Yhä useamman suomalaisen yrityksen liiketoiminnan ytimessä on sähköinen pilvipalvelu. Toimintaa ja resursseja ohjataan ja myyntejä laskutetaan järjestelmillä, joihin tallentuu paljon kriittistä tietoa yrityksen toiminnasta. Siksi tällaisten järjestelmien, kuten Severan ja ValueFramen tietoturvaan panostetaan ja niitä kehitetään koko ajan.

Visman liiketoiminnan ytimessä on luottamus. Asiakkaidemme käyttämät järjestelmät varmistavat heidän oman liiketoimintansa toimivuuden huolehtimalla laskutuksesta,  resursoinnista, palkanmaksusta ja muista toiminnoista, joita ilman yritykset eivät pysty toimimaan. Meidän täytyy huolehtia siitä, että asiakkaidemme käyttämät järjestelmät toimivat luotettavasti ja turvallisesti, jotta heidän liiketoimintansa on mahdollista.

Vismassa tietoturvan merkitystä on painotettu jo pitkään. Vaikka Visma-konserniin kuuluu yli 200 itsenäisestä yritystä, on meillä vahva yhtenäinen ajatus siitä, että asiakkaidemme tietojen tietoturva on yksi tärkeimmistä prioriteeteistamme.

Visma-konsernin tietoturvaohjelma

Vismalla onkin tähän tarpeeseen oma Visma Security Program. Se on konsernitasoinen tietoturvaohjelma ja valtaosa Visma-yhtiöistä käyttää sitä varmistaakseen muun muassa tuotteidensa tietoturvan tason. 

Visma Solutionsin kaikki tuotteet ovat mukana erityisesti pilvipalveluille suunnitellussa tietoturvan seuranta- ja arviointiohjelmassa, Visma Application Security Programissa. Siinä tietoturvaa tarkastellaan useista eri näkökulmista ja sitä kautta jokaiselle tuotteelle saadaan reaaliaikainen arvio tuotteen tietoturvan tasosta. Ohjelman pohjana on käytetty alan parhaita käytäntöjä ja yleisiä tietoturvaohjelmia.

Visma Solutionsilla tuotteiden tietoturvaan ja palveluiden saatavuuteen on panostettu erityisesti kuluneiden parin poikkeusvuoden aikana, koska yhä useammat yritykset ovat siirtyneet luotettavien pilvipalveluiden pariin. 

Tietoturvan merkityksestä kertonee myös se, että maaliskuun 2022 alusta allekirjoittanut nimettiin Visma Solutionsin tietoturva- ja tietosuojajohtajaksi. Jo ennen sitä, mutta erityisesti sen jälkeen olen yhdessä tuotekehitystiimiemme kanssa keskittynyt varmistamaan, että palveluidemme tietoturvaa kehitetään pitkäjänteisellä ja kestävällä tavalla.

Lue myös: Näin ylläpidät CRM-järjestelmää ja huolehdit asiakastietojen tietoturvasta

Huoletonta projektinhallintaa PSA-palveluilla

Pilvipalveluissa suuri osa tietoturvatyöstä tapahtuu ns. pellin alla, jolloin asiakkaille nämä muutokset eivät välttämättä näy juurikaan. Palveluidemme kehitys on jatkuvaa ja toteutammekin palveluihimme jatkuvasti uusia toiminnallisuuksia, mutta pidämme samalla huolta myös siitä, että palveluiden olemassaolevien toiminnallisuuksien tietoturva pysyy ajan tasalla.

Severan ja Valueframen osalta tietoturva on erittäin korkealla tasolla. Tästä kertoo se, että molemmat tuotteet ovat Visman Security Indexissä Platinum-tasolla ja käytännössä tuotetiimeillä on reaaliaikainen näkymä tuotteen tietoturvaan ja mahdollisiin uusiin löydöksiin. 

Severan osalta korkeatasoinen tietoturvatyö on ollut arkipäivää jo vuosia. Severaa kehitetään ja tuotetaan Visma Cloud Delivery Model-mallin mukaisesti ja kyseinen malli on sertifioitu mm. ISO 27001- sekä ISAE 3402-sertifikaateilla.

Valueframe-palvelu liittyi alkuvuodesta Visman VASP-ohjelmaan ja saavutti tämän vuoden aikana Platinum-tason, joka osaltaan kertoo, että tuotteen tietoturvan kypsyystaso on korkea.

Jatkuvaa kehitystyötä sekä tietoturvan että saatavuuden eteen

Molempien palveluiden osalta tavoitteena on liittyä tulevaisuudessa Visman Bug Bounty-ohjelmaan, joka käytännössä on kutsu valkohattuhakkereille tutkia palveluitamme ja etsiä mahdollisia tietoturva-aukkoja. Mikäli näitä palveluista löytyy, maksamme luonnollisesti löytäjälle palkkion, aivan kuten palkkionmetsästäjille kuuluukin. 

Vismalla on pitkä kokemus Bug Bounty-ohjelmista ja nyt jo kymmenet Visma-tuotteet ovatkin käytännössä jatkuvasti näiden hakkereiden tarkastelun kohteena. Tämä käytännössä parantaa tuotteidemme tietoturvaa jatkuvasti.

Tarkkailemme koko ajan myös maailmantilannetta ja teemme tilanteen mukaista varautumista erilaisiin kyberhyökkäyksiin liittyen. Tämän varautumistyön taustalla on halu pyrkiä varmistamaan palvelumme toiminta tilanteessa kuin tilanteessa.

Seuraavien talvikuukausien mahdolliset sähkönjakeluun liittyvät häiriöt saavat tällä hetkellä paljon palstatilaa mediassa. Olemme itse valmistautuneet kyseiseen uhkaan jo pitkään, jotta asiakkaidemme ei tarvitsisi murehtia palveluidemme toimivuudesta mahdollisen häiriötilanteen yllättäessä. 

Olemme käyneet paljon keskusteluita Severan ja Valueframen konesalipalveluntarjoajien kanssa, mutta olemme tarkastelleet myös omia prosessejamme, jotta pystymme huolehtimaan asiakaspalvelusta ja muista asiakkaidemme tarpeista myös mahdollisten sähkönjakeluhäiriöiden aikana.

Lue myös: Kyberturvallisuus ja häiriötilanteisiin varautuminen

Kumppaneiden tietoturvalle yhtä tiukat vaatimukset

Visma käyttää apunaan lukuisia luotettavia alihankkijoita ja yhteistyökumppaneita sekä kotimaassa että Euroopan laajuisesti. Alihankkijoihin kuuluvat mm. lukuisat eri konesalipalveluntarjoajat, joiden osaaminen tulee tarpeeseen esimerkiksi tulevan talven mahdollisiin sähkökatkoihin varautumisessa. 

Kaikki kumppanimme käyvät läpi Visman oman Vendor Management-prosessin. Siinä selvitetään muun muassa kyseisen yrityksen valmiudet suoriutua velvollisuuksistaan tietoturvan ja tietosuojan osalta sekä otetaan selvää heidän vihreistä arvoistaan. 

Näillä toimenpiteillä haluamme varmistaa, että pystymme tarjoamaan asiakkaillemme heidän ansaitsemiaan palveluita tietoturvallisesti.


Riku Tarkiainen on Visma Solutionsin Director of Information Security and Data Privacy. Tietoturvasta ja tekniikasta innostuva Riku pitää yhdessä tiimiemme kanssa huolen, että yrityksemme asiakkaat, tuotteet ja työntekijät pysyvät turvassa.