Sisältöön

Riippuvuuksien tunnistaminen - SecMeter

Ohita valikko
Ohita valikko

Riippuvuuksien tunnistaminen

Yritysturvallisuus > Johtamismalli
Ohita valikko
Liiketoimintaprosessien riippuvuuksien tunnistaminen


Liiketoimintaprosessien riippuvuuksien tunnistaminen on keskeinen osa toimintakyvyn johtamista ja jatkuvuudenhallintaa. Riippuvuudet muodostavat perustan, jonka varassa prosessit toimivat, mutta samalla ne voivat muodostaa merkittäviä haavoittuvuuksia.

Tunnistamalla riippuvuudet, arvioimalla niiden kriittisyyden, paikantamalla vikapisteet ja määrittämällä kehittämistoimenpiteet yritys pystyy vahvistamaan resilienssiään, vähentämään keskeytysriskejä ja turvaamaan toimintansa jatkuvuuden myös häiriötilanteissa.

Tämä tekee riippuvuusanalyysistä yhden tärkeimmistä työkaluista nykyaikaisessa yritysturvallisuudessa, riskienhallinnassa ja toimintakyvyn kehittämisessä.

Yrityksen toimintakyky ei perustu yksittäisiin ihmisiin, järjestelmiin tai koneisiin, vaan niiden muodostamaan kokonaisuuteen. Jokainen liiketoimintaprosessi on osa laajempaa verkostoa, jossa prosessit, henkilöt, tieto, teknologia, toimittajat ja infrastruktuuri ovat jatkuvassa vuorovaikutuksessa keskenään.

Tästä syystä liiketoimintaprosessien riippuvuuksien tunnistaminen ja ymmärtäminen on yksi keskeisimmistä toimintakyvyn johtamisen ja jatkuvuudenhallinnan osa-alueista.


Lataa linkistä yritykselle selkeä ja helppokäyttöinen SecMeterTM RADA (Resilience Analysis & Dependency Assessment) riippuvuuksien arviointimenetelmä. Menetelmä on toteutettu täytettävänä ja tallennettavana PDF-lomakkeena, joka tuottaa johdon raportin automaattisesti vastausten perusteella. RADA riippuvuuksien arviointimenetelmän vapaata käyttöä yrityksissä alkuperäisessä muodossa ja asussa ei ole rajoitettu. Menetelmän käyttö ei ole sallittu konsulttiliiketoiminnassa.

Jos julkisella sivustolla on tarjolla avoin työkalu, on viranomaisella oikeus ladata se tutustuttavaksi samalla tavalla kuin se voi ostaa alan kirjallisuutta tai lukea uutisia. Jos virkamies lataa ja avaa PDF-tiedoston, yleinen tietoturvariski on kuitenkin aina olemassa, koska PDF-dokumentit voivat sisältää upotettuja koodirakenteita (kuten JavaScriptiä). PDF-lukijaohjelmistoissa on myös havaittu tietoturva-aukkoja. Organisaation tulisi käyttää aina viimeisintä versiota. Tämän johdosta valtionhallinnon omat tietoturvamääräykset ja tiedonhallintalaki velvoittavat viranomaisia suorittamaan lataukset suojatussa ympäristössä tai rajoittamaan tiedostojen avaamista suoraan sisäverkossa.

SecMeter RADA arviointimenetelmä
RADA käyttäjän ohje
Liiketoimintaprosessi ei toimi yksin
Jokainen liiketoimintaprosessi tarvitsee toimiakseen erilaisia resursseja. Esimerkiksi tilaus-toimitusprosessi voi riippua asiakastiedoista, toiminnanohjausjärjestelmästä, tuotannonsuunnittelusta, henkilöstöstä, logistiikasta sekä ulkoisista toimittajista. Vaikka prosessi itsessään olisi hyvin suunniteltu, sen toimintakyky voi heikentyä tai pysähtyä kokonaan, jos jokin sen tarvitsemista riippuvuuksista ei ole käytettävissä.

Useissa yrityksissä prosesseja tarkastellaan edelleen erillisinä toimintoina. Tällöin huomio kohdistuu usein siihen, miten hyvin prosessi toimii normaalitilanteessa. Häiriötilanteissa ratkaisevaa ei kuitenkaan ole pelkästään prosessin oma suorituskyky, vaan se, kuinka hyvin sen riippuvuudet kestävät erilaisia häiriöitä.

Yritys voi esimerkiksi investoida merkittävästi tuotantolaitteisiin, mutta jos tuotanto on täysin riippuvainen yhdestä toimittajasta tai yhdestä tietojärjestelmästä, todellinen toimintakyky voi olla huomattavasti oletettua heikompi.

Riippuvuudet muodostavat toimintakyvyn perustan
Riippuvuuksia voidaan tarkastella useasta näkökulmasta. Yleisimpiä riippuvuuksia ovat henkilöstöön, teknologiaan, tietoon, toimittajiin ja infrastruktuuriin liittyvät riippuvuudet.

Henkilöriippuvuudet syntyvät tilanteissa, joissa tietty osaaminen tai vastuu on keskittynyt yhdelle henkilölle. Jos kyseinen henkilö ei ole käytettävissä esimerkiksi sairauden, irtisanoutumisen tai muun poissaolon vuoksi, prosessin toimintakyky voi heikentyä merkittävästi.

