Miten tehdä tietoturvakartoitus yrityksessä: vaiheittainen malli päätöksenteon tueksi
Miksi tietoturvakartoitus kannattaa tehdä ennen kuin korjataan mitään
Tietoturvaa kehitetään usein reaktiivisesti: kun tulee poikkeama, auditointipyyntö, asiakasvaatimus tai uusi järjestelmähanke. Ongelma on, että ilman yhteistä kuvaa nykytilasta korjaukset kohdistuvat helposti väärin. Hankitaan työkalu, vaikka puute on prosessissa. Kirjoitetaan ohje, vaikka ongelma on käyttöoikeuksissa. Tai koulutetaan henkilöstöä, vaikka suurin riski on varmistusten palautuskyvyssä.
Tietoturvakartoitus on käytännönläheinen tapa tehdä näkyväksi, missä organisaation merkittävimmät riskit ovat, mikä on jo kunnossa ja mitä kannattaa priorisoida seuraavaksi. Käpy A.I. Oy:n kartoituksissa tavoitteena ei ole tuottaa paksua raporttia, vaan selkeä päätöksenteon paketti: löydökset, vaikutus liiketoimintaan, suositeltu eteneminen ja konkreettiset toimenpiteet.
Kun kartoitus tehdään oikein, se tukee samaan aikaan kolmea tarvetta: riskien pienentämistä, vaatimustenmukaisuuden varmistamista ja henkilöstön arjen toiminnan selkeyttämistä. Kartoitus myös antaa johdolle perustellun näkymän siihen, mitkä kehitystoimet ovat välttämättömiä ja mitkä voidaan aikatauluttaa.
Vaihe 1: Rajaa kartoituksen tavoite ja laajuus (ja sovi omistajuus)
Hyvä kartoitus alkaa rajauksesta. “Selvitetään tietoturvan tila” kuulostaa helpolta, mutta käytännössä se voi tarkoittaa kaikkea päätelaitteista sopimuksiin ja valvontaan. Siksi ensimmäinen vaihe on määritellä, mihin kysymykseen kartoituksella vastataan.
Tyypillisiä käynnistäviä tilanteita ovat esimerkiksi:
- asiakas tai kumppani edellyttää näyttöä tietoturvan hallinnasta
- organisaatio valmistautuu sertifiointiin tai standardin mukaisiin käytäntöihin
- pilvi- tai identiteettiympäristö on kasvanut ilman selkeää hallintamallia
- on tapahtunut poikkeama tai “läheltä piti” -tilanne
- yrityksessä on fuusio, ulkoistus, järjestelmäuudistus tai muu muutos
Laajuuden lisäksi sovitaan omistajuus: kuka organisaatiossa vastaa kartoituksen etenemisestä, ja kuka hyväksyy lopputuloksen. Kun vastuut ovat selkeät, kartoituksesta tulee päätöksiä tukeva kokonaisuus, ei irrallinen selvitys.
Tässä vaiheessa on usein järkevää peilata tavoitetta myös palvelukokonaisuuteen: kartoitus voidaan toteuttaa esimerkiksi tietoturvakartoituksena, vaatimustenmukaisuuden GAP-näkökulmalla tai ISO 27001 -viitekehystä hyödyntäen. Käpy A.I. Oy auttaa valitsemaan mallin, joka tuottaa juuri kyseisessä tilanteessa eniten hyötyä.
Vaihe 2: Kerää faktat nopeasti – dokumentit, haastattelut ja tekninen perusnäkymä
Kartoituksen ydin on yhdistää kolme näkökulmaa: mitä on määritelty, miten oikeasti toimitaan ja mitä tekninen ympäristö kertoo. Pelkkä dokumenttien läpikäynti ei riitä, mutta ilman dokumentteja ja päätöksiä ei synny pysyvää kehitystä.
Käytännössä tietojen keruu etenee usein näin:
- Dokumentit ja käytännöt: tietoturvapolitiikka, ohjeet, roolit, riskienhallinta, toimittajahallinta, poikkeamaprosessi, varautuminen ja palautuminen.
- Haastattelut: johto, IT, tietosuoja, avainprosessien omistajat ja tarvittaessa ulkoiset toimittajat. Tavoitteena on tunnistaa arjen poikkeamat ja päätöksenteon kipupisteet.
