Weasel Software saavutti ISO 27001 -sertifioinnin alle kuudessa kuukaudessa

Weasel Software kehittää ja toimittaa järjestelmiä ja palveluja yhteiskunnan kannalta kriittiseen infrastruktuuriin, erityisesti satamien ja liikenteen toimintaympäristöihin. Asiakkaidemme toimintaympäristössä tietoturva, toimintavarmuus ja hallittu riskienhallinta ovat keskeinen osa jokapäiväistä tekemistä, joten ISO 27001 oli meille tärkeä ja luonteva askel.

“Sertifiointia oli harkittu jo jonkin aikaa. Syksyllä tuli sopiva hetki toteuttaa se – merkittävä kilpailutus edellytti sertifiointia, ja tiesimme että asiakkaillemme tämä on kriittistä”, sanoo Jussi Suutala, projektipäällikkö ja tietoturvavastaava Weasel Softwarella.

Vahva perusta mahdollisti nopean etenemisen

Projekti eteni nopeasti, koska Weasel Softwarella oli jo ennestään vahva perusta tietoturvatyölle. Organisaatiossa oli käytössä useita standardin edellyttämiä toimintatapoja ja kontrollikäytäntöjä, mutta ne haluttiin koota aiempaa selkeämmin yhdeksi johdetuksi ja dokumentoiduksi kokonaisuudeksi.

Työn aikana kuvattiin prosesseja, täsmennettiin vastuita ja rakennettiin riskienhallinnalle yhtenäinen malli. Samalla tietoturvan hallinta sidottiin entistä tiiviimmin osaksi päivittäistä toimintaa ja päätöksentekoa.

“Me teimme näitä asioita jo käytännössä – pääsynhallintaa, lokitusta ja vastaavia kontrollikäytäntöjä parhaiden käytäntöjen mukaisesti. Mutta näitä ei ollut riittävästi dokumentoitu eikä mietitty, mitä riskejä näillä oikeasti hallitaan”, kertoo Suutala.

Ensimmäisessä vaiheessa kokonaisuus rajattiin tarkoituksenmukaisesti yhteen liiketoiminta-alueeseen ja yleiseen hallintoon. Rajaus mahdollisti tehokkaan etenemisen ja loi samalla pohjan hallintamallin laajentamiselle myöhemmin muihin liiketoiminta-alueisiin.

Into Security mukana auditointikumppanina

Into Securityn tytäryhtiö Into Certification Oy toimi projektissa auditoijana. Into toi prosessiin ulkopuolisen arvioijan näkökulman sekä kokemusta ohjelmisto- ja IT-ympäristöjen auditoinneista. Tämä tuki valmistautumista, auttoi vaatimusten tulkinnassa ja piti etenemisen selkeänä koko hankkeen ajan.

“Weaselin Softwaren tiimin tekemisestä välittyi koko auditointiprosessin ajan selkeä tavoite tehdä asiat oikein ja varmistaa tietoturvan pysyminen hallinnassa pitkäjänteisesti sekä jatkuvasti toimintaa parantaen, kuvailee pääauditoija Matti Leinonen Into Securitylta.

Yhteistyön arvo näkyi erityisesti siinä, että auditointiprosessin eri vaiheet pysyivät hallittuina ja olennaiset asiat etenivät oikeassa järjestyksessä. Kun aikataulu oli tiukka, selkeä etenemismalli ja käytännönläheinen vuoropuhelu tukivat projektin läpivientiä.

Saavutus, joka tukee kasvua ja kilpailukykyä

ISO 27001 -sertifiointi tukee Weasel Softwarea useasta näkökulmasta. Se auttaa vastaamaan asiakkaiden kasvaviin tietoturvavaatimuksiin, vahvistaa kilpailukykyä tarjouskilpailuissa ja tukee myyntiä tilanteissa, joissa tietoturvan kypsyys halutaan todentaa selkeästi.

Saavutuksella on merkitystä myös kansainvälisessä kasvussa. ISO 27001 on laajasti tunnistettu standardi, joka helpottaa keskusteluja uusilla markkinoilla ja antaa sidosryhmille selkeän osoituksen Weasel Softwaren tietoturvan hallinnasta.

“ISO 27001 -sertifiointi kertoo siitä, että organisaatio on rakentanut tietoturvan hallintaan pysyvän toimintamallin, ei vain tarkistuslistaa yhtä auditointia varten. Weaselin tapauksessa tämä näkyy erityisen selvästi: hallintajärjestelmä rakennettiin palvelemaan liiketoimintaa, ei pelkästään täyttämään vaatimuksia”, kiittelee operatiivinen johtaja Ville Koskinen Into Securitylta.