Suur-Savon Sähkö — Oman näköinen tietoturvallisuudenhallintajärjestelmä tuo toimintaan läpinäkyvyyttä ja tehokkuutta
Suur-Savon Sähkö on energiakonserni, jonka vastuulla on yhteiskunnan toiminnan kannalta kriittiseen sähkön- ja lämmön tuotantoon ja jakeluun liittyvää infrastruktuuria. Tämän infrastruktuurin ylläpidossa on sekä digitalisaation että kumppaneiden tuottamien palveluiden rooli kasvanut merkittävästi viimeisen vuosikymmenen aikana. Samaan aikaan ympäröivä maailma on muuttunut epästabiilimpaan suuntaan ja siihen liittyvä kyberhäiriöiden uhkataso on noussut. Nämä tekijät yhdessä toimivat ajureina yrityksen johdon joulukuussa 2021 tekemälle päätökselle lähteä tavoittelemaan tietoturvallisuuden kokonaishallinnan tason nostamista ja jatkuvan parantamisen varmistamista, ISO/ IEC 27001 -sertifiointiprosessin myötä. Inspecta Sertifiointi Oy myönsi Suur-Savon Sähkölle ISO/IEC 27001 tietoturvallisuuden hallintajärjestelmäsertifikaatin joulukuussa 2022.
Päätöksellään Suur-Savon Sähkön johto myös sitoutui takaamaan sertifiointiprosessille tarvittavat resurssit ja ylimmän johdon tuen. Käytännössä hallintajärjestelmän rakentamisesta sertifiointivalmiuteen vastasi Teknologia ja tietoturva -yksikön päällikkö Pekka Nurmi. Nurmi oli vastannut konsernin tietoturvan nousujohteisesta kehittämisestä jo 2010 -luvun alusta saakka, joten hänellä oli realistinen näkemys edessä olevan projektin työmäärästä. Niinpä Nurmen töistä järjesteltiin nopealla aikataululla n. 30% muiden työntekijöiden tehtäväksi. Nurmen apuna prosessissa oli hänen omasta tiimistään tietoturva-asiantuntija. Lisäksi ulkopuolinen konsultti teki nykytilan kartoituksen ja opasti, kuinka asiat tehdään järkevällä tasolla ja ilman turhia harha-askeleita. Näillä toimenpiteillä taattiin hallintajärjestelmän rakentamisen edistyminen laaditussa aikataulussa.
Tiukka aikataulu vaati henkilöstöltä erityistä sitoutumista yhteisen tavoitteen saavuttamiseen – tulospalkkiosta saatiin lisää motivaatiota
Sertifiointiprosessin tiukka aikataulu haastoi henkilöstön ajankäyttöä ja vaati näin erityistä sitoutumista tavoitteen saavuttamiseen muun työn ohessa. Nurmen tehtävänä olikin myös kannustaa ja auttaa eri osa-alueiden vastuullisia saavuttamaan halutut tavoitteet asetetun aikataulun puitteissa ja saattamaan ne riittävälle tasolle. Tietoturvan kannalta keskeisille henkilöille järjestettiin heidän vastuualuettaan koskevia sparrauksia ja annettiin käytännön tukea kehityskohteiden edistämisessä. Nurmi itse kävi syventämässä ymmärrystään Kiwan järjestämässä kaksipäiväisessä tietoturvan hallintajärjestelmästandardi-koulutuksessa
Henkilöstölle asetettiin motivaattoriksi tulospalkkiotavoite. ”Näin sertifikaatin saamisesta tuli yhteinen tavoite, eikä kukaan halunnut, että omalla vastuualueella tulisi poikkeama, joka viivästyttäisi sertifikaatin saamista”, Nurmi sanoo. Johdon ja muun henkilöstön sitoutuminen oli muutenkin nousujohteista koko projektin ajan - silmukka selvästi kiristyi sertifiointiauditoinnin lähestyessä.
Aikataulussa pysymistä helpotti merkittävästi se, että organisaatiossa oli jo useiden vuosien ajan pyritty toimimaan ISO/ IEC 27001 -standardin vaatimusten mukaisesti, tämä vähensi projektin työmäärää merkittävästi. Myös Kiwan asiakaslähtöinen suhtautuminen asetettuun aikataulutavoitteeseen mahdollisti kokonaisuuden suunnittelun ja auditointien ajoittamisen meille sopivalla tavalla.
”Kiwan toiminta on erittäin asiakaslähtöistä, joustavaa ja ammattitaitoista. Aluksi helposti ajatteli, että auditoijat tulevat tänne ikään kuin nuuskimaan asioita, mutta oikeastihan se on hyvin rakentavaa keskustelua. Jos me emme ymmärrä jotain, ei sanota, että ottakaa selvää, vaan yhdessä selvitellään. Yrityksillä saattaa hyvinkin olla tietoa, jota he eivät aina ymmärrä omaavansa. Auditoijilla on kokemusta näistä ja he osaavat auttaa.” – Pekka Nurmi, teknologia ja tietoturva -yksikön päällikkö, Suur-Savon Sähkö
Rakentava ja välitön palaute helpotti kehityskohteiden korjaamisessa
Lopulta kaksipäiväinen auditoinnin ensimmäinen vaihe pidettiin syyskuun alussa ja siihen osallistui Kiwalta kaksi auditoijaa. Kuten Nurmi osasi odottaakin, useita pakolliseen dokumentaatioon ja hallintakeinoihin liittyviä asioita jäi paranneltaviksi. Isoilta poikkeamilta kuitenkin vältyttiin. ”Auditoijat kirjasivat selkeästi nämä puutteet auditointiraporttiin kehityskohteiksi, joten korjaaviin toimenpiteisiin oli helppo ryhtyä”, Nurmi kertoo.
