1. Back

14.3.2019 - Tampere

Tietoturva- ja laatusertifikaatit johtavat asiakaspalvelun jatkuvaan parantamiseen

ALSO sai vuonna 2017 samalla kertaa ISO 27001 -tietoturva-, ISO 14001 -ympäristö- ja ISO 9001 -laatu- ja johtamissertifikaatit.

Kolmen sertifikaatin hakeminen oli yhdeksän kuukauden prosessi vuonna 2017. Niiden hakeminen ja ylläpitäminen on työlästä ja vaatii paljon resursseja, mutta se pakottaa jatkuvaan parantamiseen. Monet asiakkaat ja heidän asiakkaansa myös vaativat sertifioidun toimijan.

- ALSOn strategisiin tavoitteisiin kuuluu yhä läheisempi yhteistyö asiakkaiden kanssa. Tähän jatkuva parantaminen ja ISO9001 sopivat hyvin, ja ne ovatkin ohjanneet tekemistämme askel kerrallaan, sanoo vuonna 2017 projektista vastannut Terhi Sorvali.

Tietoturvasertifikaatti on kaikkein vaativin

Tietoturva-asiat olivat ALSOlla jo lähtökohtaisesti hyvässä kunnossa, kun ISO 27001-sertifikaattia lähdettiin hakemaan. ALSOn loppuasiakkaina on pörssiyhtiöitä, valtion laitoksia, pankkeja ja terveysalan yrityksiä, joista monet vaativat luotettavan toimijan sekä sertifioidut prosessit erityisesti juuri tietoturvassa. Sertifioimaton yritys ei välttämättä ole edes mahdollinen kumppani. Tietoturvaan kuuluu myös se, että tässä yhteydessä asiakasreferenssejä ei nimetä.

Sertifikaatin vaatimusten mukaan tieto tulee suojata asiattomalta lukemiselta, kuuntelulta ja käsittelyltä. Tietojen tulee myös säilyä sellaisina kuin ne on alun perin tarkoitettu, ja olla saatavilla ainoastaan niille henkilöille ja tahoille, joilla on niihin oikeus. Tietoturva on olennaista erityisesti ALSOn esiasennuspalveluissa, sekä End of Life- eli elinkaaren lopun palveluissa.

- Olemme itse asettaneet tarkan tietoturvapolitiikan, jossa omat järjestelmämme ja yhteydet ovat osana kokonaisuutta. Tietoturvapolitiikka määrittää tavat toimia ja seurata toimintaa, ALSOn elinkaaripalveluista vastaava Mikko Eronen kertoo.

Vaikka ALSOn tietoturva olikin jo hyvällä tasolla, hakuprosessissa käytiin kuitenkin läpi niin tietojärjestelmät, IT-ympäristö ja järjestelmien tietoturva, kuin myös henkilökunnan toimintatavat ja -mallit. Tietoturva mielletään usein ennen kaikkea ohjelmistojen kautta, vaikka tutkitusti suurin tietoturvariski on ohjelmistojen käyttäjä eli työntekijä. Henkilökunnalle järjestettiin kattava tietoturvakoulutus ja heille laadittiin tarkat ohjeistukset. Ohjeet ovat hyvin tarkkoja, mutta usein varsin käytännönläheisiä, kuten että tietokone täytyy lukita työpisteeltä lähtiessä tai ettei konetta saa jättää autoon.

- Vaikka lähtötaso oli korkea, henkilöstömme ymmärsi hyvin, että halusimme kehittyä vielä entisestään. Ihmiset näkivät, mihin yrityksenä pyrimme, toimitusjohtaja Hans-Mikael Helenius kiittelee.

Ennen kaikkea sertifioinneissa on kyse johtamisjärjestelmästä, joka määrää niin sanotut hallintakeinot sekä antaa ohjeet niiden soveltamiselle. Jokainen on sitoutunut tapaan toimia, ja sitä auditoidaan säännöllisesti. Tietoturvasertifikaattiin kuuluvat myös tarkat riskianalyysit. Jos joku riskeistä konkretisoituu, juurisyyt selvitetään ja tehdään tarvittavat toimenpiteet, ettei riski pääse toistumaan. Tämä johtaa standardin edellyttämään jatkuvaan parantamiseen.

- ISO 27001 tietoturvasertifikaatti on kaikkein tarkin ja hankalin saavuttaa. Muissa sertifikaateissa sovelletaan liiketoimintaan ja toimintaympäristöön, mutta tässä on 114 kohdan yksityiskohtainen vaatimusluettelo, joiden mukaan pitää toimia. Vaihtoehtoja ei anneta, eikä soveltamiselle ole sijaa, ICT-päällikkö Jouni Rytkönen kuvailee.

