“Tietoturvaa voi automatisoida, mutta vastuuta siitä ei voi ulkoistaa”
Tomas Westerholm, TeknologiajohtajaTietoa Finland Oy
3-4+ mil.+ Liikevaihto
40 + Henkilöstö
Tietoturvan Katakri TL III -auditointi läpi Elmon tuella:
“Tietoturvaa voi automatisoida, mutta vastuuta siitä ei voi ulkoistaa”
Tietoa Finland on tietomallintamisen ja havainnollistamisen erikoisosaaja, jonka ratkaisut tähtäävät kiinteistökehityksen ja rakentamisen sujuvuuden ja tuottavuuden parantamiseen.
Tietoa halusi viedä tietoturvan uudelle tasolle, jotta voi palvella entistä laajemmin korkeaa tietoturvaa edellyttäviä asiakkaitaan, muiden muassa Senaatti-kiinteistöjä. Avuksi työhön otettiin Elmo.
Senaatti-puitesopimus antoi sysäyksen tietoturvatason nostamiselle
Tomas Westerholm toimii Tietoa Finlandin teknologiajohtajana. Hänen tontillaan on talon hallinnollinen tietoturva; toisin sanoen se, että tietoturvakäytännöt on määritetty, dokumentoitu ja koulutettu – ja että tietoturvaympäristöä seurataan ja kehitetään.
Tietoturvan valmiustaso oli Tietoa Finlandilla ennestään korkea, mutta Senaatti-kiinteistön puitesopimuksen päivittyessä haluttiin tähdätä korkeammalle.
Meillä oli useita syitä kehittää tietoturvaa kokonaisvaltaisesti, ja Senaatin puitesopimus oli yksi sysäys. Toinen oli yleinen palvelulaajuuden kehittäminen: Korkea tietoturvataso avaa ovia hankkeisiin ja uusiin asiakkaisiin. Toki yksi syy oli muuttuva tietoturvaympäristö ja oman liiketoiminnan turvaaminen.
Elmon oma ISO/IEC 27001 oli vankka selkänoja
Valtion liikelaitoksena Senaatti-kiinteistöjen toimintaa ohjaa Kansallinen turvallisuusauditointikriteeristö eli Katakri ja siinä määritetyt turvallisuusluokat. Tietoa halusi saavuttaa Turvallisuusluokka III:n ja IV:n vaatimukset.
Alkuvuodesta Westerholm kävi läpi tietoturva-alan toimijoilta, kartoitti markkinaa ja haastatteli eri tarjoajia. Elmon tapa lähestyä asiakkaan tilannetta vakuutti.
Elmo hahmotti kokonaisuuden muodon ja laajuuden. He osasivat verrata asiakkaidemme vaatimustasoja, kansainvälisiä normistoja sekä sitä, mihin suuntaan olemme kasvamassa, Westerholm toteaa.
Lopullista päätöstä auttoivat Elmon vahvat referenssit, saatu hyvä tarjous sekä se, että Elmolla oli tuoreeltaan saavutettuna tietoturvan ISO/IEC 27001:2022 -sertifikaatti. Oli aika käydä hommiin ja tavoitteeksi asetettiin, että auditointi olisi läpäistynä kesän aikana.
Tuntui hyvältä, että molemmin puolin oli tahtotila mennä rivakasti eteenpäin. Kalentereihin varattiin viikoittaiset palaverit, ja onnistuimme saamaan Elmolta tekijät, jotka olivat tuoreeltaan olleet mukana Elmon omassa ISO 27001 -auditoinnissa. Kaikkineen työ eteni hyvin alusta asti.
“Tietoturva ei ole mappi vaan asenne”
Tiedossa oli, että töitä olisi paljon: dokumentointia, fyysisen tietoturvan tehostamista ja tietoturvaprosessien täsmennystä. Siis paljon muutakin kuin pelkkää paperityötä.
Dokumentointi on keino määrittää tietoturvan prosessit ja osoittaa, että prosessi on olemassa, mutta tietoturva ei ole mappi vaan asenne. Tärkeintä on, että prosessit, käytännöt ja ymmärrys toteutuvat, Westerholm alleviivaa.
Tilateknisten ratkaisujen – kuten turvaovien asennuksen – toteutus kesti suunniteltua kauemmin, ja itse auditointi päästiin suorittamaan lokakuussa. Tietoa Finland läpäisi vaatimukset kerrasta.
Työ tietoturvan parissa ei tietenkään pääty sertifikaatteihin ja auditointeihin.
Oikeastaan tason noston myötä tuli muutama tietoturvarutiini lisää. Näemme tärkeäksi, että tietoturva on prosessi, jossa laatua pyritään tasaisesti nostamaan. Jonkin verran tietoturvaa voi yrittää automatisoida lisää, mutta se ei tarkoita, että ulkoistetaan vastuuta vaan hyödynnetään teknologiaa: esimerkiksi sisäverkkoon voidaan asettaa piilotettua valvontaa.
Entä onko horisontissa, että Tietoa Finland saattaisi itse suorittaa koko ISO/IEC 27001 –sertifikaatin?
Voi olla jossain tulevaisuudessa. Ainakin siihen on hyvä mahdollisuus, nyt kun tämä työ on tehty ISO-kehyksellä.
Westerhomin vinkit hallinnollisen tietoturvan kehitysprojekteihin:
- Malttakaa tehdä kumppanivalinta huolella.
- Huomioikaa palveluntarjoajan auditoinnit, sertifioinnit ja referenssit.
- Tunnustelkaa asennetta: Kun palveluntarjoajasta huokuu halu ymmärtää kokonaisvaltaisesti asiakkaan tarpeet, auttaa se onnistumaan.
- Selkokielinen asenne ja kommunikointi auttaa välttämään epäselvyydet. Jo tarjousneuvottelusta lähtien kannattaa pyrkiä selkeyteen.
Mikä Katakri?
- Kansallinen turvallisuusauditointikriteeristö
- Viranomaisten auditointityökalu, jonka avulla arvioidaan kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa.
- Kattaa teknisen, hallinnollisen ja fyysisen tietoturvan kriteereitä.
- Lisätietoja Ulkoministeriön sivuilla