2NS:n tietoturvan hallintajärjestelmä on päivitetty vastaamaan ISO 27001-standardin uusinta, vuonna 2022 julkaistua versiota. Ulkoinen auditointi meni hyvin ja palaute lämmittää sydäntä: ”2NS:n ISMS on poikkeuksellisen kypsä ja tehokkaasti pyöritetty!” Tämä on poikkeuksellinen saavutus noin 50:n hengen firmassa, vai onko?
Tietoturvastandardeja lukiessa voi helposti tulla toivoton olo, varsinkin jos vastuulla on firma, jossa ei ole panostettu tietoturvaan aiemmin. Standardit ja direktiivit vaativat tietoturvan kokonaisvaltaista hallintaa ympäristön tuntemisesta konkreettisiin turvakontrolleihin. On helppoa ajatella, että tämä on aivan liian raskas paketti meille, mutta kannattaa harkita vielä kerran.
Moni ajattelee nyt, että onhan se helppoa 2NS:n tyyppiselle firmalle, joka saa osan leivästä nimenomaan ISO 27001-konsultoinnista. Kompetenssia löytyy omasta takaa. Ihan mahdoton rasti vastaavankokoiselle ”normaalille” firmalle, jolla ei ole edes varaa palkata täyspäiväistä tietoturvapäällikköä! Mutta eihän se näin ole. Sertifiointi on täysin realistinen pienelle tai keskisuurelle yritykselle, ja voi olla erittäin hyvä investointi. Tarkastellaan siis asiaa muutamasta eri näkökulmasta, nimenomaan pieniä ja keskisuuria yrityksiä ajatellen.
Byrokratiaa vai tietoturvaa?
Haluan aina painottaa yhtä asiaa, kun puhun asiakkaiden kanssa tietoturvastandardeista; niiden perimmäinen tarkoitus on turvata yrityksen liiketoimintaa, ei tuottaa hyödytöntä paperia ja byrokratiaa. Alkusysäys keskustelulle saattaa hyvinkin olla pakottava regulaatio tai yhteistyökumppanin painostus, mutta hankkeen todellinen tavoite pitäisi aina olla tiedon turvaaminen.
Samojen standardien ja direktiivien pitää toimia järkevästi erilaisissa ja erikokoisissa yrityksissä. Niissä kaikissa on tämän vuoksi suhteellisuusperiaate, joka tarkoittaa, että kontrollit saa ja pitää suhteuttaa liiketoiminnan laajuuteen sekä riskeihin. Tämä on tärkeää pitää mielessä, jos standardi tuntuu liian raskaalta.
Miksi juuri ISO 27001?
Moni harkitsee tietoturvan hallintajärjestelmään panostusta pakottavien direktiivien takia, kuten esimerkiksi NIS2:n ja DORA:n vuoksi. Standardeissa ja direktiiveissä on hieman erilaiset painoalueet, mutta hyvin suuri osa on sitä samaa. ISO 27001 on sen lisäksi kypsä standardi, jonka ympärille on rakentunut laaja ekosysteemi. Standardin tulkinta on kirkastunut ja kompetenssia on saatavilla, sekä konsultointina että työmarkkinoilta. Se on siis hyvä perusta, vaikka tarve paremmalle tietoturvalle olisikin syntynyt regulaation kautta.
Me 2NS:llä näemme tämän todellisuuden. Meillä on sekä NIS2- että DORA-regulaation piirissä olevia asiakkaita, joilla on velvollisuus varmistaa toimitusketjunsa tietoturva. ISO 27001 ei ole täysin sama asia, mutta sertifikaatin näyttäminen todistaa jo, että hyvin moni perusasia on kunnossa. Tämä alleviivaa toisen merkittävän eron. Yritys voi saada ulkoisen auditointilaitoksen sertifikaatin ISO 27001-vaatimustenmukaisuudesta. Vastaava sertifiointia ei ole olemassa NIS2:lle ja DORA:lle.
Ennakoi ja toimi ajoissa
Missä vaiheessa yritys tarvitsee ISO 27001-mukaisen tietoturvan hallintajärjestelmän? On mahdotonta antaa yksiselitteistä vastausta tähän, mutta yksi asia on ainakin varma. Tulos on huono, jos aletaan rakentaa tietoturvan hallintajärjestelmää paniikissa vasta asiakkaan tai viranomaisen painostuksen alla. Silloin päädytään helposti tilanteeseen, jossa perimmäinen tarkoitus unohtuu ja tuotetaan toimimatonta näennäisturvaa.
