TNNet ISO27001 sertifiointi – kuinka se toteutettiin?
Kun vastaa kysymykseen ”onkos teillä tietoturva kunnossa?” riittävän usein ja joka kerta pitää pienen dokumenttikatselmuksen asiakkaan kanssa todentaakseen myöntävän vastauksen, niin sitä alkaa väistämättä miettimään, voisiko asian tehdä toisin. Kun tietoturvamme kuntoa kysyttiin 2021 keväällä, tein päätöksen, että nyt sertifioidaan meidän tietoturvanhallintajärjestelmämme.
Mistä lähdettiin liikkeelle?
Aloitin TNNetillä 2012 ja sain aika pian vastuun tietoturvamateriaaleista, kun olin kuulemma yliopistossa tottunut tuottamaan ”turhaa tekstiä”. Näin alkoi meillä pitkäjänteinen tietoturvahallintadokumentaation kehittäminen, jonka pohjalta ISO27001 sertifiointi tehtiin. Pitkän toimintahistorian aikana oma toimintamme on kehittynyt paljon, mutta myös asiakkaidemme vaateet ovat kasvaneet ja myyntiponnistelumme kohdistuvat vaativampiin asiakkaisiin, joten tietoturvan sertifiointi ei ole enää kilpailuetu, vaan perusvaade.
Vaikka materiaalia onkin tehty pitkäjänteisesti ja jatkuvasti kehittäen, niin sertifiointiprosessi nosti paljon hyviä kehityskohteita tietoturvanhallintajärjestelmään. Tietoturvanhallintajärjestelmä ei suoraan vaadi mitään erityistä tietoturvamekanismia esimerkiksi murtohälyttimeen, mutta sen tehtävä on huolehtia, että tietoturvaa mietitään jokaisessa prosessissa ja toimintatavassa. Kuten murtohälyttimen kohdalla pitää pohtia, onko sen tuoma suoja riittävä vai vaatiiko riskienhallinta jämerämpää ratkaisua. Kun tietoturva pakotetusti otetaan huomioon joka käänteessä, niin väistämättä se myös kehittyy. ISO27001 tehtävänä on nostaa tietoturva jatkuvasti uudelleen keskusteluun, jottei synny tilannetta, jossa tietoturva laitetaan ns. kerralla kuntoon ja unohdetaan sen jälkeen.
Tietoturvan parantaminen on muutosjohtamista parhaimmillaan, koska muutokset harvoin helpottavat työntekoa. Yleensä vastarintaa syntyy, kun tulee uusi pituusvaade salasanoihin tai joku muu turha VPN-kilke, kun ennen pääsi vain suoraan kirjautumaan yrityksen palveluihin. Virallinen sertifiointi auttaa myös tässä muutosjohtamisessa. Sen varjolla on helppo ajaa sisään uusia toimintamalleja, kuten esimerkiksi laitehallintarekisteri. Ja vaikka kirjaustyö lisääntyykin uusien rekistereiden myötä, niin myös työnteko helpottuu, kun asiat löytyvät keskitetysti yhdestä paikasta.
Prosessin eteneminen
Sertifiointi prosessi tehtiin parhaalla mahdollisella resurssoinnilla, jonka kaikki tietävät, eli oman työn ohessa (OTOna). Meillä dokumentaatiosta vastasi tietoturvaryhmä eli minä (hallinnollinen ja fyysinen turvallisuus) ja Jari Lehtonen (tekninen turvallisuus). Meidän lähtötilanteemme ja asenne sai prosessin aikana kiitosta, kun emme tehneet tietoturvahallintajärjestelmää tyhjästä ISO27001 varten, vaan sorvasimme oman järjestelmän vaateita vastaavaksi. Tyhjästä tekeminen olisi saattanut olla kirjoitusteknisesti helpompaa ja dokumentaatio selkeämpi, mutta silloin vaarana on hyvä dokumentaatio, jota ei tekeminen vastaa. Myös ulkoisen konsultin palkkaaminen projektiin oli edellytys onnistumiselle. Kiitos CoMoren Saaralle. Konsultin tehtäväksi jäi tietoturvadokumentaation arviointi ja korjausehdotusten antaminen. Minulla on yleensä vaarana, että tehdään liian tarkasti, kun vähän vähempikin riittäisi. Tietoturvan kanssa liioittelun on vaarallista, kun liian vaikeat käytännöt ja prosessit tullaan aina oikaisemaan. Saara toimi hyvänä ”jarruhenkilönä”, ettemme lähteneet tekemään liian monimutkaista vaan kerralla oikean kokoista.
Tietoturva on aina ollut osa TNNetin tekemistä ja siihen on kiinnitetty huomiota koko toimintahistorian ajan. Virallinen sertifiointi ei ole mikään vapaudu vankilasta kortti, mutta se antaa mukavan selkänojan luottaa tietoturvanhallintaan. Meillä on menossa jatkuvasti mielenkiintoisia tietoturvaprojekteja tämän prosessin käynnistämänä ja kerromme niistä mielellämme lisää ja jaamme oppimaamme tietoa. Kannustan myös muita yrityksiä lähtemään sertifioimaan tietoturvanhallintajärjestelmää. Prosessi on haastava ja vaatii keskittymistä, mutta oikealla asenteella siitä selviää varmasti. Tästä on mukava ponnistaa uuteen tilikauteen.
