Tietoturvan nykytilan kartoitus: mitä selvitetään ja miten prosessi etenee

Miksi tietoturvan nykytilan kartoitus kannattaa tehdä ennen uusia päätöksiä

Tietoturvaa kehitetään harvoin tyhjästä. Useimmissa organisaatioissa on jo käytäntöjä, sopimuksia, pilvipalveluita, päätelaitteita ja ulkoistuksia, joiden varaan arki rakentuu. Haaste on se, että kokonaiskuva jää helposti hajanaiseksi: osa asioista on hyvin hallinnassa, osa on “hiljaista tietoa” yksittäisten henkilöiden varassa ja osa on jäänyt vuosien varrella päivittämättä.

Tietoturvan nykytilan kartoitus tekee tästä kokonaisuudesta näkyvän. Se auttaa tunnistamaan mitkä riskit ovat todellisia ja missä korjaustoimet tuottavat nopeasti konkreettista hyötyä. Samalla kartoitus tuo yhteisen kielen IT:n, tietoturvan ja liiketoiminnan välille: mihin ollaan menossa, mitä pitää suojata ja millä tasolla suojaus on realistista toteuttaa.

Käpy A.I. Oy toteuttaa tietoturvan nykytilan kartoituksia käytännönläheisesti. Tarkoitus ei ole tuottaa paksua raporttia hyllyyn, vaan antaa organisaatiolle selkeä kuva nykyhetkestä, priorisoitu kehityssuunnitelma sekä tuki päätöksille. Kartoitus on usein luonteva ensimmäinen askel ennen laajempaa tietoturvakartoitusta, vaatimustenmukaisuuden arviointia tai tietoturvaohjelman käynnistämistä.

Mitä tietoturvan nykytilan kartoituksessa selvitetään (ja miksi)

Nykytilan kartoitus on parhaimmillaan sekä tekninen että toiminnallinen. Pelkät tekniset asetukset eivät riitä, jos vastuut ovat epäselvät tai henkilöstö ei tiedä miten toimia poikkeamissa. Vastaavasti hyväkään ohjeistus ei auta, jos ympäristöstä puuttuu perustason suojaus.

Käpy A.I. Oy:n kartoituksissa tarkastelu jaetaan tyypillisesti seuraaviin osa-alueisiin. Painotus sovitetaan organisaation kokoon, toimialaan ja riskiprofiiliin.

1) Hallintamalli, vastuut ja käytännöt

Ensimmäinen kysymys on: kuka omistaa tietoturvan ja miten sitä johdetaan. Kartoituksessa selvitetään mm.:

  • Onko tietoturvalle nimetty omistaja ja roolit (johto, IT, tietosuojavastaava, palveluntarjoajat).
  • Miten riskienhallinta ja päätöksenteko toimii käytännössä: miten poikkeamat käsitellään ja miten muutoksia arvioidaan.
  • Onko keskeiset ohjeet olemassa ja käytössä (esim. käyttöoikeudet, etätyö, laitteet, tiedon käsittely, toimittajat).

Tässä vaiheessa löytyy usein “matalaa riippuvaa hedelmää”: esimerkiksi vastuunjaon selkeyttäminen, poikkeamien ilmoituskanava tai muutaman ydinohjeen päivittäminen voi pienentää riskiä nopeasti.

2) Tekniset peruspalikat ja ympäristön näkyvyys

Kartoituksessa arvioidaan, onko ympäristöstä riittävä näkyvyys ja ovatko perustason suojaukset toteutettu. Tarkastelu voi sisältää esimerkiksi:

  • Päätelaitteiden hallinta, päivityskäytännöt ja suojaus (työasemat, mobiililaitteet).
  • Käyttäjähallinta ja tunnistautuminen: monivaiheinen tunnistautuminen, roolipohjaiset oikeudet, poistuvien käyttäjien prosessi.
  • Pilvipalveluiden perusasetukset ja lokit: mitä kirjataan, miten poikkeamat havaitaan, kuka seuraa.

Useissa organisaatioissa juuri tämä osa-alue on kriittinen, koska arjen työkalut (kuten sähköposti ja dokumentit) ovat suurin hyökkäys- ja vuotoriski. Kartoituksen johtopäätöksissä kuvataan konkreettisesti, mitkä tekniset kontrollit ovat “pakollisia” ja mitkä ovat seuraavan vaiheen kehitystä.

3) Tiedon suojaaminen ja arjen tietoturvakäytännöt

Tietoturva pettää usein arjen rutiineissa: dokumentteja jaetaan väärin, luottamuksellista tietoa lähetetään suojaamattomana tai tietoja tallennetaan järjestelmiin, joiden käyttöä ei hallita. Nykytilan kartoituksessa tarkastellaan esimerkiksi:

  • Miten tieto luokitellaan ja missä sitä säilytetään (sähköposti, pilvitallennus, tiimit, projektikansiot).
  • Miten tiedonsiirto ja jakaminen tehdään turvallisesti kumppaneille ja asiakkaalle.
  • Miten henkilöstö ohjeistetaan käytännön tilanteissa ja miten toimintaa varmistetaan koulutuksella.

