IT-riskienhallinnan konsultointi
Auditointi ja IT-riskienhallinta
IT-riskienhallinnan konsultointi
IT-Riskienhallintastrategia saattaa kuulostaa tylsältä, mutta tietoturva on pohjimmiltaan juuri riskien hallintaa. Tietoturvaan voi polttaa loputtomasti rahaa ostamalla laitteita ja ohjelmistoja. Hyödyn niistä saa kuitenkin irti vasta jos ostoslista vastaa asetettuja tavoitteita. Tavoitteiden pitää osua sekä liiketoimintastrategiaan että IT-strategiaan.
IT-riskienhallinta on osa yrityksen operatiivista riskienhallintaa, keskittyen erityisesti IT:hen, IT-infrastruktuuriin sekä ohjelmistokehitykseen. IT-riskienhallinta vaatii teknisen arkkitehtuurin tuntemusta sekä ymmärrystä erilaisista laiteympäristöistä ja järjestelmien toipumisesta. Ymmärtämällä ja hallitsemalla IT-riskejä, pyritään takaamaan yrityksen IT-toimintojen – ja siten monesti koko yrityksen toimintojen – jatkuvuutta.
Jos liiketoiminnallasi on arvoa, on sen keskeytyminen tämän arvon keskeytyminen. On tärkeää tietää, millä tasolla varatuminen on ja millä tasolla sen pitäisi olla. Kaikkien liittyvien osakompnenttien pitää olla tasapainossa, muuten saatat maksaa näennäisestä jatkuvuudesta joka ei todellisuudessa auta liiketoimintaasi. Varautumissuunnitelma, sen verifiointi sekä jatkuvuuden harjoittelu on tärkeää. Jos pahin sattuu, on myös osattava palautua.
Jatkuvuudella (ja jatkuvuussuunnittelulla) tarkoitetaan usein kolmea erillistä osa-aluetta:
- valmiussuunnittelua (contingency planning),
- jatkuvuussuunnittelua (continuity planning) ja
- häiriöistä palautumista (disaster recovery).
On tärkeää ymmärtää eri termien eroja, kun lähdetään tekemään kattavaa jatkuvuussuunnitelua. Valmiussuunnittelu on varautumista laajoihin, yhteiskunnallisiin kriiseihin, kuten sähkön jakeluverkon tai vesihuollon totaaliongelmiin. Jatkuvuusssuunnittelun tarkoitus on tunnistaa yrityksen liiketoiminnalliseen jatkuvuuteen vaikuttavat tekijät sekä määritellä yrityksen liiketoiminnalliset prioriteetit häiriön tapahtuessa. Häiriötilanteista palautumisen suunnittelu sisältää operatiiviset ohjeet ylläpidolle, miten häiriön aikana minimoidaan vahingot ja palataan normaaliin toimintaan. Kaikkia kolmea osa-aluetta voi lähestyä skenaariopohjaisella suunnittelulla.
IT-riskienhallinta auttaa ymmärtämään, mitkä asiat voivat mennä pieleen. Jatkuvuussuunnittelu auttaa varmistamaan, että häiriötilanteissa on selkeät toimintamallit, ja että häiriötilanteista toipuminen sujuu mahdollisimman hyvin ja mahdollisimman pienellä liiketoiminta riskin toteutumisella.
Mitä Mint Security toimittaa
Asiantuntijoillamme on kattava kokemus erilaisista arkkitehtuuriratkaisuista ja toteutusmenetelmistä, kuten myös riskienhallinnan toimenpiteistä sekä standardeista. Teemme esimerkiksi IT-riskienhallinnan ja jatkuvuudenhallinnan ohjaavat dokumentit ja riskikartoituksia, joiden perusteella asiakkaalle luodaan riskirekisteri. Jatkuvuussuunnittelua lähestymme workshoppeina yhdessä asiakkaan kanssa, jotta se palvelisi mahdollisimman tehokkaasti asiakkaan toimintaympäristöä. Jatkuvuussuunnittelun skenaarioiden muodostamisessa voidaan hyödyntää myös uhkamallinnust. aSkenaarioiden pohjana voi käyttää jo tunnistettuja riskejä ja toisaalta skenaariosuunnittelussa voidaan tunnistaa uusia riskejä.
