Jatkuvuus- ja toipumissuunnitelman laatiminen

Mikäli epäilet yrityksesi tarvitsevan jatkuvuus- tai toipumissuunnitelmaa niin ne kannattaa ehdottomasti toteuttaa! Itse asiassa ei ole montakaan järkevää syytä olla toteuttamatta niitä. Huom! Teksti sisältää hieman sekaisin jatkuvuus- ja toipumissuunnitelman laatimisesta. Ne ovat kuitenkin melko samantyyppisiä. Tarkempia eroja voi katsoa esimerkiksi täältä.

Suunnitelmien laatimisessa on huomioitava muutamia tärkeitä asioita:

  • Kyseessä ei ole kertaluontoinen projekti vaan jatkuvuus- ja toipumissuunnitelman ylläpito kannattaa toteuttaa PDCA -mallia noudattaen.
  • Dokumentoinnin tärkeys. Mikäli asianmukaisia dokumentteja ei ole saatavilla, ei jatkuvuussuunnittelussa ole mitään ideaa. Ongelmatilanteen sattuessa henkilöstön toimintaa nopeuttaa laadukkaat kirjalliset tai sähköiset ohjeet.
  • Henkilöstön osaaminen. Jotta ongelmatilanteista toipuminen olisi nopeaa, on henkilöstön osattava toimia oikein. Harjoitus tekee tässäkin asiassa mestarin!

Tiedä mitä tarvitset!

Systemaattinen eteneminen on olennainen osa hyvän suunnitelman rakentamista. Kaikki lähtee siitä, että yritys tiedostaa tarpeensa kyseiselle suunnitelmalle.

Yritysjohdon suhtautuminen

Ensin kannattaa laatia dokumentti, jossa yritysjohto ilmaisee tavoitteet, joihin jatkuvuussuunnittelulla pyritään. Tavoitteisiin pääsemiseksi on toiminnalla oltava myös yritysjohdon täysi tuki. Dokumentti voi muistuttaa esimerkiksi tietoturvapolitiikkaa.

Yrityksen on tunnistettava tiedon ja liiketoiminnan säilyvyyden arvo. On siis kerrottava miksi yritys haluaa suojata toimintaansa. Dokumentissa olisi hyvä ottaa kantaa myös mahdollisiin vaikuttaviin lakiasioihin(pelastustoiminta jne) sekä suunnitelman ylläpitoa koskeviin asioihin.

Resursointi

Jotta ongelmatilanteista toipuminen olisi nopeaa ja toipumisen toteuttaminen helppoa, tarvitaan lista käytettävissä olevista resursseista.Suuremmissa yrityksissä voi olla erillisiä ryhmittymiä, jotka hoitavat tietyntyyppiset ongelmatilanteet. Tyypillinen pienemmistäkin yrityksistä löytyvä joukko on tietoturvaryhmä tai IT-asioista vastaava ryhmä.

Resursoinnin ideana on määritellä toipumistilanteessa tarvittavat henkilöt ja esimerkiksi varalaitteet. Pidemmissä tilanteissa myös rahan käyttöön saattaa liittyä kysymyksiä. Esim jos tulipalo tuhoaakin useamman palvelimen, niin millainen määrä rahaa toipumiseen on ensitilassa käytettävissä.

Henkilöstön toiminta ongelmatilanteissa

Liiketoimintaa haittaavan ongelman sattuessa on henkilöstön rooli tärkeä. Mitä paremmin heitä on koulutettu toimiaan ongelmatilanteissa sitä suuremmalla todennäköisyydellä he osaavat toimia oikein. Henkilöstön on tiedettävä miten erilaisissa tilanteissa toimitaan ja keneen kuuluu ottaa yhteyttä erilaisissa tapauksissa.

Yrityksellä olisi hyvä olla olemassa lista, josta selviää yhteystiedot esimerkiksi fyysisten tai tietoteknisten ongelmien ratkaisemiseksi. Tämä lista tulee olla myös osana jatkuvuussuunnitelman dokumentaatiota.

