ISO 27001 ja tietoturvan kulttuurin vahvistaminen Funidatalla

Tietoturva on nykyisin merkittävä haaste yhtiöille ja ennen kaikkea Funidatan kaltaisille SaaS-toimijoille, joilla on merkittävä vastuu suojata asiakkaiden tietosisältöä ja heille tarjottavia palveluita. Olemme Funidatalla pyrkineet luomaan vastuullisuuden ja tietoturvan kulttuuria, jolla vastaamme tietoturvahaasteisiin. Tämän lisäksi näimme, että standardoidun tietoturvan hallintajärjestelmän käyttöönotto kattaisi niitä asioita, joita kulttuurilla emme voi taata. Iloksemme Kiwa sertifioi Funidatan ISO 27001 hallintajärjestelmän joulukuussa.

ISO 27001-sertifikaatti: Laatua ja luotettavuutta

Joulukuussa 2024 Kiwa myönsi Funidatalle ISO 27001-sertifikaatin. Sertifikaatti on tunnustus toimintamme korkeasta kyberturvan tasosta ja asiantuntijoidemme tinkimättömästä työotteesta tietoturvan saralla. Asiakkaamme voivat luottaa siihen, että palvelumme tuotetaan ja prosessimme hoidetaan laadukkaasti toiminnan riskit minimoiden. Nyt tästä on myös kolmannen osapuolen antama todistus.

ISO 27001 -standardi koskee tietoturvallisuuden hallintajärjestelmää, eikä suoraan tietoturvaa. Sen osana tarkastelimme Funidatan toiminnan jokaista osa-aluetta ja arvioimme riskipohjaisesti millaiset vaikutukset niillä on tietoturvallemme ja -suojallemme. Aikaa kului koko porukalta kohtalaisen paljon koko vuoden aikana ja aloittaessamme prosessin haaste näytti vaikealta. Purettuamme kuitenkin standardia eri osa-alueisiin alkoi tunnelin päästä löytyä valoa ja pääsimme tekemään analyysiä silloisesta tilanteesta.

Ihmislähtöinen tietoturva

Tietoturva ei ole vain teknologian ominaisuus, vaan laajemmin organisaation ominaisuus. Rajallisilla resursseilla toimiessa jokaisen panos tietoturvaan on merkityksellinen roolista riippumatta. Nopeasti huomasimme, että Funidatan toiminnan ei varsinaisesti täytynyt muuttua mihinkään, mutta asioita täytyi kirjata ylös ja dokumentoida. Ei kuitenkaan ylen määrin vaan juuri sen verran kuin tarvitaan. Keveämpi ohjeistus on helppolukuisempaa ja pysyy paremmin ajan tasalla.

Erityisen merkittävässä osassa prosessissa oli sitoutuminen kaikilta. Hyvin kirjatut ohjeet eivät ole rajoite tehokkaalle toiminnalle vaan auttavat varmistamaan, että kaikki ymmärtävät miten oma toiminta voi vaikuttaa tietoturvaan. Se osaltaan auttaa laadukasta perehdyttämistä, jolloin jokaisella Funidatalaisella virkaiästä riippumatta on sama tietopohja ja yhteinen tavoite. Tietoturva on kuitenkin isolta osin ihmislähtöinen asia, vaikka teknologialla on myös iso merkitys.

Riskipohjainen tapa ajatella tiedon turvaamista auttaa valitsemaan ne menetelmät, jotka tuovat suurimman hyödyn omiin tietoturvatavoitteisiin nähden. Tietoturva ei ole vain tuotettujen ohjelmistopalveluiden ominaisuus vaan laajemmin organisaation ominaisuus ja siksi esimerkiksi fyysistä turvallisuutta ei voi unohtaa. Ensiarvoisen tärkeää on tietää millaisia uhkia kohtaamme myös esimerkiksi työpaikan ulkopuolella.

Tietoturvakoulutuksella kohti parempaa osaamista ja yhteishenkeä

Osana sertifiointiprosessia järjestimme Funidatan henkilöstölle tietoturvakoulutuspäivän, jossa perehdyimme syvällisesti tietoturvan käytäntöihin ja ISO 27001 -sertifikaatin vaatimuksiin. Kertasimme tärkeitä tietoturvaperiaatteita, kuten vahvojen salasanojen käyttöä ja ohjelmistojen päivittämistä. Haastoimme toisiamme myös ryhmätehtävissä, jotka loivat oppimiseen innostavaa yhteishenkeä. Tietoturva alkaa meistä kaikista ja koulutuspäivä tarjosi jokaiselle mahdollisuuden oivaltaa, miten jokapäiväiset pienet teot edistävät turvallisuutta.

Sitoutuminen ja avoimuus tietoturvassa

Oikeanlaisella kulttuurilla ja ajatusmaailmalla tietoturvaan tulee monia olennaisia asioita tehtyä ikään kuin vahingossa, sivutuotteena. Avoin kommunikaatio on myös keskeinen asia. Haluamme tietää kaikista potentiaalisista ongelmista mahdollisimman ajoissa ja haluamme varmistaa tulevaisuudessakin, että tietoturvaan liittyvät asiat ovat yhtä tiukasti mukana kaikissa prosesseissamme kuin esimerkiksi käyttäjiemme tarpeet.

Funidatalla ISO 27001 hallintajärjestelmästä muodostuu yksi merkittävä tukijalka vahvalle ja kasvavalle tietoturvakulttuurille. Sen vuoksi toimitamme jatkossakin korkeakoulusektorille erittäin tietoturvallisia palveluita, jonka laadun takana seisomme ylpeänä.

---

ISO kiitos kaikille Funidatan työntekijöille isosta työstä, jota sertifikaatin hakeminen ja auditointeihin valmistautuminen on edellyttänyt. Ja yhtä iso kiitos myös asiakkaillemme, jotka ovat aina kirittäneet meitä laadukkaaseen toimintaan ja korkeatasoiseen palvelutuotantoon.