Tekniikan lisäksi fyysistä turvallisuutta

Tietoturvastandardeissa huomioidaan monia turvallisuuteen liittyviä asioita, esimerkiksi tiedon johtaminen, toimitilaturvallisuus ja rikoksen torjunta. Tietoturva ei siis ole vain tekniikkaa, vaan siihen kuuluu olennaisesti fyysinen turvallisuus. Osa vaatimuksista tulee ISO 27001 -standardeista, osa puolestaan ALSO-konsernista, asiakkailta, loppuasiakkailta, vakuutusyhtiöltä, yhteistyökumppaneilta tai sisäisesti ALSO Finlandilta itseltään.

Fyysistä turvallisuutta ovat esimerkiksi turvatilat, rajattu pääsy tiloihin ja kulkuoikeuksien antaminen prosessien mukaisesti sekä näiden ennalta ehkäisevä valvonta. Tällä osaltaan taataan, että tietoihin pääsevät käsiksi vain ne henkilöt, joilla on niihin oikeus.

- Palveluidemme tuottamisessa työskenteleville henkilöille tehdään taustatarkastukset, mutta voimme sitoutua myös asiakaskohtaisiin kovempiin turvallisuusvaateisiin, Mikko Eronen kertoo.

Myös immateriaalitieto kuuluu tietoturvan piiriin, ja siksi esimerkiksi salassapitosopimukset eli NDA:t ovat olennainen osa sitä. Niiden kautta sitoudutaan pitämään niin asiakkuuksien kuin loppuasiakkuuksienkin tiedot salassa.

Laatusertifikaatti on lupaus asiakkaille

Laadunhallinnan standardi ISO 9001:n tärkeimpiä periaatteita ovat asiakaskeskeisyys, prosessimainen toiminta ja johtaminen. Asiakkaiden tarpeiden tulee olla hyvin tiedossa ja niitä täytetään jatkuvasti parannettavilla prosesseilla. Tämä luonnollisesti edellyttää systemaattista johtamista.

Toimintaympäristön tarkkailu ja sidosryhmien huomioiminen ovat isossa roolissa. Myös ISO 9001 -standardit edellyttävät riskien kartoittamista. Toiminnan laatua mitataan ja auditoidaan säännöllisesti. Suunnitelmallisuus ja tehokkuus takaavat palvelun jatkuvuuden myös asiakkaille.

- Me lupaamme asiakkaille, että toimitamme palveluita ja laitteita kaikissa tilanteissa. Se edellyttää suunnitelmallisuutta ja riskikartoituksia niin fyysisten, taloudellisten kuin esimerkiksi järjestelmäriskienkin osalta. Meillä tulee olla toimintasuunnitelmat erilaisiin tilanteisiin, ja jatkuvuussuunnitelma, jos jotakin tapahtuu. Varsinkin isot asiakkaat vaativat, että tällaiset asiat ovat kunnossa heidän toimitusketjussaan, Mikko Eronen kertoo.

Sertifikaattien ylläpito on jatkuvaa työtä

ISO-sertifikaattien ylläpito edellyttää jatkuvaa auditointia. Sisäisillä auditoijilla on ohjenuoranaan vuosikello ja tehtävälista, joiden avulla he pitkin vuotta arvioivat, onko toiminta standardien mukaista. Standardia katsotaan sekä kokonaisuutena että yksityiskohtien tasolla. Auditointisuunnitelma perustuu siihen, että kolmen vuoden aikana kaikki standardin osa-alueet käydään läpi.

- Esimerkiksi tietoturvastandardissa katsotaan toisaalta isoja linjoja, ja toisaalta taas mennään yksityiskohtiin, kuten tarkastetaan kulkuoikeuksia. Toimintamalli pitää olla koko ajan päällä, sillä välttämättä ei tiedetä koska ja keitä auditoija tulee tarkastamaan. Meillä ei ole käytössämme laatukäsikirjaa perinteisessä mielessä, se on vähän vanhanaikainen tapa toimia. Ohjeet on paloiteltu liiketoimintaamme sopivasti yhteiseen Sharepointiin, Jouni Rytkönen selventää.

Niin ympäristö-, tietoturva- kuin laatu- ja johtamissertifikaattikin ovat ensisijaisesti johtamisjärjestelmiä. Johdolla on oma tärkeä roolinsa myös säännöllisessä toiminnan arvioimisessa. Sertifikaatit ovat myyntivaltti, joiden hyödyntämistä pyritään jatkuvasti parantamaan.

- Kilpailijoillakin on varmasti asiat tietyllä tasolla kunnossa, mutta ALSOlla kaikki prosessit ja järjestelmät on sertifioitu. Me elämme ja hengitämme tätä, Hans-Mikael Helenius kuvaa.