close
Share with your friends
Kontrolliympäristö

Kontrolliympäristön ylläpito COVID-19 aikana

Kontrolliympäristön ylläpito COVID-19 aikana

Pohdintoja palveluorganisaatioille

Koronaviruspandemian vaikutuksilta on mahdotonta välttyä, olipa kyse sitten organisaatiosta tai yksilöstä. Organisaatiotasolla kriisijohtamisen työryhmät kokoontuvat päivittäin ja vähemmän kriittiset projektit siirtyvät tulevaisuuteen. Johtamisen keskiöön nousevat oikeutetusti työntekijöiden terveys ja hyvinvointi, mutta tilanteesta huolimatta palvelulupaukset asiakkaille on täytettävä. Kuinka organisaation sisäistä valvontaa kannattaa kehittää pandemian pitkittyessä? 

Riippumatta siitä, onko kyseessä ISAE tai SOC (System and Organization) -raportti, palveluntarjoajien on edelleen toimitettava sopimustenmukaiset raportit asiakkailleen. Artikkelissa tuodaan esiin näkökulmia palveluntarjoajille harkittavaksi koronaviruksen aiheuttamana epävarmana aikana.  

Harkitse kontrollien toistuvuuden muuttamista, matalariskisten kontrollien osalta

Olisiko kuukausittain toistuvia kontrolleja mahdollista toistaa neljännesvuosittain, ilman että niiden tehokkuus oletetun riskin suhteen kärsii? Voidaanko joitain neljännesvuosittain toistuvia kontrolleja suorittaa puolivuosittain? Siinä missä joidenkin kontrollien osalta toistoväliä voidaan kasvattaa, voi joidenkin kontrollien toistoväliä olla syytä pienentää. 

Arvioi etätyöskentelyyn liittyvien kontrollien tehokkuus

Ympäri maailmaa ihmiset työskentelevät nyt kotoa käsin. Jos palveluntarjoajan henkilöstöä on siirtynyt etätöihin, on hyvä tarkistaa etäyhteyksien kontrollien toiminta. Monet palveluntarjoajat käyttävät virtuaalisia erillisverkkoja (Virtual Private Network, VPN), monivaiheista tunnistamista sekä muita vastaavia keinoja. 

Ovatko kyberturvallisuuden kontrollit riittäviä?

Koronaviruspandemia on tarjonnut uusia mahdollisuuksia kyberhyökkäyksille. Korostuneeseen uhkaan voi vastata esimerkiksi järjestämällä työntekijöille ja alihankkijoille lisäkoulutusta ja lisäämällä tietoisuutta. Myös tietoturvapoikkeamia kannattaa seurata erityisen tarkkaan, jotta mahdollinen epänormaali toiminta voidaan havaita mahdollisimman nopeasti.

Tehosta sisäisiä arviointeja

Palveluntarjoajien on syytä harkita sisäisen valvontaympäristön arviointia koronaviruspandemian aikana. Arvion kohteena voi olla esimerkiksi avainkontrollien toimivuus poikkeustilanteessa. Arviointi mahdollistaa puutteiden havaitsemisen sekä tilanteen mukaiset korjaavat toimenpiteet.

Kehitä liiketoiminnan jatkuvuussuunnitelmaa saatujen oppien perusteella

Palveluntarjoajien kannattaa arvioida mitkä asiat toimivat ja mitkä eivät liiketoiminnan jatkuvuuden suunnittelussa ja toimeenpanossa koronaviruspandemian aikana. Arvioinnin perusteella on mahdollista jatkuvasti kehittää suunnitelmia.

Lisätietoja

Saara Hasu-Varttila
Manager, Cyber Advisory
+358 40 760 2525
saara.hasu-varttila(at)kpmg.fi

Mikko Kinnanen
Senior Manager, Cyber Advisory
+358 40 709 2873
mikko.kinnanen(at)kpmg.fi