– ISO:t ovat kansainvälisiä laatusertifikaatteja eli muodostavat standardeja ja kriteeristöjä, joilla liiketoiminta sekä sen prosessit ja palvelut pyritään pitämään tasalaatuisina ja turvallisina, Netoxin Hallituksen puheenjohtaja Niko Candelin kertoo.
– ISO-standardit todistavat näistä asioista puolueettomasti.
Lyhenne ISO tulee sanoista International Organization for Standardization eli kansainvälinen standardoimisjärjestö.
– 9001 on laatujärjestelmän, 20000-1 palveluhallintajärjestelmän ja 27001 tietoturvan hallintajärjestelmän sertifikaatti, Candelin luettelee.
Sertifioinnista vahvuutta
Netoxin standardisoitumispäätöksen taustalla on tulevaisuus ja erottautumiskyky.
– Väitän, että tämä on tärkein yksittäinen toimiala tulevaisuudessa, mikä tekee ensiarvoisen tärkeää siitä, että tietotekniikka toimii oikein, Candelin toteaa.
– Asiassa on menty paljon eteenpäin ja nykyään aika monissa tarjouspyynnöissä edellytetään ISO 27001 -sertifikaattia, jotta osallistuminen on ylipäätään mahdollista. Netoxilla tuo sertifikaatti on ollut jo vuodesta 2014.
– Vielä tuolloin IT-toimiala oli siinä mielessä erikoinen, että palveluntarjoajia ei oikeastaan millään lailla validoitu. Tavallaan toimijat olivat siis niin hyviä kuin millainen vaikutelma ilman sertifiointia oli mahdollista syntyä.
Koska sertifikaatit liittyvät vahvasti laadukkaaseen liiketoimintaan ja sen ylläpitämiseen, yritysten on järkevää tavoitella niitä.
– Ilman sertifikaatteja toimiminen saattaa lähtökohtaisesti poissulkea joitain asiakkuuksia, joten sertifikaatit vahvistavat erottautumiskykyä kilpailutilanteessa, Candelin tähdentää.
– Asiassa on myös se puoli, että kun toiminta on sertifioitua, asiakaskin voi sanoa toimivansa standardin mukaisesti. Lisäarvo voi siis syntyä jopa asiakkaan asiakkaalle. Sertifioinnin myötä Netox kykenee konsultoimaan ja auttamaan myös muita yrityksiä saamaan ISO 27001 -merkinnän.
Standardit haltuun
Entä minkälainen prosessi ISO-sertifioinnin saaminen yritykselle on Suomessa?
– Se riippuu paljon sertifikaatista, sillä niissä on keskenään suuri määrä vaatimuseroja, Candelin tuumii.
– 20 000-1:tä pidettiin aikanaan lähes saavuttamattomana, ja onhan se vaativa, mutta hyvin sen saa harmonisoitua oman tekemisen kanssa. Yleisesti ottaen sertifikaateissa on eri määrä liitännäisiä, joten on vaikeaa verrata sitä, minkä verran ne työllistävät. Ylitsepääsemättömiä haasteita ei ole kohdattu, mutta sertifiointiprosessi toki vaatii sitoutumista koko organisaatiolta.
Myös se, minkälaisia rakenteellisia muutoksia tällainen prosessi yrityksessä aikaansaa on Candelinin mukaan sertifikaattiriippuvaista.
– Organisaatio saa olla juuri sen näköinen kuin haluaa olla. Sertifiointi vaikuttaa enimmäkseen prosesseihin, ja toiminnallisuuteen kohdistuu enemmän vaatimuksia. Jos kyseessä on start-up -yritys, jossa ei välttämättä ole hierarkiaa ollenkaan, niin toki organisaatiokaavio ja oikeudet kuin myös vastuut ja velvollisuudet tulee määrittää. Niissä määrittyy esimerkiksi se, minkä verran itsenäisillä päätöksillä voi tehdä hankintoja. Myös esimerkiksi tietosuojaryhmän ja -vastaavan nimeäminen tulevat kysymykseen.
Jatkuvuuden mahdollistaja
Candelin arvioi, että ISO-sertifiointi jäsentää ja helpottaa tietoturvayhtiön liiketoimintaa.
– Se yhtenäistää pelisääntöjä ja merkityksiä. IT-alalla pitäisi kaikilla toimijoilla olla jokin tapa osoittaa toteen tietoturvallinen toiminta. Standardien arvo Netoxille piileekin juuri siinä, miten niiden avulla toimintaa saadaan yhdenmukaistettua kohti laadukasta lopputulosta.
ISO-standardit istuvat tietoturvayhtiön toimintaan hyvin myös luonteensa puolesta.
– Eri palvelualoilla, valtiovallalla ja puolustuvoimilla on omat kriteeristönsä. Netoxin kohdalla ISO oli luonnollinen valinta tunnettavuuden takia, mutta etenkin siksi, että se lähestyy tietoturvaa riskienhallinnan kautta, mikä kuuluu käytännössä koko standardifilosofian ytimeen. Koska siihen sisältyy uhkien lisäksi mahdollisuuksia, sitä voi ajatella jopa eräänlaisena liiketoimintaa pyörittävänä moottorina.
Sertifiointi näkyy asiantuntijuudessa ja liiketoimintamallissa etenkin jatkuvan kehittymisen kautta.
– Käytännössä kaikissa ISO-perheen sertifikaateisa on jatkuvan parantamisen vaade. Pitää pystyä arvioimaan omaa toimintaa objektiivisesti ja kehittämään eri elementtejä, Candelin pohtii.
– Netoxin kannalta tämä on tärkeää, sillä sertifikaattien avulla olemme myös itse voineet arvioida toimintaamme puolueettomammin ja kehittää sitä jatkuvasti. Standardit ikäänkuin pakottavat katsomaan myös sellaisia asioita, joille saattaa itse olla sokea. Tätä työtä olemme onneksi voineet tehdä jo vuosia.
