Tietoturvatietoisuuden vuosikello yritykselle: näin rytmität koulutukset ja muistutukset

Miksi tietoturvatietoisuus tarvitsee vuosikellon?

Monessa organisaatiossa tietoturvatietoisuus nähdään yksittäisenä koulutuspäivänä tai intranet-ohjeena, joka luetaan (tai jätetään lukematta) kerran. Käytännössä tietoturvariskit syntyvät arjessa: kiireessä klikataan väärää linkkiä, jaetaan tiedosto väärälle vastaanottajalle tai ohitetaan monivaiheinen tunnistautuminen, koska se ”hidastaa”. Siksi tietoturvatietoisuus ei ole kampanja vaan toimintatapa, joka pitää ylläpitää. Tietoturvatietoisuuden vuosikello on yksinkertainen malli, jolla tekeminen rytmitetään koko vuodelle: mitä opetetaan, milloin muistutetaan, miten mitataan ja miten varmistetaan, että opit siirtyvät käytäntöön.

Vuosikello auttaa erityisesti, jos organisaatiossa on jokin seuraavista tilanteista:

  • tietoturvakoulutukset toteutuvat epäsäännöllisesti tai vain incidentin jälkeen
  • vastuut ovat epäselvät (HR, IT, tietoturva, johto)
  • ohjeita on paljon, mutta noudattaminen on satunnaista
  • vaatimustenmukaisuus edellyttää dokumentoitua, jatkuvaa kehittämistä
  • uusien työntekijöiden perehdytys ei kata tietoturvaa riittävästi

Käpy A.I. Oy:n näkökulmasta vuosikello on käytännön työkalu, jolla tietoturvakoulutukset, tietoturvakartoitukset ja konsultointi nivoutuvat yhdeksi kokonaisuudeksi. Kun ohjelma rakennetaan arjen riskeistä ja liiketoiminnan tarpeista, tuloksena on parempi tietoturvakulttuuri ja selkeämpi tilannekuva – ilman raskasta byrokratiaa.

Vuosikellon rakenne: teemat, roolit ja toistuvat rutiinit

Toimiva vuosikello ei ole lista juhlapäivistä tai geneerisiä ”muista tietoturva” -muistutuksia. Sen pitäisi vastata kolmeen kysymykseen:

  1. Mitä riskejä halutaan vähentää? (esim. tietojenkalastelu, väärät jakamiset, heikot salasanakäytännöt, puutteellinen mobiililaitteiden suojaus)
  2. Mitä käyttäytymistä halutaan vahvistaa? (esim. raportointi, turvallinen tiedonkäsittely, laitteiden lukitus, hyväksyttyjen kanavien käyttö)
  3. Miten tiedetään, että muutos tapahtuu? (mittarit, testit, seuranta ja auditointikelpoinen dokumentointi)

1) Teemat vuoden varrelle

Teemat kannattaa valita organisaation todellisista kipupisteistä. Käytännössä hyvä lähtökohta on tehdä tietoturvakartoitus, jossa tunnistetaan keskeiset riskit ja päätetään, mitä ihmisten arjen toimintaa halutaan parantaa ensimmäisenä. Teemoja voi jaksottaa esimerkiksi näin:

  • Q1: Perusvalmiudet kuntoon (salasanat, MFA, laitteiden lukitus, raportointi)
  • Q2: Tiedon käsittely ja jakaminen (Teams/SharePoint, sähköposti, luokittelu, vastaanottajatarkistus)
  • Q3: Etätyö, matkustus ja mobiili (VPN-käytännöt, julkiset verkot, MDM/MTD, fyysinen turvallisuus)
  • Q4: Poikkeamatilanteet ja jatkuvuus (toimintaohjeet, varmuuskopiot, harjoitukset, oppien keruu)

Oleellista on, että samaa teemaa käsitellään eri kulmista: lyhyt muistutus, käytännön harjoitus, roolikohtainen ohje ja lopuksi mittaus. Tällöin tieto ei jää irralliseksi, vaan muodostaa rutiinin.