Suunnitelmien dokumentointi

Nopea korjaava toiminta ongelmatilanteissa, esimerkiksi tuotantopalvelimen hajoamisessa, on täysin riippuvainen henkilöstön osaamisesta ja dokumentaation laadusta. Henkilöstö ei pysty toimimaan täysillä, mikäli tarvittavaa informaatiota ei ole saatavilla. Siksi jatkuvuus- ja toipumissuunnittelussa on olennaisena osana myös dokumentointi.

Dokumentit pitää olla helposti saatavilla joko sähköisenä tai paperisena. Se on yrityksen itse päätettävissä, että missä muodossa dokumentaatiota haluaa säilyttää, kunhan ne on saatavilla kun niitä tarvitaan. Saatavuuden lisäksi myös dokumentaation laatu voi vaihdella. Esimerkiksi politiikkoissa teksti on yleisempää ja ei niin tarkkaa. Vastaavasti erilaisissa toimintadokumenteissa on oltava erittäin tarkat ja yksiselitteiset ohjeet. Tällaisia ovat esimerkiksi palvelindokumentaatiot. Jos jokin palvelin on hajonnut ja sitä lähdetään korvaamaan toisella, on esimerkiksi verkkoasetukset ja muut konfiguroinnit osattava palauttaa täysin toimiviksi mahdollisimman nopeasti.

Dokumentista huolimatta niistä olisi hyvä löytyä ainakin seuraavia asioita: Dokumentin ”omistaja”, eli kuka on vastuussa sen ylläpidosta. Dokumentin versionumero, päivitysväli ja muut tarvittavat yhteystiedot omistajan lisäksi. Aina kun dokumentti päivittyy, on se ilmoitettava jollain tavalla. Esimerkiksi uusin versio asetetaan näkyville ja kerrotaan koska se astuu voimaan.

Toipumissuunnitelma / Jatkuvuussuunnitelma esimerkki

Tässä on eräs pelkistetty esimerkki toipumissuunnitelman / jatkuvuussuunnitelman rakenteesta. Huomioi se, että jatkuvuussuunnitelmassa käsitellää yleisiä toimenpiteitä ja prosesseja, kun taas toipumissuunnitelma keskittyy tiettyyn alueeseen tarkemmin.

1) Yleistä

  • Organisaation / yksikön nimi
  • Suunnitelman tavoitteet
  • Mitä toimipisteitä/alueita suunnitelma koskee
  • Milloin suunnitelma otetaan käyttöön
  • Muut huomioitavat dokumentit, esimerkiksi politiikat

2) Henkilöstö

  • Päävastuuhenkilöt
  • Muut vastuuhenkilöt / vastuuryhmät
  • Edellä mainittujen yhteystiedot oltava näkyvillä!
  • Missä tapauksissa otetaan yhteyttä kuhunkin henkilöön?

3) Liiketoimintaprosessin tai tietojärjestelmän yms palauttaminen

  • Etenemissuunnitelma
  • Tavoitteet ja aikataulu
  • Vaaditut resurssit
  • Plan B / Vaihtoehtoinen suunnitelma
  • Mahdolliset jälkitoimenpiteet

 

(muokattu 11.9.2013)

”Turvallinen arki tietoyhteiskunnassa – Ei tuurilla vaan taidolla”

Vuoden 2008 lopulla valtioneuvosto teki periaatepäätöksen kansallisesta tietoturvastrategiasta. Kyseinen strategia otsikoitiin hienosti ”Turvallinen arki tietoyhteiskunnassa – Ei tuurilla vaan taidolla”. Strategian tavoitteena on, että Suomi on tietoturvan edelläkävijämaa vuoteen 2015 mennessä. Painopisteinä pidetään seuraavia:

  • Perustaidot arjen tietoyhteiskunnassa
  • Tietoihin liittyvien riskien hallinta ja toimintavarmuus
  • Kilpailukyky ja kansainvälinen verkostoyhteistyö

(Lähde: Liikenne- ja viestintäministeriö) Tavoitteiden saavuttamiseksi käynnistettiin toimenpideohjelma. Siihen on koottu 9 erilaista hanketta seuraavista aihepiireistä: 1) Tietoturvatietoisuuden lisääminen 2) Palveluntarjoajan vastuut, oikeudet ja velvollisuudet

  • Raportti sisältää esimerkiksi Turun ammattikorkeakoulun ja lakifirma Krogeruksen tuottamaa materiaalia aiheesta.

