Pilviyhtiö Cloud2 sai ISO 27001 -tieturvasertifikaatin - “Auditoija oli hyvin vaativa”

Kunnianhimoinen tavoite ja vaativa prosessi, mutta vaivan arvoinen. Näin tiivistyy Cloud2:n matka ISO 27001-sertifioinnin saavuttamiseksi.

“Teimme valtavan määrän työtä prosessien kanssa: kuvasimme, yhdistelimme, kehitimme ja yhtenäistimme niitä. Se puolestaan vaati aikaa, järjestelmän osien yhteen tuomista ja koko it-rakenteen syvällistä ymmärtämistä”, Cloud2:n CTO Mikko Laakkonen kuvailee yhtiön taivalta arvostetun sertifikaatin haltijaksi.

Matka ei ollut helpoimmasta päästä. Cloud2 valitsi auditoijakseen kotimaisen Nixun, joka tunnetaan alalla hyvin vaativana.

"Niin sen kuuluu ollakin," Cloud2:n puolelta sertifiointiprosessia vetänyt CISO Jussi Isosomppi sanoo.

Toisella kierroksella maaliin

Ensimmäisellä auditointikierroksella sertifiointia ei myönnetty, vaikka melkein kaikki oli tehty oikein ja asennekin oli kohdillaan. Toinen kierros kuitenkin näytti, että Cloud2 suhtautuu sertifikaattiin ja sen edellyttämään auditointiin takaiskusta huolimatta vakavasti, joten myöntö tuli.

"Työskentelimme intensiivisesti pitkän aikaa. Kävimme palautteet läpi huolellisesti useaan kertaan. Työ oli kuitenkin palkitsevaa, koska palautteesta paljastui, että olimme tehneet asioita oikein alusta lähtien", Isosomppi kuvailee.

Tärkein syy sertifikaatin hakemiseen oli luonnollisesti halu pystyä pitämään asiakkaiden samoin kuin omakin liiketoiminta turvassa. 

Toinenkin syy löytyy asiakkaista. Yhä useampi heistä on sertifioinut omaakin toimintaansa, ja näin ollen tekee yhteistyötä mieluiten laadultaan vähintään yhtä korkeatasoisten yhtiöiden kanssa. 

“Jos haluamme erottua massasta ja pysyä relevanttina kumppanina, meidän on välttämätöntä pysyä alan vaatimusten tahdissa”, Mikko Laakkonen sanoo.

Investointi kasvuun

Vaikka prosessi vaati paljon resursseja, Cloud2 uskoo saavansa investoinnin takaisin yhtiön kasvuna. 

"Kilpailemme suurten yritysten rinnalla merkittävistä asiakkuuksista. Heillä on sertifikaatit, joten pelikenttää tasoittaaksemme meilläkin on oltava", Jussi Isosomppi sanoo.

Cloud2:n asiakkaisiin kuuluu energiayhtiöitä ja terveydenhuollon palveluntarjoajia, joita koskevat jo laajat vaatimukset, mukaan lukien Eurooopan kyberturvallisuusidirektiivi NIS2. ISO 27001 vahvistaa Cloud2:n uskottavuutta erittäin kilpaillulla alalla.

"Käsittelemme yhä suurempia osia asiakkaidemme it-ympäristöistä. Asiakasvaatimukset kasvavat, samoin kuin vaatimukset heidän omassa riskienhallinnassaan," Isosomppi sanoo.

Kolme vuotta voimassa

Cloud2:n sertifikaatti pitää sisällään Cloud2 Finlandin sisäiset toiminnot, mukaan lukien konsultointi, jatkuvat palvelut, myynti, markkinointi sekä hallinto. 

Sertifikaatti on voimassa kolme vuotta, mutta se ei suinkaan tarkoita laakereilla lepäämistä. Tietoturvan hallintajärjestelmän toimintaa tarkastellaan säännöllisesti yhtiön johdon ja hallituksen kanssa. Auditoija tekee myös tarkastuksia pitkin matkaa.

Järjestelmän ytimessä on jatkuvan parantamisen sykli eli niin sanottu PDCA-prosessi (Plan, Do, Check, Act).

"Järjestelmä pyörii koko ajan, joten sen jatkuva toimivuus täytyy todentaa," Mikko Laakkonen sanoo.

KAINALOJUTTU:

Jussi Isosomppi – ISOn myötä CISOksi

Cloud2:n ISO 27001 -sertifiointiprojektin vetäjänä toimi Jussi Isosomppi, 35. Isosomppi tuli taloon 4,5 vuotta sitten tuotantotiimin jäseneksi. Aika pian häntä alkoi kiinnostaa sisäinen it ja kuinka sitä voisi tehdä paremmin.

”Aloin innostua siitä, kuinka sisäisten järjestelmien käyttöä voisi kehittää. Jos pystyn tehostamaan kollegoideni työntekoa vaikka vain viisi prosenttia, se on paljon enemmän kuin mitä itse saisin aikaan, vaikka painaisin aivan täysillä”, Isosomppi kertoo.

Ajatus toisten työn tehostamisesta ei ollut uusi. Isosomppi kertoo työskennelleensä ennen it-uraansa McDonald’sissa ja Burger Kingissä päällikkötehtävissä ja huomanneensa, että tiimiläisten työn onnistunut tukeminen näkyi suoraan myyntiraportista.

”Olen kuljettanut sitä ajatusmaailmaa koko työurani mukana.”

Cloud2:n sisäisessä it:ssä Isosomppi huomasi, että yhtiössä tehtiin fiksuja tietoturvapäätöksiä, mutta tietoturvan hallinnasta puuttui yhtenäinen rakenne.

”Aika ajoin oli sellaista turhaa jännitystä ilmassa, että olemmeko muistaneet kaiken tarpeellisen. Siitä eroon päästäksemme aloimme pari vuotta sitten tutkia, millaisia välineitä on tarjolla”.

Aktiivisesta sisäisen it:n kehittäjästä kuoriutui vaativan sertifiointiprosessin vetäjä. Ja nyt, kun ISO 27001 -sertifikaatti on myönnetty, Isosompin ura ottaa seuraavan askeleen: hänet on nimetty Cloud2:n CISOksi eli tietoturvajohtajaksi.

Työ ei tietenkään lopu tähän, vaan nyt alkaa oppien levitys.

”Aivan ensiksi korjataan pari auditoinnissa esiin tullutta juttua. Sen jälkeen jatketaan kehitystä ja viedään parhaita operaatioita Tanskan-toimintoihimme.”

Omankin uran seuraavat askeleet ovat jo tiedossa.

”Aion tietysti loistaa tässä roolissa!” Isosomppi naurahtaa.

Mikä on ISO 27001 -sertifiointi?

ISO 27001 on kansainvälinen standardi, joka määrittelee vaatimukset tietoturvan hallintajärjestelmälle (ISMS). Se osoittaa, että organisaatio tunnistaa tietoturvariskit ja työskentelee järjestelmällisesti tietoturvansa kehittämiseksi. Sertifiointi kertoo asiakkaille ja kumppaneille, että yritys suhtautuu tietojen luottamuksellisuuteen, eheyteen ja saatavuuteen vakavasti.