”ISO on meille kuin pieni raamattu”

PostNord Strålforsin järjestelmässä kulkee joka päivä valtava määrä tietoa. Tietoturvan ylin vastuuhenkilö on Åke Andersson.
- Moni puhuu nykyään kyberturvallisuudesta, mutta PostNord Strålforsille se on ollut keskeinen aihe jo pitkään.

Markkinatrendit Turvallisuus

Åke Andersson on PostNord Strålforsin tietoturvavastaava. Hän päättää esimerkiksi järjestelmän eri osien käyttöoikeuksista, salattavista osista ja tietojen tallennustavoista.

– Varmistan yhdessä myyntiorganisaation kanssa, että pystymme täyttämään asiakkaiden kaikki vaatimukset, hän kertoo.

PostNord Strålforsilla on paljon valmiita ratkaisuja, kuten Mobile Invoice, Dynamic Communication ja We Mail.

– Kaikki ratkaisukohtaiset prosessit ovat selkeitä. Asiakkaan ostaessa ratkaisun tiedämme, miten tietoturva varmistetaan, Åke Andersson kertoo.

Mutkikkaammassa asiakasratkaisussa PostNord Strålforsin ja asiakkaan täytyy määrittää toimeksianto yhdessä.

– Olemme mukauttaneet kaikki prosessimme ISO 27001 -säännöstöön – joka ikinen asiakirja, käytäntö, rekisteri ja käsittelyvaihe on käyty läpi ja dokumentoitu, Åke Andersson kertoo.

ISO-sertifiointi on helpottanut kaikkea

Moni puhuu nykyään kyberturvallisuudesta, mutta PostNord Strålforsille se on ollut keskeinen aihe jo pitkään.

– Olemme rakentaneet vuodenvaihteesta lähtien strategisesti compliance-osastoa, joka käsittelee näitä asioita keskitetysti organisaatiossamme, Åke Anderson kertoo.

Tutustu kaikkiin PostNord Strålforsin sertifiointeihin

Åke Andersson, Information Security Officer PostNord Strålfors Åke Andersson, Information Security Officer PostNord Strålfors

PostNord Strålforsin kaikki IT-ratkaisut, joissa käsitellään asiakkaiden tietoja, on nykyään sertifioitu tietoturvastandardin ISO 27001 mukaisesti.

– Meille tämä tarkoittaa, että meidän on paljon helpompi täyttää asiakkaiden vaatimukset, sillä yhdeksässä tapauksessa kymmenestä nämä vaatimukset perustuvat samaan standardiin, sanoo Åke Andersson ja jatkaa:

– ISO on meille arjessa kuin pieni raamattu. Se auttaa kaikessa, Åke Andersson toteaa.

Taustalla on kuitenkin paljon työtä. PostNord Strålforsin sertifiointi kesti reilut 20 kuukautta.

– Olemme mukauttaneet kaikki prosessimme ISO 27001 -säännöstöön – joka ikinen asiakirja, käytäntö, rekisteri ja käsittelyvaihe on käyty läpi ja dokumentoitu, Åke Andersson kertoo.

ePrivacy-direktiivi ja yleinen tietosuoja-asetus

Yksi monista parannuksistamme on, että yleisen tietosuoja-asetuksen (GDPR) ansiosta kaikki prosessit on käyty kunnolla läpi ja kaikki heikot lenkit korjattu. Yleisen tietosuoja-asetuksen myötä Åke Andersson näkee suuria parannuksia myös sopimusasioissa.

– Suuri osa työstämme ohjautuu ISO 27001- ja 27002-standardien mukaan, mutta yleisen tietosuoja-asetuksen myötä allekirjoitamme jokaisen asiakkaan kanssa DPA-sopimuksen (Data Process Agreement). DPA on kaikkiin sopimuksiin kuuluva keskeinen asiakirja, jossa määritetään, mitä asiakas vaatii ja mitä meidän odotetaan asiakkaalle toimittavan, Åke Andersson kertoo ja jatkaa:

– Olemme nyt käyneet läpi DPA-sopimukset ja varmistaneet, että kaikki työntekijät ovat allekirjoittaneet salassapitosopimuksen (NDA, Non Disclosure Agreement). 

Lähiaikoina myös vanha, vuodelta 2002 peräisin oleva ePrivacy-direktiivi korvataan uudella säännöstöllä. Uusi säännöstö täydentää yleistä tietosuoja-asetusta ja koskee sekä fyysisiä henkilöitä että oikeushenkilöitä.

– Uusi ePrivacy-asetus vaikuttaa kaikkiin, jotka harjoittavat jonkinlaista sähköistä tiedonsiirtoa, toteaa Åke Andersson ja nostaa esiin esimerkiksi evästeiden käyttöön ja niitä koskevaan suostumukseen sovellettavat vaatimukset.

