Epävarmuus on muuttunut pysyväksi osaksi organisaatioiden toimintaympäristöä. Häiriöt syntyvät yhä useammin monimutkaisten riippuvuuksien kautta ja leviävät nopeasti toimintojen välillä.
Graniten webinaarissa Jatkuvuudenhallinnalla kohti kyvykkäämpää organisaatiota tarkasteltiin jatkuvuudenhallintaa käytännönläheisesti riskienhallinnan, suunnittelun ja harjoittelun näkökulmasta. Keskustelua kävivät Prosecomin perustaja ja toimitusjohtaja, Security and Privacy Specialist Mikko Kinnanen sekä Graniten toimitusjohtaja Teppo Kattilakoski ja GRC Consultant Jukka Mäkitalo.
Mitä jatkuvuudenhallinta tarkoittaa käytännössä
Jatkuvuudenhallinta lähtee omien toimintojen ymmärtämisestä. Ennen kuin voidaan varautua häiriöihin, on tiedettävä, mitkä prosessit, järjestelmät ja ihmiset mahdollistavat liiketoiminnan ja miten ne liittyvät toisiinsa.
Käytännössä tämä tarkoittaa sitä, että organisaatio tunnistaa kriittiset toimintonsa sekä niihin kohdistuvat uhat ja riippuvuudet.
Teppo Kattilakoski korostaa priorisoinnin merkitystä. Kun kaikki toiminnot eivät ole yhtä kriittisiä, jatkuvuudenhallinnan ydin on siinä, että huomio ja resurssit kohdistuvat oikeisiin asioihin. Tämä auttaa välttämään tilanteet, joissa aikaa ja vaivaa käytetään toimintoihin, joiden häiriintyminen ei todellisuudessa pysäytä organisaatiota.
Jatkuvuudenhallinta valmistautuu tilanteisiin, joissa riskit eivät enää ole teoreettisia, vaan muuttuvat konkreettisiksi häiriöiksi.
Riskienhallinta antaa jatkuvuudenhallinnalle suunnan
Jatkuvuudenhallinta kytkeytyy tiiviisti riskienhallintaan. Riskienhallinta tuo näkyviin uhkia, poikkeamia ja haavoittuvuuksia, mutta jatkuvuudenhallinta vastaa kysymykseen, miten näissä tilanteissa toimitaan. Jukka Mäkitalo kuvaa tätä yhteyttä osuvasti:
“Jatkuvuudenhallinta valmistautuu tilanteisiin, joissa riskit eivät enää ole teoreettisia, vaan muuttuvat konkreettisiksi häiriöiksi.”
Kun riskit, toiminnot ja riippuvuudet kytketään toisiinsa, syntyy kokonaiskuva, joka auttaa ymmärtämään riskien todellista merkitystä. Yksittäinen riski voi näyttää vähäiseltä, kunnes huomataan, että se koskettaa useita kriittisiä toimintoja samanaikaisesti.
Jukka Mäkitalo kehottaa visualisoimaan riippuvuuksia. Kun nähdään, mihin kaikkeen yksittäinen toiminto tai järjestelmä liittyy, ymmärretään paremmin myös se, miksi tietyt riskit vaativat erityistä huomiota.Tämä auttaa kohdentamaan kehitystoimenpiteet sinne, missä niillä on suurin vaikutus.
Lainsäädännön rooli nousi keskustelussa esiin erityisesti CRA:n, NIS2:n ja DORA:n kautta. Mikko Kinnasen mukaan sääntely ei itsessään tee organisaatiosta resilienttiä, mutta se pakottaa tarkastelemaan asioita, jotka muuten voisivat jäädä taka-alalle. Kun johto joutuu ottamaan kantaa vaatimuksiin, syntyy usein myös aitoa tahtoa kehittää jatkuvuudenhallintaa.
Resilienssi syntyy harjoittelemalla, ei olettamalla
Resilienssi näkyy organisaation tavassa reagoida häiriöihin, myös sellaisiin, joita ei ole osattu ennakoida tarkasti. Jukka Mäkitalo kuvaa resilienssiä kykynä toimia hallitusti tilanteessa, jossa kaikki ei mene suunnitelmien mukaan. Tällainen kyvykkyys ei synny pelkästä dokumentaatiosta.
Teppo Kattilakoski muotoilee tämän suoraan:
“Aitoa jatkuvuudenhallintaa on enemmän se, mitä tehdään käytännössä, kuin se mitä on kirjoitettu paperille.”
Harjoittelu muuttaa suunnitelmat käytännöksi. Harjoittelu paljastaa epäselvät vastuut, puutteellisen varautumisen ja oletukset, jotka eivät kestä käytännön testausta. Mikko Kinnanen nostaa esiin esimerkin, jossa kybervakuutuksen toimintamalli osoittautui harjoituksessa epäselväksi myös vakuutusyhtiön näkökulmasta. Tällaiset havainnot syntyvät vain kokeilemalla.
“Todellisessa häiriötilanteessa ei ole enää aikaa opetella, miten asiat toimivat.”
Harjoitusten ei tarvitse olla laajoja tai koko organisaation kattavia. Pöytäharjoitus oikeiden asiantuntijoiden kanssa voi riittää tuomaan esiin keskeiset kehityskohdat ja parantamaan yhteistä tilanneymmärrystä.
Hyviä käytäntöjä ja työkaluja jatkuvuudenhallinnan viemiseksi arkeen
Lopuksi lista hyvistä käytännöistä ja työkaluista riskienhallinnan arkeen:
- Kriittisten toimintojen tunnistaminen ja dokumentointi siten, että ne kytkeytyvät selkeästi liiketoiminnan tavoitteisiin
- Riippuvuuksien näkyväksi tekeminen järjestelmien, prosessien ja sidosryhmien välillä
- Toipumistavoitteiden ja sallittujen katkoaikojen määrittely konkreettisille toiminnoille
- Jatkuvuus- ja toipumissuunnitelmien säännöllinen testaaminen pöytäharjoituksilla ja simulaatioilla
- Harjoituksissa havaittujen puutteiden dokumentointi ja systemaattinen korjaaminen
- Riskienhallinnan ja jatkuvuudenhallinnan tiedon yhdistäminen samaan näkymään, jotta kokonaiskuva säilyy
- Työkalujen hyödyntäminen, jotka tukevat määrämuotoista tekemistä, vastuiden hallintaa ja jatkuvaa kehittämistä
- Johdon aktiivinen osallistuminen, jotta jatkuvuudenhallinta nähdään osana organisaation kyvykkyyttä eikä erillisenä velvoitteena