Kun Qridillä olimme päättäneet – syistä, joihin palaan tuonnempana – aloittaa toimenpiteet ISO 27001 -tietoturvasertifikaatin hankkimiseksi, näin mielikuvissani yrityksen kirjahyllyssä arvokkaalla paikalla pölyttyvän kansion, laatukäsikirjan, jossa kaikki yrityksen prosessit ovat kuvattuna yksityiskohtaisen tarkasti, ja laatupäällikön, harmaan asiallisen, enemmän tai vähemmän työpaikan arjesta vieraantuneen nipottajan, ehkäpä vähän vanhemman insinöörin tai peräti diplomi-insinöörin, jolle laatujärjestelmä on suorastaan sydämenasia.

Kun työ sertifikaatin hankkimiseksi alkoi, stereotyyppinen mielikuvani osoittautui aika pian sekä vanhanaikaiseksi että vääräksi. Itse asiassa ISO 27001 -sertifikaatti ei ole laatujärjestelmä, vaan tietoturvallisuuden hallintajärjestelmän määrittävä standardi. Tämän hallintajärjestelmän avulla organisaatiot voivat suojata tietovarantojaan. Standardi ei myöskään edellytä mitään tiettyä dokumentointitapaa, joten kansioiden tilalla voi olla pilvipalvelun tarjoama dokumentointialusta, joka meidän tapauksessamme on Confluence. Ja taitaa nykyään vieläpä olla niin, että kirjahyllyt ovat yrityksissä sangen harvinainen näky.

Työn edetessä valkeni varmaankin hyvin tyypillinen pienen ohjelmistoyrityksen tilanne: tietoturva sekä niihin liittyvät prosessit ja käytännöt pohjautuivat lainsäädännön ja asiakassopimusten vaatimuksiin. Standardin näkökulmasta ne olivat osin puutteellisia ja dokumentoitu korkeintaan välttävästi. Ulkoinen auditoija oli kahdesti auditoinut Qridi-ohjelmistopalvelun teknisen tietoturvan, joten siinä suhteessa tilanne oli hyvä. Onneksi standardin toteutus ei johtanut jo mainitsemaani laatukäsikirjan kaltaiseen ratkaisuun, vaan ohjelmistokehityksessä käytetyt modernit työkalut taipuvat mainiosti standardin edellyttämiin evidenssin keräämis- ja dokumentointivaatimuksiin.

Standardin käyttöönotto oli koko yritykselle iso ponnistus. Suunnittelupalavereita oli kymmeniä, ja niiden lisäksi oli työajassa mitattuna vähintään yhtä paljon työntekijöiden itsenäistä työskentelyä. Lopputuloksena yrityksemme tietoturvaan liittyvät prosessit ja käytännöt paranivat huomattavasti. Tietoturvaa ei tässäkään yhteydessä pidä ymmärtää liian suppeasti. Sehän tiivistyy englanninkieliseen lyhenteeseen CIA (Confidentiality, Integrity, Availability) eli suomeksi luotettavuus, eheys, saatavuus, jossa etenkin saatavuus laajentaa tietoturvan merkityksen lähes kaikkiin osiin yrityksen toimintaa.

Mitkä olivat syyt, joihin alussa viittasin? Ne olivat lähes täysin liiketoiminnallisia: tietoturvasertifikaatti lisää yrityksen uskottavuutta markkinoilla. Tämä pätee erityisesti yhdellä Qridin päätoimialoista eli kansainvälisillä koulutusmarkkinoilla, jonka toimijoista etenkin isot yksityiset kouluketjut käytännössä edellyttävät tietoturvasertifikaattia, jotta asiakkuudessa päästään pilotointia pitemmälle. Tietoturvasertifikaatissa on myös laatujärjestelmän piirteitä, mikä omalta osaltaan helpottaa yrityksen kasvua. Lisäksi standardointityö pakottaa tarkastelemaan yrityksen toimintaa uudesta näkökulmasta. Vaikka hyllyssä ei olekaan kansioita keräämässä pölyä, toimintatavoista kannattaa välillä ikään kuin pyyhkiä pölyt.

Tietoturvasertifikaatin saaminen on vasta matkan alku. Sertifikaatin tärkeimpiä vaatimuksia on toiminnan jatkuva parantaminen, eli yrityksen tietoturva ei tule koskaan “valmiiksi”. Jatkuvaa parantamista seurataan sisäisillä katselmoinneilla, ja se varmistetaan vuosittain sertifikaatin myöntäjän auditoinnilla. Sen lisäksi, että kokonaisuutena ISO 27001 -sertifikaatti hyödyttää Qridin toimintaa merkittävästi, hyötyjiä ovat myös kaikki Qridin nykyiset ja tulevat asiakkaat vielä entistäkin paremman tietoturvan ansiosta. Vaivannäkö ISO 27001 -sertifikaatin hankkimiseksi kannatti.

‍