Assessing maturity of disaster recovery planning : Case study

Abstract

The idea for this study came from an interest to research disaster recovery planning as a process and how the maturity of the planning process can be measured. Maturity of a process can be described in terms of predictability and risk. The more mature the process, the more predictable it is, and the more manageable are the risks.

The research tasks were to choose the approach for the thesis, perform a literature review, choose appropriate framework for assessing maturity and conduct a study on maturity of Kansaneläkelaitos disaster recovery planning process.

The implementation method was based on a qualitative approach. Qualitative research aims to provide a deeper understanding of phenomena under study. Case study tradition was chosen as conceptual framework for researching maturity of Kansaneläkelaitos disaster recovery planning.

Two suitable frameworks were studied; one for general process maturity assessment and one for assessment of contingency planning maturity which was chosen as a framework from which the research was implemented. The research consisted of a self-assessment survey sent to the chosen Kansaneläkelaitos employees whose responsibilities are related to disaster recovery planning and a semi-structure interview of coordinator of IT security in Kansaneläkelaitos.

Results for the case study are declared to be confidential on the grounds of protecting security arrangements and preparation for emergency conditions. In a general level, the framework appeared understandable for the audience and the distribution of survey responses was relatively low in each survey category.

Tutkimusaihe syntyi kiinnostuksesta toipumissuunnitteluun prosessina sekä siihen, kuinka suunnitteluprosessin kypsyyttä voidaan mitata. Prosessin kypsyys voidaan ymmärtää ennakoituvuuden ja riskin kautta. Mitä kypsempi prosessi, sitä ennustettavampi se on, ja sitä hallittavampia ovat riskit.

Tutkimustehtävinä olivat lähestymistavan valinta, kirjallisuuskatsauksen tekeminen, sopivan kypsyystason arviointimallin löytäminen ja case-tutkimuksen tekeminen Kansaneläkelaitoksen toipumissuunnittelun kypsyystasosta. Tutkimuksen toteuttamistavaksi valittiin laadullinen lähestymistapa. Laadullinen tutkimus tähtää syvemmän ymmärryksen hankkimiseen tutkittavasta ilmiöstä. Case-tutkimusperinne valittiin malliksi millä Kansaneläkelaitoksen toipumissuunnittelun kypsyyttä tutkitaan.

Kahta sopivaa arviointimallia tutkittiin; ensimmäinen on yleinen prosessien kypsyystason arviointiin käytetty malli ja toinen nimenomaan jatkuvuussuunnittelun arvioimiseen käytetty malli, joka myös valittiin käytettäväksi tutkimuksessa. Tutkimus sisälsi itsearviointikysymyspatteriston, joka lähetettiin Kansaneläkelaitoksessa jatkuvuussuunnittelun kanssa tekemisissä oleville. Lisäksi tutkimus sisälsi puoli-strukturoidun Kansaneläkelaitoksen IT-tietoturvallisuuden koordinaattorin haastattelun.

Case-tutkimuksen tulokset ovat luottamuksellisia, koska ne liittyvät turvallisuusjärjestelyihin ja valmistautumiseen poikkeusolosuhteisiin. Yleisellä tasolla valittu arviointimalli vaikutti tutkittavista ymmärrettävillä ja vastausten hajonta oli suhteellisen pieni jokaisessa kategoriassa.