Eventilla Oy on saanut ISO/IEC 27001 -sertifikaatin tietoturvallisuuden hallintajärjestelmälleen. Yhtiö on ensimmäinen ISO 27001 -sertifioitu tapahtumanhallintaan keskittyvä ohjelmistoyhtiö Suomessa, ja tietoturvan riippumaton todentaminen on yhtiölle strateginen valinta. Sertifiointi oli tapa tehdä vuosien aikana rakentunut tietoturvatyö näkyväksi asiakkaille, henkilöstölle ja kansainvälisille markkinoille.
“Luottamus on meidän tärkein IPR”, tiivistää Eventillan toimitusjohtaja Pekka Huttunen.
Iso vastuu henkilötietojen käsittelijänä
Eventillan asiakassuhteet rakentuvat luottamukselle. Yhtiön asiakaskuntaan kuuluu suuria kotimaisia yhtiöitä, kolmannen sektorin toimijoita sekä kansainvälisiä asiakkaita – muun muassa Otavamedia, Suomen Punainen Risti Ensiapu, Suomen Ekonomit, Qatar National Library, Ramirent/Loxam ja Liana Technologies. Yhteistä asiakkaille on se, että Eventilla käsittelee heidän puolestaan suuria määriä henkilötietoja.
”Eventilla on aina tehnyt henkilötietojen käsittelyä asiakkaiden lukuun — ohjelmisto on suunniteltu juuri siihen. Ohjelmistoalalla pk-toimijan ei parane tehdä yhtäkään ison luokan virhettä henkilötietojen käsittelyssä tai voi laittaa pillit pussiin. Sertifiointi antaa meille selkänojan ja mielenrauhaa”, toimitusjohtaja Pekka Huttunen kertoo.
Hiljainen tieto näkyväksi
Eventillan viidentoista hengen organisaatiossa tietoturva on aina ollut kaikkien vastuulla, mutta toimintamallit ovat eläneet kulttuurissa pikemminkin hiljaisena tietona kuin dokumentoituina prosesseina.
”Pk-ohjelmistoyrityksessä kaikilla on paljon tietämystä ja toimintamallit ovat hioutuneet. Tätä on kuitenkin tosi hankala dokumentoida ja todentaa asiakkaalle. Kertaakaan meillä ei ole käynyt niin, ettei tietoturvakyvykkyyteemme olisi luotettu, mutta asian avaamiseen on jouduttu näkemään paljon vaivaa. Uskon, että sama tilanne on myös muilla ohjelmistoalan toimijoilla”, kuvaa Huttunen.
Motivaatio sertifiointiin oli sekä strateginen että käytännöllinen.
”Mietittiin yhdessä, että tehdään ostaminen asiakkaalle helpommaksi. Ja samalla tehdään omista toimintamalleistamme dokumentaatio, jonka pohjalta pystytään vastaamaan kaikkiin niihin Exceleihin ja kyselyihin, joita tarjouspyyntöihin liittyy.”
Ohjelmistoalan arkea ymmärtävä auditoija
Kun sertifiointikumppania kartoitettiin, Eventilla keräsi toimialalta referenssejä – ja Into nousi esiin jokaisessa. Kumppanin valinta nojasi kahteen periaatteeseen.
”Akkreditointi oli meille perusvaatimus, ja sen jälkeen loppu oli referensseistä ja henkilökemioista kiinni. FINAS-akkreditoidun sertifiointielimen myöntämä sertifikaatti kelpaa maailmalla, eikä nimen tarvitse olla globaali brändi.
Toinen ehtomme oli toimialan ymmärrys. Halusimme tahon, joka ymmärtää, millaista on olla pieni ohjelmistoyritys Suomessa. Sielunmaiseman ymmärtäminen on meille tosi tärkeää, koska silloin auditoija ymmärtää paremmin, miksi meillä tehdään asioita niin kuin tehdään. Ja kun palaverissa Inton kanssa kemiat natsasivat hyvin, sen jälkeen valinta oli tosi helppoa”, kertoo Huttunen.
Kun perusta oli kunnossa, mukaan otettiin tekoäly
Sertifiointiprojekti käynnistyi sisäisesti noin vuotta ennen esiauditointia, ja työtä tehtiin aluksi perinteisillä työkaluilla. Dokumentaation laajuus ja tietoturvaan liittyvät ristikkäiset riippuvuudet osoittautuivat kuitenkin nopeasti haasteellisiksi, ja Eventilla päätti pivotoida projektin vahvasti tekoälyvetoiseksi.
”Lähdettiin liikkeelle Excelillä ja hommahan lähti matkalla käsistä. Aloimme etsiä markkinoilta työkalua, mutta ohjelmistotalona päätimme koodata gap-analyysin avuksi oman tekoälypohjaisen työkalun”, Huttunen kuvaa.
Eventillan rakentama tekoälyavusteinen ohjelmisto muodostaa ISO 27001 -sertifiointirungosta dokumentaatiopankin ja tunnistaa, jos jotakin puuttuu. Ratkaisun ytimessä on myös ISMS-botti, joka toimii henkilöstön käyttöliittymänä tietoturva-asioissa.
”Käyttöliittymä meidän väelle ei ole sata erillistä dokumenttia, vaan botti, jolta voi helposti kysyä mitä vain tietoturvaamme liittyen. Sieltä tulee heti järjellinen ja ystävällinen vastaus. Tosi helppo tapa.”
Hallintamalli lisäsi ymmärrystä ja toi tekemiselle merkitystä
Auditointi kattoi pilvipohjaisten SaaS-palvelujen kehityksen, ylläpidon ja tuen sekä näitä palveluja tukevat sisäiset prosessit ja järjestelmät.
