Liiketoiminnan ICT-riippuvuus kasvaa, hallitaanko riskit? Tutkimus tieto- ja viestintätekniikkaa koskevan jatkuvuussuunnittelun johtamisesta ja toteuttamisesta suurissa ja keskisuurissa suomalaisissa organisaatioissa Marketvisio Tutkimus
Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 2/131
Saatteeksi Yritysten ja organisaatioiden riippuvuus tieto- ja viestintäteknologiasta (ICT) on kasvanut merkittävästi viimeisten parin vuosikymmenen aikana. Tämä kehityssuunta jatkuu edelleen. Muiden muassa sähköisen viestinnän yleistyminen, digitalisoituminen ja tietoverkkojen hyödyntäminen korostavat ICT:n liiketoimintakriittistä roolia. Liiketoiminnan voimistuva riippuvuus tieto- ja viestintätekniikasta on keskeisin syy sille, että ICT on yhä tärkeämpi osa-alue yritysten ja organisaatioiden riskienhallinnassa ja jatkuvuussuunnittelussa. Samalla ulkoisten ICT-palvelujen käyttö yleistyy. Ulkoiset palvelutoimittajat vastaavat yhä useammin tehtävistä, jotka liittyvät organisaatioiden kriittisiin liiketoimintaprosesseihin. Tästä seuraa vääjäämättä, että asiakasorganisaatiot ovat entistä riippuvaisempia ulkoisista ICT-toimittajista. ICT-ratkaisuihin ja -palveluihin liittyvät häiriöt voivat muodostaa eriasteisia riskejä paitsi organisaatioille itselleen, niin myös erilaisille sidosryhmille, kuten päämiehille, alihankkijoille, kumppaneille, asiakkaille ja jopa yhteiskunnalle ja ympäristölle. Tieto- ja viestintätekniikka on yksi osa-alue, joka tulee huomioida organisaatioiden riskienhallinnassa ja jatkuvuussuunnittelussa. Tämän tutkimuksen tarkoituksena oli selvittää, kuinka ICT-riippuvaista liiketoiminnan jatkuvuussuunnittelua toteutetaan suurissa ja keskisuurissa suomalaisissa organisaatioissa, ja miten näissä hallitaan tieto- ja viestintätekniikkaan liittyviä riskejä. Samalla tutkimuksessa arvioitiin mm. ICT-jatkuvuussuunnitteluun liittyvän johtamisen, strategisen suunnittelun ja resursoinnin tasoa. Tällä tavoin pyrittiin selvittämään suomalaisten organisaatioiden ICT-jatkuvuussuunnitteluun ja erityisesti sen johtamiseen liittyviä vahvuuksia ja kehittämisalueita. Tämän tutkimushankkeen tilaajina sekä suunnittelua ja toteutusta tukevan ohjausryhmän jäseninä toimivat: Eaton Power Quality Fujitsu Huoltovarmuuskeskus Logica Puolustusministeriö Tekes TeliaSonera Tieto Valtiovarainministeriö Tutkimuksen suunnittelusta, toteutuksesta ja raportoinnista vastasi Market-Visio Oy. Espoossa 9.2.2010 Mika Ollikainen Projektijohtaja Market-Visio Oy Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 3/131
Sisällysluettelo 1 Yhteenveto 6 1.1 Keskeisimpiä havaintoja 6 1.2 Edellytyksiä ja suosituksia tarkoituksenmukaisen ICT-jatkuvuussuunnittelun toteuttamiseksi 7 1.3 Havaintoja tutkimuksen keskeisiltä osa-alueilta 8 1.3.1 Johtaminen ja riskienhallinta 8 1.3.2 Strateginen suunnittelu 9 1.3.3 ICT-jatkuvuusjohtaminen 10 1.3.4 Ulkoiset suhteet, kumppanuudet ja ICT-toimittajat 11 1.3.5 Resursointi 12 2 Johdanto 14 2.1 Taustaa 14 2.2 Tieto- ja viestintäteknologian voimistuva rooli 14 2.3 Ulkoisten ICT-toimittajien merkitys kasvaa 15 2.4 Periaatteita ja valintoja tutkimushankkeen taustalla 15 2.5 Selvityksen toteutustapa 16 2.5.1 Henkilökohtaiset haastattelut 17 2.5.2 Web-kysely 17 2.5.3 Toimittajahaastattelut 19 3 ICT-toimittajien näkökulma 20 3.1 Eri toimialoja ja kokoluokkia edustavien organisaatioiden välillä on eroja 20 3.2 Käytettävyydestä ja jatkuvuudesta ei aina olla valmiita maksamaan 21 3.3 Käytettävyys ja jatkuvuus sekoitetaan joskus keskenään 21 3.4 Raha ratkaisee 21 3.5 Isot ovat parhaiten varautuneita myös tietoliikenneasioissa 22 3.6 Energiansaannin turvaamisen käytännöissä suuria vaihteluja 22 3.7 Mikä on hyvällä tolalla asiakaspuolella, mikä vaatii kehittämistä? 23 3.8 Mitä jatkuvuusuhkia ICT-toimittajayritykset tunnistavat asiakkailla? 24 3.9 Mitä ratkaisuja ja yhteistyötä toimittajat suosittelevat asiakkaille? 25 4 Loppukäyttäjätutkimuksen rakenne 26 4.1 Maturiteettimalli tutkimuksen työvälineenä 26 5 Johtaminen ja riskienhallinta 29 5.1 Johtamista ja riskienhallintaa ilmentävät mittarit 29 5.2 Johtaminen ja riskienhallinta kokonaisuutena 31 5.3 Kysymyskohtaiset tulokset 34 5.4 Tutkimuksen keskeisiä havaintoja johtamiseen ja riskienhallintaan liittyen 43 6 Strateginen suunnittelu 44 6.1 Strategista suunnittelua ilmentävät mittarit 44 6.2 Strateginen suunnittelu kokonaisuutena 45 6.3 Kysymyskohtaiset tulokset 49 6.4 Tutkimuksen keskeisiä havaintoja strategiseen suunnitteluun liittyen 55 7 ICT-jatkuvuusjohtaminen 56 7.1 ICT-jatkuvuusjohtamista ilmentävät mittarit 56 Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 4/131
7.2 ICT-jatkuvuusjohtaminen kokonaisuutena 59 7.3 Kysymyskohtaiset tulokset 62 7.4 Tutkimuksen keskeisiä havaintoja ICT-jatkuvuusjohtamiseen liittyen 74 8 Ulkoiset suhteet, kumppanuudet ja ICT-toimittajat 75 8.1 Ulkoisia suhteita, kumppanuuksia ja ICT-toimittajia ilmentävät mittarit 75 8.2 Ulkoiset suhteet, kumppanuudet ja ICT-toimittajat kokonaisuutena 76 8.3 Kysymyskohtaiset tulokset 80 8.4 Tutkimuksen keskeisiä havaintoja ulkoisiin suhteisiin, kumppanuuksiin ja ICTtoimittajiin liittyen 88 9 Resursointi 90 9.1 Resursointia ilmentävät mittarit 90 9.2 Resursointi kokonaisuutena 91 9.3 Kysymyskohtaiset tulokset 95 9.4 Tutkimuksen keskeisiä havaintoja resursointiin liittyen 99 10 ICT-jatkuvuussuunnittelun toteuttaminen käytännön toimenpiteinä 100 10.1 ICT-jatkuvuuden tekniset ratkaisut 110 10.1.1 Tiedostojen ja tietokantojen tekniset jatkuvuusratkaisut 110 10.1.2 Palvelinjärjestelmien tekniset jatkuvuusratkaisut 111 10.1.3 Työasemakäytön jatkuvuusratkaisut 111 10.1.4 Sähkönsyötön jatkuvuusratkaisut 112 10.1.5 Tietoliikenteen ja verkon jatkuvuusratkaisut 112 10.1.6 Konesalien jatkuvuusratkaisut 112 10.1.7 Help desk ja call center -jatkuvuusratkaisut 113 11 Tulokset kokonaisuutena tutkimuksessa sovellettuun maturiteettimalliin perustuen 114 11.1 Jatkuvuussuunnittelu kokonaisuutena: henkilökohtaiset haastattelut 116 11.2 Jatkuvuussuunnittelu kokonaisuutena: web-kysely 120 Liite: Tutkimukseen osallistuneet organisaatiot 123 Liite: Hankkeen ICT-toimittajayritysten esittelyt 125 Eaton Power Quality 125 Fujitsu 126 Logica 127 TeliaSonera 128 Tieto 130 Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 5/131
1 Yhteenveto 1.1 Keskeisimpiä havaintoja Suuret yksityiset yritykset (noin 80-100 suurinta yritystä Suomessa) ja huoltovarmuuden kannalta kriittisimmät julkisen sektorin organisaatiot ovat liiketoiminnan ja ICT:n jatkuvuussuunnittelun vahvimpia osaajia. Merkittävällä osalla suuryrityksistä ja kriittisimmistä julkisen sektorin organisaatioista on käytössä riskienhallinnan prosesseja, jotka on organisoitu korkeatasoisesti. Tätä kautta myös liiketoiminnan jatkuvuuden hallinnan ja ICT-jatkuvuussuunnittelun prosessit ovat usein strukturoituja ja pitkälle mietittyjä. Erityisesti finanssialan toimijat edustavat kotimaisen ICT-jatkuvuussuunnittelun kärkeä, johtuen vahvasti myös toimialan jatkuvuuskäytäntöjä ohjaavista laeista ja muista säädöksistä. Myös monien muiden alojen suurissa organisaatioissa ja esimerkiksi valtionhallinnossa on tahoja, joissa ICT-jatkuvuussuunnittelu on erittäin painavassa roolissa organisaation riskienhallintaprosessissa ja liiketoimintastrategiassa. Sen sijaan keskisuurissa yrityksissä käytännöt vaihtelevat suuresti. Tämä näkyy riskienhallinnan prosessien systematiikassa, jatkuvuussuunnitelmien ajan tasalla pitämisessä, resursointitavoissa ja ennen muuta käytännön ICT-jatkuvuusjohtamisessa ja varajärjestelyjen organisoinnissa. Keskisuurissa ja pienissä yrityksissä jatkuvuussuunnittelua toteutetaan keskimäärin selvästi heikkotasoisemmin kuin suurissa organisaatioissa. Ääripäiden erot jatkuvuuden hallinnan toteuttamisessa ovat merkittäviä. Useissa suurissa yrityksissä sekä julkisen sektorin huoltovarmuuskriittisissä organisaatioissa jatkuvuussuunnittelu on systemaattista ja ammattimaisesti johdettua toimintaa. Pienissä ja keskisuurissa yrityksissä esiintyy selviä puutteita liiketoiminnan ja ICT:n välisten riippuvuussuhteiden ymmärtämisessä ja tätä kautta ICT-riskien tunnistamisessa. Osa keskisuurista organisaatioista ei ole selvittänyt käytännössä lainkaan tieto- ja viestintätekniikkaan liittyviä liiketoimintariskejä. Tätä suurempi joukko on jollakin tavalla selvittänyt ICT-riskejä esimerkiksi järjestelmäkohtaisesti, mutta jatkuva riskien tunnistamisen ja arvioimisen prosessi saattaa puuttua kokonaan. Suurissa organisaatioissa tilanne on tässä suhteessa keskimäärin hyvä, mutta keskisuurissa ja pienissä yrityksissä on vielä paljon kehitettävää ICT-riskien ja ICT:n liiketoimintariippuvuuksien tunnistamisessa ja arvioimisessa. Myös johdon sitoutuneisuus jatkuvuussuunnitteluun ja ICT-riskien hallintaan vaihtelee keskisuurissa yrityksissä. Tämä ei yleensä ole ongelma yrityksissä, joiden liiketoiminta on voimakkaasti riippuvaista ICT-ratkaisuista. Sitä vastoin puutteita ilmenee silloin, kun johdon ja tietohallinnon kommunikaatio on vähäistä tai ICT on noussut liiketoiminnan kannalta yhä kriittisempään rooliin kaikessa hiljaisuudessa tai hyvin nopeasti. Tällöin johto ja omistajat eivät ole välttämättä pysyneet kehityksessä mukana. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 6/131
1.2 Edellytyksiä ja suosituksia tarkoituksenmukaisen ICTjatkuvuussuunnittelun toteuttamiseksi Tehdyn selvityksen perusteella seuraavien asioiden huomioiminen on erityisen tärkeää tarkoituksenmukaisen ICT-jatkuvuussuunnittelun toteuttamiseksi ja liiketoiminnan jatkuvuuden tukemiseksi: Johdon sitoutuminen. Ilman johdon vaatimusta ja valvontaa jatkuvuussuunnittelun edellytykset ovat vajavaiset. Tämä on jatkuvuuden hallinnan välttämätön edellytys. Liiketoiminnan ja ICT:n välisten riippuvuussuhteiden ymmärtäminen. Päätöksentekijöillä on oltava todenmukainen käsitys liiketoimintaan ja etenkin kriittisiin liiketoimintaprosesseihin vaikuttavista riskitekijöistä, mukaan lukien ICT. Johdon on kyettävä tunnistamaan riskitekijät, mieluiten ennakoivasti. Hyvätasoinen keskusteluyhteys johdon ja tietohallinnon välillä on tässä suuresti hyödyksi. Omistajien kiinnostus tunnistaa ja hallita riskejä. Omistajien keskeisenä intressinä on turvata yrityksen olemassaolo ja mahdollisimman hyvä toimintakyky kaikenlaisissa tilanteissa. Omistajien tulee vaatia, että operatiivinen johto toteuttaa yrityksen jatkuvuuden hallintaa tarkoituksenmukaisella tavalla, joka vastaa omistajien tunnistamaa omistuksen riskipositiota. Liiketoimintaprosessit ja ICT-järjestelmät on kriittisyysluokiteltava. Liiketoimintaprosessien kriittisyys- ja palautusjärjestyksen määritteleminen on johdon vallassa. ICT-prosesseista vastaava taho kuten tietohallinto voi tämän perusteella luokitella ICT-järjestelmien ja -palvelujen kriittisyydet. ICT-riippuvuudet ja riskit on tunnistettava ja analysoitava. Organisaation on ymmärrettävä, millaisen riskin ICT muodostaa liiketoiminnalle. Samoin on tiedostettava, kuinka todennäköisiä ICT:n aiheuttamat riskit ovat ja kuinka suuria välittömiä ja välillisiä seurauksia näillä voi olla liiketoiminnalle. On ymmärrettävä, että jatkuvuuden hallinta on jatkuva prosessi. ICT:n riskikartta muuttuu koko ajan, samoin kuin organisaation toimintaympäristö ja sen riskit. Tämän vuoksi ICT-riippuvuuksia ja ICT:n liiketoiminnalle muodostamia riskejä on arvioitava säännöllisesti, ja myös merkittävissä muutostilanteissa. Alihankintaketjujen riippuvuuksien huomioiminen. Verkostoituneessa liiketoiminnassa kumppaneihin ja sidosryhmiin voi liittyä merkittäviä riskejä. Organisaatio voi olla suuresti riippuvainen alihankkijoiden ja kumppanien toimintakyvystä. Siksi koko toimintaympäristön huomioiminen jatkuvuuskysymysten suhteen on tärkeää, mukaan lukien ICT ja muut tukitoiminnot. Tuotantoketjujen läpinäkyvyyttä voi lisätä eri toimenpiteillä, kuten huomioimalla jatkuvuusvaatimukset sopimuksissa ja toteuttamalla alihankkijoiden ja toimittajayritysten auditointeja. Tiedon saatavuuden turvaaminen eri tilanteissa. Monissa tapauksissa liiketoimintakriittisen tiedon menettäminen tai tiedon joutuminen vääriin käsiin on toteutuessaan suurin ICT-riski, joka voi kohdata organisaatiota. Joillekin yrityksille ICT on vain väline, mutta esimerkiksi pankkien ja vakuutusyhtiöiden koko liiketoiminta nojaa voimakkaasti ICT-ratkaisuihin. Jatkuva tiedon olemassaolo ja turvallinen saatavuus on keskeinen asia monelle muullekin. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 7/131
Olemmeko palvelutoimittajalle asiakas, jonka palvelu tuotetaan riittävän korkealla prioriteetilla myös poikkeustilanteissa? Ulkoisten palvelujen yleistyessä asiakkaiden on syytä välillä pysähtyä miettimään tätä asiaa. On ilmeistä, että palvelutoimittaja pyrkii poikkeustilanteessa huolehtimaan ensisijaisesti tärkeimmistä (=suurimmista) asiakkaistaan. Muut asiakkaat saavat todennäköisesti palvelua sitä mukaa kun mm. resurssit antavat tähän mahdollisuuden. Jokainen yritys on itse vastuussa sitoumuksistaan omille asiakkailleen. Sopimuksilla voi ostaa turvaa ja lisätä varautumisen tasoa, mutta asiakasvastuita ei voi ulkoistaa. Siksi jokaisen yrityksen - ja myös julkisen organisaation - on tärkeää arvioida jatkuvasti, onko ICT:n liiketoiminnalle muodostamiin riskeihin varauduttu riittävällä ja tarkoituksenmukaisella tavalla. Toimittajien sopimuksiin kirjatut palkkiot ja sanktiot ovat toissijaisia silloin, kun organisaation toiminta on vaarassa. Liian usein etenkin pk-yrityksissä luotetaan sopimussakkojen takaavan sen, että palvelutoimittaja tuottaa sovitun sisältöisiä palveluja tilanteessa kuin tilanteessa. Palvelutoimittajan sakkopykälistä ei ole hyötyä asiakkaalle, jos liiketoimintakriittisen tiedon katoamisella tai palvelun lamaantumisella on tuhoava vaikutus asiakkaan liiketoiminnalle. 1.3 Havaintoja tutkimuksen keskeisiltä osa-alueilta Selvityksessä arvioitiin kotimaisen ICT-jatkuvuussuunnittelun toteutumista ja tasoa viidellä eri osa-alueella: 1) johtaminen ja riskienhallinta, 2) strateginen ICTjatkuvuussuunnittelu, 3) ulkoiset suhteet, kumppanuudet ja ICT-toimittajat, 4) ICTjatkuvuusjohtaminen ja 5) resursointi. Seuraavassa esitetään keskeisimpiä havaintoja kutakin viittä osa-aluetta koskien: 1.3.1 Johtaminen ja riskienhallinta Johdon sitoutuminen on koko jatkuvuussuunnittelun kannalta ehdoton avainasia. o Kun johto on selkeästi tietoinen ICT-riskeistä ja sitoutunut niiden hallintaan, jatkuvuussuunnittelun ja sen kehittämisen systematiikalle on hyvät edellytykset. o Pääsääntöisesti tällaisissa organisaatioissa riskianalyysin tulokset vaikuttavat vahvasti myös päätöksentekoon ja jatkuvuustarpeita koskevaan resursointiin. o Tietohallintojohtajan vahva rooli kuten kuuluminen johtoryhmään edistää myös ICTriskeihin varautumista o Joissakin tapauksissa pintapuolinen riskianalyysi ja kevyet käytännön varautumistoimenpiteet ovat tarpeisiin nähden riittäviä. Olennaista on, että alhainen varautumistaso tai varautumatta jättäminen ovat tietoisia päätöksiä. Vähimmillään huolehditaan, että johtoa informoidaan näistä asioista riittävästi. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 8/131
Ylin johto ottaa ICT-riskejä koskevan analyysin vaihtelevasti huomioon päätöksenteossa. o Joissakin organisaatioissa riskienhallinta ohjaa voimakkaasti johtamista ja toiminnan suunnittelua, jolloin varautumiskysymykset huomioidaan päätöksenteossa joskus paljoakaan kustannuksista tinkimättä. o Useissa organisaatioissa johto joutuu käytännössä priorisoimaan ainakin hetkellisesti muut asiat ICT-riskien hallinnan yläpuolelle. Tämä on varsinkin taloudellisesti epävakaana aikana ymmärrettävää, kun koko toimiala saattaa olla huomattavissa vaikeuksissa ja yritys joutuu tekemään irtisanomisia. Koko organisaation sitoutuminen kokonaisuutena ICTjatkuvuussuunnitteluun riippuu ensisijaisesti siitä, kuinka hyvin johto on sitoutunut näihin asioihin ei niinkään siitä, kuinka ICT-riippuvaisia tai huoltovarmuuskriittisiä organisaatiot tosiasiassa ovat. o Suurimmissa yrityksissä ja muutamilla erityisaloilla kuten finanssisektorilla ICTjatkuvuussuunnittelu on joka tapauksessa systemaattisesti johdettua toimintaa. Organisaation sitoutuminen jatkuvuutta ylläpitäviin käytäntöihin varmistetaan. Myös valtionhallinnossa jatkuvuussuunnitteluun on kiinnitetty viime aikoina erityistä huomiota ja jatkuvuuskysymysten painoarvo on kasvamassa. o Keskikokoisissa organisaatioissa jatkuvuusasiat huomioidaan vaihtelevammin kuin suurissa. 1.3.2 Strateginen suunnittelu Strategisen suunnittelun rooli on ICT-jatkuvuuskysymysten kohdalla erityisen merkittävä suuryrityksissä, ja erityisesti finanssisektorilla ja suurissa teollisuusyrityksissä. o Näissä yrityksissä jatkuvuussuunnittelun ja ICT-jatkuvuussuunnittelun johtaminen on strategisessa mielessä hyvin suunniteltua ja nämä käytännöt on usein sisäänajettu pitkän kehityskulun myötä. o Monet strategista suunnittelua korkeatasoisesti toteuttavista organisaatioista on jatkuvuusasioiden suhteen ulkoa ohjattuja tai tähän pakotettuja. Käytännössä regulaatioiden huomioiminen edellyttää hyvien käytäntöjen mukaista strategista suunnittelua ja toimintatapoja, niin johtamisen kuin teknisen varautumisen tasolla. Keskisuurissa yrityksissä strategisen suunnittelun taso ja toimintamallit vaihtelevat suuresti. o Erityisen ICT-riippuvaisissa yrityksissä jatkuvuusasioilla on yleensä keskeinen rooli, ja ICT-asiat huomioidaan osana jatkuvuussuunnittelua. o Useimmissa keskisuurissa yrityksissä tilanne on toinen. Liian usein strategiakysymykset ovat lähinnä tietohallintojohdon intresseissä, eikä ylin johto välttämättä tunnista ICT-riippuvuuksia ja ICT:n roolia liiketoiminnalle samalla tavalla kuin tietohallinto. o Strategisen suunnitelman sijasta luotetaan kriittisten järjestelmien operatiivisiin varautumisohjeisiin, joita näitäkään ei aina päivitetä kovin usein jos ollenkaan. Noin kolmasosalla organisaatioista ei ole ICT-jatkuvuusstrategiaa itsenäisenä dokumenttina tai osana esimerkiksi laajempaa liiketoiminnan jatkuvuus- tai riskienhallintastrategiaa (perustuen sekä henkilökohtaisten haastattelujen että web-kyselyn havaintoihin). o ICT:n osalta varautumiseen liittyviä muita ohjeistuksia voi tällöinkin olla. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 9/131
ICT-jatkuvuusstrategian laatineet organisaatiot toteuttavat riskienhallinnan ja liiketoiminnan jatkuvuuden hallinnan prosesseja useimmiten erittäin systemaattisesti. o Lähes kaikki päivittävät ICT-jatkuvuusstrategiaa säännöllisesti, yleensä vuosittain, joskin päivitystarpeet ovat liiketoimintalähtöisiä. o ICT-jatkuvuusstrategiaan tehdään päivityksiä joko kalenterin mukaan tai merkittävien muutosten kuten suurten järjestelmähankkeiden yhteydessä. 1.3.3 ICT-jatkuvuusjohtaminen Suuret yritykset ja ennen kaikkea finanssialan yritykset panostavat selvästi muita voimakkaammin ICT-jatkuvuusjohtamiseen, eli jatkuvuuskäytäntöjen systemaattiseen organisoimiseen ja johtamiseen. o Jatkuvuussuunnitelmaan liittyvien tehtävien määrittely, poikkeusoloihin varautuminen varahenkilö- ja muilla järjestelyillä sekä varajärjestelyjen harjoittelu ja testaaminen ovat lakien ja toimialaa koskevien säädösten vuoksi erityisesti finanssitoimijoilta vaadittuja käytäntöjä. o Regulaatiot ohjaavat ICT-jatkuvuusjohtamista myös muutamilla muilla erityisaloilla, joiden liiketoimintaprosessit sietävät virheitä ja epävarmuustekijöitä erityisen heikosti (esimerkiksi lääkeala ja tietyt muut kemian erikoisalat) ja joille jatkuvuuskysymykset tästä johtuen ovat erityisen tärkeitä. Näissä yrityksissä ICT on huomioitu pääsääntöisesti erittäin hyvin jatkuvuusjohtamisen näkökulmasta. Vain harva organisaatio uskoo, että kriittisten tehtävien suorittamiseksi vaadittavat vaihtoehtoiset toimintatavat ja muut varajärjestelyt on määritelty täysin tyydyttävästi. o Useissa suurissakin yrityksissä koetaan, että varautumisen tarve edellyttää nykyistä suurempia panostuksia ja paremmin määriteltyjä varajärjestelyjä. o Yleensä rajoitteena ovat rahalliset resurssit, mutta myös tarkoituksenmukaisuuden asettamat rajat, jotka perustuvat riskien todennäköisyyksien ja toteutuneiden riskien vaikutusten analysointiin. Silti usein tunnustetaan, että varajärjestelyjen ja vaihtoehtoisten toimintatapojen suhteen voidaan tehdä vielä paljon lisää. Lähes kaikki suuret ja keskisuuret organisaatiot ovat toteuttaneet ennakoimattomiin tilanteisiin liittyvän päätöksenteon ja tiedottamisen suunnittelua ainakin jollain tasolla. o Suurissa ja erityisen ICT-riippuvaisissa organisaatioissa päätöksentekoketju ja tiedottamisvastuut on yleensä tarkoin määritelty eskalaatiotilanteita varten. o Keskisuurissa organisaatioissa poikkeustilanteisiin liittyvä päätöksenteon ja tiedottamisen suunnittelu ja vastuuttaminen on selvästi hatarammalla pohjalla. o Monet myöntävät suoraan, että asioita ryhdytään kehittämään vasta kun ongelmia havaitaan tositilanteiden kautta: ongelmat opettavat parhaiten sekä suunnittelemaan paremmin, että toteuttamaan jatkuvuutta tukevia investointeja. Pienissä ja keskisuurissa organisaatioissa jatkuvuusjohtaminen on usein epäsystemaattista. o Varajärjestelyjä ei aina ole, ja useimmiten ne koskevat vain kaikkein kriittisimpiä toimintoja. Joissakin tapauksissa varautumista tehdään muodon vuoksi. o Usein kyse on puutteellisista rahallisista resursseista, johon vaikuttaa toisinaan se, ettei ylin johto ymmärrä liiketoiminnan ja ICT:n välisiä riippuvuussuhteita. Tietohallinnon halutaan vastaavan ICT-jatkuvuuden turvaamisesta, mutta tähän ei anneta resursseja. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 10/131
1.3.4 Ulkoiset suhteet, kumppanuudet ja ICT-toimittajat Verkostoitunut liiketoiminta lisää riskien ja jatkuvuuden hallinnan haasteita. Yhä tehokkaampaa suorituskykyä tavoittelevissa alihankinta- ja toimitusketjuissa yritysten riippuvuudet sen kumppaneista on tärkeää tunnistaa. Muiden osapuolten ICT-riskit voivat toteutuessaan vaikuttaa olennaisesti yrityksen toimituskykyyn, ja pahimmissa tapauksissa ne voivat jopa lamaannuttaa yrityksen toiminnan. Alihankintaketjuihin liittyvien riskien läpinäkyvyyden parantaminen on kriittisen tuotannon suhteen verkostoituneille yritykselle tärkeää. Liiketoimintaprosessien riippuvuudet ICT-toimittajista ja muista ulkoisista osapuolista on suurissa ja keskisuurissa organisaatioissa lähes aina selvitetty ainakin kriittisimmiltä osin. Usein suurissa yrityksissä ja huoltovarmuuskriittisissä valtionhallinnon organisaatioissa ulkoisiin toimijoihin liittyvät riskit on arvioitu hyvinkin laajasti ja syvällisesti, mutta etenkin keskisuurissa yrityksissä päähuomio keskittyy aivan kriittisimpiin liiketoimintaprosesseihin. Laadullisesti ulkoisiin suhteisiin ja ulkoisiin palveluihin liittyen on vielä paljon parannettavaa etenkin keskisuurissa yrityksissä. Ennen kaikkea tämä liittyy alihankintaverkostoihin ja ulkoisista kumppaneista voimakkaasti riippuvaisiin yrityksiin. ICT-toimittajiin, kumppaneihin ja muihin sidosryhmiin liittyvässä jatkuvuussuunnittelussa on vielä laajasti kehitettävää. o Etenkin keskisuurissa, mutta myös monissa suurissa yrityksissä on epävarmuutta siitä, kuinka hyvin ICT-toimittajat voivat tosiasiallisesti suoriutua velvoitteistaan erilaisissa poikkeustilanteissa. Epävarmuutta esiintyy riippumatta siitä, kuinka tietoisesti asiakkaat ovat vaatineet palveluihin liiketoiminnan jatkuvuutta tukevia käytäntöjä. o Epävarmuus liittyy pääasiassa kahteen asiaan: 1) oman organisaation prioriteetti palvelutoimittajan palvelussa mahdollisen poikkeustilanteen aikana, ja 2) tietoliikenneyhteyksien toimivuus o Organisaation tuotannolle kriittiset kumppanit on varsin usein tunnistettu ja lähes yhtä usein myös kuvattu. Kriittiset sopimukset, toimittajasuhteet ja niiden vaikutussuhteen liiketoiminnalle ovat käytännössä kaikilla hyvin selvitettynä. o Kriittisten kumppanien jatkuvuusnäkökulmasta tehty vastuuttaminen poikkeustilanteiden ja häiriöiden varalta on jo selvästi tunnistamista ja kuvaamista harvinaisempaa, puhumattakaan siitä että näitä tahoja olisi erityisesti organisoitu osaksi omaa jatkuvuussuunnittelua. Suuret yritykset ja erityisen ICT-riippuvaiset organisaatiot ovat tässäkin suhteessa edistyneimpiä. Tarve tuntea aiempaa paremmin ulkoisten ICT-toimittajien palvelujen tuotantoprosessit on usein kasvanut johtuen ulkoisten palvelujen käytön lisääntymisestä, palvelujen monimutkaistumisesta ja niiden kriittisen roolin kasvusta. o Tämän vuoksi ulkoisten resurssien kuvaaminen on liiketoimintaprosessien näkökulmasta entistä tärkeämpää. Finanssialan toimijat ottavat ulkoiset osapuolet selvästi muita systemaattisemmin huomioon ICT-jatkuvuussuunnittelussa. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 11/131
Keskisuurissa yrityksissä ulkoisten osapuolten huomioiminen poikkeusolojen palvelukyvyn varmistamiseksi on selkeästi heikommalla tasolla kuin suurissa yrityksissä. o Kriittiset asiat on yleensä huomioitu vähintään jollakin tavoin, mutta käytännöt vaihtelevat suuresti. Esimerkiksi toimittajien auditoiminen on selvästi vähäisempää kuin suurilla organisaatioilla. Päähuomio on yleensä ollut normaaliajan käytettävyydessä ja tehokkaassa kilpailuttamisessa. Toimittajien lupauksiin luotetaan liikaa. Toisaalta asiakkaat tekevät myös perusteettomia olettamuksia palvelujen jatkuvuusominaisuuksien suhteen. o Toimittajien kyvyt ja resurssit liiketoiminnan jatkuvuuden tukemiseksi tulisi usein selvittää nykyistä perusteellisemmin. o Asiakkaiden tulisi ymmärtää palvelusopimusten ehdot poikkeusolosuhteiden ja forte majeure -tilanteiden osalta selvästi nykyistä syvällisemmin. Suurissa organisaatioissa tämä ei yleensä ole ongelma, sillä nämä ovat ulkoisten palvelujen ostajina harjaantuneita myös riskienhallintamielessä. Osto-osaamisen puutteet ovat huomattavasti yleisempiä keskisuurissa ja pienissä yrityksissä, joissa myös ulkoisten ICT-palvelujen käyttö yleistyy. Ulkoisista toimittajista tietoliikenneoperaattorit sekä IT-palvelujen toimittajat tunnistetaan kriittisimmiksi ulkoisiksi osapuoliksi ajatellen ICT:n ja liiketoiminnan jatkuvuutta. o Riippuvuudet tietoliikenteestä ja IT-palveluista ovat erittäin hyvin tiedossa. Liiketoimintasovellusten ja IT-laitteiden toimittajia nimetään selvästi harvemmin kriittisiksi osapuoliksi. Sovelluksen ylläpidosta vastaavaa palvelutoimittajaa pidetään useammin liiketoiminnalle kriittisenä kuin sovelluksen valmistajaa. 1.3.5 Resursointi Finanssialan toimijat ovat muihin verrattuna selvästi intensiivisimpiä resursoijia ICT-jatkuvuuskysymyksissä. o Erityisesti finanssialan organisaatioille jatkuvuuden turvaaminen ei ole ensisijaisesti kustannuskysymys, vaan jatkuvuussuunnittelu on liiketoiminnan välttämätön edellytys. o Kaikki finanssitoimijat kuitenkin näkevät, että nykyistä jatkuvuuden hallinnan suoritustasoa on vielä varaa parantaakin. Tämä kertoo lähinnä toimialan korkeasta vaatimustasosta ja siitä, että alalla tiedostetaan jatkuvuuden hallinnan jatkuvan kehittämisen välttämättömyys. Resursointi ICT-jatkuvuussuunnitteluun pyritään pitämään ensisijaisesti tarkoituksenmukaisella tasolla. o Ylivarautumista ja epätodennäköisiltä ja/tai seurauksiltaan vähäisiltä riskeiltä suojautumista pyritään tiukasti välttämään. o Erityisesti meneillään oleva taloustaantuma sekä monen yrityksen ja toimialan vaikeudet vaikuttavat myös jatkuvuusinvestointeihin, jotka eivät normaalioloissa saa aikaan tuottoja tai säästöjä. o Keskisuurissa yrityksissä jatkuvuuden hallinta priorisoidaan usein tietoisesti alemmaksi kuin riskejä analysoimalla on voitu päätellä tarkoituksenmukaiseksi. Tähän menettelyyn liittyy ylimmän johdon tietoista tai ei-tietoista riskinottoa, jonka seuraukset on olennaista ymmärtää. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 12/131
Henkilöresurssit on tavallisesti mitoitettu täysin normaaliajan tarpeiden mukaisesti. Joidenkin jopa kriittisten toimintojen kohdalla myönnettiin, että toimintakyky olisi todellisessa poikkeustilanteessa selkeästi puutteellisella tasolla. o Työvoimareserveihin on normaaliaikoina harvoin varaa. Toisaalta kriittisiin toimintoihin ei voida mahdollisissa poikkeustilanteissa järjestää nopeasti lisä- tai korvaavia henkilöresursseja. Sovellusten ja datan käytettävyys on organisaatioille keskimäärin tärkeämpi asia kuin näiden jatkuvuus. Käytettävyyttä ja jatkuvuutta ei tavoitteina voi aina erottaa, vaan molemmat saattavat olla liiketoiminnan kannalta keskeisiä vaatimuksia. o Tietojärjestelmien käytettävyyteen investoidaan hieman herkemmin kuin esimerkiksi kriittisiä järjestelmiä tai liiketoimintaprosesseja tukeviin jatkuvuusratkaisuihin. o Jatkuvuusinvestointien, samoin kuin monien muiden investointien, hyväksyttäminen on nykyhetkellä keskimäärin vaikeampaa kuin joitakin vuosia sitten. Perustelujen on oltava erityisen painavia ja niiden tueksi on oltava usein hyvin tehdyt business caset. o Korkean ICT-riippuvuuden (yleensä suurille) organisaatioille jatkuvuus on usein itseisarvo, jolloin jatkuvuuteen investoidaan tarpeen mukaan priorisoimatta sitä millään tavalla suhteessa muuhun rahankäyttöön. Heikkojen komponenttien takia koko jatkuvuusinvestointi voi osoittautua hyödyttömäksi. o Varautumista ja riskien hallintaa on syytä arvioida tuotannollisten ketjujen ja prosessien tasolla. Yhden prosessivaiheen tai järjestelmän osan huomiotta jättäminen voi kyseenalaistaa koko jatkuvuusinvestoinnin mielekkyyden. Siksi liiketoimintaprosesseja ja niihin liittyviä riskejä ja riippuvuuksia on välttämätöntä arvioida kokonaisvaltaisesti. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 13/131
2 Johdanto 2.1 Taustaa Suunnitelmallinen varautuminen eriasteisiin normaalista poikkeaviin tilanteisiin on tarkoituksenmukaista toimintaa niin valtion, julkisten organisaatioiden kuin yksityisten yritystenkin näkökulmasta. Luonnollisesti nämä tahot ovat keskenään hyvin erilaisia esimerkiksi toiminnan laajuuden, prosessien sekä näiden kriittisyyden suhteen. Siksi erilaisiin häiriötilanteisiin, poikkeusoloihin ja varsinaisiin kriiseihin varautumisen tarkoituksenmukainen taso ja varautumiskeinot ovat yksilöllisiä. Lisäksi organisaatioissa ja niiden toimintaympäristöissä tapahtuu koko ajan muutoksia, jolloin riskienhallinnan, ja varautumisen tarpeetkin muuttuvat. Tämän vuoksi jatkuvuussuunnittelun tulisi olla jatkuva prosessi niin valtion kuin yksityisten yritystenkin kohdalla. Varautumiskysymyksiä ja liiketoiminnan jatkuvuussuunnittelua (business continuity) koskevia erilaisia selvityksiä on tehty Suomessa ja maailmalla pitkään. Sitä vastoin tietoja viestintätekniikan liiketoimintariippuvuutta ja tätä koskevaa jatkuvuussuunnittelua käsitteleviä selvityksiä ei ole Suomessa juurikaan tehty. Tämän vuoksi perustimme hankkeen tutkimaan jatkuvuussuunnittelun tilaa Suomessa juuri ICT-näkökulmasta. Tämän tutkimushankkeen perustajatahot edustavat sekä julkista hallintoa (Huoltovarmuuskeskus, Puolustusministeriö, Valtiovarainministeriö, Tekes) että ICTtoimittajayrityksiä (Eaton Power Quality, Fujitsu, Logica, TeliaSonera, Tieto). Marketvisio on vastannut tutkimuksen toteuttamisesta kokonaisuudessaan. Muut hankkeen perustajatahot ovat osallistuneet projektin ohjausryhmätyöskentelyyn, jolla on pyritty tukemaan työn suunnittelua ja toteutusta. 2.2 Tieto- ja viestintäteknologian voimistuva rooli Tieto- ja viestintäteknologia (ICT) onkin noussut tärkeään ja yhä useammin kriittiseen rooliin eri alojen yrityksissä ja organisaatioissa vasta viimeisten noin kahden-kolmen vuosikymmenen aikana. Erityisesti sähköisen viestinnän voimakas yleistyminen ja tietoverkkojen hyödyntäminen liiketoiminnassa ovat vahvistaneet ICT:n roolia organisaatioissa ja koko yhteiskunnassa. Tieto- ja viestintäteknologian ratkaisut ja palvelut ovat muuttuneet vähitellen tukitoiminnoista liiketoimintakriittisten palvelujen monimutkaiseksi kokonaisuudeksi, jonka hallinta ja kehittäminen vaatii usein korkeatasoista erityisosaamista. Joillakin aloilla kuten esimerkiksi pankki- ja vakuutustoiminnassa sekä verkkoliiketoiminnassa ICT:n ja ICT-palvelujen korkea käytettävyys ja jatkuvuus ovat liiketoiminnan jatkuvuuden kannalta erittäin kriittisiä tekijöitä. Samoin monilla julkisen sektorin organisaatioilla on huolehdittavanaan yhteiskunnan näkökulmasta erittäin kriittisiä toimintoja, joihin liittyy merkittäviä riippuvuuksia ICT-ratkaisuista ja -palveluista. Organisaation tai yrityksen koko liiketoiminta voi nojautua voimakkaasti IT-sovelluksiin ja näitä tukeviin palveluihin. ICT:n painoarvo eri toimialojen organisaatioiden riskianalyyseissa on noussut johdonmukaisesti. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 14/131
2.3 Ulkoisten ICT-toimittajien merkitys kasvaa Organisaatioiden ulkopuolisten tahojen merkitys ICT-palvelujen tuotannossa on ollut pitkään kasvussa, ja suuntaus tulee edelleen jatkumaan samankaltaisena. Vastuuta tietoteknistä ratkaisuista on siirretty yhä enemmän ulkopuolisille toimittajayrityksille. Etenkin suurissa organisaatioissa tämä on usein tarkoittanut vähintään infrastruktuuripalvelujen kuten työasemia ja palvelimia koskevien ylläpito- ja tukipalvelujen hankkimista ulkoistettuina palveluina. Yhä useammin ulkopuoliset palveluntarjoajat ottavat vastuuta myös liiketoimintasovellusten ylläpidosta ja tuesta. Lisäksi sovellusten hankkiminen palveluna ilman lisenssihankintoja (SaaS, software as a service) on yleistymässä, ja se tulee yleistymään voimakkaasti joillakin sovellusalueilla 2010-luvulla. Ulkoisten toimittajien rooli ICT-palvelujen tuotannossa voimistuu, ja samalla tieto- ja viestintätekniikan liiketoimintakriittinen riippuvuus on kasvussa. Tästä seuraa vääjäämättä, että asiakasorganisaatiot ovat entistä riippuvaisempia käyttämistään ICTtoimittajista. Ennen kaikkea asiakkaat ovat enenevästi riippuvaisia ICT-toimittajien kyvystä selviytyä sopimusten mukaisista tehtävistään. Valitettavasti tämä koskee myös tilanteita, joissa tavanomaiset ja jatkuvuuskysymyksiä vain pintapuolisesti käsittelevät sopimukset eivät edes päde. Normaaliolojen aikana toimittajien palvelutuotantoa ohjaavat yleensä sopimuksessa määritellyt palvelutasomittarit, mutta erilaisissa häiriö- ja poikkeustilanteissa force majeure -ehdot rajaavat usein toimittajien vastuita. Asiakas voi halutessaan lisätä sopimusten kattavuutta force majeure -ehtojen muutoin rajaamille alueille. Käytännössä tämä tapahtuu investoimalla jatkuvuutta tukeviin lisäpalveluihin, kuten kahdennettuihin tai kolmennettuihin konesalipalveluihin ja tietoliikenneyhteyksiin, varahenkilöjärjestelyihin ja muihin erilaiset poikkeustilanteet huomioiviin palveluihin. Asiakkaiden mahdollisuudet varmistua ulkopuolisten toimittajien palvelukyvystä mahdollisissa häiriö- ja poikkeustilanteissa ovat aina jossain määrin rajalliset. Hankkimalla ulkopuolisen - yhden tai useamman - asiantuntijan auditointipalveluja asiakas voi lisätä merkittävästi tietämystään potentiaalisen tai nykyisen toimittajan palvelutuotannon jatkuvuuskysymyksiin liittyvistä vahvuuksista ja heikkouksista. Tämä on erityisen tärkeää liiketoimintakriittisten palvelujen toimittajavalintaprosessissa, mutta usein myös jatkuvana prosessina ja lisäksi erilaisissa muutostilanteissa. Tietoliikennepalvelujen kohdalla operaattorien kyky vastata jatkuvuushaasteisiin voi kuitenkin olla vaikeasti todennettavissa, esimerkiksi silloin kun kiinteiden yhteyksien muodostama palvelukokonaisuus on maantieteellisesti hyvin laaja. 2.4 Periaatteita ja valintoja tutkimushankkeen taustalla ICT:n roolin voimistuminen ja erityisesti organisaatioiden lisääntyvä riippuvuus tieto- ja viestintätekniikasta ovat keskeisimmät syyt sille, että ICT on yhä tärkeämpi osa-alue yritysten ja organisaatioiden riskienhallinnassa ja jatkuvuussuunnittelussa. Näiden syiden vuoksi myös tämä tutkimushanke on päätetty toteuttaa. Hankkeen tarkoituksena oli muodostaa käsitys mm. siitä, miten ICTjatkuvuussuunnittelua johdetaan strategisesti ja operatiivisesti, sekä miten ylin johto huomioi ICT:n osana organisaation liiketoiminnan jatkuvuussuunnittelua ja riskienhallintaa. Tutkimuksessa selvitettiin myös organisaatioiden varautumiskäytäntöjä operatiivisen tekemisen tasolla, mutta hankkeen varsinainen painopiste ei ollut teknisessä varautumisessa ja näiden toimenpiteiden arvioimisessa. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 15/131
Hanketta suunniteltaessa ohjausryhmä ja Marketvisio ottivat työhypoteesiksi sen, että ICT-jatkuvuussuunnittelu ja ICT-varautuminen ovat ensisijaisesti johtamiskysymyksiä, ja ennen kaikkea strategiseen johtamiseen liittyviä asioita. Tekniset varautumistoimenpiteet ovat viime kädessä vain seurausta siitä, millaiseksi johto näkee ICT:n roolin organisaation kriittisessä toiminnassa, ja miten organisaation jatkuvuussuunnittelua tältä pohjalta johdetaan. Jotta jatkuvuussuunnittelu ja myös ICT-jatkuvuussuunnittelu olisi mahdollista, on organisaation määriteltävä liiketoimintaprosessien tärkeysjärjestys tai kriittisyysluokittelu ainakin jollakin tasolla. Tämä on selkeästi johdon tehtävä, se ei kuulu esimerkiksi tietohallinnolle. Tietohallinto voi tyypillisesti etsiä ja ehdottaa sopivat ratkaisut kriittisten palvelujen ja toimintojen turvaamiseksi, ja usein tätä kautta vaikuttaa myös tarvittavaan resursointiin. Kuitenkin ylimmän johdon tulee viime kädessä määrittää paitsi liiketoimintaprosessien tärkeysjärjestys (minkä asioiden turvaaminen erilaisilla varautumistoimenpiteillä tärkeintä), niin myös varautumistarpeeseen vastaaminen (kuinka paljon riskejä organisaatiolla on varaa sietää, eli kuinka korkeaa varautumisen tasoa on tarkoituksenmukaista tavoitella). Käytännössä tämä edellyttää asianmukaisen riskienhallintaprosessin toteuttamista ja ICT:n huomioimista tämän osana. Toki organisaation toimintatavoista riippuen sen ICT-riskienhallintaprosessi ja ICTjatkuvuusstrategia voivat yhtä hyvin olla omia kokonaisuuksiaan kuin olla osa-alueina koko organisaatiota koskevassa riskienhallinnan ja liiketoiminnan jatkuvuuden suunnittelussa. 2.5 Selvityksen toteutustapa Selvityksen empiirinen tiedonkeruu toteutettiin sekä henkilökohtaisiin haastatteluihin että web-kyselyyn perustuen. Lisäksi tehtiin pieni määrä ICT-toimittajayritysten haastatteluja lähinnä tutkimuksen suunnittelun tueksi. Tutkimuksen käytännön toteutuksessa pidettiin tärkeänä, että erityisesti huoltovarmuuskriittisten ja tieto- ja viestintätekniikasta selkeästi riippuvaisten suurten ja suurehkojen organisaatioiden tilannetta tutkittaisiin lähemmin. Tämän vuoksi päätettiin toteuttaa henkilökohtaisten asiantuntijahaastattelujen osuus, joko kohdistettiin 32 organisaatioon. Kohderyhmään valittiin suomalaisia suuria ja keskisuuria yrityksiä sekä julkishallinnon organisaatioita tai liikelaitoksia. Henkilökohtaisten haastattelujen kokemusten perusteella laadittiin web-kysely, joka kohdistettiin edellistä laajemmalle joukolle suomalaisia yrityksiä ja organisaatioita. Ennen henkilökohtaisten haastattelujen aloittamista Marketvisio haastatteli hankkeen ohjausryhmään osallistuvien ICT-toimittajayritysten edustajia tutkimusaiheeseen liittyen. Toimittajahaastattelujen tarkoituksena oli koota tietoa toimittajayritysten näkemyksistä suomalaisten organisaatioiden ICT-jatkuvuussuunnittelun nykytilasta ja asiakastarpeista. Tätä palautetta hyödynnettiin taustatietona tutkimusta suunniteltaessa ja arvioitaessa selvittämistä vaativia asioita. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 16/131
2.5.1 Henkilökohtaiset haastattelut Henkilökohtaiset haastattelut tehtiin 24.9.-19.11.2009 välisenä aikana Marketvision asiantuntijoiden toimesta. Haastatteluihin osallistui Marketvision puolelta pääsääntöisesti kaksi henkilöä, jotta tapaamisen aikana käydyn keskustelun pohjalta saataisiin mahdollisimman laadukkaat muistiinpanot. Tutkimuksessa haastatellut henkilöt edustivat pääosin tietohallinnon päättäjätasoa (esimerkiksi CIO, tietohallintojohtaja, IT-johtaja). Joissakin tapauksissa haastatteluun osallistui riskienhallinnasta vastaava johtaja, jonka toimialueeseen kuuluu myös tieto- ja viestintätekniikka. Muutamiin haastatteluihin osallistui vastaajan puolelta kaksi tai useampia henkilöitä, lähinnä sen vuoksi että tietämyksen kysyttävistä asioista arvioitiin tulevan tällä tavoin parhaiten kootuksi. Henkilökohtaisilla haastatteluilla tavoitellut 32 organisaatiota olivat: Suuria yrityksiä (kohderyhmä noin 80 suurinta yritystä, lv. yli 700 me), 13 kpl Keskisuuria yrityksiä (noin 500 suurinta yritystä, lv. noin 100-400 me), 9 kpl Julkisen sektorin organisaatioita ja valtio-omisteisia liikelaitoksia, 10 kpl Henkilökohtaisissa haastatteluissa painottuivat erityisesti seuraavat asiat: Ylimmän johdon suhde jatkuvuussuunnitteluun ja erityisesti ICT-jatkuvuuteen Riskien ja liiketoimintavaikutusten huomioiminen ICT-jatkuvuussuunnittelun strateginen merkitys sekä jatkuvuusstrategia ICT-jatkuvuussuunnittelun johtaminen ja organisoiminen Jatkuvuussuunnittelun käytännön toteutuminen eri ICT-toiminnoissa Haastatteluihin käytettiin aikaa keskimäärin 90 minuuttia. Haastattelut olivat luonteeltaan kvalitatiivisia ja keskustelevia. Marketvisio oli laatinut haastatteluihin noin 30 kysymystä kattavan strukturoidun kypsyystasomittariston, jonka avulla pyrittiin arvioimaan ja havainnollistamaan haastateltujen organisaatioiden ICT-jatkuvuuteen liittyvää toiminnan määrää ja laatua 1) johtamisessa ja riskienhallinnassa, 2) strategisessa ICTjatkuvuussuunnittelussa, 3) ulkoisten suhteiden ja toimittajien osalta, 4) ICTjatkuvuusjohtamisessa sekä 5) jatkuvuusasioihin liittyvässä resursoinnissa. Lisäksi käytiin läpi lyhyesti teknisiä toimenpiteitä joilla jatkuvuuskysymyksiä on pyritty huomioimaan. 2.5.2 Web-kysely Web-kysely avattiin 12.11.2009 ja suljettiin 27.11.2009. Osallistumispyyntö lähetettiin sähköpostitse 12.11.2009 ja pyyntö toistettiin vielä kahdesti niille jotka eivät olleet vielä vastanneet. Osallistumispyyntö lähetettiin 895 henkilölle, jotka edustivat 512 eri organisaatiota. Yhteen organisaatioon lähetettiin osallistumispyyntö enintään kolmelle henkilölle. Kohderyhmään valikoitiin pääasiassa tietohallinnon johto- ja päällikkötason edustajia sekä riskienhallinnasta vastaavia henkilöitä. Kohteet poimittiin satunnaisesti Marketvision käytössä olevista rekistereistä, edustaen eri toimialojen ja eri kokoluokkien organisaatioita. Pienimmät alle 100 henkilön yritykset pyrittiin jättämään web-kyselyn ulkopuolelle, ja näiden osuus kyselyyn osallistuneista onkin hyvin pieni. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 17/131
Web-kyselyyn vastanneet organisaatiot jakautuivat henkilömäärän ja toimialan suhteen seuraavalla tavalla: Taulukko 1. Web-kyselyyn vastanneet organisaatiot henkilömäärän mukaan Web-kysely, jakauma henkilömäärän mukaan Vastauksia kpl % Alle 100 henkilöä 10 9 % 100-499 henkilöä 36 33 % 500-999 henkilöä 23 21 % Vähintään 1000 henkilöä 39 36 % YHTEENSÄ 108 100 % Taulukko 2. Web-kyseyyn vastanneet organisaatiot toimialan mukaan Web-kysely, jakauma toimialan mukaan Vastauksia kpl % Kauppa 7 6 % Teollisuus 28 26 % Infrastruktuuripalvelut (energiahuolto ja rakentaminen) 7 6 % Muut palvelut 22 20 % Liikenne ja logistiikka 4 4 % Finanssisektori 12 11 % Kunnat ja kaupungit 11 10 % Valtionhallinto 17 16 % YHTEENSÄ 108 100 % Web-kyselyn sisältö noudatteli pääpiirteissään vastaavia teemoja kuin henkilökohtaiset haastattelut, ollen kuitenkin suppeampi ja tutkimusotteeltaan lähinnä kvantitatiivinen. Kyselyssä sovelletut mittarit käsittelivät 1) johtamisesta ja riskienhallintaa, 2) strategisesta ICT-jatkuvuussuunnittelua, 3) ulkoisia suhteita ja toimittajia sekä 4) ICTjatkuvuusjohtamisesta. Web-kyselyssä pyrittiin, että mittarit olisivat mahdollisimman pitkälle vastaavia kuin henkilökohtaisissa haastatteluissa. Muutoksia tehtiin lähinnä siksi, että kysymykset soveltuisivat esitettäväksi web-kyselyssä. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 18/131
2.5.3 Toimittajahaastattelut Ennen henkilökohtaisten haastattelujen aloittamista Marketvisio haastatteli hankkeeseen osallistuvien ICT-toimittajayritysten edustajia. Haastattelujen tarkoituksena oli muodostaa myyjäosapuolen näkemys suomalaisen ICT-jatkuvuussuunnittelun nykytilasta ja erityispiirteistä tutkimuksen suunnittelun tueksi. Toimittajahaastatteluissa pyrittiin mm. arvioimaan: mitä jatkuvuussuunnitteluun liittyviä tarpeita asiakkaat tiedostavat mitä asiakkaat odottavat toimittajilta jatkuvuudenhallintaan ja varautumiseen liittyen missä asioissa toimittajat arvioivat olevan erityistä kehitettävää asiakaspuolella (asioita jotka asiakkaat tunnistavat / eivät tunnista) mitkä seikat edistävät ICT-jatkuvuussuunnittelua asiakaspuolella mitkä seikat hidastavat ICT-jatkuvuussuunnittelua asiakaspuolella Toimittajahaastattelut toteutettiin syyskuussa 2009. Haastatellut yritykset olivat Eaton Power Quality, Fujitsu Services, Logica, TeliaSonera ja Tieto. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 19/131
