Miten tehdä tietoturvakartoitus yrityksessä? Vaiheittainen malli, joka tuottaa päätöksentekoon sopivat tulokset

Mikä tietoturvakartoitus on – ja miksi se epäonnistuu usein?

Tietoturvakartoitus (nykytilan arviointi) on käytännönläheinen tapa selvittää, miten organisaation tietoturva oikeasti toimii: mitä on sovittu, mitä tehdään arjessa, mitkä kontrollit ovat kunnossa ja missä on selkeitä aukkoja. Kartoitus ei ole pelkkä IT-inventaario eikä auditointi sanan raskaimmassa merkityksessä. Sen tärkein tuotos on ymmärrettävä tilannekuva ja priorisoitu etenemissuunnitelma, joka yhdistää liiketoiminnan riskit, tekniset toimenpiteet ja henkilöstön toimintatavat.

Moni kartoitus jää kuitenkin puolitiehen, koska lähtötilanne määritellään väärin. Tyypillisiä kompastuskiviä ovat:

• Liian laaja scope: kaikkea yritetään tutkia kerralla, jolloin mitään ei saada valmiiksi.
• Liian tekninen näkökulma: keskitytään pelkkiin asetuksiin, vaikka iso osa riskeistä syntyy prosesseista ja ihmisistä.
• Puuttuvat päätöskriteerit: löydöksille ei sovita riskiperusteista priorisointia, joten lista jää “to do” -tasolle.
• Heikko omistajuus: ei ole nimettyä vastuuta siitä, kuka vie korjaukset läpi ja millä aikataululla.

Käpy A.I. Oy:n kartoitusmallissa tavoitteena on tuottaa päätöksentekoa tukeva kokonaiskuva ja konkreettiset seuraavat askeleet. Tarvittaessa kartoitus yhdistetään koulutuksiin ja konsultointiin, jotta löydökset muuttuvat arjen teoiksi eikä pelkäksi raportiksi. Kartoituksia toteutetaan osana tietoturvakartoituksia ja kehitystä tuetaan tarvittaessa myös tietoturvakoulutuksilla.

Vaihe 1–3: rajaa tavoite, valitse viitekehys ja kokoa lähtötiedot

Hyvä tietoturvakartoitus alkaa tarkasta kysymyksenasettelusta. Tavoite voi olla esimerkiksi: “Saadaan 90 päivässä selkeä riskikuva ja 6 kuukauden toteutussuunnitelma”, “Valmistaudutaan ISO 27001 -polulle”, “Arvioidaan vaatimustenmukaisuus suhteessa asiakkaiden vaatimuksiin” tai “Varmistetaan, että pilvi- ja päätelaitesuojaus vastaa nykyisiä uhkia”.

1) Määrittele scope liiketoiminnan kautta

Scope kannattaa rakentaa liiketoiminnan kriittisyyden ympärille, ei organisaatiokaavion. Käytännössä tämä tarkoittaa, että määritellään:

• kriittiset prosessit (myynti, tuotanto, toimitusketju, asiakaspalvelu, talous)
• kriittiset järjestelmät ja tiedot (asiakasdata, sopimukset, tuotekehityksen aineistot, henkilöstödata)
• tärkeimmät palveluntarjoajat ja riippuvuudet
• todennäköisimmät uhkaskenaariot (tietojenkalastelu, tilikaappaus, haittaohjelma, väärät käyttöoikeudet, tietovuoto, palvelukatko)

Kun scope on rajattu, kartoitus pysyy hallittavana ja tulokset ovat vertailukelpoisia myös jatkokehityksessä.

2) Valitse “mittatikku”: mihin verrataan?

Kartoitus tarvitsee vertailupohjan, jotta löydökset eivät jää mielipiteiksi. Käytännössä vertailu tehdään yleensä yhdistelemällä:

• riskiperusteinen nykytilakartoitus (mitä riskejä nykyiset käytännöt aiheuttavat)
• GAP-ajattelu (mitä puuttuu suhteessa sovittuun tavoitteeseen tai vaatimuksiin)
• kypsyystaso (onko toiminta satunnaista, toistettavaa, mitattavaa vai systemaattista)

Jos tavoitteena on standardipohjainen kehittäminen, kartoitus voidaan kytkeä ISO 27001 -näkökulmaan: mitä kontrollit tarkoittavat teidän ympäristössä ja millä tasolla ne toteutuvat. Tämä on luontevaa myös silloin, kun halutaan mitata kehitystä ajassa ja rakentaa tietoturvan johtamismallia.

