Avarn Security on pohjoismainen turvallisuusalan yritys, jonka pääkonttori sijaitsee Norjassa ja jolla on toimintaa Norjassa, Ruotsissa, Suomessa ja Tanskassa. Suomessa Avarnilla on noin 2 600 työntekijää. Vuonna 2025 Avarn Security Suomi otti merkittävän askeleen kohti systemaattista tietoturvan hallintaa hankkimalla ISO/IEC 27001 -sertifioinnin. Yrityksellä on useita standardien mukaisia sertifiointeja; muun muassa ISO 9001 -laatujärjestelmäsertifiointi, joka on ollut voimassa jo vuodesta 2006 lähtien.

Asiakkaiden orastava tarve ohjasi päätöstä

ISO/IEC 27001 -sertifioinnista oli keskusteltu Avarnilla jo pidemmän aikaa, sillä tietoturva on luonnollisesti keskeinen osa turvallisuusalan yrityksen toimintaa. Viimeinen sysäys sertifiointiprojektin käynnistämiseen tuli kuitenkin asiakkaiden suunnalta, kun signaali oli selvä: asiakkaat arvostaisivat sertifiointia ja saattaisivat tulevaisuudessa edellyttää sitä.

Kun päätös oli tehty, asiat etenivät nopeasti. Aikataulu oli kunninhimoinen, sillä ensimmäisestä projektipalaverista ensimmäisen vaiheen auditointiin kului alle kuusi kuukautta. Alan yrityksenä Avarnilla monet tietoturvakäytännöt olivat kuitenkin jo valmiiksi kunnossa, joten suurin työ kohdistui loppujen lopuksi dokumentoinnin kehittämiseen ja yhtenäistämiseen.

Kunnianhimoinen aikataulu piti projektiryhmän ruodussa

Vaikka Avarnilla oli kokemusta useista aiemmista sertifioinneista, ISO/IEC 27001 -projekti toi mukanaan yllätyksiä. Avarnilla laatu-, vastuullisuus- ja työsuojelupäällikkönä toimivan Matias Heikkilän mukaan varsinainen työmäärä ja erityisesti dokumentoinnin vaatima panos ylittivät odotukset. "Vaikka me jo ennakolta tiesimme että tämä on iso projekti, silti se tavallaan yllätti", hän myöntää.

Projektiryhmä toimi tiiviissä yhteistyössä säännöllisten viikkopalaverien avulla. Etenemistavoitteet pidettiin tarkoituksella pieninä, jotta joka viikko saatiin konkreettisia tuloksia aikaan. Tämä loi tunteen jatkuvasta etenemisestä ja piti motivaation yllä läpi projektin. Jokaiselle tehtävälle määriteltiin selkeä vastuuhenkilö, ja etenemistä seurattiin tarkasti.

Ensimmäisen vaiheen auditointi sujui odotusten mukaisesti, ja varsinaisesta sertifiointiauditoinnista selvittiin muutamalla odotetulla ja lievällä poikkeamalla muutamaa kuukautta myöhemmin syksyllä 2025. Yhteistyö DNV:n kanssa sujui luontevasti ja hyvin, aivan kuten aiemmissakin sertifiointiprojekteissa.

Hyödyt näkyvät arjessa

ISO/IEC 27001 -sertifiointi on tuonut Avarnille konkreettisia etuja sekä asiakastyöhön että sisäiseen toimintaan. Sertifiointi on kehittänyt myös riskienhallintaa laajemmin kuin vain tietoturvan osalta. "Tämä on kokonaisuudessaan parantanut ei pelkästään tietoturvariskien hallintaa, vaan koko yrityksen riskienhallintaa", Heikkilä toteaa. Tietoturvakäytännöt ovat parantuneet ja yhtenäistyneet merkittävästi, kun prosessit ovat nyt työntekijöille tuttuja ja dokumentoidut ohjeet ovat selkeitä sekä hyvin organisoituja.

Liiketoiminnan näkökulmasta sertifiointi antaa selkeää kilpailuetua markkinoilla. Vaikka sertifikaattivaatimukset eivät ole vielä kovinkaan yleisiä tarjouspyynnöissä, Avarn halusi olla edelläkävijä ja varautua tulevaan kehitykseen. Yksittäisissä tapauksissa sertifioinnin puuttuminen voi olla jo nyt poissulkeva tekijä, ja pääsääntöisesti se tuo lisäpisteitä kilpailutuksissa. Pidemmällä aikavälillä on odotettavissa, että yhä useammat asiakkaat alkavat edellyttää sertifiointia, mikä nostaa yleistä tietoturvan tasoa koko toimialalla ja yhteiskunnassa laajemminkin.

Vinkkejä ISO/IEC 27001 -sertifiointia suunnitteleville yrityksille

Heikkilällä on selkeät suositukset yrityksille, jotka harkitsevat ISO/IEC 27001 -sertifiointia.

Ensimmäinen ja ehkä kaikkein keskeisin asia on johdon sitoutuminen projektiin. Ilman johdon konkreettista tukea ja sitoutumista projektia on hyvin vaikea viedä läpi, sillä se vaatii useiden henkilöiden aikaa ja sitä myöten resursseja.

Toinen tärkeä vaihe on tehdä kattava nykytilan arviointi eli niin sanottu gap-analyysi projektin alkuvaiheessa. Sen avulla kartoitetaan yrityksen lähtötilanne suhteessa standardin asettamiin vaatimuksiin, mikä helpottaa huomattavasti tarvittavien toimenpiteiden hahmottamista.

Kolmas suositus liittyy projektin resursointiin ja osaamiseen. Tiimiin tarvitaan kattavan osaamisedustuksen lisäksi projektipäällikkö, joka pitää aikataulut, vastuut ja tehtävät napakasti hallinnassa. Lisäksi projektiin tarvitaan henkilö, joka ymmärtää standardin vaatimukset riittävän syvällisesti.

Neljäs keskeinen tekijä on henkilöstön riittävä koulutus läpi organisaation. Erityisesti jos tietoturva ei ole yrityksen varsinaista ydintoimintaa, tarvitaan runsaasti sisäistä koulutusta ja viestintää. Kaikkien pitää ymmärtää oma vastuunsa ja roolinsa tietoturvallisessa toiminnassa.

Viides suositus on valita itselleen kokenut ja luotettava sertifiointiorganisaatio. Tällöin auditoinneista ja sertifioinnista saa kaiken hyödyn irti.

Lopuksi Heikkilä korostaa vielä, että ISO 27001 -sertifiointi ei ole kertaluonteinen projekti vaan jatkuvaa kehitystyötä, aivan kuten muutkin sertifikaatit. Sertifikaatin saamisen jälkeen alkaa systemaattinen ylläpito- ja kehitystyö, joka jatkuu vuodesta toiseen osana yrityksen normaalia toimintaa.