keskiviikko 12. tammikuuta 2011

Mitä sitten kun...

Näin vuoden alussa on hyvä palauttaa mieliin vuosisuunnitelmat ja uhrata hetki sille, miten turvalliseksi vuoden 2011 teemme. Tässä vuoden toisessa blogissa keskitymme aiheeseen, joka suunnitelmista yleensä puuttuu.
Joulukuussa Jim Romenesko (Poynter) kirjoitti Gawker Mediassa tapahtuneesta palvelinmurrosta ja sitä kautta 1.4 miljoonan oman yhtiön, asiakkaan ja kumppanin käyttäjätilien vaarantumisesta. Tapahtumasta on kirjoiteltu hyvin paljon ja kuten yhtiön teknologiapäällikön memosta käy ilmi, oli ongelmia jo perustason suojautumisessa. Suurimpana ongelmana teknologiasta vastaava päällikkö Thomas Plunkett pitää kuitenkin yrityksen nopeaa kasvua. Nopean kasvun aiheuttamaa riskien ja uhkakuvien muuttumista ei missään vaiheessa huomioitu, eikä suunitelmia oltu päivitetty vastaamaan uutta tilannetta.

Suuri ongelma oli myös se, että yhtiöllä ei ollut mitään suunnitelmia, miten tällaisen riskin toteutuessa toimitaan. Tästä johtuen Thomas Plunkett kirjoittaakin, että yhtiössä tehtiin todella paljon virheitä tapahtuman paljastuessa, sillä kenelläkään ei ollut kuvaa siitä, miten pitäisi toimia.

Tällaisten suunnitelmien puuttuminen on hyvin yleistä. Melko usein tietohallinnolta vaaditaan perustasolla vain teknisten suojausratkaisujen käyttöönottoa. Virusturva pitää olla, palomuurit ovat käytössä ja yrityksen verkossa on edes jonkinlaisia pääsynhallintaan liittyviä menetelmiä käytössä. Kuitenkin se dokumentti, jossa on kriisiviestintäsuunnitelmat, toimenpideluettelot, varajärjestelmät ja ohjeet siihen, miten toteutuneisiin riskeihin reagoidaan, puuttuu todella usein.

Paitsi nopean uhan eliminoinnin takia, tällaiset suunnitelmat ovat muutenkin elintärkeitä. Ellei yrityksessä ole tiedossa, miten uhkatilanteissa tai niitä epäillessä toimitaan, aiheutetaan haparoinnilla siinä kohtaa vain lisäkertoimia vahingoille. Oikea henkilöt eivät saa aina oikeaa tietoa tarvittaessa, väärät henkilöt - esimerkiksi media - saa ennenaikaisesti ja usein väärää, yritystä vahingoittavaa tietoa, rikostapauksessa todisteita tuhotaan omalla toiminnalla tai saatetaan aiheutaa jopa lisävahinkoja omalle ympäristölle.

Jokaisessa yrityksessä pitää olla suunnitelma tietoriskien toteutumisen varalta. Suunnitelma pitää myös joka vuosi tarkistaa, päivittää ja tietyin väliajoin suunnitelma on myös testattava ainakin kriittisiltä osin. Se on myös koulutettava, sen esittely johtoryhmälle ei vielä tee siitä toimivaa.

Ei kommentteja:

Lähetä kommentti