Viisi askelta kyberiskuilta suojautumiseen, osa 4

Blogisarjan aikaisemmissa osissa käsittelimme EVERprotect-palvelukokonaisuuttamme yleisesti, ja tutustuimme myös sen viisivaiheisen mallin neljään ensimmäiseen vaiheeseen yksityiskohtaisemmin. Tässä blogissa tutustumme mallin viimeiseen vaiheeseen, eli toipumiseen. Toipumisvaiheen toimenpiteet tähtäävät liiketoiminnan jatkuvuuden turvaamiseen,  ja tässä huolellisesti laaditut jatkuvuus- ja toipumissuunnitelmat ovat avainasemassa. Keskeisenä osana yrityksen kokonaisvaltaista riskienhallintaa on ajantasainen suunnitelma, jolla luodaan edellytykset liiketoiminnan jatkumiselle vakavan häiriön sattuessa. Jatkuvuussuunnittelu ottaa huomioon koko organisaation toiminnan, eri suunnitelmien ja prosessien väliset riippuvuudet, toipumiselle asetetut vaatimukset ja esimerkiksi kriisinhallinnan ja viestinnän.

Jatkuvuussuunnitelma sisältää myös järjestelmä- ja/tai palvelukohtaiset toipumissuunnitelmat. Niissä kuvataan mm. mihin suunnitelmalla varaudutaan, eri tahojen roolit ja vastuut sekä toipumisen toimenpiteet. Suunnitelman laatimisen lähtökohtana on aina tavoiteaika, jossa järjestelmän tuottama palvelu tulee kyetä toivuttamaan. 

Toipumissuunnitelman edellyttämät toimenpiteet määräytyvät sen mukaan, kuinka kauan yritys voi toimia ilman kyseistä järjestelmää tai sen tuottamia palveluita. Toisaalta oikein asetettu toipumisaikatavoite varmistaa, että yrityksen toipumiskyky on oikealla tasolla tukemassa liiketoiminnan jatkuvuutta. Liian hidas toipumiskyky on merkittävä riski, kun taas ylimitoitettu kyvykkyys on tarpeeton kustannus.

Jatkuvuus- ja toipumissuunnitelmat ovat tärkeä osa toimivaa tieto- ja kyberturvallisuuskokonaisuutta. Ne kattavat laajan kirjon poikkeustilanteita, kuten yhteiskunnalliset kriisit, laite- ja ohjelmistoviat, luonnonkatastrofit, kyberhyökkäykset, inhimilliset virheet sekä esimerkiksi katkokset tietoliikenneyhteyksissä tai sähkönjakelussa. Suunnitelmat sisältävät myös toimintaohjeet poikkeustilanteissa kaikille organisaation jäsenille sekä erityisistä avainhenkilöistä koostuvalle toipumisryhmälle. Suunnitelman tulee sisältää avainhenkilöiden ja tärkeimpien ulkoisten yhteyshenkilöiden ajantasaiset yhteystiedot. Lisäksi suunnitelmissa tulee huomioida aktiivinen viestintä kaikissa tilanteissa.

Liiketoiminnan jatkuvuuden turvaamisessa keskeistä on tietojen varmuuskopiointi. Sillä mahdollistetaan tärkeiden tietojen palautus tilanteissa, joissa tietojen eheys on vaarantunut tai tietoja on menetetty. Varmuuskopioiden toimivuus tulee testata palauttamalla niistä tietoja säännöllisesti. Lisäksi on hyvä varautua tilanteeseen jossa tietoja ei voida palauttaa niiden alkuperäiseen sijaintipaikkaan esimerkiksi luonnonkatastrofin tai tulipalon seurauksena. Organisaation on tärkeää varmistaa että kaikissa sen käyttämissä palveluissa varmuuskopiointi on liiketoiminnan jatkuvuuden turvaamisen kannalta riittävällä tasolla.

Toipumissuunnitelmat tulee myös testata huolellisesti ja säännöllisesti. Näin varmistetaan suunnitelmien toimivuus ja tarkoituksenmukaisuus. Suunnitelmia on myös päivitettävä aktiivisesti kun sekä itse järjestelmässä että toimintaympäristössä tapahtuu muutoksia. Vain näin voidaan ylläpitää todellista toipumiskyvykkyyttä vakavissa häiriötilanteissa.