Suomen Palkanlaskenta Oy tarjoaa palkanlaskennan ohjelmistoalustaa ja Palkkaus.fi -ohjelmistoa. Ohjelmistoa käyttää yli 15 000 yritystä ja yli sata tilitoimistoa. Palkanlaskennan alustaa käytetään lukuisissa taloushallinto-ohjelmistoissa, kuten Visman, Accountorin ja Talenomin ohjelmistoissa. Järjestelmän etuna on mm. korkea automaatioaste, jolla säästetään sekä palkkahallinnon että asiakkaan aikaa.
Palkka-aineistoon ja laajemmin palkkahallintoon liittyy runsaasti luottamuksellista tietoa. Palkanmaksun viivästykset aiheuttaisivat sekä työnantajille että erityisesti työntekijöille vaikeita tilanteita. Palkkaus.fi-palvelun suunnittelussa tietoturva on ohjannut yhtiön päätöksiä alusta alkaen. Suomen Palkanlaskenta Oy halusi entisestään parantaa tietoturvansa kehitystä, johtamista ja dokumentoimista. Yhteistyössä tietoturvajohtamisen asiantuntijan Turre Legalin kanssa rakennettiin tietoturvajohtamiselle suunnitelma ja dokumentoidut toimintamallit.
Tietoturvan haasteet
Moni yritys on kohdannut omassa toiminnassaan tietoturvavaatimusten kiristymisen. Turre Legalin osakas Herkko Hietanen kertoo, miten isommat yritykset ovat viime aikoina alkaneet vaatia laajoja tietoturvadokumentteja toimittajiltaan.
“Tämä johtuu siitä, että nämä yritykset noudattavat tietoturvastandardeja ja vaativat samaa tasoa alihankkijoiltaan. Yritys, joka ei pysty osoittamaan tietoturvajohtamisensa tasoa, voi jäädä ilman sopimuksia.”
Herkko Hietanen
Tietoturvan tasosta ovat kiinnostuneet myös sellaiset asiakkaat, jotka eivät omissa sopimusketjuissaan ole sitoutuneet tiettyihin tietoturvavaatimuksiin. Kyberturvallisuudesta puhutaan nyt kaikkialla, minkä lisäksi henkilötietojen suojaan liittyvä sääntely tunnetaan hyvin. Monien ostajien hankintapolitiikat sisältävät tietoturvavaatimuksia, jotka niin ikään ohjaavat sitä, keneltä tuotteet tai palvelut päädytään ostamaan.
Tyypillinen haaste tietoturvatyössä on liiallinen reaktiivisuus. Ongelmia pyritään ratkomaan sitä mukaan, kun ne tulevat eteen. Sen sijaan pitkäjänteinen suunnitelmallinen kehittäminen puuttuu eikä johdolla ole kunnollista kuvaa nykytilasta. Kun tilannekuva on puutteellinen, ei tunnisteta myöskään tärkeitä kehityskohteita. Tilannekuvan luomisella ja siinä havaittujen puutteiden korjaamisella yritykset saavat helposti ja edullisesti parannettua tietoturvansa tasoa.
Tietoturvaloukkausten taustalla on usein inhimilliset virheet ja erehdykset. Koko henkilöstön tietoturvaosaamisen ylläpito vaatii panostuksia ja jää helposti päivittäisen tekemisen jalkoihin. Hyvää tietoturvakulttuuria ei synny, jollei johto tietoisesti ole mukana sellaisen rakentamisessa ja ylläpidossa. Pahimmassa tapauksessa tietoturvaan liittyvät toimet tuntee yrityksessä vain yksittäinen henkilö, jolloin koko tietoturvatyö voi kaatua esimerkiksi avainhenkilön työpaikanvaihdokseen.
Näin yhteistyö tietoturvajohtamisen asiantuntijan kanssa eteni
Keväällä 2023 Suomen Palkanlaskenta etsi kumppania tietoturvajohtamisen kehittämiseen. Tuotteistettu Tietoturvajohtamisen työkalut -palvelu teki ostamisesta helppoa. Palvelun toteuttaneille juristeille kävi nopeasti selväksi, että Suomen Palkanlaskenta oli aidosti kiinnostunut tietoturvatyöstä ja tietoinen toimialaansa liittyvistä tietoturvariskeistä.
“Suomen Palkanlaskenta ei ole suuryritys, vaikka se pyörittää huomattavan monen suomalaisen palkanmaksua. Vaikutuksen teki Suomen Palkanlaskennan asenne tietoturvaa kohtaan. Heille tietoturvan kehitystyö ei ollut ‘pakkopullaa’, vaan asian merkitys ja arvo todella otettiin vakavasti.”