3) Tietoihin liittyvien riskien tunnistaminen ja tietojen suojaamiseen liittyvien vaatimusten tunnistaminen 4) Yritysten toiminnan jatkuvuuden ja kansalaisten palveluiden saatavuuden varmistaminen 5) Suomalaisten tietoturvaosaamisen levittäminen ja aktiivinen osallistuminen standardien kansainväliseen kehittämistyöhön

  • Käsittelee asiaa hyvin otsikolla ”Suomi tietoturvan suunnannäyttäjäksi”

6) Yritysten kilpailukyky ja NCSA (National Communications Security Authority) 7) Kansallisen yhteistyön tehostaminen ja aktivointi kansainvälisissä tietoturva-asioissa 8) Tutkimushanke lähitulevaisuuden tietoturvatrendeistä 9) Tietoturvallisuuden mittaaminen (Lähde: Liikenne- ja viestintäministeriö) Loppuraportit ja tiivistelmät löytyvät arjen tietoyhteiskunnan sivustolta

Avoimien WLAN-verkkojen käyttö on nyt laillista!

Mikäli suurempia muutoksia ei enää tule, niin avoimien WLAN-verkkojen käyttö on tästä päivästä (15.3.2011) lähtien laillista. Virallista tietoa asiasta löytyy esimerkiksi oikeusministeriön verkkosivuilta

”WLAN lain” vaikutus tietoturvaan

Kyllä! Saat nyt laillisesti käyttää naapurisi verkkoa! Tietoturvan näkökulmasta asia on kaksijakoinen. Laissa sanotaan, että vain internetin selaaminen on sallittua ja muu toiminta kiellettyä. Eli verkon toisiin koneisiin tai palveluihin ei saa ottaa yhteyttä. Verkon muut koneet saattavat tosin jakaa resurssejaan automaattisesti verkkoon, jolloin kynnys ja houkutus niiden käyttöön todennäköisesti laskee. Osa ihmisistä varmasti ajattelee, että yhteyksien hyödyntäminen negatiivisessa mielessä lisääntyy. Toisaalta jos tieto tästä laista leviää tarpeeksi, niin ihmiset saadaan ajattelemaan tietoturvaa enemmän. Toivottavasti ”vahingossa auki olevat” WLAN-tukiasemat saadaan suojattua lisääntyneen tietoturvatietouden ansiosta. Tahallaan tai tahattomasti avonaisia verkkoja on olemassa kuitenkin melko paljon, joten ainakin itse otan lakimuutoksen mielenkiinnolla vastaan. Muista katsoa myös tämä pienimuotoinen tutkimus aiheesta.

Langattomista verkoista vain noin puolet on tarpeeksi hyvin suojattu!

Tietojesiturvaksi.fi suoritti pienimuotoisen tutkimuksen liittyen WLAN-verkkojen suojaamiseen eräässä kaupungissa. Alueeksi valittiin kaupungin keskusta ja sitä ympäröivät suurimmat asuinalueet. Tarkoituksena oli kartoittaa alueella olevien WLAN-verkkojen määrää ja suojauksen tasoa. Tutkimuksen aikana verkoista ei kerätty ylimääräistä dataa(laitonta!), vaan pelkät saatavilla olevat verkon nimet (SSID) ja salaustyypit(WEP,WPA). Seuraavaksi esitettävät arvot ovat vain ”noin-lukuja”, koska kaikkia alueen langattomia lähiverkkoja on mahdotonta kartoittaa. Osasta verkoista ei saatu myöskään kaikkia tarvittavaa informaatiota. Luvut on pyöristetty lähimpään kymmeneen. Todelliset arvot saattavat olla helposti esimerkiksi +-50 verkkoa. Mitenkään 100% luotettavasta tutkimuksesta ei siis ole kyse, mutta jokaisen on silti helppo havaita jutun idea: Ihmiset ei edelleenkään osaa suojata WLAN-yhteyksiään!