Monia erilaisia säännöstöjä päivitetään säännöllisesti, mikä tarkoittaa, että PostNord Strålforsin on päivitettävä rutiinejaan koko ajan. Åke Andersson antaa vielä yhden esimerkin:

– Meillä on nykyään verkkoja ja tietojärjestelmiä koskeva NIS-direktiivi. Se korvataan jatkossa NIS2-direktiivillä, jonka soveltamisalaan kuuluu aiempaa enemmän toimijoita. Näiden toimijoiden on omaksuttava direktiivin vaatimukset, jotka ovat esimerkiksi salauksen osalta entistä tiukemmat.

– Olemme rakentaneet infrastruktuurin samalla tavalla kaikkialla, joten voimme siirtää tuotannon helposti yhdestä fyysisestä paikasta toiseen, Åke Andersson selvittää.

Odottamattoman sattuessa

Åke Andersson kertoo, että hän tekee työtään suurelta osin kirjoituspöydän takana ja palavereissa. Mutta yksikään päivä ei ole toisen kaltainen.

– Käyn paljon dialogia eri toimintojen kanssa. Varmistettavaa on paljon.

– Asiakassopimuksissamme on sovittu tarkastuksista. Ne tarkoittavat, että tapaamme säännöllisesti ja seuraamme, että kaikki toimii niin kuin pitää.

Tarkastus voi koskea kaikkea mahdollista, kuten fyysistä turvallisuutta ja infrastruktuurin, tietoturvan tai turvaverkkojen rakennetta.

– Se riippuu kokonaan siitä, mitä asiakas haluaa tietää, Åke Andersson sanoo.

PostNord Strålforsilla on myös valmiina suunnitelmat niin suurten kuin pientenkin häiriöiden varalle.

– Olemme rakentaneet infrastruktuurin samalla tavalla kaikkialla, joten voimme siirtää tuotannon helposti yhdestä fyysisestä paikasta toiseen, Åke Andersson selvittää.

– Mutta BCP:mme (Business Continuity Plan) on niin vakiintunut ja valmis, ettei osallistumiseni siihen ole edes varmaa. 

Åke Andersson saa kuitenkin tiedon useimmista IT-järjestelmiin liittyvistä tapahtumista. Jos jotakin suurempaa tapahtuu vastoin odotuksia, otetaan käyttöön PostNord Strålforsin DRP (Distaster Recovery Plan).

– Silloin teemme kaikkemme tietojen turvaamiseksi ja siirtämiseksi niin, että toimintamme voi jatkua nopeasti.

Yleinen tietosuoja-asetus on edistänyt asioita valtavasti

Lars Lundström, Head of Nordic Customer Implementation på PostNord Strålfors Lars Lundström, Head of Nordic Customer Implementation på PostNord Strålfors

PostNord Strålforsin Lars Lundström kuvaa yleisen tietosuoja-asetuksen voimaantuloa vuonna 2018 herätykseksi.

– Nykyään kaikki miettivät tarkasti tarpeensa. Aiemmin ei aina ollut niin, Lars sanoo.

PostNord Strålforsin Nordic Customer Implementation -palvelujen vastuuhenkilönä Lars Lundström käsittelee paljon kysymyksiä siitä, miten asiakkaat työskentelevät tiedon ja arkistoinnin parissa. Hän kertoo esimerkkinä yritysten asiakaspalvelut, jotka ennen yleistä tietosuoja-asetusta saattoivat arkistoida valtavasti tietoa, jota kukaan ei tarvinnut. 

– Mitään ei poistettu. Yleinen tietosuoja-asetus perustuu standardeihin, ja keskustelun aiheena ovat sen sijaan poikkeamat. Tuloksena on tervehenkisempi arkistointimaailma ja parempi tietojenkäsittely, Lars sanoo ja jatkaa:

– Mullistavaa on se, että yleisen tietosuoja-asetuksen myötä meidän on täytynyt muuttaa työskentelytapojamme. IT:n ja tietojen kannalta yleinen tietosuoja-asetus vaatii valtavasti, Lars Lundström toteaa.

Aiheeseen liittyvät artikkelit

Kivra

Kivran asiantuntija kertoo: näin tarjoat asiakkaille parhaan mahdollisen tietosuojan

Yksityisyyden suojaan kohdistuu nykyään erittäin korkeat odotukset, ja henkilötiedot nähdään valuuttana. Jos haluaa pitää asiakkaat tyytyväisinä, henkilötietoja täytyy käsitellä oikealla tavalla – pelkkä lakisääteisten vaatimusten täyttäminen riitä. Kivran juristi Anna Mirsch Peiris antaa parhaat vinkkinsä hyvän tietosuojan varmistamiseen.