ITC:llä huomattiin vuoden 2023 loppupuolella, että liiketoimintastrategiassa edistyminen vaatii tietoturvanhallinnan virallista tunnustusta. Vaikka tietoturvatekemisen taso oli yrityksessä ollut aina korkealla ja tietoturvaa tuotettiin myös kriittisille toimijoille, oli laadun todentaminen uusille asiakkaille haastavaa. Tähän kaivattiin muutosta.
”Halusimme saada mustaa valkoisella siitä, että ITC pystyy vastaamaan myös suurien yritysasiakkaiden vaativiin tietoturvatarpeisiin. Lisäksi oli tärkeää pystyä todistamaan asiakkaidemme kriittisille sidosryhmille heidän alihankkijansa kyky täyttää vaadittava tietoturvataso”, ITC:n toimitusjohtaja Joni Kapanen kertoo.
ISO 27001:n avulla ITC:n olemassa oleva tietoturvahallinta oli mahdollista tehdä näkyväksi ja hioa sertifikaatin vaatimalle tasolle.
Koska ISO 27001 pohjautuu vaatimuksenmukaisuuden täyttämiselle, ITC:llä lähdettiin tiukasti tarkastelemaan, millä mallilla sertifiointiin vaadittavat asiat olivat. Onko kaikkiin mahdollisiin riskeihin varauduttu, onko olemassa ajantasaiset toipumissuunnitelmat, löytyykö selkeät prosessit tietoturvahallinnan säännölliseen tarkasteluun? Kestääkö yrityksen toiminta tietoturvan osalta ylipäätään päivänvalon?
”Kun tietoturvaa tehdään yrityksen sisällä omilla resursseilla, on erityisen tärkeää, että mukaan saadaan myös ulkopuolista näkemystä ja rakentavaa haastamista. Tätä meille oli nyt tarjolla auditointien kautta”, kertoo Joni.
”Auditoijat olivat Suomen huippuammattilaisia, joilla todella oli tieto asioista. Kaikki sertifioinnin tiukat vaatimukset tuli näyttää todeksi, ja niistä tuli löytyä hyvin tarkka dokumentointi. Ei siis vain hutkittu leimoja paperiin, vaan meitä todella haastettiin tietoturvanhallinnan todentamisen osalta.”
Sertifiointiprojektin käytännön toimenpiteet suoritettiin vuoden 2024 aikana, ja maaliskuussa 2025 saatiin vahvistus läpäistystä auditoinnista.
”ISO 27001 -sertifiointi auttoi meitä ajattelemaan tietoturvanhallintaa systemaattisemmin. Olimme positiivisessa mielessä pakotettuja luomaan uudet toimintatavat riskienhallintaan sekä tietoturvan tason tarkistukseen”, Joni muistelee.
Tietoturvauhkien reagointiin ja tunnistamiseen muodostui ISO 27001:n kautta huomattavasti aiempaa tehokkaampi prosessi. Sertifioinnin vaatimuksissa on käyty hyvin tarkasti läpi, miten riskienhallintaa tulee toteuttaa: Kun riski tunnistetaan, kuinka se lähtee etenemään prosessissa? Kuinka riski analysoidaan, mitenkä siihen liittyvät toimenpiteet jalkautetaan ja kuinka varmistetaan, että riski tulee korjatuksi? Kaikki tuo tuli näyttää toteen.
”Tarvittavat tietoturvajärjestelmät olivat olemassa, mutta niihin tarvittiin vielä jotain, millä vaaditut asiat voitiin näyttää toteen. Kehitimme tähän tarpeeseen riskienseurantajärjestelmiä, joilla vaatimuksenmukaisuudet pystytään todentamaan. ISO 27001 lisäsi myös sisäistä raportointia riskienhallinnan osalta.”
ITC:n tietoturvadokumentoinnin taso parani sertifioinnin myötä merkittävästi. Vaikka jokin tietty toimintatapa oli jo valmiiksi kunnossa, sen dokumentaatio saattoi olla heikosti esitettävissä eteenpäin. Sertifioinnin myötä tärkeää dokumentaatiota saatiin lisää iso määrä sekä opittiin, mikä on oleellista dokumentoida ja mikä ei.
”Toimintavoissa tuli muutosta esimerkiksi fyysisen turvallisuuden osalta, kun toimitilat piti ajatella vaateiden täyttymisen pohjalta kokonaan uusiksi. Otimme käyttöön sisäistä säännöstöä mm. siihen keitä henkilöitä ja kuinka valvotusti tiloissamme saa liikkua”, Joni selvittää.