- Tekninen peruskuva: identiteetit ja käyttöoikeudet, päätelaitteet ja mobiili, varmistukset, lokit ja valvonta, verkon perusjaottelu sekä kriittisten järjestelmien suojaus.
Nopea faktankeruu on tehokasta vain, jos kysymykset ovat valmiiksi jäsenneltyjä. Käpy A.I. Oy käyttää kartoituksissa rakenteita, jotka sopivat sekä pk-yrityksille että monimutkaisemmille ympäristöille. Samalla pyritään minimoimaan organisaation kuormitus: kerätään vain se, mitä päätöksenteon kannalta tarvitaan.
Jos tavoitteena on varmistaa, mitä direktiivit tai standardit edellyttävät, voidaan tietojen keruu sitoa suoraan vaatimuksenmukaisuuden GAP-kartoitukseen tai ISO 27001 kypsyyskartoitukseen. Näin löydökset ovat suoraan verrattavissa odotustasoon, eikä tulos jää tulkinnan varaan.
Vaihe 3: Tunnista riskit ja puutteet – ja tee niistä priorisoitava toimenpidelista
Kartoituksen arvo syntyy analyysissa: mitä löydökset tarkoittavat riskin ja liiketoimintavaikutuksen kannalta. Pelkkä “puute listassa” ei auta johtoa. Tarvitaan yhteys siihen, miten tilanne voi realisoitua, miten todennäköinen se on ja miten se vaikuttaisi tuotantoon, asiakassuhteisiin tai lakisääteisiin velvoitteisiin.
Käytännön kartoituksessa riskit ryhmitellään usein esimerkiksi näin:
- Identiteetti ja käyttöoikeudet: vähimmäisoikeus, roolipohjaisuus, poistuvien käyttäjien prosessi, järjestelmätilien hallinta.
- Päätelaitteet ja mobiili: päivitykset, kovennus, salaus, hallinta ja etätyön käytännöt.
- Varmistukset ja palautuminen: mitä varmistetaan, palautuskyky, testaus, eriytys ja poikkeustilanteen johtaminen.
- Poikkeamien havaitseminen: lokitus, valvonnan kattavuus, reagointimallit ja roolit.
- Toimittajat ja sopimukset: vastuurajaukset, raportointi, alihankkijat, pääsynhallinta ja muutosten hallinta.
- Henkilöstön toimintatavat: tiedon käsittely, kalastelun tunnistaminen, ilmoituskynnys, perehdytys ja jatkuva muistuttaminen.
Priorisointi tehdään niin, että listasta syntyy realistinen etenemispolku. Käpy A.I. Oy:n mallissa suositukset kuvataan käytännön tasolla: mitä tehdään, kuka omistaa, mitä riippuvuuksia on ja millä aikataululla toimi tuo näkyvän riskin pienenemisen.
Tässä vaiheessa on usein hyödyllistä kytkeä mukaan myös koulutus: jos kartoitus osoittaa, että riskit realisoituvat toistuvasti arjen toiminnassa, tietoturvakoulutukset ja roolikohtaiset harjoitukset parantavat vaikutusta nopeasti. Pelkät ohjeet eivät muuta toimintaa, jos henkilöstö ei ymmärrä miksi ja miten toimia paineen alla.
Vaihe 4: Varmista vaatimustenmukaisuus ilman “paperiturvaa”
Moni organisaatio lähtee liikkeelle vaatimuksesta: asiakkaan auditointikysely, standardi tai sisäinen governance. Riskinä on, että kartoitus muuttuu dokumenttiharjoitukseksi, jossa kaikki näyttää hyvältä, mutta käytännön toteutus ei kanna.
Käpy A.I. Oy:n lähestymistapa on käytännönläheinen: vaatimustenmukaisuus todennetaan siellä missä se elää – prosesseissa ja toteutuksessa. Tämä tarkoittaa esimerkiksi sitä, että:
- ohjeen lisäksi tarkistetaan, miten toimitaan todellisissa poikkeamatilanteissa
- riskirekisterin lisäksi arvioidaan, näkyykö riskien käsittely päätöksissä ja muutoksissa
- varmistusten osalta ei tyydytä “backup on päällä” -tasoon, vaan varmistetaan palautustestaus ja vastuut
Kun tarve liittyy selkeästi standardiin, ISO 27001 -näkökulma tuo kartoitukseen rakenteen, joka auttaa myös sisäisessä johtamisessa. ISO 27001 kypsyyskartoitus on käytännöllinen tapa tunnistaa, mitkä osa-alueet ovat alkuvaiheessa, mitkä hallinnassa ja mitkä vaativat nopeasti panostusta.
