Tietoturvan sertifiointi lisää luottamusta tilitoimistoalaan
Kehitettävää koulutusohjelmaa voi hyödyntää paitsi nykyisen henkilöstön koulutuksessa, myös esimerkiksi uuden työntekijän perehdyttämisessä. Myös tilitoimistoyrittäjille ja tilitoimistojen vetäjille on suunnitteilla myöhemmin oma tilitoimistojen tietoturvallisuuden kehittämistä koskeva koulutusohjelma.
– Koulutusohjelmien lisäksi luomme jäsenistön käyttöön käytännönläheisen tietoturvaoppaan ja vapaaehtoisen tietoturvallisuuden sertifiointiohjelman, sanoo TietoAkselin tekninen johtaja Tero Anttila, joka toimii Taloushallintoliiton kehittämishankkeen vetäjänä.
Vauhdittajina tietosuoja-asetus ja asiakaskunnan aktivoituminen
Kehittämishanketta ovat kirittäneet sekä viime vuonna voimaan tullut tietosuoja-asetus, että asiakaskunnan kasvava kiinnostus tietoturvakysymyksiin.
– Tilitoimistoala hoitaa merkittävän osan suomalaisten organisaatioiden taloushallinnosta ja palkanlaskennasta. Pelkästään auktorisoiduissa tilitoimistoissa lasketaan yli 300 000 palkkapussia kuukaudessa. Tilitoimistot huolehtivat usein myös asiakasyritysten maksuliikenteestä. Kun toimiala on luonteeltaan huoltovarmuuskriittinen, on asianmukaisen tietoturvatason ylläpitäminen tilitoimistoissa hyvin tärkeää, Anttila muistuttaa.
– Olemme havainneet tilitoimistotarkastuksissa ja jäsenneuvonnassa, että niin tietoturvaan kuin tietosuojaan liittyvissä kysymyksissä selkeille toimialakohtaisille käytännöille ja ohjeille on tilaus.
Korkean tietoturva-tason ylläpitäminen on toimialan kaikkien toimijoiden etu.
Hanke maaliin tämän vuoden aikana
Tämän vuoden aikana valmistuvaa sertifiointiohjelmaa ja siihen liittyviä koulutuksia suunnitellaan yhteistyössä Taloushallintoliiton asiantuntijoiden ja Jyväskylän ammattikorkeakoulussa toimivan kyberturvallisuuden tutkimus-, kehitys- ja koulutuskeskus JYVSECTEC:in kanssa.
JYVSECTEC ylläpitää FINCSC-sertifiointijärjestelmää ja toimii yhteistyössä sertifiointipalveluja tarjoavien arviointilaitosten ja FINCSC:in ohjausryhmän kanssa. FINCSC-sertifiointijärjestelmän ohjausryhmä koostuu elinkeinoelämän ja julkishallinnon organisaatioista.
Kolmen tason ohjelma
Tilitoimistojen tietoturvallisuuden sertifiointiohjelma on kolmetasoinen. Sertifioinnin ensimmäinen taso perustuu kaikille jäsenille tuttuun, tilitoimistotarkastuksissa hyödynnettävään tietoturvan itsearviointilomakkeeseen.
– Uudistamme tietoturvan itsearviointilomakkeen jäsenistöltä saamamme palautteen perusteella siten, että se on aiempaa selkeämpi. Se antaa tilitoimistoille sekä heidän ICT-kumppaneilleen selkeät toimintaohjeet havaittujen kehittämiskohteiden parantamiseksi, Anttila sanoo.
Sertifioinnin kaksi seuraava tasoa ovat vapaaehtoisia ja perustuvat FINCSC (Finnish Cyber Security Certificate) kyberturvallisuuden sertifiointijärjestelmään.
FINCSC on yhteistyössä elinkeinoelämän ja julkishallinnon kanssa kehitetty kyberturvallisuuden sertifiointijärjestelmä, jolla tuetaan Suomen kansallisen kyberturvallisuusstrategian toimeenpanoa. Tietoturvasertifioinnin toisella tasolla tilitoimisto suorittaa tietoturvallisuuden itsearvioinnin FINCSC:in palveluportaalissa ja itsearvioinnin tulokset tarkistaa auktorisoitu arviointilaitos.
– Sertifioinnin läpäistyään tilitoimisto saa FINCSC-sertifikaatin vuodeksi käyttöön. Sertifioinnin kolmannella tasolla auktorisoitu arviointilaitos suorittaa tietoturvallisuuden auditoinnin paikan päällä. Sertifiointi tuottaa auditointiraportin arviointilaitoksen havainnoista ja sertifioinnin hyväksytysti suorittaneelle myönnetään FINCSC PLUS -sertifikaatti kolmeksi vuodeksi, Anttila sanoo.
Tietoturvan tilannekuva lisää luottamusta ja läpinäkyvyyttä
Sertifointiohjelma sopii kaikenkokoisille tilitoimistoille. Sen läpäiseminen antaa tilitoimistolle selkeän ja puolueettoman tilannekuvan oman organisaation tietoturvavalmiuksista ja siihen liittyvistä kehittämiskohteista.
– Sertifioinnin tulokset kannattaa käydä oman ICT-kumppanin kanssa lävitse. Niiden avulla tietoturvallisuutta voidaan lähteä yhdessä kehittämään. Sertifioinnin avulla tilitoimisto voi myös osoittaa asiakkailleen ja sidosryhmilleen oman tietoturvavalmiuksiensa tason, Anttila kuvailee sertifioinnin hyötyjä.
Sertifiointi lisää myös luottamusta ja läpinäkyvyyttä tilitoimiston prosesseihin. Sertifiointi todistaa, että tilitoimistossa tietoturvakriittisiä tietoja käsitellään huolellisesti ja luottamuksellisesti sekä varmistaa, että tiedot ovat turvassa niin järjestelmissä kuin pilvipalveluissa ulkopuolisilta tietomurroilta.
Kun toimiala on luonteeltaan huoltovarmuuskriittinen, on asianmukaisen tietoturvatason ylläpitäminen tilitoimistoissa hyvin tärkeää,
– Sertifioinnin hyväksytysti suorittanut organisaatio voi hyödyntää sertifikaattia omassa markkinoinnissaan. Puolueettoman toimijan antama lausunto tuo uskottavuutta esimerkiksi uusasiakashankinnassa, Anttila sanoo.
Korkea tietoturvataso on koko alan etu
Tietoturvasertifiointia kehittämällä Taloushallintoliitto haluaa tukea jäsentoimistojensa henkilöstön ammattitaidon ylläpitämistä ja kehittämistä.
– Korkean tietoturvatason ylläpitäminen on toimialan kaikkien toimijoiden etu. Haluamme kannustaa kaikenkokoisia tilitoimistoja kehittämään oman organisaationsa ja henkilöstönsä tietoturvavalmiuksia. Koulutusohjelman ja sertifiointien avulla tilitoimistojen on helppo lähteä mukaan lähtötasosta riippumatta, Anttila kannustaa.
