TNNet ISO 27001 -sertifiointi – kuinka se toteutettiin?
Kun tarpeeksi usein vastaa asiakkaan kysymykseen ”Onkos teillä tietoturva kunnossa?”, ja pitää perään pienen dokumenttikatselmuksen asian todistamiseksi, tulee mieleen, voisiko homman hoitaa toisin. Kun tietoturvamme kuntoa kysyttiin jälleen keväällä 2021, tein päätöksen, että nyt on tullut aika ottaa työn alle TNNetin tietoturvanhallintajärjestelmän tietoturvasertifiointi.
Mistä lähdettiin liikkeelle
Kun aloitin TNNetillä vuonna 2012, sain aika pian vastuun tietoturvamateriaaleista, sillä olin kuulemma yliopistossa tottunut tuottamaan ”turhaa tekstiä”. Tästä erikoistaito osoittautui nyt hyödylliseksi, sillä siitä alkoi pitkäjänteinen tietoturvahallintadokumentaation kehittäminen, joka nyt toimi pohjana ISO 27001 sertifioinnille.
Pitkän toimintahistorian aikana oma toimintamme on kehittynyt paljon, mutta myös asiakkaidemme vaateet ovat kasvaneet. Myyntiponnistelumme kohdistuessa vaativampiin asiakkaisiin ei tietoturvasertifiointi ole enää kilpailuetu, vaan perusvaade.
ISO 27001 -prosessin eteneminen
Sertifiointiprosessi tehtiin parhaalla mahdollisella kaikkien tuntemalla resurssoinnilla, eli oman työn ohessa (OTOna). Meillä dokumentaatiosta vastasi tietoturvaryhmä eli minä (hallinnollinen ja fyysinen turvallisuus) ja Jari Lehtonen (tekninen turvallisuus).
Iloksemme lähtötilanteemme ja asenteemme sertifiointiin sai prosessin aikana kiitosta, sillä emme tehneet tietoturvahallintajärjestelmää tyhjästä ISO27001 varten, vaan sorvasimme olemassa olevan järjestelmämme vaateita vastaavaksi. Tyhjästä tekeminen olisi saattanut olla kirjoitusteknisesti helpompaa ja dokumentaatio selkeämpi, mutta silloin vaarana on hyvä dokumentaatio, joka kuitenkaan ei vastaa tekemistä.
Ulkoisen konsultin palkkaaminen projektiin oli myös edellytys onnistumiselle – kiitos CoMoren Saaralle. Konsultin tehtäväksi jäi tietoturvadokumentaation arviointi ja korjausehdotusten antaminen. Minulla on usein tapana tehdä asiat liiankin tarkasti, vaikka vähän vähempikin riittäisi hyvin. Tietoturvan kanssa liioittelu on vaarallista, sillä havaitusti liian monimutkaiset käytännöt ja prosessit tullaan käyttäjien toimesta aina oikaisemaan. Saara toimi hyvänä ”jarruhenkilönä”, ette emme lähteneet tekemään liian monimutkaista, vaan kerralla oikean kokoista.
Tietoturvasertifioinnin hyödyt
Vaikka materiaalia onkin tehty pitkäjänteisesti ja jatkuvasti kehittäen, niin sertifiointiprosessi nosti esiin paljon hyviä kehityskohteita tietoturvanhallintajärjestelmässä. Tietoturvanhallintajärjestelmän tehtävä on huolehtia, että tietoturvaa mietitään jokaisessa prosessissa ja toimintatavassa. Siksi esimerkiksi murtohälyttimen kohdalla ei tarvita mitään erityistä tietoturvamekanismia, vaan pohdintaa siitä, onko hälyttimen tuoma suoja riittävä ja vaaditaanko riskienhallintaan jämerämpää ratkaisua.
Kun tietoturva pakotetusti otetaan huomioon joka käänteessä, niin väistämättä se myös kehittyy. ISO 27001 tehtävänä on nostaa tietoturva jatkuvasti uudelleen keskusteluun, jotta ei synny tilannetta, jossa yrityksen tietoturva laitetaan ns. kerralla kuntoon ja unohdetaan sen jälkeen.
Tietoturvan parantaminen on muutosjohtamista parhaimmillaan, sillä tarvittavimmatkaan muutokset harvoin helpottavat työntekoa. Yleensä vastarintaa syntyy, kun tulee uusi pituusvaade salasanoihin tai otetaan käyttöön käyttäjän näkökulmasta täysin turha sisäänkirjautumista hankaloittava VPN-kilke. Virallinen sertifiointi auttaa tässä muutosjohtamisessa, sillä sen varjolla on helppo ajaa sisään uusia toimintamalleja, kuten esimerkiksi laitehallintarekisteri. Ja vaikka kirjaustyö lisääntyykin uusien rekistereiden myötä, niin myös työnteko helpottuu, kun asiat löytyvät keskitetysti yhdestä paikasta.
Yhteenvetona
Tietoturva on aina ollut osa TNNetin tekemistä, ja siihen on kiinnitetty huomiota koko toimintahistorian ajan. Virallinen sertifiointi ei ole mikään vapaudu vankilasta -kortti, mutta se antaa mukavan selkänojan luottaa tietoturvanhallintaan.
Meillä on menossa jatkuvasti mielenkiintoisia tietoturvaprojekteja tämän prosessin käynnistämänä, ja kerromme niistä mielellämme lisää ja jaamme oppimaamme tietoa. Kannustan myös muita yrityksiä lähtemään sertifioimaan tietoturvanhallintajärjestelmää. Prosessi on haastava ja vaatii keskittymistä, mutta oikealla asenteella siitä selviää varmasti. ISO 27001 -tietoturvasertifiointi plakkarissa on mukava ponnistaa uuteen tilikauteen!