Jos taas tavoite on tunnistaa erot vaatimuksiin nähden ja rakentaa korjauspolku, GAP-kartoitus tuottaa selkeän kuvan puutteista ja siitä, mitä näyttöä tarvitaan. Tämä vähentää epävarmuutta ja tukee hallittua etenemistä.
Vaihe 5: Tee löydöksistä toteutuskelpoinen ohjelma – ja liitä siihen konsultoinnin tuki
Kartoitus ei saa jäädä irralliseksi nykytilaraportiksi. Arvo syntyy vasta, kun suositukset käännetään tekemiseksi: päätöksiksi, muutoksiksi ja mittareiksi. Siksi viimeinen vaihe on toimenpideohjelma, jossa on selkeät kokonaisuudet, riippuvuudet ja ensimmäiset “nopeat voitot”.
Käpy A.I. Oy:n käytännön malli on rakentaa ohjelma kolmessa kerroksessa:
- Välittömät riskin pienennykset (0–30 päivää): esimerkiksi käyttöoikeuksien siivous, kriittisten järjestelmien peruskovennukset, poikkeamailmoittamisen pelisäännöt.
- Rakenteelliset korjaukset (1–3 kuukautta): roolimallit, varmistusten palautuskyvyn testaus, toimittajien pääsynhallinta, lokituksen kattavuus.
- Jatkuva kehitys (3–12 kuukautta): mittarointi, vuosikello, harjoitukset, kypsyystason nostaminen ja säännöllinen uudelleenarviointi.
Usein tarvitaan myös sparrausta toteutuksessa: mitä kannattaa tehdä omalla tiimillä, mitä ulkoistaa ja miten varmistaa, että hankinnat ja muutokset tukevat tietoturvaa. Tässä tietoturvakonsultointi auttaa tekemään valinnat järkevästi ja välttämään väärin kohdistuvat investoinnit.
Kun kartoituksen tulokset kytketään myös henkilöstön osaamiseen, kehitys nopeutuu. Kohdennettu koulutus (esimerkiksi tiedon käsittely, etätyö, kalastelun tunnistaminen, mobiilikäytännöt) vähentää inhimillisiä virheitä ja madaltaa ilmoituskynnystä. Käytännössä tämä näkyy nopeampana reagointina ja pienempinä vahinkoina.
Miten Käpy A.I. Oy toteuttaa tietoturvakartoituksen käytännössä
Tyypillinen kartoitus etenee selkeästi ja ilman tarpeetonta raskautta:
- Kickoff ja rajaus: tavoitteet, laajuus, aikataulu ja roolit.
- Aineiston keruu ja haastattelut: olennaiset dokumentit, avainhenkilöt ja tekninen perusnäkymä.
- Analyysi ja löydökset: riskit, puutteet, vahvuudet ja vaikutukset liiketoimintaan.
- Toimenpidesuunnitelma: priorisoitu lista, omistajuus ja realistinen eteneminen.
- Jatkotoimet: koulutus, konsultointi tai tarkentavat kartoitukset tarpeen mukaan.
Kartoitus voidaan toteuttaa koko organisaation kattavana tai rajattuna (esimerkiksi tietyt liiketoimintaprosessit, pilviympäristö, identiteetit, varautuminen). Tärkeintä on, että lopputulos tukee päätöksentekoa ja että toimenpiteet ovat toteutettavia.
CTA: Aloita nykytilasta – pyydä kartoitus ja selkeä etenemissuunnitelma
Jos organisaatiossa on tarve saada tietoturvan tila nopeasti näkyviin ja muuttaa se konkreettisiksi päätöksiksi, aloita kartoituksella. Käpy A.I. Oy auttaa rajaamaan työn oikein, tunnistamaan olennaiset riskit ja rakentamaan toimenpidelistan, jota on helppo viedä käytäntöön.
Tutustu tietoturvakartoituksiin ja tietoturvakoulutuksiin, tai ota suoraan yhteyttä ja sovi aloitus: yhteystiedot.