3) Kerää lähtötiedot nopeasti, mutta riittävän kattavasti

Tyypillinen lähtötietopaketti sisältää esimerkiksi:

• tietoturvapolitiikat ja ohjeet (jos olemassa)
• käyttöoikeusmalli ja roolit, kirjautumisen ja monivaiheisen tunnistautumisen tila
• päätelaitteiden hallinta, päivitys- ja haavoittuvuushallinta
• varmuuskopioinnin ja palautuksen periaatteet sekä testaus
• pilviympäristöjen perusasetukset (esim. Microsoft 365), lokitus ja valvonta
• poikkeamien käsittelyn ja ilmoittamisen malli
• toimittajahallinnan periaatteet ja kriittiset sopimukset

Lähtötietojen keruun yhteydessä näkyy usein, onko dokumentaatio ajan tasalla ja ennen kaikkea: onko sovitut käytännöt jalkautettu arkeen. Jos dokumentit ovat kunnossa mutta henkilöstö toimii toisin, kartoitus nostaa esiin koulutustarpeet ja prosessipuutteet.

Vaihe 4–6: haastattelut, tekninen tarkastelu ja riskien arviointi

Kun scope, vertailupohja ja lähtötiedot ovat kunnossa, kartoitus etenee varsinaiseen arviointiin. Käpy A.I. Oy:n käytännön toteutuksessa yhdistetään kolme näkökulmaa: ihmiset, prosessit ja teknologia. Näin löydökset ovat perusteltuja ja korjaukset osuvat oikeaan.

4) Haastattele roolipohjaisesti – älä vain IT:tä

Haastatteluissa varmistetaan, miten toiminta tapahtuu käytännössä. Tärkeää on valita roolit, jotka oikeasti omistavat riskit. Tyypillisesti mukana ovat:

• liiketoiminnan omistajat (prosessi- tai yksikkövastaavat)
• IT ja tietoturvavastuut (sisäinen tai ulkoinen)
• HR (perehdytys, poistuvien työntekijöiden prosessi)
• talous (maksuliikenteen riskit, laskuhuijaukset, hyväksyntäketjut)
• hankinta / vendor management (toimittajariskit)

Haastattelujen tavoite ei ole “etsiä syyllisiä”, vaan tunnistaa, missä kohtaa arjen realiteetit ajavat sovittujen käytäntöjen ohi. Tämä tieto on kriittinen, kun suunnitellaan muutoksia, jotka ihmiset myös omaksuvat.

5) Tee tekninen tarkastelu riittävällä syvyydellä

Pelkkä dokumenttien läpikäynti ei riitä. Kartoitukseen kuuluu yleensä myös tekninen “terveystarkastus” valitusta scopesta. Se voi sisältää esimerkiksi:

• tunnistautumisen ja pääsynhallinnan tilan (MFA, ehdollinen pääsy, roolipohjaisuus)
• laitteiden suojaus ja hallinta (päivitykset, salaus, EDR/XDR)
• lokituksen ja valvonnan kattavuus (mitä havaitaan, mitä jää pimentoon)
• varmuuskopioiden palautettavuus (ei vain “onko backup”, vaan “toimiiko restore”)
• pilvipalvelun perusasetukset ja kovennus (esim. Microsoft 365 -kokonaisuus)

Tekninen tarkastelu rajataan niin, että se tuottaa päätöksenteon kannalta olennaisen kuvan: mitä aukkoja kannattaa korjata ensin, jotta riski pienenee nopeasti.

6) Arvioi riskit ja vaikutukset: miksi tämä on tärkeää?

Jotta löydöksistä tulee priorisoituja, ne pitää sitoa vaikutuksiin: mitä tapahtuu, jos kontrolli pettää? Hyvä riskin arviointi yhdistää:

• todennäköisyyden (kuinka helposti tilanne voi toteutua nykyisillä käytännöillä)
• vaikutuksen (taloudellinen, operatiivinen, maine, sopimus- ja sääntelyriskit)
• havaittavuuden (huomataanko poikkeama ajoissa)
• palautumiskyvyn (kuinka nopeasti toiminta saadaan takaisin)

Tässä vaiheessa kartoitus alkaa tuottaa hyötyä myös johtoryhmälle: tekniset havainnot muuttuvat liiketoimintariskiksi ja hallittavaksi toimenpidelistaksi.

Vaihe 7–9: raportointi, toimenpidesuunnitelma ja jalkautus

Moni organisaatio saa kartoituksesta “raportin”, mutta ei muutosta. Siksi tärkein osa on muuttaa löydökset päätöksiksi, aikatauluiksi ja omistajuudeksi.

