Magic Cloud hyötyi ISO/IEC 27001 -sertifioinnista, vaikka teknisesti tietoturva-asiat olivat jo kunnossa
Konesali- ja pilvipalveluiden tarjoajana tietoturva on Magic Cloudille olemassaolon edellytys. Yritykselle myönnettiin ISO/IEC 27001 tietoturvallisuuden hallintajärjestelmäsertifikaatti keväällä 2021. Keskeinen syy sertifiointiprosessiin lähtemisessä Magic Cloudilla oli se, että he saavat varmistettua omien prosessiensa toimivuuden ja sen, että tietoturva-asiat ovat varmasti vahvalla pohjalla. Toinen tärkeä asia oli asiakkaiden, niin nykyisien kuin tulevienkin luottamuksen saavuttaminen. Magic Cloudin toimitusjohtaja Timo Haapavuoren mukaan uusien asiakkaiden hankinnassa voi olla hidaste tai jopa este, mikäli ulkopuolista evidenssiä tietoturva-asioiden oikeanlaisesta hoidosta ei ole.
Kaikki alkoi huolellisella valmistautumisella
Matka kohti sertifikaattia oli Magic Cloudille pitkä. Töitä tehtiin paljon ja valmistautuminen sertifiointiprosessiin alkoi jo yli 2 vuotta ennen itse sertifiointia. Huolellinen valmistautuminen sisälsi mm. nykytilan määrittelyä ja vertaamista sertifioinnin vaatimuksiin. Haapavuori kertoo matkalle mahtuneen yllätyksiä ja pettymyksiä, mutta on tyytyväinen, että prosessiin tuli lähdettyä. Teknisenä IT-organisaationa Magic Cloudilla oli käsitys, että teknisesti heillä asiat ovat jo hyvällä mallilla, kuten ne olivatkin. Tekniikkaa ei tarvinnut juuri muuttaa, sen sijaan keskipisteenä on ollut hallintajärjestelmän kehittäminen. Esimerkiksi se, kuinka havaitaan poikkeamia ja epäkohtia ja kuinka tällaisia havaitessa voidaan toimia.
”Kiwa Inspectan asiantuntijoilla oli selvästi kokemusta asiasta, joten he osasivat nähdä metsän puilta ja keskittyä oikeisiin asioihin. Yllätyimme siitä, kuinka kaikki sujui niin hyvin ja helposti. Koko meidän porukka tykkäsi, että arvioijien kanssa oli mukava toimia. Jäi hyvät fiilikset ja olimme sertifiointiprosessiin kaiken kaikkiaan hirvittävän tyytyväisiä.” Timo Haapavuori, Toimitusjohtaja, Magic Cloud
Sertifiointiprosessiin pelonsekaisin tuntein
Kun itse sertifioinnin aika lähestyi, odotti henkilöstö sitä pelonsekaisin tuntein. ”Jännitettiin, että millainen kysymyspatteristo sieltä oikein tulee ja osalla huoli nousi myös siitä, jos itse mokaa koko sertifioinnin. Lopulta saikin pyyhkäistä hikeä otsalta, että se Keijohan olikin kiva tyyppi", Haapavuori naurahtaa.
Sertifiointiprosessin myötä koko organisaatio mukana tietoturva-asioiden kehittämisessä
Sertifiointiprosessin myötä Haapavuori on havahtunut siihen, että henkilöstö nostaa aivan uudella tavalla tietoturvaan liittyviä asioita mukaan keskusteluun, jolloin ne saadaan koko henkilöstön tietoon ja käydään yhdessä läpi. "Ei siis ole kyse yksittäisen henkilön toimintatavan muuttamisesta, vaan koko organisaation. Myös tietoturvaa on saatu entistä varmemmalle pohjalle ja tämä tukipilari on meillä todella vahva nyt.” Haapavuori toteaa.
Muille ISO/IEC 27001 -sertifiointia harkitseville Haapavuori kertoisi, että valmistautuminen ja kotiläksyt täytyy tehdä huolella. Lisäksi hänen mielestään Kiwa Inspectan vapaaehtoista ennakkoarviointia kannattaa harkita, sillä siinä saa monia asioita varmistettua ja vielä viimeiset kehitysehdotukset.
"Tietoturvallisuuden standardia voidaan sanoa vaativaksi standardiksi, koska se edellyttää kattavaa riskien ja hallintakeinojen yhteen saattamista ja analysointia. Magic Cloud Oy on hienosti eli sertifikaatin arvoisesti täyttänyt vaatimukset ja voi hyvissä mielin jatkaa eteenpäin. Voidaan sanoa, että tästä sertifioidun hallintajärjestelmän matka vasta alkaa tavoitteena jatkuva parantaminen." Keijo Virtanen, Pääarvioija, Kiwa Inspecta