2) Roolit ja vastuut ilman epäselvyyttä

Vuosikello onnistuu vain, jos omistajuus on selkeä. Suositeltava vastuumalli:

  • Johto: asettaa tavoitetason, hyväksyy prioriteetit ja varmistaa resursoinnin
  • IT / tietoturvavastaava: tuo tekniset kontrollit ja seurannan, varmistaa että ohjeet ovat toteutettavissa
  • HR / esihenkilöt: varmistaa perehdytyksen ja osallistumisen, tuo viestinnän osaksi arkea
  • Henkilöstö: noudattaa sovittuja toimintatapoja ja raportoi havainnot matalalla kynnyksellä
  • Käpy A.I. Oy: fasilitoi kokonaisuuden, tuottaa käytännönläheiset tietoturvakoulutukset, tekee kartoitukset ja tukee päätöksentekoa konsultoinnilla

Kun roolit ovat selkeät, vältetään tyypillinen ongelma: koulutus pyörii ”jonkun” vastuulla, mutta kukaan ei omista kokonaisuutta. Tietoturvassa tämä näkyy nopeasti: käytännöt vaihtelevat tiimeittäin ja riskit kasaantuvat hiljalleen.

3) Toistuvat rutiinit (viikko/kuukausi/kvartaali)

Vuosikello kannattaa rakentaa toistuvien rytmien varaan:

  • Kuukausittain: 5–10 minuutin mikrokoulutus tai muistutus + yksi konkreettinen toimintapyyntö (esim. “tarkista palautusosoite ja raportoi epäilyttävät viestit”)
  • Kvartaalittain: roolikohtainen syventävä sessio (johto, IT, henkilöstö) + mittaus
  • Puolivuosittain: tilannekatsaus: mitä opittiin, mihin reagoitiin, mitä muutetaan
  • Vuosittain: laajempi arvio (nykytila, gapit, tavoitetaso seuraavalle vuodelle)

Kun tekeminen on ennakoitavaa, osallistuminen paranee. Samalla tietoturva lakkaa olemasta ”keskeytys” ja muuttuu osaksi normaalia johtamista.

Esimerkkivuosikello: 12 kuukautta käytännön tekemistä

Alla on malli, jota voidaan räätälöidä organisaation toimialaan, riskitasoon ja käytössä oleviin järjestelmiin. Malli on tarkoituksella käytännönläheinen: jokaiselle kuukaudelle yksi pääteema, yksi harjoitus ja yksi mittari.

Tammikuu: peruspelisäännöt ja raportointi

Tavoite: jokainen tietää, mitä tehdä epäilyttävässä tilanteessa ja minne ilmoittaa.

  • Harjoitus: “Näin raportoit epäilyttävän sähköpostin” -läpikäynti omilla työkaluilla
  • Mittari: raportointien määrä ja käsittelyaika (ei vain incidentit, myös havainnot)

Helmikuu: salasanat ja monivaiheinen tunnistautuminen

Tavoite: käyttöön sovitut salasanakäytännöt ja MFA siellä missä pitää.

  • Harjoitus: tilannekuva “missä MFA puuttuu ja miksi” + korjauslista
  • Mittari: MFA-kattavuus kriittisissä palveluissa

Maaliskuu: tietojenkalastelu ja huijausviestit

Tavoite: henkilöstö tunnistaa yleisimmät huijauksen merkit ja uskaltaa pysäyttää toiminnan.

  • Harjoitus: 10 minuutin analyysi esimerkkiviesteistä (aihe, lähettäjä, linkit, kiire)
  • Mittari: ilmoitusten laatu (kuinka moni sisältää olennaiset tiedot)

Huhtikuu: tiedon luokittelu ja jakamisen periaatteet

Tavoite: tiedetään, mitä saa jakaa, kenelle ja missä kanavassa.