7) Tee raportista kahden tason dokumentti

Toimiva toimitus sisältää yleensä:

• Johdon yhteenveto: tärkeimmät riskit, vaikutukset ja 3–5 keskeisintä päätöstä.
• Tekninen ja operatiivinen liite: yksityiskohtaiset löydökset, todisteet, suositukset ja toteutustavat.

Kun raportti on kaksitasoinen, se palvelee sekä päätöksentekijöitä että toteuttajia. Samalla vältetään tilanne, jossa raportti on “liian tekninen” tai “liian yleinen”.

8) Priorisoi korjaukset: 30–90 päivää ja 6–12 kuukautta

Hyvä käytäntö on jakaa toimenpiteet aikahorisonttiin. Esimerkiksi:

• 0–30 päivää: nopeat riskin pienennykset (esim. MFA-käytäntöjen tiukennus, kriittisten tilien läpikäynti, lokituksen peruskorjaus, varmuuskopioiden palautustesti).
• 31–90 päivää: prosessien ja käytäntöjen vahvistus (poikkeamaprosessi, käyttöoikeusprosessin selkeytys, koulutus ja ohjeistus).
• 6–12 kuukautta: kypsyystason nosto (systemaattinen riskienhallinta, jatkuva valvonta, toimittajahallinnan malli, standardipolku).

Tämä malli tekee etenemisestä realistista ja mitattavaa. Se on myös helppo liittää vuosikelloon ja resursointiin.

9) Jalkauta: koulutus ja konsultointi osaksi toteutusta

Jos kartoitus osoittaa puutteita henkilöstön toimintatavoissa (esim. tietojen käsittely, etätyö, huijausten tunnistaminen, ilmoittamiskynnys), pelkkä ohje ei riitä. Tarvitaan käytännön harjoittelua ja roolipohjaista tukea.

Käpy A.I. Oy yhdistää kartoituksen jälkeen usein kaksi konkreettista elementtiä:

• Kohdennettu tietoturvakoulutus: lyhyet, arkea tukevat sisällöt eri rooleille (johto, henkilöstö, IT).
• Konsultointi toteutuksen tueksi: päätösten valmistelu, vaatimustenmukaisuuden tulkinta, teknisten parannusten suunnittelu ja toimittajavalinnat.

Kun koulutus ja konsultointi sidotaan suoraan kartoituksen löydöksiin, organisaatio saa nopeammin näkyviä parannuksia ja vähentää riskiä, että samat ongelmat palaavat seuraavassa arvioinnissa.

Miltä “hyvä” tietoturvakartoitus näyttää lopputuloksena?

Hyvä kartoitus on sellainen, jonka jälkeen organisaatio pystyy vastaamaan selkeästi seuraaviin kysymyksiin:

• Mitkä ovat 5 merkittävintä tietoturvariskiä meidän liiketoiminnalle juuri nyt?
• Missä kohdin riskit syntyvät: ihmisissä, prosesseissa vai teknologiassa (tai niiden rajapinnoissa)?
• Mitä tehdään seuraavaksi 30, 90 ja 180 päivän sisällä – ja kuka omistaa toimenpiteet?
• Miten mitataan, että tilanne paranee (esim. koulutuksen kattavuus, MFA-aste, palautustestien läpimeno, poikkeamien käsittelyaika)?
• Mitä pitää dokumentoida ja ylläpitää, jotta vaatimustenmukaisuus ei jää kertaluonteiseksi projektiksi?

Lisäksi hyvä kartoitus tuottaa päätöksenteon kannalta olennaisen tiedon investoinneista: mitä kannattaa tehdä ensin ja mitkä hankinnat tai muutokset voidaan perustella riskin pienentämisen kautta. Tämä vähentää myös “varmuuden vuoksi” -hankintoja ja nopeuttaa etenemistä.

CTA: Aloita tietoturvakartoitus hallitusti

Jos tarkoitus on selvittää tietoturvan nykytila, tunnistaa riskit ja rakentaa käytännöllinen etenemissuunnitelma, aloita rajatulla ja päätöksentekoa tukevalla kartoituksella. Käpy A.I. Oy auttaa määrittelemään scopen, toteuttamaan arvioinnin ja viemään löydökset käytäntöön koulutuksen ja konsultoinnin avulla.

Tutustu tietoturvakartoituksiin tai ota yhteyttä yhteystietojen kautta ja sovi aloituskeskustelu.

Päivitetty: 2026-05-12T01:00:27.070-04:00