”Edelläkävijäasiakkaamme kysyvät minulta usein, mikä olisi tehokkain tapa nostaa tietoturvan tasoa ja samalla saada siitä konkreettista liiketoimintaetua – vastaus löytyy usein viidestä luvusta: 27001.” Organisaatiot etsivät tehokkaita tapoja hallita tietoturvariskejään ja tässä ISO 27001 -sertifiointi on ässä hihassa.
Into Security Oy:n operatiivinen johtaja, Lead Auditor Ville Koskinen on kokenut kyberturvallisuuden ammattilainen, joka on erikoistunut tietoturvan johtamiseen ja hallintaan. Hän näkee tietoturvan mieluusti myös liiketoiminnan mahdollistajana ja kilpailukykytekijänä.
Seuraavassa Villen pohdinnat kuuteen kysymykseen ISO 27001 -standardista:
1. Mikä on ISO 27001 ja miksi se on tärkeä?
ISO 27001 on kansainvälisesti tunnustettu tietoturvallisuuden hallintajärjestelmästandardi. Se tarjoaa globaalisti testatun ja tunnustetun tavan tehokkaaseen tietoturvallisuuden hallintaan ja tietoturvariskien minimointiin.
Standardin noudattaminen ei ole kuitenkaan pelkkää riskienhallintaa. Näen joka päivä kentällä, miten se tehostaa tietoturvatyön tekemistä, ja siinä sivussa se tukee yrityksen strategian toteutumista ja avaa uusia liiketoimintamahdollisuuksia. Systemaattisella lähestymistavalla voi varmistaa, että tietoturvaresurssit kohdistuvat parhaalla mahdollisella tavalla ja tietoturvatyö palvelee myös liiketoiminnan tavoitteita.
2. Mitä konkreettisia hyötyjä ISO 27001 -sertifiointi tuo?
Paljonkin, mutta listataan nyt omat suosikkini. Viisi tavanomaista hyötyä, jotka ahkera saa vaivanpalkaksi sertifioinnin jälkeen:
- Kilpailukykyä ja -etua markkinoilla. Monissa kilpailutuksissa sertifiointi on jopa ehdoton vaatimus.
- Mahdolliset alennukset vakuutusmaksuissa tietoturvariskien paremman hallinnan ansiosta. Rahanarvoista saman tien.
- Erottautumistekijä. Osalle asiakkaista ja kumppaneista sertifikaatti on niin tärkeä, että ilman sitä et erotu joukosta ollenkaan.
- Johdon työkalu huolellisuusvelvoitteen osoittamiseen ja toteuttamiseen. Vaikeasti konkretisoitava asia helpottuu.
- Korkeampi tietoturvan taso, jota kautta saavutetaan toimivammat prosessit sekä parannetaan henkilöstön tietoturvatietoisuutta.
3. Kenelle ISO 27001 -standardi soveltuu?
Standardiin liittyvä vahva, harmillinen myytti on, että se on vain suurten organisaatioiden kauraa. Näinhän asia ei ole. Standardin hienous piilee sen joustavuudessa. Se soveltuu kaiken kokoisille organisaatioille eikä ole riippuvainen toimialasta.
Lähtökohtana on organisaation toimintaympäristön tunnistaminen, siihen vaikuttavien riskien analysointi sekä hallinta. Toimintaympäristö voi olla pienen Pohjanmaalla sijaitsevan pikkukaupungin kyläleipomon alle 10 henkilön yritys tai suuri globaali pilvipalveluntarjoaja. Standardin soveltamistapa mukautuu notkeasti organisaation tarpeisiin.
4. Pärjääkö ilman ISO 27001 -sertifiointia?
Kyllä. Pärjää toki. Mutta:
Standardi tarjoaa systemaattisen, tehokkaan ja todistetusti toimivan tavan hallita tietoturvaa. Kun tietoturvatyötä on mahdollista seurata, mitata ja ohjata, on todennäköisempää, että tietoturvabudjetti tulee tehokkaaseen käyttöön – puhumattakaan siitä, että tietoturvatyö aidosti tukee yrityksen liiketoimintaa. Kuten aiemmin mainitsinkin, niin sertifiointi tuo mukanaan merkittäviä hyötyjä ja auttaa yritystä vastaamaan myös lainsäädännön ja muun regulaation tuomiin vaatimuksiin.
5. Mitkä ovat yleisimpiä kompastuskiviä standardin soveltamisessa?
Standardin hienous ja samalla kompastuskivi on, jos ei ymmärrä sitä, ainakin se, että standardi ei anna vain yhtä mallia toteuttaa sen vaatimuksia. Toteuttaakseen standardinmukaisuuden, organisaatiossa tulee pohtia ja tunnistaa siihen itseensä vaikuttavat tekijät sekä niihin liittyvät riskit.
