Vetonaula Oy on IT-palveluiden asiantuntijayritys, joka toimii asiakkaidensa IT-kumppanina tarjoten liiketoimintakriittistä kokonaisuutta, kuten asiakkaan IT-infrastruktuurin seuranta- ja kehityspalveluita,, käyttäjätukea, pilvipalveluiden hallintaa, laitehallintaa, konesalipalveluita ja tietoturvaratkaisuja. Kokemusta on kertynyt jo yli 20 vuotta.
Into Certification Oy:n Lead Auditor Ville Koskinen teki Vetonaulan ISO 27001 -sertifiointiauditoinnin vuoden 2025 alkupuoliskon aikana, ja yhteistyö rullasi sulavasti: ISO 27001 -sertifikaatti myönnettiin.
Eeli Savolainen on vastannut Vetonaulalla liiketoiminnan kehittämisestä, ja nyt 1.9.2025 alkaen hän toimii Head of Sales & Marketing -roolissa. Eelillä on vahva näkemys siitä miten huomioidaan sekä tietoturvallisuus että liiketoiminta.
Esitimme Eelille viisi kysymystä tietoturvallisuudesta – tässä hänen ajatuksiaan, ole hyvä!
Kysymys 1. ISO 27001 -standardi on kattava ja se koskettaa käytännössä organisaation kaikkea toimintaa. Mitkä olivat Vetonaulan kannalta keskeisimmät osa-alueet tietoturvallisuuden varmistamiseksi nykyisessä toimintaympäristössänne?
Lähdimme alun perin toteuttamaan ISO 27001 -sertifiointiprojektia, koska katsoimme sen huomioivan kaikki tietoturvan neljä olennaista osa-aluetta: teknisen, organisatorisen, fyysisen sekä henkilöstöön liittyvän. Suurimmat panostukset teimme kuitenkin teknisiin sekä organisatorisiin hallintakeinoihin, sillä niiden ensiluokkainen hallinta näkyy positiivisesti myös palvelutuotantoomme ja asiakkaillemme.
Listaan alla viisi perustelua:
- Palvelutuotannon jatkuvuus ja luotettavuus
Koska tarjoamme asiakkaillemme liiketoimintakriittisiä IT-palveluita (mm. IT-managerointi, pilvipalveluiden hallinta, konesalipalvelut ja tietoturva), oli ensiarvoisen tärkeää varmistaa palveluiden jatkuvuus, häiriönsietokyky ja tietoturvallinen toimintamalli kaikissa tilanteissa. - Tietoturvapolitiikka ja riskienhallinta
Selkeytimme tietoturvapolitiikamme ja vastuumme sekä otimme käyttöön systemaattisen riskienhallintaprosessin, joka kattaa sekä tekniset, organisatoriset, fyysiset että henkilöstöön liittyvät riskit. Tämän avulla osaamme kohdistaa resurssimme oikeisiin kehityskohteisiin ja mahdollistamme toimivan jatkuvan parantamisen mallin. - Henkilöstön rooli ja osaaminen
Olimme tietoisia henkilöstömme tietoturvaosaamisesta ja sen korkeasta tasosta jo ennen tätä hanketta, sillä kaikkia työntekijöitämme koulutetaan noudattamaan hyvää kyberhygieniaa jatkuvasti osana työtään. Panostimme siitä huolimatta henkilöstön systemaattiseen koulutukseen ja tietoturvatietoisuuden lisäämiseen sekä sen arvioimiseen myös kvantitatiivisin mittarein. - Asiakastietojen ja järjestelmien suojaaminen
Asiakkaidemme luottamus on meille elintärkeää. Erityistä huomiota tullaan ottamaan jatkossakin asiakastietojen käsittelyyn, pääsynhallintaan, lokitukseen ja teknisiin suojausratkaisuihin (esim. salaus, monivaiheinen tunnistautuminen, segmentointi). - Kumppanien ja alihankkijoiden hallinta
Koska osa palveluistamme tuotetaan yhteistyössä kumppaneiden kanssa, varmistimme, että myös toimitusketjumme tärkeimmät osat noudattavat toiminnassaan ISO 27001 -standardissa vaadittuja tietoturvatoimia.
Kysymys 2. Olette nyt sekä ISO 27001 -sertifioitu yritys että tietoturvallisuuspalveluiden tarjoaja. Onnea! Miten tämä ’kaksoisrooli’ näkyy toiminnassanne, ja mitä ainutlaatuista perspektiiviä se mahdollisesti antaa asiakasprojekteihinne?
Kiitos! Osaamme nyt muokata entistä paremmin valmiiksi tuotteistettuja palvelujamme niin, että ne täyttävät ISO 27001 -standardin vaatimukset. Tämä mahdollistaa sen, että asiakkaamme voivat itsekin lähteä helpommin toteuttamaan tietoturvallisuuden hallintajärjestelmää ja kurottaa aina sertifiointiin asti.