Miten siis elefanttia syödään? Vanhan sanonnan mukaan kannattaa syödä sitä pala kerrallaan. Pienen kasvuyrityksen kannattaa tutustua ISO 27001-standardiin varhaisessa vaiheessa ja rakentaa struktuurit pikkuhiljaa kasvun myötä. Vähän isommalla yrityksellä on todennäköisesti jo osa rakenteista olemassa, vaikka standardi ei ole ohjannut kehitystä. Tässä tapauksessa kannattaa tehdä puuteanalyysi ja luoda tiekartta, vaikka tarve ei vielä ole akuutti.
Muista aina, että todellinen syy parantaa tietoturvaa ei ole ulkoinen vaatimus. Se on liiketoiminnan jatkuvuuden varmistaminen. Ja se on aina relevantti yrityksen koosta riippumatta. Muista myös, että tiekartan ei tarvitse tähdätä sertifiointiin lähitulevaisuudessa. Sertifikaatista voi olla paljon hyötyä, mutta jo standardin implementointi, kokonaan tai osittain, auttaa turvaamaan liiketoiminnan.
Mutta mistä resurssit?
Ei pienellä yrityksellä ole varaa palkata täyspäiväistä tietoturva-ammattilaista! No, eihän meilläkään ole. Kukaan meistä ei keskity omaan tietoturvaamme, vaan se kilpailee aina laskutettavan työn kanssa. Meidän ISO 27001-mukainen tietoturvamme on rakennettu samoista palikoista, jotka ovat tarjolla kaikille yrityksille. Vahvasti pilveen ulkoistetut palvelut, osa-aikainen tietoturvavastaava, teknisten asiantuntijoiden palveluita tarpeen mukaan ja jokaisen työntekijän vastuun painottaminen. Näillä voi saavuttaa hyvin skaalautuvan paketin, joka on hyvin sovitettavissa pienille ja keskisuurille yrityksille.
Hintalappu on meidän tapauksessamme noin 0,4 FTE:tä, mikä vastaa vajaata prosenttia liikevaihdosta. Tähän sisältyy sekä päävastuullinen CISO että muiden asiantuntijoiden työ. Konseptin joustavuus on arvokas ominaisuus meille. Tämä työ kilpailee tietenkin koko ajan asiakastyön kanssa, mutta tietoturvan ja sertifikaatin ylläpito ovat meille elintärkeitä tavoitteita. Sen takia ei ole hyväksyttävää tinkiä näistä, vaikka olisi muutakin työtä tarjolla. Nämä luvut muodostavat myös hyvän mittarin siitä, millä työpanostuksella voi saavuttaa hallintajärjestelmän, jota kehutaan auditointiraportissa.
Kuriositeettina voidaan mainita, että pienimmässä asiakasorganisaatiossa, jossa toimin Interim CISO:na on noin 20 työntekijää, ja työpanostusta skaalataan jatkuvasti tarpeen mukaan.
Lopuksi voidaan todeta, että ISO 27001-sertifiointi ei missään nimessä ole mahdoton ajatus 50:n hengen firmalle. Ja vaikka varsinainen sertifiointi ei ehkä ole perusteltavissa, on standardista kuitenkin suuri apu matkalla kohti parempaa tietoturvaa. Standardia voidaan myös soveltaa osittain ja yrityksen tarpeisiin mukautetusti. Tähän työhön löytyy monenlaista apua, joustavasti ja kustannustehokkaasti. Tätä matkaa kannattaa aloittaa niin sanotusti hyvän sään aikana. Me teimme niin jo kauan ennen kuin itse aloitin 2NS:llä, ja sen takia voin nyt ylpeillä mainiolla auditointiraportilla.
Mikael Albrecht,
CISO, Senior Security Consultant, 2NS
2NS:n CISO Newsletter on sisältökonsepti, jossa CISO:mme kertoo siitä, millaisia asioita tulee tietoturvapäällikön pöydälle. Voit tilata CISO Newsletterimme suoraan sähköpostiisi tai käydä lukemassa blogistamme aina uusimman CISO Newsletterin. Julkaisemme uutiskirjeen noin kerran kuussa.