Sertifiointiprosessissa keskeiseksi käännekohdaksi muodostui hetki, jolloin Eventillan tiimi yhdessä ymmärsi, mistä tietoturvallisuuden hallintamallissa (ISMS, Information Security Management System) on pohjimmiltaan kyse.
”Olimme tutkineet sertifikaattia ja sen vaatimuksia todella huolellisesti. Pohdimme, miksi malli on rakennettu sellaiseksi kuin se on, mutta tarkoitus ei heti auennut”, muistelee Huttunen.
Ratkaiseva oivallus syntyi gap-analyysin yhteydessä, kun Inton auditoija avasi viitekehyksen käytännön kysymyksillä.
”Mitä meillä oikeasti on suojaamisen arvoista? Miksi sitä suojataan? Mitä tapahtuu, jos suojaus pettää? Kun nämä kysymykset asetti rinnakkain, ISMS:n logiikka avautui aivan eri tavalla”, Huttunen kertoo.
Kun ’miksi’ on yhteisesti ymmärretty, hallintamalli toimii arjessa.
”Kun ymmärsin paremmin sen, miksi tätä tehdään, koko hommalle löytyi merkitys – purpose – ja se lähti etenemään omalla painollaan. Luottamus on meidän tärkein IPR”, hän jatkaa.
Huttunen kuvaa esiauditointia tärkeäksi:
”Vaikka prosessi oli Eventillan kokoiselle yritykselle merkittävä investointi, esiauditoinnin myötä saatu hyöty realisoitui aidosti. Auditoinnissa ei löytynyt perustavanlaatuisia ongelmia tietoturvassa itsessään — kehitysalueet liittyivät pikemminkin dokumentointiin, ja ne olivat helppoja korjata.”
Tekoäly tukee uutta toimintatapaa
Eventillalla hyödynnettiin oivallisesti myös se, että sertifiointi osui ajallisesti samaan hetkeen agenttisen kehittämisen ja tekoälyavusteisten työtapojen kanssa.
”Kukaan ei lähtenyt kyseenalaistamaan uutta toimintatapaa, ja hallintamallin rinnalla tekoälyratkaisu oli kaikkien mielestä fiksu tapa edetä. Kun huolella rakennetut työnkulut toimivat, saimme aidosti automatisoitua työtämme”, kertoo Huttunen.
”Tietoturvaan kohdistuvat vaatimukset ovat kasvaneet kaikilla toimialoilla. Ohjelmistoalalla tekoäly haastaa tekijät. Sertifioinnin myötä Eventilla voi todentaa riippumattomasti, että tietoturvan hallinta on järjestelmällistä ja kestävällä tasolla. Hallintamalli antaa systemaattisen tavan kehittää tietoturvaa pitkäjänteisesti — myös tilanteessa, jossa toimintaympäristö muuttuu nopeasti”, kuvaa Niki Klaus, Into Securityn toimitusjohtaja.
Sertifioinnin hyötyjä asiakkaille ja myynnille
Eventilla on nyt päässyt kertomaan sertifioinnista asiakkailleen ja viesti on otettu vastaan innolla.
”Sertifikaatilla todennettu tietoturvan taso auttaa asiakkaita heidän omassa myynnissään ja liiketoiminnassaan. Eventillassa käsitellään henkilötietoja, ja myös asiakkaidemme asiakkaat monesti edellyttävät heiltä toimittajina vahvaa turvaa”, Huttunen kuvaa.
Kotimaan myynnin lisäksi sertifiointi tuo hyötyjä myös kansainväliseen kasvuun. Eventillan kasvustrategiassa sertifikaatilla on tärkeä rooli: markkinassa, jossa yhtiöllä ei vielä ole referenssiasiakkaita tai brändillä laajaa tunnettuutta, FINAS-akkreditoitu sertifikaatti tuo uskottavuutta.
Pekan viesti suomalaisille SaaS-taloille
Suomalaisten ohjelmistotalojen joukossa – erityisesti pk-kokoluokassa – ISO 27001 -sertifioituja on yhä rajallinen joukko. Eventilla on yksi edelläkävijöistä.
Pekan terveiset ohjelmistoalan kollegoille:
”Eihän tämä mikään mörkö ole. Moni suomalainen SaaS-talo täyttää käytännössä jo suuren osan tietoturvavaatimuksista, koska softaa on rakennettu ammattitaidolla. Työ alkaa siitä, että tunnistetaan, mitä puuttuu, dokumentoidaan toimintamallit ja korjataan puutteet. Kaupan päälle saa mielenrauhaa myös tekoälykokeilujen kanssa.”
Linkki Eventillan uutiseen → https://www.eventilla.com/eventilla-on-saanut-iso-27001-sertifioinnin-ensimmaisena-tapahtumanhallinta-alalla-suomessa/
Eventilla Oy on suomalainen tapahtumanhallintajärjestelmä organisaatioille, joille tapahtumat ja koulutukset ovat kriittinen osa liiketoimintaa ja kasvua. Järjestelmä automatisoi koko tapahtumanjärjestämisen prosessin aina ilmoittautumisista raportointiin saakka. Eventilla ei ole pelkästään ohjelmisto, vaan tapahtuma-alan asiantuntijayritys, joka toimii tapahtuma- ja koulutusjärjestäjän teknisenä tukena ja kumppanina.
Perustettu: 2010
Toimipaikka: Oulu
Henkilöstö: 15
Verkkosivut: eventilla.com