  • Harjoitus: “kolmen tason luokittelu” (julkinen / sisäinen / luottamuksellinen) ja esimerkit omasta työstä
  • Mittari: väärän jakamisen läheltä piti -tapaukset ja korjaavat toimet

Toukokuu: Microsoft 365 -työskentelyn turvallisuus

Tavoite: perusasetukset ja toimintatavat tukevat turvallista yhteistyötä.

  • Harjoitus: Teams/SharePoint -jakamisen tarkistus (linkit, ulkoiset vieraat, omistajuus)
  • Mittari: ulkoisten jakolinkkien määrä ja vanhentaminen

Kesäkuu: etätyö ja matkustaminen

Tavoite: julkiset verkot, laitteet ja näytöt eivät vuoda tietoa.

  • Harjoitus: “matkustuschecklist” + lyhyt skenaario: kadonnut laite
  • Mittari: laitteiden suojausaste (lukitus, päivitykset, salaus)

Heinäkuu: kesälomakauden riskit ja sijaisuudet

Tavoite: sijaisuudet eivät aiheuta tarpeetonta pääsyn laajentumista tai ohjeiden ohitusta.

  • Harjoitus: sijaisuusmalli (mitä pääsyjä annetaan, miten poistetaan)
  • Mittari: ylimääräisten oikeuksien poistoaika

Elokuu: päätelaitteet ja päivitykset

Tavoite: päivitys- ja laitehallinta toimii, ja käyttäjät ymmärtävät miksi päivityksiä ei voi siirtää loputtomiin.

  • Harjoitus: “päivitysmyytit” ja miten toimitaan, jos päivitys häiritsee työtä
  • Mittari: päivitysviive päätelaitteissa

Syyskuu: toimittajat ja hankinnat

Tavoite: uudet järjestelmät ja palvelut eivät tuo piilovelkaa tietoturvaan.

  • Harjoitus: hankinnan tietoturvakysymykset (data, lokit, pääsynhallinta, varautuminen)
  • Mittari: kuinka monessa hankinnassa tietoturva on mukana ennen sopimusta

Lokakuu: poikkeamaharjoitus (tabletop)

Tavoite: johto ja avainhenkilöt tietävät, miten toimitaan ensimmäisen 60 minuutin aikana.

  • Harjoitus: kiristyshaittaohjelma- tai tietovuotoskenaario
  • Mittari: päätöksenteon selkeys (kuka päättää, mitä tietoa tarvitaan)

Marraskuu: varmuuskopiointi ja palautuminen

Tavoite: palautuminen on testattu, ei oletettu.

  • Harjoitus: palautustesti valitulle kriittiselle tiedolle/palvelulle
  • Mittari: palautuksen onnistuminen ja tavoiteaika (RTO/RPO käytännössä)

Joulukuu: yhteenveto ja seuraavan vuoden prioriteetit

Tavoite: tehdään näkyväksi kehitys, päätetään seuraavat askeleet ja päivitetään vuosikello.

  • Harjoitus: 45 min retro: top 5 opit ja top 5 korjausta
  • Mittari: toteutumisaste (koulutukset, harjoitukset, korjaukset)

Miten Käpy A.I. Oy tukee vuosikellon rakentamista ja ylläpitoa

Vuosikello kannattaa tehdä “riittävän kevyeksi”, mutta sen pitää nojata faktoihin. Käpy A.I. Oy:n palvelut tukevat tätä kolmella tavalla.

1) Nykytilan kartoitus ja riskien priorisointi

Kun organisaatio tilaa tietoturvakartoituksen, lopputulos ei ole pelkkä lista puutteista. Tavoitteena on tuottaa ymmärrettävä tilannekuva: mitkä riskit ovat todennäköisiä, mitkä vaikuttavat eniten liiketoimintaan ja mitä korjataan ensin. Tämä antaa vuosikellolle perustan. Sen jälkeen koulutukset ja muistutukset kohdistetaan sinne, missä niillä on eniten vaikutusta.