Asiakkaiden tarpeet ja ratkaistavat haasteet
IT-riskienhallinassa pyritään tunnistamaan sekä ympäristöjen hallinnoimiseen, kuten ulkoistus tai oma konesali, että valttuihin tekniikoihin, kuten pilvipalvelut, ostetut järjestelmät tai oma järjestelmäkehitys, liittyviä riskejä. Riskit tunnistetaan, analysoidaan, luokitellaan ja käsitellään säännöllisesti, kuten muussakin operatiivisessa riskienhallinnassa. IT-riskienhallnta ja jatkuvuussuunnittelu ovat toimintoja, jotka tulee ensisijaisesti leipoa sisään yrityksessä jo oleviin käytäntöihin, jotta niistä saadaan paras hyöty. Usein työ aloitetaankin tekemällä pieni nykytilan kartoitus, josta jatketaan joko itsenäiseen dokumenttien kirjoittamiseen tai workshop muotoiseen työskentelyyn asiakkaan kanssa.
Ensimmäisiin tehtäviin voi kuulua kartoittaa yrityksen oikeat operatiivisten riskien hallintatarpeet, gap-analyysi jo olemassa olevista prosesseista tai haastattelututkimus siitä, miten hyvin oraganisaation osat ymmärtävät operatiivisen riskin käsitteen. Räätälöimme etenemismallin ja toimitussisällön aina asiakkaan tarpeiden mukaisesti, koska riskienhallinta tulee ensisijaisesti viedä sisään yrityksessä jo oleviin käytäntöihin, jotta siitä saadaan suurin hyöty.
Tarkemmin menetelmistämme ja työkaluistamme
IT-riskienhallinnan kokonaisuudessa voidaan hyödyntöö RISK-IT (ISACA) frameworkia ja käyttää tukena ISO27001- sekä ISO31000 -standardeja. Näiden lisäksi voidaan myös hyödyntää muita standardeja tarvittaessa. Standardeja ja malleja voidaan soveltaa myös siten, ettei niitä sovelleta täysimääräisesti, vaan valitaan yritykselle kulloinkin sopiva taso.
Asiakkaan tarvitessa työkalun riskienhallintaan, aloitamme esittelemällä joko Excel-pohjan tai Mint Securityn toimittama riskirekisterityökalun. Asiakkaan toiveesta vertailemme myös muita työkaluja.
Hyödynnä riskirekisteriä jatkuvuussuunnittelussa
Mint Security toimittaa riskienhallinnan ja jatkuvuuden konsultointipalveluita ja on huomannut, että linkki riskirekisterin ja jatkuvuussuunnitelmien välillä ei aina ole selkeä.
Käytännönläheinen jatkuvuussuunnittelu skenaarioiden avulla
Mint Security toimittaa jatkuvuussuunnittelua konsultointipalveluna ja on todennut skenaariopohjaisen lähestymistavan tehokkaana keinona keskittyä asiakkaan tärkeimpiin toimintoihin. Skenaariot toimivat myös kriisiharjoitusten pohjana. Kattava jatkuvuussuunnittelu sisältää valmius-,
The differences between Disaster Recovery Plans and Business Continuity Plans are not very clear in actual usage. Different companies sometimes use these terms differently and, at times, interchangeably.
Technically the Business Continuity Plan (BCP) refers to the means by which loss of business may be avoided and it ought to define the business requirements for continuity of operations. It defines the business requirements for a Disaster Recovery Plan (DRP).
Technically, the Disaster Recovery Plan (DRP) deals with the restoration of computer systems with all attendant software and connections to full functionality under a variety of damaging or interfering external conditions. In daily practice Business Continuity often refers to disaster recovery from a business point-of-view, or dealing with simple daily issues, such as a failed disk, failed server or database, possibly a bad communications line. It is often referred to as the measure of lost time in an application, possibly a mission critical application.