Suomen Turvaposti Oy sertifioi tietoturvallisuuden hallintajärjestelmänsä ISO 27001 -standardin mukaisesti Into Certificationin tuella. Sertifiointi oli luonteva askel yritykselle, joka oli rakentanut hallintajärjestelmäänsä jo 12 vuoden ajan.
Suomen Turvaposti on kotimainen salatun sähköpostin palveluntarjoaja, joka on toiminut alalla jo 22 vuoden ajan. Yhtiön asiakkaina on yli 1 600 organisaatiota — pääosin yrityksiä, mutta myös julkishallinnon toimijoita ja kolmannen sektorin järjestöjä. Asiakasmäärällä mitattuna Suomen Turvaposti on alansa markkinajohtaja Suomessa.
Luottamukselle rakennettu liiketoiminta
Suomen Turvapostin liiketoiminnassa asiakkaiden luottamus on kaiken perusta. Asiakkaat lähettävät palvelun kautta arkaluonteista tietoa — henkilötietoja, taloustietoja, liikesalaisuuksia — ja luottavat siihen, että tieto pysyy suojattuna koko ketjussa.
”Meillä luottamus on kaikkein tärkeintä — aivan kuten pankilla tai vakuutusyhtiöllä. Se koostuu monesta osatekijästä: olemme kotimainen yritys, palvelimet ovat omassa hallinnassamme eikä kansainvälisessä pilvipalvelussa, ja omistus on kokonaan suomalainen”, sanoo toimitusjohtaja Markku Vettenniemi.
Palvelun käyttöaste oli viime vuonna huikeat 99,99 prosenttia suunnitellut huoltokatkot mukaan lukien. Talouden tunnusluvuissa yhtiö yltää korkeimpaan platinatasoon, jolle yltää vain 0,3 prosenttia suomalaisyrityksistä.
”Haluamme, että meillä kaikki toiminta on huippuluokkaa. 99 prosenttia ei riitä meille missään asiassa”, Vettenniemi tiivistää.
Tietoturvallisuuden hallintajärjestelmää oli rakennettu sisäisesti vuodesta 2014 lähtien. Teknistä tietoturvaa ohjaavat ISO 27001 -standardi, Katakri, pilvipalvelujen turvallisuuskriteeristö Pitukri sekä monet kansainvälisten suuryritysten vaatimukset. Hallinnolliset, tekniset ja henkilöstöön liittyvät kontrollit muodostavat kokonaisuuden, jota yhtiö oli kehittänyt ja auditoinut sisäisesti vuosien ajan.
Kolme syytä hakea sertifiointia
Sertifiointia ei lähdetty hakemaan regulaatiopaineen vuoksi. NIS2 tai GDPR eivät olleet varsinaisia ajureita — Suomen Turvapostilla tietoturvatyö oli käynnissä jo kauan ennen nykyistä sääntelyaaltoa.
Vettenniemi nimeää kolme motiivia. Ensimmäinen oli tietoturvan tason osoittaminen: riippumaton ulkopuolinen auditointi todentaa sekä asiakkaille että yritykselle itselleen, millä tietoturvan tasolla ollaan. Toisena ajurina oli kehittäminen: ulkopuolinen auditoija tuo aina yhden silmäparin lisää tarkastelemaan, mitä tehdään ja mitä voisi tehdä paremmin. Kolmas syy oli heijastuminen yhtiön muuhun toimintaan — kun tietoturvallisuuden hallinta on huippukunnossa, se nostaa tasoa kaikessa tekemisessä.
Vuosikymmenen pohjatyö kantoi auditoinnissa
Pitkäjänteinen valmistautuminen näkyi auditoinnissa. Vuodesta 2014 saakka rakennettu perusta oli vahva: hallintajärjestelmää oli päivitetty säännöllisesti ja ennen ulkoista auditointia oli tehty sisäisiä auditointeja. Kun pohjatyö on tehty huolella, varsinainen auditointi sujuu suoraviivaisesti.
Oma ajankäyttö jäi selvästi pienemmäksi kuin yhtiön omissa sisäisissä auditoinneissa, jotka ovat hyvin yksityiskohtaisia ja Katakri-painotteisia. ISO 27001 -sertifiointiauditoinnissa keskityttiin hallintajärjestelmään, ja kun se oli vuosien työn jälkeen hyvässä kunnossa, voitiin edetä jouhevasti.
Sertifiointiprosessi sujui kokonaisuudessaan toivotulla tavalla. Auditoijana toimi Inton Juhana Luomanen, josta kaikilta auditointiin osallistuneilta tuli Vettenniemen mukaan hyvin positiivista palautetta.
”Sertifiointiprosessi oli sujuva ja eteni meille sopivaan tahtiin. Oli miellyttävää työskennellä Juhanan kanssa — kaikilta osallistujilta tuli sama palaute”, Vettenniemi kertoo.
Miksi valinta osui Intoon
Vettenniemi kertoo, että Into Certification valikoitui kumppaniksi kolmesta syystä: myynti toimi hyvin, yrityskoko oli sopiva ja kyseessä on kotimainen kokenut toimija.
Erityisesti ensimmäinen perustelu on Vettenniemelle tärkeä.
”Yritys, jolla myynti tai asiakaspalvelu ei toimi hyvin — koetan välttää sellaisia. Jos ei osaa näitä hoitaa, ei ole mitään syytä olettaa, että osaisi muutakaan – mahdollisesti monimutkaisempaa – hoitaa”, hän toteaa.
Myös Inton oman toiminnan suojaustaso vakuutti. Asiakkaan dokumentteja käsiteltiin Katakrin vaatimukset täyttävässä eristetyssä offline-ympäristössä, ja se herättää luottamusta yrityksessä, joka itse vaatii kumppaneiltaan korkeaa tasoa.
”Meillä on korkea suojaustaso, ja on mukava asioida sellaisten toimijoiden kanssa, jotka elävät samassa maailmassa. Kun molemmin puolin standardit ovat korkealla, se synnyttää luottamusta”, Vettenniemi sanoo.
Sertifikaatti kertoo johdon asenteesta
Sertifiointi jäntevöittää Suomen Turvapostin omaa tietoturvan hallintaa, mutta sen merkitys ulottuu myös pidemmälle. Vettenniemi arvioi kumppaneitaan samalla logiikalla: jos yrityksen verkkosivuilla näkyy sertifikaatti, se kertoo jotain olennaista.
”Hankittu sertifikaatti kertoo aina johdon asenteesta. Se kertoo, että halutaan tehdä asiat viimeisen päälle. Tällaiselta toimijalta uskaltaa ostaa”, hän sanoo.
Tietoturvan kehittäminen jatkuu Suomen Turvapostilla samalla systemaattisella tavalla kuin tähänkin asti: sisäiset auditoinnit, jatkoauditoinnit sekä kolmen vuoden syklissä uudelleenauditointi.
Inton toimitusjohtaja Niki Klaus summaa yhteistyön:
“Suomen Turvaposti on juuri sellainen kumppani, jonka kanssa tietoturvatyö etenee luontevasti. Heillä on selkeä näkemys siitä, mitä he haluavat saavuttaa, ja vahva sitoutuminen jatkuvaan kehittämiseen.”
Vettenniemen neuvo muille yrityksille on selkeä:
”Neuvoni on, että kannattaa rakentaa sisäisesti hallintajärjestelmä huolella, päivittää sitä säännöllisesti ja sitten teettää ulkopuolinen auditointi. Kun näin toimii, varsinainen sertifiointi on enää pieni porras tietoturvan seuraavalle tasolle.”