Kun havaitaan, että ohjeet eivät ole arjessa toteuttamiskelpoisia, ratkaisu ei ole lisätä byrokratiaa. Tyypillisesti tarvitaan selkeämpi malli ja toistettavaa osaamisen vahvistamista. Tässä tietoturvakoulutukset tuovat kartoituksen havainnot käytäntöön: henkilöstö oppii tunnistamaan riskit ja toimimaan oikein juuri niissä tilanteissa, joita organisaatiossa oikeasti tapahtuu.

4) Toimittajat, ulkoistukset ja sopimuksellinen turvallisuus

Nykytilan kartoituksessa selvitetään, mihin palveluihin organisaatio nojaa ja miten niihin liittyvät riskit on hallittu. Tarkastelu voi kattaa:

  • Keskeiset IT-toimittajat ja palvelut (pilvi, taloushallinto, HR, asiakashallinta, IT-ulkoistus).
  • Sopimusten ja käytäntöjen perusvaatimukset: tietoturvavelvoitteet, lokit, varautuminen, vastuut.
  • Toimittajamuutokset ja käyttöönottoprojektit: miten turvallisuus varmistetaan ennen kuin uusi ratkaisu vakiintuu.

Moni organisaatio kehittää tietoturvaa tehokkaimmin juuri hankintojen ja muutosten kautta: kun uutta järjestelmää kilpailutetaan tai vanhaa päivitetään, samalla kannattaa varmistaa perusvaatimukset ja kontrollit. Käpy A.I. Oy tarjoaa tarvittaessa käytännön tietoturvakonsultointia myös IT-hankintojen ja muutostilanteiden tueksi, jotta riskit eivät siirry huomaamatta uuteen ympäristöön.

Miten prosessi etenee: vaiheittainen malli, joka tuottaa päätöksille pohjan

Nykytilan kartoitus kannattaa toteuttaa vaiheittain niin, että organisaatiolle syntyy heti alussa yhteinen tilannekuva ja lopussa konkreettinen toteutuslista. Käpy A.I. Oy:n malli on suunniteltu niin, että työ on kevyt osallistujille mutta silti riittävän tarkka päätöksentekoon.

Vaihe 1: Tavoitteiden ja rajauksen määrittely

Alussa määritellään, miksi kartoitus tehdään ja mihin sitä käytetään. Tyypillisiä lähtötilanteita ovat:

  • Halu saada selkeä kuva nykytilasta ennen isompia investointeja tai ulkoistusta.
  • Huoli poikkeamista, läheltä piti -tilanteista tai kasvaneesta kalastelusta.
  • Valmistautuminen vaatimuksiin (asiakasvaatimukset, sopimukset, sertifiointi).
  • Tarve parantaa tietoturvakulttuuria ja henkilöstön toimintaa.

Rajauksessa sovitaan, mitkä järjestelmät ja prosessit ovat mukana (esim. Microsoft 365, päätelaitteet, verkko, kriittiset liiketoimintajärjestelmät). Samalla sovitaan aikataulu ja yhteyshenkilöt.

Vaihe 2: Aineiston keruu ja haastattelut

Nykytilaa ei voi arvioida vain yhdestä näkökulmasta. Siksi kartoitus yhdistää dokumenttien läpikäynnin, käytäntöjen tarkastelun ja avainhenkilöhaastattelut. Tarkasteltavia aineistoja ovat tyypillisesti:

  • Keskeiset tietoturva- ja IT-ohjeet, sopimuspohjat ja prosessikuvaukset.
  • Ympäristön kuvaus ja perusasetukset (käyttöoikeudet, MFA, lokit, varmistukset).
  • Poikkeamien ja tukipyyntöjen yleiskuva: mistä ongelmat toistuvat.

Haastatteluissa painottuu käytännön tekeminen: miten asioita oikeasti tehdään arjessa, missä syntyy epävarmuutta ja missä työn sujuvuus ja turvallisuus törmäävät toisiinsa.

Vaihe 3: Analyysi, riskit ja priorisointi

Kerätyn tiedon perusteella Käpy A.I. Oy muodostaa riskiperusteisen kuvan nykytilasta. Tämä vaihe erottaa kartoituksen “yleisestä tarkistuslistasta”: tavoitteena on kuvata nimenomaan organisaation oma riskiympäristö.

Priorisointi tehdään tyypillisesti yhdistämällä:

  • Vaikutus liiketoimintaan (esim. käyttökatko, tietovuoto, mainehaitta, sopimusriski).
  • Todennäköisyys (kuinka helposti tilanne voi toteutua nykyisillä käytännöillä).
  • Korjattavuus (mitä voidaan tehdä nopeasti ja mitä vaatii projektin).

Tuloksena syntyy selkeä lista: 5–10 tärkeintä havaintoa ja niihin liittyvät toimenpiteet, joilla riskiä pienennetään käytännössä.

Vaihe 4: Tulosten läpikäynti ja toteutussuunnitelma

Kartoitus päättyy työpajaan tai läpikäyntiin, jossa tulokset sidotaan päätöksiin. Tässä vaiheessa varmistetaan, että:

  • Havainnot ovat ymmärrettäviä myös johdolle ja liiketoiminnalle.
  • Toimenpiteille on omistajat, aikataulu ja realistinen toteutustapa.
  • Tekniset ja toiminnalliset kehitystoimet tukevat toisiaan (ei erillisiä siiloja).

Usein samalla päätetään, jatketaanko esimerkiksi vaatimustenmukaisuuden GAP-kartoituksella, ISO 27001 -polun kypsyyskartoituksella tai koulutusohjelmalla. Näin nykytilan kartoitus toimii “reittikarttana” seuraaville askelille.

Miten kartoitus kytketään koulutuksiin ja konsultointiin niin, että muutos näkyy arjessa

Nykytilan kartoitus tuottaa parhaimman hyödyn, kun se johtaa pysyviin toimintatapoihin. Pelkkä tekninen korjauslista ei muuta ihmisten toimintaa, ja pelkkä koulutus ei korjaa rakenteellisia puutteita. Siksi Käpy A.I. Oy yhdistää kartoituksen tarvittaessa kahteen käytännön toteutukseen:

  • Tietoturvakoulutus ja tietoisuuden kehittäminen: Kartoituksen havainnoista rakennetaan roolikohtaiset teemat (johto, henkilöstö, IT) ja arjen esimerkit. Näin koulutus ei jää geneeriseksi, vaan auttaa juuri niissä tilanteissa, joissa riski syntyy.
  • Tietoturvakonsultointi toteutuksen tueksi: Kun tarvitaan muutoksia käyttöoikeuksiin, lokitukseen, varautumiseen tai hankintoihin, konsultointi auttaa viemään päätökset käytännön toteutukseen hallitusti ja dokumentoidusti.

Erityisen tehokas yhdistelmä on: nykytilan kartoitus → nopeiden hyötyjen toteutus (30–60 päivää) → koulutus ja toimintamallien vakiinnuttaminen → seuranta ja uusi arviointi. Tämä rytmi tukee tietoturvakulttuurin kehittymistä ilman raskasta projektikoneistoa.

Milloin nykytilan kartoitus on ajankohtainen

Nykytilan kartoitus on perusteltu, kun organisaatio tunnistaa jonkin seuraavista signaaleista:

  • IT-ympäristö on kasvanut, mutta hallinta ja dokumentaatio ei ole pysynyt mukana.
  • Tietoturvapoikkeamien määrä kasvaa tai “läheltä piti” -tilanteita tapahtuu.
  • Ulkoinen paine lisääntyy: asiakkaat kysyvät tietoturvasta, sopimuksiin tulee vaatimuksia.
  • Organisaatiossa tapahtuu muutos: yritysjärjestely, ulkoistus, pilvimigraatio, avainhenkilöiden vaihtuminen.
  • Henkilöstön ohjeistus on epäselvää tai koulutus on satunnaista.

Kartoitus kannattaa nähdä riskien pienentämisenä ja päätöksenteon varmistamisena. Se tuo näkyviin, mitä kannattaa tehdä ensin ja mitä myöhemmin, jotta tietoturva paranee hallitusti.

CTA: Ota seuraava askel – pyydä nykytilan kartoitus

Jos organisaatiossa on tarve saada selkeä ja perusteltu kuva tietoturvan tämänhetkisestä tasosta, Käpy A.I. Oy:n tietoturvan nykytilan kartoitus antaa siihen rakenteen. Tuloksena syntyy priorisoitu toimenpidelista ja käytännön suositukset, joiden avulla kehittäminen voidaan aloittaa heti.

Tutustu palveluihin tietoturvakartoitukset-sivulla tai ota suoraan yhteyttä ja sovi aloituspalaveri: yhteystiedot.

Kun lähtötilanne on kirkas, myös seuraavat päätökset ovat helpompia – ja tietoturva kehittyy tavalla, joka näkyy arjen työssä.

Pyydä tarjous

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Kysy lisää

Harri Juntunen

Toimitusjohtaja
Tietoturvakonsultti ja -kouluttaja

046 920 1509
[email protected]

Räätälöityjä tietoturvapalveluita yrityksesi digitaalisten resurssien suojaamiseen.

Yhteystiedot

[email protected]

Käpy A.I. Oy
Y-tunnus: 3118566-9

Tietosuojaseloste

Ota yhteyttä

Verkkolaskutus

verkkolaskuosoite
003731185669001

Operaattoritunnus
003714377140

Sivut

Etusivu
Tuotteet
Palvelut
Palvelutuotteet
Ota yhteyttä

Sopimusehdot

Yleiset sopimusehdot

Kumppanit

Veeam Data Platform
Admin By Request
Tehtris XDR AI Platform
Heimdal Security

Palvelut

Koulutukset
Kartoitukset

Lataa etäyhteysohjelma