Trivoren 25 vuoden matka pienestä IT-pajasta identiteetinhallinnan edelläkävijäksi on aina nojannut laatuun ja pragmaattisuuteen. Nyt olemme saavuttaneet tällä matkalla uuden merkittävän virstanpylvään: Trivorelle on myönnetty kansainvälinen ISO 27001:2022-tietoturvasertifikaatti.
Haastattelimme Trivoren perustajaa Kari Mattssonia siitä, mitä sertifiointiprosessi yritykselle opetti ja mitä se tarkoittaa asiakkaille.
Seitsemän vuoden rutistus
Tammikuun 2026 loppupuolella Trivoren sisäiseen viestikanavaan kilahti viesti, jota oli valmisteltu pitkään. ”Tässä se on. Toissapäivänä myönnetty. ISO 27001:2022 -sertifikaatti. Rutistus 2019–2026. Toiset asiat ottavat aikaa. Yleensä ne parhaat asiat ottavat aikaa, jopa yllättävän paljon. — Kiitos vielä kaikille. Työ jatkuu.” Kari kirjoitti tiimille.
Viesti tiivistää Karin ja Trivoren filosofian: laatu ei synny hätiköimällä. Haastattelimme Karia sertifiontiprosessin ja sertifikaatin merkityksestä Trivorelle ja sen asiakkaille. Alla tiivistetty yhteenveto haastattelusta.
Kari, sanoit viestissäsi, että ”yleensä ne parhaat asiat ottavat aikaa”. Miksi tämä sertifiointiprosessi kesti juuri näin kauan?
”Meillä on aina ollut tekemisessä tietynlainen savenvalajan asenne – asioita muotoillaan niin kauan, että ne ovat oikein heti ensimmäisellä kerralla. ISO 27001 ei ole meille vain paperi seinällä, vaan se on ollut matka, jonka aikana olemme hioneet prosessimme vastaamaan maailmanluokan standardeja”, Kari pohtii.
”Aloimme rakentaa tätä pohjaa jo vuosia sitten ISO 9001 -laatusertifioinnin myötä. Tietoturva on kuitenkin identiteetinhallinnan (IAM) ytimessä, ja halusimme varmistaa, että hallintajärjestelmämme (ISMS) on todella osa jokapäiväistä tekemistämme, ei vain päälle liimattu kerros.”
Sinut tunnetaan syvästä intohimostasi tietoturvaa ja fiksuja prosesseja kohtaan. Mitä ISO 27001:2022 tarkoittaa teknisessä mielessä Trivoren eIAM -ratkaisulle?
”Se on vahvistus sille tolkuttoman vahvalle pohjalle, jonka päälle olemme rakentaneet. Standardin uusin 2022-versio painottaa entistä enemmän jatkuvaa riskienhallintaa ja kyberturvallisuutta. Meidän eIAM-ratkaisumme nojaa Zero Trust -periaatteisiin, ja sertifiointi osoittaa, että myös hallinnolliset prosessimme tukevat tätä teknistä lupausta: oikeat henkilöt pääsevät käsiksi oikeisiin tietoihin oikeaan aikaan, ja tämä prosessi on auditoitu ja turvallinen.”
Asiakkaat, kuten HSL ja Waltti, hallinnoivat valtavia käyttäjämääriä. Miten he hyötyvät tästä sertifikaatista?
”Asiakkaalle tämä tarkoittaa ennen kaikkea mielenrauhaa ja helpompaa vaatimustenmukaisuuden osoittamista. Kun me huolehdimme perustasta kansainvälisten standardien mukaan, asiakas voi keskittyä omaan liiketoimintaansa luottaen siihen, että heidän datansa on suojattu”, Kari selittää.
”Kyse on luottamuksesta. Kun toimimme kriittisissä ympäristöissä, kuten Traficomin tai suurten joukkoliikenneoperaattoreiden kumppanina, riippumaton vahvistus tietoturvasta on välttämättömyys.”
Oliko prosessissa mukana muita toimijoita?
”Prosessi toteutettiin tiiviissä yhteistyössä suomalaisen kyberturvallisuusasiantuntijan Into Securityn kanssa. Yhteistyö toimi hyvin ja Into Securityn liiketoimintajohtaja Tatu Suhonen innostui suorastaan kehumaan meitä ja sanoi:”
”Trivoren sitoutuminen tietoturvan jatkuvaan kehittämiseen on ollut esimerkillistä. Sertifiointiprosessi osoitti, että yrityksellä on syvällinen ymmärrys tietoturvasta ja kyky hallita monimutkaisiakin kokonaisuuksia hallitusti ja läpinäkyvästi.”
Viestisi tiimille päättyi sanoihin ”työ jatkuu”. Mitä se tarkoittaa käytännössä?
”Sertifikaatti ei ole päätepiste, vaan uusi alku. Tietoturva on jatkuva prosessi – se ei tule koskaan valmiiksi. Kansainvälisenä tietosuojapäivänä 28.1. aion avata tätä enemmän sisäisessä koulutustilaisuudessamme”, Kari paljastaa.
”Tulevaisuudessa tekoäly ja koneoppiminen tuovat uusia mahdollisuuksia, mutta samalla uusia uhkia. Meidän on oltava valmiita auttamaan asiakkaitamme myös tulevaisuuden haasteissa. Työ jatkuu, jotta voimme tarjota turvallisia ja skaalautuvia ratkaisuja vielä seuraavatkin vuosikymmenet.”