Elina Partanen

Elina Partanen

Elina is a partner and owner of Mint Security and specializes in risk management.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Mint Security toimittaa riskienhallinnan ja jatkuvuuden konsultointipalveluita ja on huomannut, että linkki riskirekisterin ja jatkuvuussuunnitelmien välillä ei aina ole selkeä.

Riskirekisterin hyödyntäminen

Olemassa olevaa riskirekisteriä ja insidenttilokia kannattaa ehdottomasti hyödyntää jatkuvuusuunnittelun kokonaisuudessa. Vaikka jatkuvuus- ja varautumisskenaariot kannattaa ensin määritellä ns. puhtaalta pöydältä, on seuraavassa vaiheessa hyvä ottaa mukaan olemassa oleva data. Riskeistä ja insidenteistä löydetään tietoa skenaarioista, jotka kannattaa lisätä jatkuvuussuunnittelun kokonaisuuteen sekä pystytään paremmin määrittelemään skenaarioiden todennäköisyyksiä ja vakavuuksia. Useasti jatkuvuus- ja varautuminen jää erilliseksi, siten että skenaariot ja uhkakuvat on mietitty ”kerran kuntoon”, eikä näitä uhkakuvia ole kyseenalaistettu eikä siten päivitetty.

Operatiivisten, erityisesti IT-riskien, ja jatkuvuussuunnittelun kokonaisuuden tulisi elää symbioosissa, jossa toinen tarkistetaan aina, kun toiseen tulee päivityksiä. Näin voidaan varmistua, että muutokset riskiympäristössä tulevat huomioiduksi myös jatkuvuussuunnittelun kokonaisuudessa. Toisaalta taas skenaariotesteissä voidaan tunnistaa uusia riskejä, joita ei olla osattu tunnistaa ennen häiriötilanneharjoitusta. Työmenetelmämielessä prosessi kannattaa piirtää auki siten, että riskirekistteri ja insidenttiloki ovat virallisia tietolähteitä jatkuvuussuunnittelussa ja siten että tietojen tuominen mukaan jatkuvuussuunnitteluun myös vastuutetaan jollekin nimetyksi tehtäväksi.

Riskirekisterin tarkoitus on auttaa ennakoimaan häiriöitä ja niiden vaikutuksia, jatkuvuussuunnittelun kokonaisuus täydentää tätä tuottamalla joko riskiä pienentäviä toimenpiteitä tai toimintaohjeita häiriön eli jatkuvuusriskin toteutuessa.

Kaikkeen tähän liittyy myös uhkamallinnus, joka IT-osastoilla kulkee yhtenä työvälineenä sekä riskien että jatkuvuuden häiriöiden tunnistamiseen. Uhkamallinnus yksinkertaisesti pyrkii ajattelemaan tunnistettuja uhkakuvia konkreettisiksi käyttötapauksiksi. Ketterässä maailmassa uhkamallinnusta voidaan myös auttaa ajattelemalla sitä lauseina, jotka alkavat ”hyökkääjänä tähän tietojärjestelmään tavoitteenani on….”. Näin uhkamallit syntyy kielteisinä tai käänteisinä ketterän kehityksen tuntemine user storyinä. Tämä voi olennaisesti auttaa keksimään realistisia skenaarioita myös jatkuvuuteen.

Kiinnostuitko jatkuvuussuunnittelun kokonaisuuden tai jonkin osa-alueen parantamisesta? Me sparraamme, ideoimme ja dokumentoimme. Kokemuksemme finanssialalta tarkoittaa sitä, että tunnemme jatkuuvuussuunnittelun kontekstin. Kokemuksemme ketteryydestä taas tarkoittaa sitä, että tuomme tuoreita ideoita.

Riski, uhka - vai near miss?

Käsitteistö voi olla hankalaa, myös asiantuntijoille ja ammattilaisille. Yritämme aina konkretisoida asioita mahdollisimman pitkälle, kadottamatta kuitenkaan pohjalla olevaa teoriaa. Riskirekisteristä otetaan useasti hyvin vähän hyötyjä irti. Se on nimensä mukaisesti rekisteri eli lista asioita, joihin pitää kiinnittää huomiota kerran vuodessa. Tämä eteen nähdään kuitenkin paljon vaivaa, ja onkin eriskummallista ettei tätä tehtyä työtä haluta hyödyntää organisaatioissa laajemmin. Samalla kun riskidataa hyödynnetään enemmän, sille tapahtuu samat asiat kuin muullekin oikeaan käyttöön tuleva data - se paranee. Hyödyt ovat siis moninkertaiset.

Elina Partanen

Elina Partanen

Elina is a partner and owner of Mint Security and specializes in risk management.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.