkkiin” ja laitetilaan kahdennetaan virtuaalisia järjestelmiä.

Toimintamalli

  1. Muodosta tilannekuva käytettävissä olevan tiedon perusteella. Selvitä myös keskeytystilanteen asiakasvaikutukset.
  2. Informoi tapahtuneesta kaikkia osapuolia ennalta laaditun suunnitelman (hälytysringin) mukaisesti.
  3. Ylläpidä tilannekuva ajantasaisena lisäinformaatioon perustuen.
  4. Vakauta tilanne. Estä tilanteen edelleen eskaloituminen.
  5. Suunnittele kuinka palautuminen normaalitilanteeseen tapahtuu (ao. toimintojen vastuulla).
  6. Määrittele tarvittavat korjaustoimet, varasuunnitelmat ja niihin osallistuvat henkilöt (ao. toimintojen vastuulla).
  7. Sovi kaikista vastuista kaikkiin menettelyihin liittyen (ao. toimintojen vastuulla).
  8. Luettele ja ohjeista korjaustoimet yksityiskohtaisesti ja selkeästi (ao. toimintojen vastuulla).
  9. Kirjaa tiedot ongelmia aiheuttaneista asioista, esimerkiksi toimenpide, suorittaja ja aika sekä tieto tapahtumasta, viasta tai ongelmasta (ao. toimintojen vastuulla)
  10. Tiedota aktiivisesti viestintävastuiden mukaisesti tilanteen kehittymisestä (mitä, miten, kenelle)
Ohita valikko
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön