yritysten rikosturvallisuus 2017

50 YRITYSTEN RIKOSTURVALLISUUS 2017 YRITYSTEN RIKOSTURVALLISUUS 2017 Yritystoiminnan jatkuvuutta tukevat toi- menpiteet Tietojen käytettävyyden varmistaminen häiriöti- lanteissa Kaikki IT-asiat. Jos se pettää varautumisesta huo- limatta, yritys on vakavissa ongelmissa toiminnan jatkuvuuden suhteen. Olemme liian riippuvaisia yh- destä it-henkilöstä. Tämä riski on työn alla. (Alle 50 henkilöä työllistävä yritys, muu toimiala) Yritykset ovat riippuvaisia tiedoistaan, niiden luotta- muksellisuudesta, muuttumattomuudesta ja käytettä- vyydestä. Jos yritys menettäisi kaikki tietonsa tai luot- tamukselliset tiedot, olisi sillä väistämättä negatiivista taloudellista vaikutusta sen toimintaan. Niin pitkään kuin tiedot eivät ole yrityksen käytettävissä, vaikuttaisi se toimintaa hidastavasti ja jokainen tuottamaton päivä vaikuttaa tulokseen. Esimerkkinä tällaisesta uhista ovat lunnasohjelmahyökkäykset, joissa hyökkääjä salaa ja lukitsee yrityksen tiedostoja estäen niiden käyttämisen. Olennaisena varautumiskeinona lunnasohjelmahyök- käyksiin ovat tiedon varmistus- ja palautusmenettelyt. Yli kaksi kolmasosaa kaikista vastaajayrityksistä (69 %) teki säännöllisesti varmistus- ja palautusmenettelyjä. Keskisuurissa ja suurissa yrityksissä osuudet olivat kaik- kein korkeimmat (81 - 82 %). Pienistä vastaajista kaksi kolmasosaa (65 %) teki näin. Tämä jättää kolmasosan pienistä yrityksistä haavoittuvaksi tietojen menettämi- selle. Samalla nämä yritykset asettavat itsensä hyvin heikkoon asemaan rikollisen toiminnan suhteen. Ylei- sintä varautuminen tiedon menettämiseen oli teollisuu- dessa ja palvelualalla 72 %. Perässä tuli kaupan ala 67 % ja rakennusala 54 %. Liiketoimintaa vakavasti haittaavien tilanteiden vaikutusten arvioiminen Kyetäkseen varautumaan liiketoiminnan jatkuvuutta uhkaaviin uhkiin, yrityksen on tunnistettava vakavim- mat uhat ja arvioitava, millaisia seurauksia näillä on lii- ketoimintaan. Yrityksen johto vastaa toiminnan jatku- vuudesta ja siitä, miten jatkuvuutta uhkaaviin uhkiin on varauduttu. Tilanne, jossa omistajataho kysyy keskey- tyksen tapahduttua, miksi jatkuvuutta ei ollut varmis- tettu, ei ole yrityksen kannalta suotuisa tilanne. Yli puolet (58 %) kaikista vastaajayrityksistä oli arvi- oinut liiketoimintaa vakavasti haittaavien tilanteiden vaikutuksia. Vain puolet (53 %) pienistä yrityksistä oli arvioinut vaikutuksia, kun taas keskimääräistä selväs- ti useampi, kaksi kolmasosaa (68 %) keskisuurista yri- tyksistä arvioi tilanteita. Arviointeja tehtiin eniten (81 %) suurissa yrityksissä. Suuri joukko (36 %) kaikista vas- taajayrityksistä ei ole arvioinut lainkaan näitä vaikutuk- sia. Esimerkiksi alihankintaketjuissa on usein pieniä ja keskisuuria yrityksiä. Näissä vastaajaryhmissä oli edel- leen melko yleistä, ettei vaikutuksia arvioitu lainkaan. Alihankintaketjussa saattaa pienelläkin yrityksellä olla merkittävä rooli päämiehen toimitusten häiriöttömän toteutumisen kannalta. Siksi taloudellisesti merkittävis- sä hankkeissa mukana olevien pientenkin yritysten oli- si hyvä arvioida, millaisia vaikutuksia eri tilanteissa voi syntyä. Sen jälkeen voisi olla hyvä suunnitella varatu- mista ja käydä keskustelua vakuutusyhtiön kanssa Kuusi kymmenestä (59 – 60 %) palvelualan ja teollisuu- den vastaajista oli arvioinut vaikutuksia. Kaupan alalla joka toinen (56 %) vastaajista oli tehnyt arvioinnin ja ra- kennusalalla alle puolet (45 %) oli tehnyt arvioinnin. Jatkuvuuden kehittämistoimien toteutuksen seu- raaminen Kehittämistoimien onnistumista ja tehokkuutta on seu- rattava, jo senkin vuoksi, että yritys on sijoittanut niihin resursseja. Toteutuksen jälkeen toimivuutta ja suunni- telmia on hyvä testata. Jos yritys on sijoittanut resursse- ja jatkuvuuden kehittämiseen ja laiminlyö seurannan ja testaamisen, on varautumisen toimivuus huonoimmas- sa tilanteessa sattumanvaraista. Puolet (54 %) yrityksistä seuraa kehittämistoimien to- teutusta. Mikäli kehittämistoimia ei seurata, on vaarana, ettei niitä tehdä riittävän hyvin ja suunnitellusti. Myön- teistä on, että ne, jotka ovat arvioineet vaikutuksia, seu- raavat kehittämistoimien toteutusta. Samalla varmis- tuu, että kehittämiseen suunnatut resurssit on käytetty tehokkaasti ja suunnitellun mukaisesti. Suurista yrityksistä seitsemän kymmenestä (72 %), kes- kisuurista kuusi kymmenestä (60 %) ja pienistä yrityksis- tä puolet (51 %) seuraa jatkuvuutta edistävien kehittä- mistoimien toteutusta. Kaikissa tilanteissa ylläpidettävien kriittisten toi- mintojen kirjallinen dokumentointi Yrityksen tehdessä toimintansa kannalta kriittisistä toi- minnoista kirjalliset asiakirjat, syntyy samalla työkalu käytettäväksi niille henkilöille, jotka vastaavat jatku- vuudesta. Asiakirja antaa johdolle kuvan siitä, mistä toi- minnoista yritys on riippuvainen ja samalla perusteen resurssien antamiselle kehittämistoimintaan. Sen kaut- ta on myös helppo kontrolloida, miten jatkuvuutta on kehitetty. Puolet kaikista yrityksistä (50 %) on kirjannut kriittiset toiminnot. Suurissa yrityksissä osuus on suurin, 69 pro- senttia ja keskisuurissakin 61prosenttia. Pienistä yrityk- sistä alle puolet (45 %) on kirjannut kriittiset toiminnot. Viidennes suurista yrityksistä, kolmannes keskisuuris- ta sekä puolet pienistä yrityksistä ei ole kirjannut eikä mahdollisesti ole tunnistanut kriittisiä toimintojaan. On vaikea tehdä jatkuvuussuunnittelua, mikäli ei tiedä mi-