ISO 27001-sertifiointi vastaa ALMA-asiakkaiden kiristyneisiin tietoturvavaatimuksiin

Kansainvälinen ISO/IEC 27001:2022-standardi määrittelee vaatimukset tietoturvallisuuden hallintajärjestelmälle. Vitec ALMA on saavuttanut ISO 27001-sertifioinnin yhteistyössä Into Securityn tytäryhtiön, Into Certificationin kanssa. Sertifikaatti osoittaa, että Vitec ALMA on rakentanut järjestelmällisen ja kattavan toimintamallin, joka suojaa asiakkaiden tietoja ja varmistaa tiedonhallinnan turvallisuuden jatkuvasti.

– Suuri osa asiakkaistamme toimii huoltovarmuuteen liittyvillä toimialoilla. Viime aikoina tietoturvan merkitys on korostunut entisestään yleisen maailmantilanteen vuoksi, mutta myös NIS2-direktiivin takia, Vitec ALMAn tuotekehitysjohtaja ja tietoturvavastaava Toni Penttilä kertoo.

NIS2 on EU:n kyberturvallisuusdirektiivi, joka koskee yhteiskunnan kannalta kriittisiä toimialoja. Suomessa direktiivin vaatimukset on huomioitu kansallisessa lainsäädännössä kyberturvallisuuslailla.

– NIS 2 asettaa kovat vaatimukset asiakkaidemme tietoturvalle. ISO 27001 on Vitec ALMAn vastaus siihen. Sertifioinnin avulla voimme osoittaa ja varmentaa, että täytämme ne tietoturvavaatimukset, joita NIS2-direktiivi edellyttää asiakkailtamme ja joita he puolestaan edellyttävät meiltä osana toimitusketjua, Penttilä selventää.

Vitec ALMA on aloittanut siirtymän SaaS-toimitusmalliin vuonna 2017. Nyt on menossa siirtymän kolmas vaihe On Premise -ohjelmistosta pilvipalveluksi.

– Aiemmassa toimitusmallissa tietoturvavastuu oli pääsääntöisesti asiakkaalla. Sen takia asiakkaillamme on ollut tietoturvallisuuden hallinta erittäinkin hyvällä tasolla. Asiakkaamme ovat tehneet ALMA-ohjelmistolle runsaasti tietoturva-auditointeja, joita me taas olemme voineet hyödyntää ohjelmiston kehittämisessä.

Pilvipalvelussa tietoturvallisuuden vaatimukset siirtyvät ohjelmiston toimittajalle ja samalla tietoturva pitää huomioida myös ohjelmiston toiminnallisuudessa ja käytettävyydessä.

– Tuotekehityksessä täytyy varmistaa se, että ALMAn käyttö on tietoturvallista kaikissa tilanteissa heikentämättä ohjelmiston käytettävyyttä. Tietoturvasta huolehtiminen on asiakkaillemme työlästä ja siksi pyrimme helpottamaan sitä sekä tuotekehitykseen liittyvillä ratkaisuilla että ISO 27001-sertifioidulla tietoturvallisuuden hallintajärjestelmällä, Penttilä selventää.

Sertifiointi muuttaa yrityksen tietoturvakulttuurin

ISO/IEC 27001:2022 -sertifiointi ei kohdistu ALMA-ohjelmistoon tuotteena, vaan se kattaa koko Vitec ALMAn tietoturvallisuuden hallintajärjestelmän, jota käytetään myös ALMA-ohjelmiston kehityksen, ylläpidon, tuen ja näihin liittyvien operatiivisten toimintojen tietoturvallisuuden ylläpitämiseen.  Näin sertifioitu tietoturvan hallintajärjestelmä (ISMS) varmistaa ohjelmiston ja sen moduulien tietoturvan koko elinkaaren ajan.

Sertifioinnin tarkoituksena on muuttaa ja ohjata koko organisaation tietoturvallisuustyötä ja -kulttuuria.

– Tämä ei ole kertaluonteinen harjoitus, vaan sertifiointi perustuu jatkuvaan parantamiseen ja kehittämiseen. Tietoturvasta huolehtiminen tarkoittaa jatkuvaa seurantaa ja uusien riskien arvioimista. Siksi sertifiointi vaatii sitä, että tietoturvasta tulee osa yrityksen kulttuuria, Vitec ALMAn sertifioinnin pääauditoijana toiminut Into Certification Oy:n Ville Koskinen toteaa.

Koska ISO 27001-sertifioinnissa on kyse yrityksen tietoturvallisuuden hallintajärjestelmän luomisesta, yrityksen pitää tarkastella tietoturvaansa esimerkiksi riskienhallinnan, prosessien, dokumentaation ja henkilöstön osaamisen sekä toiminnan näkökulmasta.

– Se tarkoittaa jatkuvaa pitkäjänteistä työtä kouluttamisen, viestimisen, opastamisen seuraamisen ja mittaamisen muodossa. Sertifiointi luo standardin tälle jatkuvalle tekemiselle. Se on hyvää tietoturvajohtamista, Koskinen luettelee.

Toni Penttilä korostaa Vitec ALMAn henkilöstön merkitystä tietoturvallisuuden hallinnassa.

– Aloitimme standardin mukaisen oman toiminnan kehittämisen jo vuonna 2020. Varsinainen päätös sertifioinnin hankkimisesta tehtiin noin vuosi sitten. Koko henkilöstömme on osallistunut merkittävästi sertifioinnin saavuttamiseen.

– Tietoturvaan liittyy paljon henkilöstöhallintoa. Varmistamme, että henkilöstön tietoturvallisuuden tietämys, koulutus ja osaaminen ovat riittävällä tasolla. Kouluttaminen on keskeisessä roolissa ja sisältää esimerkiksi tietoturvavalveutuneisuuden koulutusta ja tietoturvallisen ohjelmistokehityksen koulutusta. Pystymme luonnollisesti myös käyttöönottoprojekteissa kouluttaa asiakkaitamme tietoturvakäytänteissä.

Lopuksi Penttilä painottaa, että sertifiointi on Vitec ALMAlle myös kilpailuvaltti.

– Harvoilla meidän kilpailijoilla on ISO27001-standardin mukaista tietoturvallisuuden hallintajärjestelmää. Me pystymme osoittamaan, että otamme asiakkaamme tietoturvan vakavasti ja myös avoimesti osoittamaan miten sen teemme.

Ville Koskinen haluaa korostaa tietoturvallisuuden hallintajärjestelmän sertifioinnin merkitystä.

– Moni voi todeta, että “noudatamme standardia”, mutta vain sertifioinnilla se voidaan todistetusti osoittaa.