”Koska ITC on yrityksenä kasvanut nopeasti, on henkilöstömäärä lisääntynyt ripeään tahtiin. ISO 27001 -sertifiointi havahdutti meidät työntekijöiden perehdytyksen tärkeyteen. Jatkossa jokaisen talossa olevan ja tulevan työntekijän kanssa käydään systemaattisesti läpi tietoturvahallintamallin asiat sekä talon sisäiset ohjeistukset.”
Joni Kapanen kertoo, että suhtautuminen tietoturvaan muuttui vahvasti myös ajatustasolla.
”Vaikka meillä on pitkä kokemus tietoturva-alalta, organisaatiossamme herättiin entistä syvemmin ymmärtämään, miten tärkeä asia tietoturva on meille ja asiakkaillemme.”
”Aiemmin tietoturva oli meillä muutaman tai yksittäisen ihmisen toteuttamaa. Nyt tietoturvanhallintaan osallistuu kokonaisena tiiminä yrityksen koko henkilökunta. Sertifiointiprosessi auttoi erityisesti ylintä johtoa ymmärtämään aiempaa syvemmin, mikä tietoturvan merkitys on ja mitä vastuita esimerkiksi johtoryhmällä ja toimitusjohtajalla siihen liittyy.”
”Monessa yrityksessä on ongelmana johdon jääminen kokonaan ulkopuolelle tietoturva-asioissa. ISO 27001 pakotti prosessin ja ohjeistuksien kautta sekä ITC:n johdon että jokaisen työntekijän osallistumaan tietoturvaan. Roolitukset selkenivät huomattavasti, ja tiedämme nyt, mitkä tietoturva-asiat kuuluvat kenellekin. Meillä esimerkiksi kokoontuu säännöllisesti tietoturvaryhmä, jossa myös minulla toimitusjohtajana on vastuita”, Joni kertoo.
”ISO 27001 -standardi perustuu jatkuvaan kehittämiseen ja seurantaan. Meillä järjestetään säännöllisesti talon sisäisiä tietoturvapalavereja, ja panostamme riskien tunnistamiseen ja kuntoon laittamiseen. Pyrimme joka päivä toimimaan ITC:n tietoturva-asioissa sertifioinnin arvojen mukaisesti. Aina kerran vuodessa tapahtuu seuranta-auditointi, jolloin ulkopuolinen taho taas tarkistaa, onko vaatimuksenmukaisuudessa pysytty ja mikä on suunnitelma tulevalle vuodelle.”
”Nyt kun suusanallinen todennus ITC:n tietoturvasta on muuttunut faktaksi, tuo se olemassa oleville sekä uusille asiakkaille varmuuden toimivasta tietoturvahallinnasta. Meidän ei enää tarvitse selitellä ja vakuutella, vaan voimme kertoa, että meillä toimitaan kansainvälisen tietoturvastandardin ISO 27001 mukaisesti. Se puhuu puolestaan, sillä tätä tietoturvasertifikaattia ei myönnetä heppoisin perustein”, Joni summaa.
”Meillä on kovat kasvutavoitteet, ja tietoturvasertifioinnilla pystymme todentamaan, että ITC:ltä löytyy tarvittavaa kyvykkyyttä ja olemme hyvin luotettava kumppani. Koko ISO 27001:n voisi tiivistää siihen, että meillä on riskienhallinta kunnossa ja jatkuvuus varmistettu ei vain omalta vaan myös asiakkaiden osalta. Meiltä löytyy varautumissuunnitelma kaikkiin kriittisiin toimintoihin.”
”Tämä tietoturvasertifiointi ei todellakaan ole hyödyksi pelkästään ITC:lle. Uutena juttuna olemme hyödyntäneet tietoturvan toimintamalleja myös asiakastasolla, vaikka heillä ei tietoturvasertifiointia itsellä olisikaan. Olemme saaneet tuoda asiakkaiden tietoturvakulttuuriin ja henkilöstölle uusia tietoturvallisia toimintatapoja ja opastusta riskienhallinnasta”, iloitsee ITC:n toimitusjohtaja Joni Kapanen.
Lue lisää ITC:n ISO-sertifioinneista:
Laatu ei jää myyntipuheiden tasolle – ITC ja ISO 9001 -sertifikaatti
Vastuullisuus leikkaa ITC:llä läpi liiketoiminnan – Siitä kertoo myös ISO 14001 -sertifikaatti