Liiketoiminnan jatkuvuus – Mikä on tietoturvan rooli?

Jonna Järveläinen ja Taina Eriksson

Yritysten toimintaympäristö on tänä päivänä alati muutoksessa ja yllättäviä tilanteita ilmenee jokaisessa yrityksessä. Näistä yllättävistä tilanteista selviytymiseen ja palautumiseen yritykset tarvitsevat resilienssiä eli kriisinkestävyyttä ja palautumiskykyä. Toiminnan jatkuvuuden hallinta on tärkeä osa yrityksen resilienssiä.

Käytännössä kaikissa yrityksissä käytetään tänä päivänä digitaalisia välineitä, jotka ovat yhteydessä tietoverkkoihin. Tällöin tietoturva on erittäin oleellinen kysymys jokaiselle yritykselle. Hyökkäyksiä ja häirintää tapahtuu jatkuvasti ja kohteena on kaiken kokoisia yrityksiä. Varautumalla häirinnän tai hyökkäyksen haitallisia vaikutuksia voidaan minimoida, vaikka sataprosenttinen tietoturva onkin mahdottomuus

Varautuminen tarkoittaa sekä teknisiä asioita että ihmisten toimintatapoja ja osaamista. Kun sekä ihmiset ja tekniikka toimivat yhdessä voidaan yrityksen tietoturvaa parantaa merkittävästi. Teknisen tietoturvan ei kuulu olla esteenä käytännön työlle, vaan yrityksen teknisen tietoturvan tulisi helpottaa työntekijöiden turvallista työskentelyä.

Pienen ja keskisuuren yrityksen jatkuvuuden hallinnan lähtökohta on kriittisten liiketoimintaprosessien ja riskien kartoitus. Kriittinen liiketoimintaprosessi on kriittinen siksi, että hetkenkin keskeytyksellä on merkittävä vaikutus yritykselle. Kriittisten liiketoimintaprosessien tunnistamisen jälkeen tarkastellaan millainen tietotekniikka tukee näitä prosesseja. On hyvä tarkastella järjestelmiä, dataa, mutta myös teknisempää infrastruktuuria.

Riskien kartoitus puolestaan tarkoittaa sitä, että analysoidaan mitkä mahdolliset tekijät voivat kriittisiä prosesseja keskeyttää. Tällaisia voivat esimerkiksi olla yhden palvelimen, yhden kaapelin tai vaikka yhden ihmisen osaamisen varassa toimiminen. Kun riskit ovat tiedossa, on tärkeää arvioida niiden todennäköisyyttä ja vakavuutta.

Kartoitusvaiheen jälkeen tehdään suunnitelmat riskien hallintaan:

  • onko yrityksellä tietoturvapolitiikka; miten sitä päivitetään?
  • onko ihmiset koulutettu tietoturvapolitiikkaan?
  • miten hoidetaan laitteiden ja järjestelmien päivitykset?
  • miten hallitaan käyttäjien pääsyä järjestelmiin ja tietoihin?
  • miten lokitietoja säilytetään?

Tietoturva-asiat on tärkeää sovittaa osaksi henkilöstön arkea niin, että tietoturvaohjeistuksen noudattaminen on sujuva osa mielekästä työntekoa. Lisäksi henkilöstön kouluttaminen on toinen keskeinen tekijä, johon jokainen yritys pystyy itse vaikuttamaan.

Jatkuvuuden hallinta ja näin ollen myös tietoturva on parhaimmillaan jatkuva prosessi. Täydellisen toteutuksen sijaan kannattaa pyrkiä pieniin parannuksiin pitkin matkaa.