Nurmi kehuu auditoijien tapaa laatia raportti heti auditointien lopuksi. Raportti käytiin yhdessä läpi, jolloin palaute saatiin välittömästi ja asioista päästiin keskustelemaan viiveettä. ”Tämä tarkensi asioiden ymmärtämistä puolin ja toisin, eikä mahdollisia epäselvyyksiä tai väärinymmärryksiä tarvinnut selvitellä jälkikäteen”, Nurmi sanoo.
Ennen varsinaista sertifiointiauditointia Suur-Savon Sähköllä pidettiin vielä hallintajärjestelmään liittyvä sisäinen auditointi ja johdon katselmus. Joulukuun alussa pidettyyn sertifiointiauditointiin osallistui Kiwalta samat auditoijat kuin ensimmäiseen vaiheeseen. ”Tämä oli tärkeä asia, koska luottamus heihin oli jo syntynyt. Haastateltavat saivat auditoijilta rakentavaa palautetta toiminnan edelleen kehittämiseen”, Nurmi toteaa.
Sertifiointiauditointi oli tiivis kolmipäiväinen tapahtuma, johon liittyviin haastatteluihin ja kiinteistökierroksiin osallistui kaikkiaan 13 Suur-Savon Sähkön tai Järvi-Suomen Energian henkilöä. Tietoturvakokonaisuuden hallinta oli saatu jalkautettua tavoitellulla tavalla ja sertifiointi voitiin myöntää.
Lopputulemana läpinäkyvä hallintajärjestelmä, joka mukailee organisaation olemassa olevia toimintamalleja
Nurmi kokee itsensä ja koko organisaation oppineen paljon prosessin aikana- ”Standardia oli kyllä luettu, mutta haasteellista oli nähdä ja ymmärtää lopputulos, eli mikä se hallintajärjestelmä käytännössä on meidän yrityksessämme”, Nurmi kuvailee. Hän muistuttaa, että hallintajärjestelmä voidaan toteuttaa monella eri tavalla, mutta tärkeää on pyrkiä rakentamaan se oman organisaation näköiseksi. Suur-Savon Sähköllä tämä tarkoitti organisaatiorakenteen mukaista johtamis- ja vastuumallia sekä jo käytössä olevien toimintamallien ja työkalujen hyödyntämistä.
Hallintajärjestelmä mahdollistaa tietoturva-asioiden läpinäkyvyyden sitä johtaville henkilöille. "Läpinäkyvyys vähentää tietoturvan käytännön johtamiseen ja toteuttamiseen liittyvää henkilöriippuvuutta ja tehostaa tietoturvaperiaatteiden jalkauttamista standardin vaatimalla tavalla. Myös tietoturvan kehittäminen tiiminä on helpompaa, kun kaikilla tiimin jäsenillä on sama näkymä kokonaisuuteen", Nurmi sanoo. Hän kertoo kokonaisuuden pitävän sisällään dokumentaation lisäksi, mm. hallintajärjestelmän ylläpitämistä ohjaavan hallinnollisen ja teknisen vuosikellon sekä jatkuvan parantamisen ja poikkeamien hallinnan prosessit. Myös viestinnällä on iso rooli hallintajärjestelmän johtamisessa ja kokonaisuuden hallinnassa.
SSSOY:n sertifioitumistarina on hieno osoitus, kuinka tämä polku on oikeastaan kertomus organisaation ja sen ihmisten kypsymisestä ja kasvamisesta standardin maailmaan. ISO/IEC 27001 on varsin vaativa standardi ja sertifikaatin saaminen vaatii omistautumista ja tekemistä paljon. Itse standardin ymmärtäminen on hyvin keskeisessä osassa, jotta hallintajärjestelmän rakentaminen on tehokasta ja lopputulos yrityksen näköinen. SSSOY:n tarinaa on ollut hieno seurata ja osaltaan auditointien kautta olla mukana. Iso osa tätä kaikkea on ollut SSSOY:n henkilöstön kyky rakentaa järjestelmästä omanlaisensa , kuten pitääkin. Sertifiointiauditoinnin vaiheessa kaksi kypsyminen tuli hienolla tapaa esille, kun voitiin todeta, että auditointivalmius ja tietty levollisuus oli saavutettu jo päiviä ennen itse auditointia. Asiakkaalta kuultuna tämä on todella hieno asia ja vetää tämän tarinan hyvin yhteen. - Mikko Rautiainen, Pääarvioija, Kiwa Inspecta