3 ICT-toimittajien näkökulma Marketvisio haastatteli hankkeeseen osallistuvia toimittajayrityksiä tutkimuksen suunnittelun tueksi. Haastatellut yritykset olivat Eaton Power Quality, Fujitsu Services, Logica, TeliaSonera ja Tieto. Tarkoituksena oli kerätä kokemusperäistä tietoa, näkemyksiä ja ennakko-odotuksia siitä, millaiseksi toimittajayritykset arvioivat suomalaisen jatkuvuussuunnittelun nykytilan tietotekniikan loppukäyttäjäorganisaatioissa. Haastatteluissa arvioitiin mm. mitä jatkuvuussuunnitteluun liittyviä tarpeita asiakkailla nähdään olevan, missä asioissa nähdään kehitettävää sekä mitä jatkuvuusuhkia toimittajat näkevät asiakkailla olevan. Tässä kappaleessa esitetään lyhyt yhteenveto niistä asioista, jotka nousivat toimittajayritysten kanssa käydyissä keskusteluissa selkeimmin esille. 3.1 Eri toimialoja ja kokoluokkia edustavien organisaatioiden välillä on eroja Toimialojen ja erikokoisten organisaatioiden välillä on koettu olevan huomattavia eroja jatkuvuusasioiden huomioimisessa. Osa julkishallinnosta ja suuret kansainväliset yritykset ymmärtävät jatkuvuuskysymykset pääsääntöisesti erittäin hyvin. Näiden tahojen tarjouspyynnöt ovat yksityiskohtaisia ja jatkuvuutta osataan vaatia, ja siitä ollaan myös valmiita maksamaan. Toimittajilta vaaditaan näyttöä varautumisesta ja varakäytännöistä, samoin halutaan auditoida toimittajia ja näiden tuotantoympäristöjä. Vaatimukset ja etenkin auditoinnit ovat yleistyneet viime vuosina isoimmilla asiakkailla. Keskisuurissa ja erityisesti pienissä asiakkaissa olosuhteet vaihtelevat huomattavasti. Johto ei ole välttämättä erityisen sitoutunut jatkuvuuskysymyksiin. Yleisesti ottaen luotetaan liikaa palvelusopimuksiin ja näissä määriteltyihin normaaliolojen palvelutasoihin. Toisinaan asiakas luottaa palkkioiden ja sanktioiden ohjaavaan voimaan, ja ajattelee saman logiikan toimivan myös poikkeusoloissa. Käytännössä tämä on riittämätön lähtökohta jatkuvuussuunnittelulle. Liiketoiminnalle vakavan uhan muodostavassa häiriötilanteessa asiakas ei hyödy paljoakaan siitä että toimittajalle lankeaa sanktioita. Toimittajan sanktiot saattavat olla pahimmassa tapauksessa merkityksettömiä verrattuna itse jatkuvuusuhan aineellisiin ja aineettomiin seurauksiin. Laki ja regulaatiot pakottavat organisaatioita voimakkaasti jatkuvuussuunnitteluun niillä aloilla joita nämä koskevat. Julkishallintoa säätelevät valtionhallinnon vaatimukset, muutamilla aloilla kuten pankkisektorilla, terveydenhuollossa ja julkishallinnossa lainsäädäntö edellyttää määrättyjä konkreettisia varautumistoimia. Kansainväliseen pörssitoimintaan liittyvät standardit (mm. SOX) ovat voimakkaasti toimintaa ohjaavia lähinnä kansainvälisillä suuryrityksillä. Suomessa huoltovarmuuskriittisten asiakkaiden eli ns. CIP-toimijoiden kanssa yhteistyössä olevat toimittajayritykset joutuvat todentamaan toimintakykynsä erilaisissa poikkeustilanteissa Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 20/131
3.2 Käytettävyydestä ja jatkuvuudesta ei aina olla valmiita maksamaan Palvelusopimuksissa jatkuvuuskysymykset oletetaan liian usein itsestään selviksi. On asiakkaita, jotka olettavat tietyn ja todellisuutta korkeamman määrän jatkuvuutta sisältyvän sopimuksiin silloinkin, kun näin ei yksiselitteisesti ole. Taustalla ovat usein paineet kustannussäästöihin ja voimakkaat hintamielikuvat, joskus myös tietämättömyys. Suurimmissa organisaatioissa toimittajayritykset näkevät asiakkaan odotusten olevan pääsääntöisesti oikealla tasolla. Liiketoimintaprosessien kuvausta ja prosessien priorisointia (kriittisyysluokittelu) ei ole aina toteutettu riittävällä tasolla. Tämä on tyypillisesti keskikokoisia ja tätä pienempiä yrityksiä koskeva epäkohta. Pahimmassa tapauksessa tietohallinto tai mikään muukaan taho ei tiedä liiketoimintaprosessien ja tietojärjestelmien kriittisyysjärjestystä, jolloin systemaattista palautussuunnitelmaakaan tuskin on olemassa. Tällaisissa tilanteissa vastuu (liiketoimintakriittisten) tietojärjestelmien toiminnasta ja jatkuvuudesta on saatettu työntää yksin IT-osastolle, joka ei sekä yritystä ja IT:a koskevien johtamistavan puutteiden sekä vajavaisten resurssien takia pysty vastaamaan jatkuvuushaasteisiin. Liiketoiminnan tai liiketoimintaprosessin keskeytysten suorat kustannukset ovat kohtalaisen usein tiedossa, mutta kokonaiskustannukset ja -vaikutukset eivät niinkään. Business impact -ajattelua ei aina viedä käytännön tasolle. Euromääräinen riskien ja varsinkin välillisten vaikutusten rahallinen arvioiminen on liian harvinaista. Tietojärjestelmien käyttökatkojen ja erityisesti vakavimpien IT-ongelmien potentiaalisia vaikutuksia esimerkiksi asiakassuhteille tai yrityksen maineelle mietitään harvoin. 3.3 Käytettävyys ja jatkuvuus sekoitetaan joskus keskenään Asiakas hakee ratkaisulta korkeaa käytettävyyttä, joka määritellään normaaliolojen mukaisesti. Toisinaan kuvitellaan, että tietty käytettävyyden taso on voimassa myös erilaisissa poikkeustilanteissa automaattisesti, jolloin pitäisi todellisuudessa puhua jatkuvuudesta. Jatkuvuuden lisääminen palvelusopimuksiin tarkoittaa usein force majeure -ehtojen poisrajaamista lisäpalveluihin ja ydinpalvelua tukeviin ratkaisuihin investoimalla. Kuitenkin on syytä muistaa, että hyvä varautuminen lähtee hyvin hoidetusta normaaliajan varautumisesta. Normaalioloissa, ei siis poikkeusolojen tai kriisin aikana, tapahtuu väistämättä eritasoisia häiriöitä, joiden aiheuttamat liiketoimintavaikutukset voidaan eliminoida tai vähintäänkin rajata hyvällä suunnittelulla. 3.4 Raha ratkaisee Asiakkailla on ainakin tavanomaisimmissa IT-palveluissa vahvat hintamielikuvat, jotka ohjaavat myös päätöksentekoa. Jatkuvuusasiat jäävät usein taka-alalle. Lopputulos saattaa olla, että asiakkaan odotukset eivät välttämättä täyty poikkeustilanteessa, kun sopimus ei sido toimittajaa. Riippumatta siitä mitä sopimuksessa on tosiasiassa määritelty, toimittaja joutuu aina jollakin tapaa ottamaan kantaa asiakkaan ongelmaan. Toimittajien haasteena onkin saada asiakas ymmärtämään, mikä jatkuvuuden taso tietyllä asiakkaan haluamalla palvelutasolla ja kokonaisuudella pystytään saavuttamaan. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 21/131