WLAN tutkimuksen tulokset

Alueelta löytyi yhteensä noin 1120 langatonta lähiverkkoa. Näistä 1120 verkosta VAIN 640 oli suojattu turvalliseksi luokiteltavalla WPA-salauksella(WPA/WPA2). Prosentteina siis vain noin 57% oli tarpeeksi hyvin suojattu! Epäluotettavaa WEP-salausta käytti yhteensä noin 170 verkkoa. Prosentteina se on noin 15%. WEP-salaus kannattaa vaihtaa parempaan, koska kyseinen salaus on helposti murrettavissa Ilman salausta oli jopa 310 verkkoa. Eli noin 27% kaikista langattomista lähiverkoista.

Päätelmät

Lyhyesti sanottuna langattomien lähiverkkojen tietoturvatietous ei vieläkään ole tarpeeksi laajalle levinnyttä. Positiivista on se, että yli puolet käyttää jo WPA/WPA2 -salausta. WEP-salaus on kohtuullisen helposti kierrettävissä ja todennäköisesti tällekkin sivustolle siitä jossain vaiheessa demoa julkaistaan. Avoimien verkkojen määrä on suhteellisen suuri. On hyvin todennäköistä, että osa verkon ylläpitäjistä haluaa jakaa WLAN-verkkonsa myös muiden käyttöönsä. Siitä huolimatta noin 27% kaikista löydetyistä verkoista on kohtuuttoman suuri määrä!

 

edit 28.11.2013 poistettu toimimaton linkki

Pohdintaa kotitietokoneen tietoturvasta

Sinulla on koti ja oma piha. Et halua, että tuntemattomat ihmiset vierailevat kutsumatta pihallasi tai kodissasi. Kotisi ovissa on lukot ja niihin on avaimet vain tietyillä henkilöillä. Ilman avaimia kotiisi ei pääse. Mikäli avaimet varastetaan, toivot parasta tai vaihdatat lukot. Sinulla on palo- ja varashälytin, jotka ovat avuksi tietyissä ongelmissa. Tulipalon sattuessa sammutat sen tai soitat apua. Suojelet siis perhettäsi, kotiasi ja omaisuuttasi maalaisjärjen sekä erilaisten teknisten ratkaisujen avulla. Sinulla on tietokone.

Haluatko, että tuntemattomat ihmiset vierailevat kutsumatta koneellasi? Onko koneellesi pääsy vain tietyillä henkilöillä? Pääseekö koneellesi ilman ”avaimia” eli käyttäjätunnusta ja salasanaa? Mitä teet jos joku tietää tai pahimmassa tapauksessa arvaa salasanasi, koska se on niin helppo? Toivotko parasta vai ehkäisetkö mahdollista ongelman syntymistä? Onko sinulla teknisiä ratkaisuja, jotka ilmoittavat, hälyttävät tai suojelevat tarvittaessa? Kysytkö apua mikäli et osaa tehdä jotain? Miksi et suojelisi koneellasi olevia tietoja maalaisjärjen ja teknisten ratkaisujen avulla? Tyypillisesti tähän vastataan yhdellä lauseella:

”Minulla ei ole mitään salattavaa.”

    • Onko koneellasi kuvia esimerkiksi lapsistasi? Haluatko että joku lisää lapsiesi kuvia johonkien epämääräisille sivustoille?
    • Haluatko että naapurisi lukee sähköpostisi?
    • Haittaako jos joku varastaa pankkitunnuksesi?
    • Haittaako jos joku esintyy netissä sinun nimelläsi ja tiedoillasi?
    • Onko se OK, että naapurisi, tai joku muu, käyttää langatonta verkkoasi rikollisiin toimenpiteisiin?

Onko sinulla sittenkin jotain salattavaa?