Teknologiset riippuvuudet liittyvät tietojärjestelmiin, ohjelmistoihin, automaatioon ja tietoliikenneyhteyksiin. Nykyisessä digitaalisessa toimintaympäristössä lähes kaikki liiketoimintaprosessit ovat jossain määrin riippuvaisia teknologiasta. Yhden kriittisen järjestelmän käyttökatko voi estää asiakaspalvelun, tuotannon, laskutuksen tai toimitusten toteuttamisen.

Tietoriippuvuudet liittyvät siihen, että prosessin tarvitsemat tiedot ovat saatavilla oikeaan aikaan ja oikeassa muodossa. Mikäli tieto puuttuu, on virheellistä tai sitä ei voida käyttää, prosessi ei välttämättä kykene tuottamaan haluttua lopputulosta.

Toimittajariippuvuudet ovat kasvaneet erityisesti globaalien toimitusketjujen myötä. Monet yritykset ovat ulkoistaneet toimintojaan tai keskittäneet hankintojaan, mikä voi lisätä tehokkuutta mutta samalla kasvattaa haavoittuvuutta. Yhden kriittisen toimittajan ongelmat voivat nopeasti heijastua koko liiketoimintaan.

Infrastruktuuririippuvuudet liittyvät esimerkiksi sähköön, veteen, toimitiloihin ja tietoliikenneyhteyksiin. Nämä ovat usein niin itsestään selviä, ettei niiden merkitystä huomata ennen häiriötilannetta.
Riippuvuuksien tunnistaminen on jatkuvuudenhallinnan perusta

Jatkuvuudenhallinnan tavoitteena on varmistaa, että yritys pystyy jatkamaan toimintaansa myös häiriötilanteissa. Tämä ei ole mahdollista ilman ymmärrystä siitä, mistä liiketoimintaprosessit ovat riippuvaisia. Kun riippuvuudet tunnistetaan systemaattisesti, voidaan arvioida:

  • mitä tapahtuu, jos riippuvuus ei ole käytettävissä
  • kuinka nopeasti vaikutukset näkyvät
  • kuinka kauan toiminta voi jatkua ilman riippuvuutta
  • onko olemassa vaihtoehtoista ratkaisua
  • miten riskiä voidaan pienentää

Tämä mahdollistaa ennakoivan varautumisen ennen kuin häiriö toteutuu. Esimerkiksi jos havaitaan, että kriittinen prosessi on täysin riippuvainen yhdestä järjestelmästä, voidaan harkita varajärjestelmää, varmistuksia tai vaihtoehtoisia toimintamalleja. Jos taas havaitaan henkilöriski, voidaan osaamista jakaa useammalle henkilölle tai dokumentoida kriittiset työvaiheet.

Vikapisteet paljastavat todellisen haavoittuvuuden
Pelkkä riippuvuuksien tunnistaminen ei kuitenkaan riitä. On myös ymmärrettävä, missä riippuvuuksien sisällä piilevät suurimmat riskit.

Tätä varten tunnistetaan vikapisteet eli kohdat, joiden häiriintyminen aiheuttaa merkittävän vaikutuksen prosessin toimintakykyyn. Näitä kutsutaan usein myös Single Point of Failure (SPOF) -kohdiksi. Vikapiste voi olla esimerkiksi yksittäinen

  • palvelin
  • asiantuntija
  • toimittaja
  • tuotantolaite
  • tietoliikenneyhteys

Vikapisteiden tunnistaminen on tärkeää, koska ne paljastavat yrityksen todellisen resilienssin. Prosessi voi näyttää toimivan normaalitilanteessa moitteettomasti, mutta todellisuudessa sen jatkuvuus voi olla täysin yhden tekijän varassa.

Riippuvuusanalyysi tukee päätöksentekoa
Liiketoimintaprosessien riippuvuuksien arviointi tuottaa johdolle arvokasta tietoa päätöksenteon tueksi. Sen avulla voidaan tunnistaa, mihin kehittämisresurssit kannattaa kohdistaa ja mitkä riskit ovat liiketoiminnan kannalta merkittävimpiä. Johdon näkökulmasta keskeisiä kysymyksiä ovat:

  • Mitkä prosessit ovat kriittisimpiä?
  • Mitkä riippuvuudet muodostavat suurimman riskin?
  • Mitä seurauksia häiriöstä aiheutuisi?
  • Miten nopeasti toiminta on palautettava?
  • Mitä kehittämistoimenpiteitä tarvitaan?

Kun nämä kysymykset voidaan perustella analyysiin perustuvalla tiedolla, päätöksenteko muuttuu huomattavasti systemaattisemmaksi.

Toimintakyky syntyy kyvystä selviytyä häiriöistä
Nykyaikaisessa toimintaympäristössä täydellistä häiriöttömyyttä ei voida saavuttaa. Sen sijaan kilpailuetua syntyy siitä, kuinka hyvin yritys kykenee tunnistamaan riippuvuutensa, hallitsemaan riskinsä ja palautumaan häiriöistä.

Toimintakyky ei siis tarkoita pelkästään tehokasta toimintaa normaalioloissa. Se tarkoittaa myös kykyä jatkaa toimintaa poikkeusoloissa, häiriötilanteissa ja odottamattomissa muutoksissa.

Tästä syystä liiketoimintaprosessien riippuvuuksien tunnistaminen on yksi tärkeimmistä toimintakyvyn johtamisen välineistä. yritys, joka ymmärtää omat riippuvuutensa, tunnistaa vikapisteensä ja hallitsee jatkuvuusriskinsä, kykenee säilyttämään toimintakykynsä myös silloin, kun toimintaympäristö muuttuu tai kohtaa vakavia häiriöitä.
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön