Funidatalla tietoturva on ollut keskeinen osa tekemistä alusta asti, mutta matkalla kohti ISO/IEC 27001 -sertifiointia haluttiin mukaan myös ulkopuolista asiantuntemusta. Funidata hyödynsi Kiwa Impact Oy:n konsultointipalvelua, jonka avulla vahvistettiin tietoturvakäytäntöjä ja dokumentointia. Tämä tuki organisaatiota auditointiin valmistautumisessa.Funidata tarjoaa ohjelmistopalveluita korkeakoulujen opintohallinnon digitalisaation tarpeisiin, joista tunnetuin on opintotietojärjestelmä Sisu.
Konsultointi auttoi jäsentämään kokonaisuuden
Funidatalla tiedettiin alusta asti, että suurin ajallinen ponnistus tulisi olemaan dokumentoinnin kuntoon saattaminen. Vaikka tietoturvakäytännöt olivat monelta osin hyvällä tasolla, dokumentaatiota voitiin vielä kehittää. Toimitusjohtaja Mikko Myllyksen mukaan johtoryhmässä todettiin nopeasti, että ulkopuolinen tuki on tarpeen ennen varsinaisen sertifiointiprosessin aloittamista. Konsultoinnin avulla tehtiin kuiluanalyysi ja tunnistettiin ne osa-alueet, joihin oli syytä keskittyä.
Teknologiajohtaja Toni Sallanmaa kertoo, että konsultoinnista oli apua myös ajankäytön tehostamisessa. ”Hallintajärjestelmän rakentaminen vaatii paljon käytännön työtä, kuten prosessien dokumentointia, uusien toimintatapojen luomista ja riskien arviointia.” Konsultoinnin avulla pystyimme nopeasti konkreettisiin toimiin sen sijaan, että aikaa olisi kulunut pelkkään standardin tulkitsemiseen”. Konsultointi toi siis selkeyttä siihen, mitä vaatimukset tarkoittavat käytännössä. Sallanmaa kehuu myös vuorovaikutteista työskentelyä: ”ulkopuolinen asiantuntija mahdollisti sen, että ratkaisuja voitiin sparrata yhdessä ja varmistaa, että ideat vaikuttavat järkeviltä ennen toteutusta”.
Toimiva yhteistyö mahdollisti nopean etenemisen
Myllyksen mukaan yhteistyö Kiwa Impact Oy:n kanssa oli toimivaa: ”Saimme nopeasti vastauksia ja ennen kaikkea saimme juuri sitä asiantuntemusta, mitä tältä palvelulta haimmekin”. Sallanmaa komppaa toteamalla, että yhteistyö ja asioiden sopiminen kävi näppärästi ja konsultointipäivät onnistuivat myös nopealla aikataululla. Sallanmaa antaa kiitosta siitä, että vastauksia tarkentaviin kysymyksiin oli mahdollista saada myös konsultointipäivien välissä.
”Asiantuntemus oli ihan huipputasoa. Mikään ei tullut yllätyksenä, vaan kaikkeen oikeasti löytyi jonkunlainen näkökulma tai vastaus. Senkin vuoksi pääsimme nopeasti etenemään asioissa”, Sallanmaa sanoo.
Tietoturvakulttuuri ei synny sattumalta
Nyt Funidata on saanut ISO/IEC 27001 -sertifioinnin, jolla he pystyvät osoittamaan luotettavasti, että tietoturva-asiat ovat kunnossa. Sallanmaan mukaan dokumentoinnin kuntoon laittamisesta on ollut selkeää hyötyä, ja se on tuonut tietoturvan uudella tavalla esiin koko organisaatiossa.
Sallanmaan neuvo muille olisi, että ennen tällaisen kehitystyön aloittamista on tärkeää arvioida organisaation nykyinen tietoturva- ja kyberturvakulttuurin taso. Hän korostaa, että jos tietoturvakulttuuria ei ole ennestään, sen juurruttaminen voi olla haastavaa. Siksi lähtötilanteen tunnistaminen on keskeistä: sen avulla voidaan määrittää, mitä toimenpiteitä tarvitaan ja mistä kannattaa aloittaa.
Funidatan matka osoittaa, että tietoturva ei kehity sattumalta, vaan vaatii tietoista ja tavoitteellista työtä. Kun työ tehdään huolella tietoturvasta tulee osa arkea – ei erillinen projekti.