Miikka Kaartosalmi lähtötilanteesta.
Aktiivisesta tietoturvatyöstä huolimatta Suomen Palkanlaskennan tietoturvan johtamisjärjestelmässä oli kehitettävää dokumentoinnin rakenteen ja pitkäjänteisen suunnittelun osalta. Varautumissuunnitelmat tietoturvaloukkausten varalle olivat pitkälle mietittyjä, mutta dokumentointia oli syytä parantaa. Näitä lähdettiin korjaamaan yhteistyössä Turre Legalin kanssa.
Osapuolten yhteinen työ aloitettiin laajalla kysymyspatteristolla, joka herätteli pohtimaan mm. tietoturvaan varattavaa budjettia ja tietoturvasta huolehtimisen linkittymistä eri henkilöiden työtehtäviin. Näiden kysymysten perusteella tehtiin kattava kartoitus yhtiön tietoturvan nykytilasta.
Kartoituksessa tehdyt havainnot loivat pohjan toiselle vaiheelle, jossa osapuolet työstivät yhtiölle sopivan tietoturvapolitiikan. Tärkeitä näkökulmia politiikassa olivat mm. tietoturvahallinnon linjausten tekeminen (kuten budjetointi ja vastuut) sekä koko henkilöstölle suunnatun konkreettisen tietoturvaohjeistuksen laatiminen. Lisäksi valmisteltiin reagointiohje tietoturvaloukkauksen varalle.
“Turre Legal toteutti Tietoturvajohtamisen työkalut -palvelun ammattitaitoisesti ja auttoi sen avulla meitä syventämään tietoturvaosaamistamme. Palvelussa kiinnitettiin huomioita yrityksen ja johdon lakisääteisiin velvollisuuksiin tietoturva-alalla, mutta lopputulos oli käytännönläheinen. Kaartosalmi ja Hietanen neuvoivat osaavasti myös teknisiin kysymyksiin liittyen, mitä ei aina osaa odottaa juristeilta.”
Suomen Palkanlaskennan toimitusjohtaja Jukka Kiiskinen.
Positiiviset vaikutukset
Asiakkaan kannalta etuna oli keskittyminen olennaisiin asioihin, asiantuntijan apu ja tämän seurauksena nopeasti otettu harppaus tietoturvajohtamisen kehittämisessä. Kokonaisuus saatiin työstettyä läpi kuudessa viikossa. Vaikka työ vaati asiakkaalta merkittävää osallistumista, olisi se ilman ulkopuolista apua vienyt huomattavasti kauemmin – tai lykkääntynyt tulevaisuuteen. Kun tietoturva on hyvällä tasolla ja sen ylläpitoon kiinnitetään jatkuvasti huomiota, voi aiheesta hyvillä mielin viestiä myös asiakkaille ja muille sopimuskumppaneille.
“Mielsimme tietoturvan aiemmin kapeammin ja keskityimme enemmän lain vaatimuksiin ja teknisiin ydinratkaisuihin. Yhteistyö Turre Legalin kanssa oli puuttuva palanen teknisen tietoturvatyön jatkoksi ja laajensi näkemystämme.” Kiiskinen pohtii ja jatkaa todeten, että tietoturvajohtamisen työkalut -palvelun ostaminen pakotti varaamaan aikaa tietoturvan kehitystyöhön.
“Suomen Palkanlaskennalla on nyt ajantasainen tieto oman tietoturvan nykytilanteesta. Tältä pohjalta johdon on helppo linjata tietoturvaan liittyviä kehitys- ja hankintapäätöksiä myös jatkossa.”
Jukka Kiiskinen
Tutustu Tietoturvajohtamisen työkaluihimme
Kehittämällä tietoturvajohtamista kokeneen asiantuntijan avulla yritys voi vahvistaa tietoturvaansa ja siten parantaa asiakas- ja sopimussuhteitaan. Tietoturva on olennainen osa modernia liiketoimintaa, ja hyvin johdettuna se tuottaa jopa kilpailuetua.
Jos etsit ratkaisua tietoturvaan liittyviin haasteisiin, varaa keskusteluaika Turre Legalin asiantuntijoiden kanssa. Herkko Hietanen ja Miikka Kaartosalmi tarjoavat henkilökohtaista apua tietoturvajohtamisen kehittämiseksi. Sinun ei tarvitse olla alan asiantuntija tai teknisesti orientoitunut – selkeät ja ymmärrettävät neuvot auttavat yrityksen johtoa täyttämään sen tietoturvaa koskevat velvollisuudet asiakkaille ja osakkaanomistajille.
