Tietoturva ei ole projekti – se on tapa toimia

Tietoturva on taloushallinnon yrityksille elintärkeää – asiakkaiden luottamus rakentuu huolellisen ja turvallisen toiminnan varaan. Tili Soila Oy päätti tarkastella omaa tietoturvaansa perusteellisesti ja toteutti tietoturva-auditoinnin Taloushallintoliiton ja Huoltovarmuuskeskuksen tietoturvan arviointimallin pohjalta Maestron tietoturvapäällikön, Mika Valtosen, ohjauksessa.

“Halusimme ulkopuolisen näkökulman – mitä olemme tehneet oikein ja mitä voisimme vielä parantaa”, tilitoimiston yrittäjä Soila Rantavaara kertoo.

Lähtötilanne: tietoturva osana arkea, mutta halu kehittää oli vahva

”Olimme aina ymmärtäneet salasanojen, päivitysten ja kriittisten tietojen säilytyksen tärkeyden. Asiat olivat mielestämme kunnossa”, Rantavaara kertoo lähtötilanteesta.

Kun Maestro tarjosi mahdollisuuden auditointiin, tilaisuus tarttua aiheeseen ulkopuolisen asiantuntijan avulla tuntui luontevalta.

”Tietoturva on ollut viime aikoina paljon esillä, ja on hyvä saada siitä myös ulkopuolinen näkemys”, jatkaa kirjanpitäjä Lotta Taiminen.

Auditoinnin taustalla ei ollut yksittäistä tapahtumaa, vaan tilitoimiston yleinen kehittämishalu.

”Lisäksi yksi asiakkaistamme on erityisen valveutunut tietoturva-asioissa ja muistuttelee meitäkin niistä säännöllisesti – sekin kannusti meitä toimimaan”, Rantavaara kuvaa.

Auditointiprosessi: perusteellista työtä ja asiantuntevaa ohjausta

Auditointi käynnistyi syyskuun alussa aloituspalaverilla, jossa Maestron tietoturvapäällikkö esitteli prosessin ja tietoturvan arviointilomakkeen tilitoimistolle.

”Mika selitti selkeästi, miksi lomake on otettu käyttöön ja miten sitä täytetään. Hän myös muistutti, ettei täydellisiä pisteitä kannata tavoitella – tärkeintä on olla rehellinen ja realistinen”, Rantavaara ja Taiminen kertovat.

Aloituspalaverin jälkeen tilitoimistoissa aloitettiin tietoturvan perusteellinen läpikäynti.

Haastateltavat kertovat: ”Kävimme asioita läpi tunti kerrallaan. Välillä piti kysyä neuvoa myös ICT-asiantuntijoilta, mutta työ sujui hyvin.”

Auditointiprosessin päätteeksi käytiin yhdessä Maestron kanssa loppupalaveri, jonka pohjana oli Excelissä täytetty arviointimalli ja siinä lasketut yhteispisteet.

”Tilaisuus oli todella hyvä. Saimme kehuja siitä, että olimme ottaneet asian tosissamme ja tehneet jo prosessin aikana korjauksia havaittuihin puutteisiin. Nyt meillä on myös dokumentoidut tietoturvaohjeet, jotka käydään seuraavaksi läpi koko henkilöstön kanssa”, Rantavaara kuvailee.

“Mika oli todella mukava ja kannustava – yhteistyö sujui hienosti”, Taiminen jatkaa.

Tulokset: dokumentointi ja jatkuvuus keskiössä

Auditointi toi varmuutta ja selkeyttä.

”On valtavan tärkeää, että asiat on kirjattu ylös ja kaikilla on ohjeet, miten toimitaan eri tilanteissa”, haastateltavat kertovat.

Yksi tärkeimmistä tuloksista oli itseluottamuksen vahvistuminen tietoturva-asioissa.

”Huomasimme, että olimme jo ennestään oikealla tiellä. Nyt moni asia on paremmin, ja dokumentointi tekee kaikesta läpinäkyvää ja jatkuvaa”, Rantavaara toteaa.

Kehityskohteita löytyi esimerkiksi laitteiden teknisiin ominaisuuksiin liittyen. Auditoinnin jälkeen tilitoimistossa on otettu käyttöön vuosittainen tietoturvakatselmointi, henkilöstön perehdytys ja laitetarkistukset. Tietoturvan ylläpito on siis viety osaksi prosesseja.

Arjen vaikutukset: tietoturva osaksi toimintakulttuuria

Auditointi on lisännyt tietoturvatietoisuutta ja tuonut tietoturvan aidosti osaksi arkea.

”Kiinnitämme nyt entistä tarkemmin huomiota salasanojen turvallisuuteen, ohjelmistojen säännöllisiin päivityksiin ja siihen, että työpisteemme ovat siistejä eikä asiakirjoja jää näkyville. Olemme ottaneet käyttöön niin sanotun puhtaan pöydän periaatteen – eli päivän päätteeksi kaikki paperit kerätään pöydiltä kaappeihin talteen. Se on pieni, mutta tärkeä tapa huolehtia tietoturvasta jokaisena työpäivänä”, Rantavaara kertoo.

Vaikka auditoinnin työmäärä oli suuri, se koettiin erittäin kannattavaksi.

Rantavaara jatkaa: ”Työmäärä ei ollut suhteeton, ja ensi vuonna se on varmasti pienempi, kun prosessi on tuttu. Tietoturvaohje käydään jatkossa läpi koko henkilöstölle säännöllisesti.”

Suositus muille tilitoimistoille: “Kannattaa tehdä!”

Molemmat haastateltavat suosittelevat auditointia lämpimästi muille tilitoimistoille. Heidän mielestään jokaisen tilitoimiston kannattaa tehdä tietoturvan arviointi.

”Omia käytäntöjä tulee päivitettyä ja koko henkilöstö saa saman tiedon. Tämä on erityisen hyvä tilitoimistoille, joilla ei ole omaa tietoturvatiimiä”, he kertovat.

“Tietoturvaa täytyy ylläpitää koko ajan. Se ei ole projekti, joka valmistuu, vaan osa jokapäiväistä työtä”, Rantavaara kiteyttää.

Maestro toimii asiakkaidensa kumppanina tietoturvan kehittämisessä – auditointien ja yhteisen suunnittelun avulla pidämme huolen siitä, että tieto pysyy turvassa joka päivä.

Vinkki auditointiprosessiin ryhtyvälle kollegalle

”Jos et ole kovin tietotekninen ihminen, kannattaa kysyä heti alkuun rohkeasti apua ICT-asiantuntijalta. Silloin pääset nopeammin eteenpäin”, Rantavaara kannustaa.

✅ Perustettu vuonna 1997
✅ Toimisto sijaitsee Helsingissä
✅ Tilitoimisto tarjoaa kirjanpitopalvelua kaikille yhtiömuodoille