2) Koulutukset, jotka muuttavat arjen toimintaa

Pelkkä tieto ei muuta käyttäytymistä. Siksi tietoturvakoulutuksissa painopiste on käytännön tilanteissa: miten tunnistaa huijaus, miten toimia jaettuja tiedostoja käsitellessä, miten suojata työ puhelimella ja miten raportoida poikkeama ilman pelkoa syyllistämisestä. Vuosikellossa koulutukset voidaan toteuttaa mikromuotoisina muistutuksina, tiimikohtaisina sessioina tai johdon työpajoina – tarpeen mukaan.

3) Konsultointi: käytännöt, mittarit ja jatkuva parantaminen

Vuosikellon arvo mitataan siinä, miten se näkyy arjen tekemisessä ja riskien pienenemisessä. Käpy A.I. Oy:n konsultointi auttaa rakentamaan:

  • selkeät toimintamallit (esim. raportointi, sijaisuudet, jakaminen, oikeudet)
  • mittarit, jotka ovat realistisia (ei pelkkää “koulutuksen läpäisyä”)
  • dokumentoinnin, joka kestää myös auditoinnin ja vaatimustenmukaisuuden tarkastelun

Kun vuosikello pyörii 6–12 kuukautta, saadaan jo selkeä trendi siitä, paraneeko kyky ehkäistä ja havaita poikkeamia. Samalla IT:n ja liiketoiminnan yhteistyö selkeytyy: tietoturva ei ole erillinen projekti, vaan osa päätöksentekoa.

Yleisimmät kompastuskivet – ja miten ne vältetään

  • Liian paljon sisältöä kerralla: tee yksi teema kuukaudessa ja yksi selkeä toimintapyyntö.
  • Ei mittareita: määritä minimitaso (osallistuminen, kattavuus, raportointi, palautustestit).
  • Tekniset kontrollit puuttuvat: koulutus ei korvaa puuttuvaa MFA:ta tai oikeuksien hallintaa – nämä pitää tehdä rinnakkain.
  • Viestintä jää irralliseksi: liitä muistutukset arjen kanaviin ja esihenkilöiden rutiineihin.
  • Omistajuus puuttuu: nimeä vastuuhenkilö ja päätä, kuka hyväksyy muutokset vuosikelloon.

CTA: rakennetaan vuosikello, joka sopii juuri teidän arkeen

Jos tavoitteena on saada tietoturvatietoisuus näkyväksi arjen tekemisenä (ei vain koulutusmerkintöinä), vuosikello on selkein tapa aloittaa. Käpy A.I. Oy auttaa määrittämään nykytilan, valitsemaan oikeat teemat ja toteuttamaan koulutukset sekä käytännöt niin, että kehitys on mitattavaa.

Seuraava askel on yksinkertainen: käy tutustumassa tietoturvakartoituksiin ja tietoturvakoulutuksiin tai ota suoraan yhteyttä ja sovitaan lyhyt alkukartoitus keskustelun pohjaksi yhteystietojen kautta.

Pyydä tarjous

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Kysy lisää

Harri Juntunen

Toimitusjohtaja
Tietoturvakonsultti ja -kouluttaja

046 920 1509
[email protected]

Räätälöityjä tietoturvapalveluita yrityksesi digitaalisten resurssien suojaamiseen.

Yhteystiedot

[email protected]

Käpy A.I. Oy
Y-tunnus: 3118566-9

Tietosuojaseloste

Ota yhteyttä

Verkkolaskutus

verkkolaskuosoite
003731185669001

Operaattoritunnus
003714377140

Sivut

Etusivu
Tuotteet
Palvelut
Palvelutuotteet
Ota yhteyttä

Sopimusehdot

Yleiset sopimusehdot

Kumppanit

Veeam Data Platform
Admin By Request
Tehtris XDR AI Platform
Heimdal Security

Palvelut

Koulutukset
Kartoitukset

Lataa etäyhteysohjelma