Riskeistä puheen ollen. Kun standardi on riskipohjainen, niin on todellakin sallittua ottaa tiettyjä riskejä, kunhan ne tehdään harkitusti sekä määritellysti. ISO 27001 -standardin liitteessä A on esitetty kontrollit tietoturvallisuuden riskien hallintaan. Mikäli jokin riski hyväksytään (tai jokin kontrolli ei ole relevantti), voidaan kontrolleja perustellusti jättää ottamatta käyttöön. Tai jopa ottaa Liitteen A ulkopuolisia kontrolleja. Tämä unohtuu monelta organisaatiolta.
Vielä yksi vinkki, joka voi helpottaa standardin soveltamista. Joskus hallintajärjestelmä ymmärretään kovin teknisenä kokonaisuutena ja sitä lähdetään rakentamaan ”väärin päin”, eli kontrollit edellä.
Eli ensin on tunnistettu olemassa olevat tekniset ja muut kontrollit sekä otettu käyttöön jopa uusia kontrolleja vaikkapa verkkojen turvallisuuteen liittyen. Vasta sitten on lähdetty rakentamaan varsinaista hallintajärjestelmää ja tunnistamaan hallintajärjestelmään vaikuttavia asioita.
Kun soveltaminen aloitetaan perustasta, eli hallintajärjestelmän rakentamisesta (vaatimukset 4–10), voidaan sen jälkeen paremmin tunnistaa olennaiset kontrollit, tehdä niistä toimivia ja vältytään ylimääräisten kontrollien käyttöönotolta. Tämä on selvää rahan ja ajan säästöä.
6. Paljonko aikaa ISO 27001 -sertifioinnin saavuttamiseen on hyvä varata aikaa?
Kyberkonsultin vastaus on totta kai: se riippuu. Leikki sikseen, aikaa tarvitaan ainakin seuraaviin kolmeen kokonaisuuteen:
- Hallintajärjestelmän rakentamiseen
- Sen pyörittämiseen (hallintajärjestelmän pitää toimia ennen auditointia)
- Itse auditointiin
Koko prosessi on ketterältä ja nopealta organisaatiolta mahdollista tehdä puolessakin vuodessa (tai jopa nopeammin), mutta tyypillinen aikajänne lienee kuudesta kuukaudesta vuoteen.
Jotta varsinainen sertifiointiauditointi sujuu mutkattomasti, on mahdollista tehdä ennen sitä esiauditointi/gap-analyysi ja sen perusteella varmistaa hallintajärjestelmän toiminta hyvissä ajoin ennen sertifiointia. Tässä yhteydessä on hyvä myös todentaa standardin edellyttämien säännöllisten toimien, kuten sisäisen auditoinnin, toimivuus.
Varsinaiseen sertifiointiauditointiin vaadittava aika on määritelty standardissa ja sen määrittelee muun muassa organisaation henkilöstön lukumäärä.
Kun sertifiointiauditointi on suoritettu, alkaa 3-vuotinen sertifiointikausi, jonka aikana suoritetaan vuosittain pienempi seuranta-auditointi.
Lisäisin vielä yhden asian, joka monelta unohtuu: ajan lisäksi on syytä varata riittävästi resursseja hallintajärjestelmän rakentamiseen ja operointiin.
Kysyin kerran asiakkaaltamme, miksi he valitsivat ISO 27001 -sertifioinnin. Vastaus oli yksinkertainen: ”Tietoturvallisuus on meille tärkeää ja haluamme nukkua yömme rauhassa, tietäen että meillä on tehokkaat ja toimivat tietoturvakontrollit. Lisäksi sertifikaatin avulla olemme voineet kasvattaa liiketoimintaamme ja se nopeuttaa usein sopimusneuvotteluja. Hallintajärjestelmä tuo meille myös merkittävää säästöä alueilta, joita harvemmin tulee ajatelleeksi. Mikäli tietoturvauhka konkretisoituisi, siitä voi aiheutua meille merkittäviä kustannuksia, puhumattakaan muista haitoista kuten mainehaitasta. Hallintajärjestelmän avulla uhkien torjuminen ennakolta on tehokkaampaa ja edullisempaa.”
Tämä kiteyttää koko standardin ytimen – parhaimmillaan tämän tason tietoturvatoimi antaa suojautumisen ohella myös joukon uusia mahdollisuuksia ja kasvutaskuja.