Koemme, että sekä oman toimintamme että tietoturvapalveluidemme uskottavuus paranee sertifioinnin myötä. Villen kanssa oli helppoa ja sujuvaa työskennellä koko sertifiointiprosessin ajan. Dialogi Villen kanssa oli avointa ja asiantuntevaa. Käytännön vinkkejä sateli läpi prosessin, jotka helpottavat ISMS:n kehittämistä jatkossa. Mahdolliset aikataulumuutokset saatiin aina ongelmitta sovitettua lyhyelläkin varoitusajalla.
Kysymys 3. Vastaat Vetonaulalla liiketoiminnan kehittämisestä ja näet asiakkaidenne arkea läheltä. Miten asiakkaat ovat reagoineet sertifiointiin, ja millaisia konkreettisia hyötyjä he siitä ovat jo saaneet tai tulevat saamaan?
Asiakkailta on tullut positiivista palautetta ja he ovat olleet mielissään – moni kokee, että sertifiointi tuo lisäturvaa ja vahvistaa luottamusta. Toisaalta saavutimme sertifioinnin kesällä, jolloin osa asiakkaista ja seuraajista oli lomalla, joten se on voinut mennä joiltain ohi. Siksi onkin tärkeää tuoda tätä hienoa saavutusta esille pitkin syksyä eri kanavissa.
Roolini Vetonaulalla vaihtui sertifiointiprojektin jälkeen, ja toimin nyt myynnin, markkinoinnin ja koulutusliiketoimintamme parissa. Uusasiakashankinnassa huomaa selvästi, kuinka paljon sertifiointia arvostetaan etenkin tietyillä toimialoilla (esim. NIS2/kyberturvallisuuslain piirissä olevat). Se toimii ikään kuin helppona rajauksena, kun kumppania haetaan. On paljon helpompi todentaa asioita ISO 27001 -sertifikaatilla kuin loputtomilla excel-arvioilla, jotka eivät loppujen lopuksi oikeasti todista juuri mitään kumppanin tietoturvan hallinnasta.
Kysymys 4. ISO 27001 -standardin monet vaatimukset ulottuvat myös kumppaniverkostoon. Miten varmistatte, että toimittajanne ja alihankkijanne noudattavat Vetonaulan tietoturvavaatimuksia, ja miten nyt saavutettu sertifiointi tukee tätä?
Vetonaulalla on käytössä käytänteet ja vaatimukset, joita sovelletaan kaikkiin toimittajiin ja alihankkijoihin – erityisesti niihin, jotka käsittelevät asiakasdataa tai ovat muuten kriittinen osa palvelutuotantoa. Sertifiointiprosessin myötä nämä vaatimukset on nyt dokumentoitu ja jalkautettu entistä systemaattisemmin sekä liittyvät riskit huomioitu.
Sertifiointi tukee tätä kokonaisuutta todella hyvin, koska se tuo selkeän viitekehyksen ja velvoitteen osoittaa, että kumppanit täyttävät tietyt tietoturvakriteerit. Tämä helpottaa myös kumppanien arviointia ja valintaa ja toisaalta se viestii heille siitä, että meillä otetaan tietoturva tosissaan.
Kysymys 5. Mitkä ovat mielestäsi vuosien 2025-2026 keskeisimmät kehityskohteet organisaatioiden tietoturvassa, ja mainostaakin nyt saat hiukan eli miten Vetonaula auttaa asiakkaitaan näiden tunnistamiesi haasteiden – nykyisten ja tulevien – ratkaisemisessa?
Tietoturvan jatkuva valvonta ja reagointikyky korostuvat entisestään – uhkia ei voi enää estää pelkällä suojauksella, vaan pitää olla kyky havaita ja reagoida nopeasti. Meidän SOC-palvelumme (Security Operations Center) tuo tähän konkreettisen ratkaisun: valvomme asiakkaidemme ympäristöjä reaaliaikaisesti ja reagoimme poikkeamiin hallitusti.
Toinen iso teema on datan hallinta ja pääsyoikeuksien kuntoon laittaminen. Tämä ei ole vain tietoturvakysymys, vaan myös pohja sille, että organisaation data on ylipäätään hyödynnettävissä esimerkiksi tekoälyratkaisuissa. Me autamme asiakkaita rakentamaan selkeän rakenteen datan omistajuuteen, luokitteluun ja käyttöoikeuksiin – erityisesti Microsoft 365 -ympäristössä, jossa teemme myös auditointeja ja kovennuksia.
Kolmantena nostaisin identiteetin ja pääsynhallinnan – erityisesti hybridiympäristöissä, joissa yhdistyy pilvi, on-premises ja erilaiset SaaS-palvelut. Tässäkin meillä on valmiita ratkaisuja ja osaamista, joilla saadaan hallinta keskitettyä ja riskit pienennettyä.
Ja lopuksi: tietoturva ei toimi ilman ihmisiä. Siksi panostamme myös koulutuspalveluihin ja tietoturvatietoisuuden lisäämiseen läpi organisaation – ei vain IT:lle, vaan koko henkilöstölle. Tavoitteena on, että tietoturva on osa arkea, ei irrallinen pakko.
__
Lue Vetonaulan tiedote täältä: https://www.vetonaula.fi/ajankohtaista/iso-27001-sertifikaatti-vetonaulalle/