Yritystoiminnan toipumissuunnitelma

Toipumissuunnitelma on yksi kolmesta valmiussuunnittelun osasta ja asettuu vaikutusaikansa puolesta vastesuunnitelman ja jatkuvuussuunnitelman väliin. Aluksi toteutettava vastesuunnitelma koskee aktiivisten hyökkäysten torjuntaa, kun taas pidemmällä aikavälillä tarvitaan jatkuvuussuunnitelmaa liiketoiminnan turvaamiseksi.
Olemme viime aikoina olleet mukana tapauksissa, joissa yrityksen tietojärjestelmät ovat vaurioituneet tai tuhoutuneet inhimillisen virheen seurauksena. Ongelmana on ollut se, että liiketaloudelle kriittistä tietoa on tuhoutunut täysin tai osittain. Tämä on johtanut liiketoiminnan lamaantumiseen, joko tapauksesta riippuen osittain tai kokonaan. Yleensä tämän tyyliseen tilanteeseen ei ole olemassa kriisisuunnitelmaa vaan tilanteessa on pitänyt lähteä miettimään tyhjältä pöydältä miten asioissa edetään ja mihin tilanteeseen pystytään palautumaan sekä selvittämään onko palautuminen ylipäätään mahdollista.

Valitettavan usein varsinkin pienissä ja keskisuurissa yrityksissä laiminlyödään varmistukset sekä jatkuvuus- ja toipumissuunnitelman teko. Laiminlyönti tapahtuu helposti kustannustensa takia, mutta vahingon sattuessa yrityksen liiketoiminta ja sen jatkuvuus ovat vaarassa. Hyvin useissa yrityksissä on tullut vastaan NAS- tai muita levyjärjestelmiä, jotka osaavat synkronoida tietoa useamman paikan välillä. Yritykselle jää väärä turvallisuudentunne, että tiedot ovat useammassa paikassa varmistettuna.  Ongelmana on se, että virhetilanteessa tietoa poistuu tai korruptoituu, synkronointi saa aikaan sen, että myös kaikissa paikoissa tiedolle käy samalla tavalla. Tällöin ilman kunnollista varmistusjärjestelmää tieto on hävinnyt todennäköisesti pysyvästi taivaantuuliin.

Toinen mahdollinen tilanne on se, että varmistusjärjestelmä on olemassa, mutta varmistusmediat ovat samassa palotilassa palvelimien kanssa, jolloin tulipalon sattuessa menetetään molemmat. Mikäli kaikki edellä mainitut asiat ovat kunnossa, niin valitettavan usein kriisitilanteiden toipumissuunnitelmat puuttuvat. Kriisitilanteiden toipumissuunnitelma määrittää miten tietojärjestelmissä palaudutaan normaaliin toimintaan ongelmatilanteessa (ts. kriisissä). Yksi toipumissuunnitelman ydinalueita on määrittää liiketoiminalle kriittinen tieto. Lisäksi toipumissuunnitelmassa on kerrottu toimenpiteet varmuuskopioista palauttamiselle sekä tietojen ja järjestelmien palauttamisen priorisoinnin liiketoiminnan näkökulmasta.

Yrityksen pitää ottaa huomioon tietojärjestelmiään suunnitellessaan kokonaisuutena se, miten tiedot varmistetaan sekä miten ne saadaan palautettua, ja mikä on palveluiden ja tiedon kriittisyysluokitus liiketoiminnalle.