GAP-analyysi tietoturvassa: miten tunnistat nykytilan ja tavoitetilan erot (ja viet korjaukset käytäntöön)

Miksi GAP-analyysi on käytännössä tehokkain tapa aloittaa tietoturvan kehittäminen

Monessa organisaatiossa tietoturvan kehittäminen pysähtyy kahteen vastakkaiseen ongelmaan: tekeminen jää liian yleiselle tasolle (“pitäisi parantaa tietoturvaa”), tai se muuttuu liian raskaaksi projektiksi, jota ei saada maaliin. GAP-analyysi (gap analysis) on väliin tuleva käytännön työkalu, jonka tarkoitus on tehdä erot näkyväksi: missä ollaan nyt, mitä vaatimuksia tai tavoitetasoa kohti pitää mennä, ja mitä konkreettisia kontrolli- ja prosessimuutoksia tarvitaan.

Kun GAP-analyysi tehdään oikein, lopputulos ei ole pelkkä raportti, vaan selkeä toteutuslista, jota voidaan seurata. Käpy A.I. Oy:n näkökulmasta olennaista on, että analyysin löydökset pystytään viemään suoraan arjen teknisiin ja hallinnollisiin toimiin – esimerkiksi Heimdal Securityn päätelaitesuojaukseen ja haavoittuvuuksien hallintaan, Admin By Requestin paikallisten admin-oikeuksien hallintaan, Veeamin varmistus- ja palautusketjuun sekä Digiturvamallin vaatimusten ja toimenpiteiden hallintaan.

Tässä artikkelissa käydään läpi, miten tietoturvan GAP-analyysi rakennetaan käytännönläheisesti, mitä sen pitää vähintään kattaa ja miten löydökset muutetaan parannuksiksi, joita voidaan todentaa ja raportoida.

Mitä GAP-analyysi tarkoittaa tietoturvassa – ja mitä se ei tarkoita

Tietoturvan GAP-analyysi on nykytilan ja tavoitetilan välinen vertailu. Tavoitetila voi tulla esimerkiksi asiakkaiden vaatimuksista, sisäisestä riskienhallinnasta tai viitekehyksistä kuten ISO 27001 ja NIS2. Olennaista on, että tavoitetila kuvataan “todennettavina asioina”: näkyykö loki, onko kontrolli käytössä, onko vastuu määritelty, onko palautus testattu, onko poikkeamiin reagointiprosessi olemassa.

GAP-analyysi ei ole:

  • pelkkä tekninen skannaus tai yksittäinen auditointi
  • harjoitus, jonka lopputulos jää PDF:ksi intranetiin
  • “kaikki kuntoon kerralla” -hanke

Toimiva GAP-analyysi yhdistää kolme tasoa:

  1. Vaatimukset ja kontrollit (mitä pitäisi olla)
  2. Nykytila (mitä on oikeasti käytössä ja miten se toimii)
  3. Toteutuspolku (mitä tehdään seuraavaksi, kenen toimesta ja millä aikataululla)

GAP-analyysin runko: 6 osa-aluetta, jotka kannattaa käydä läpi

Seuraava runko toimii erityisesti pk- ja keskisuurissa organisaatioissa, joissa halutaan saada järkevä kokonaiskuva ilman kuukausien selvitystyötä. Osa-alueet ovat samalla hyvä tapa varmistaa, ettei analyysi jää vain yhteen kulmaan (esimerkiksi pelkkään päätelaitesuojaukseen).

1) Identiteetit ja pääkäyttäjäoikeudet (least privilege käytännössä)

Yksi yleisimmistä ja kalleimmista “gapeista” on se, että paikalliset admin-oikeudet ovat liian laajoja tai pysyviä. Tämä kasvattaa hyökkäyspinta-alaa: jos käyttäjän laite tai tunnus kaapataan, myös oikeudet ovat valmiina. GAP-analyysissä kannattaa selvittää ainakin:

  • Kuinka monella työasemalla on pysyvä paikallinen admin?
  • Miten oikeuksia korotetaan tarvittaessa (kuka hyväksyy, mihin loki jää)?
  • Mitä ohjelmia asennetaan “tarvittaessa” ja miten ne valvotaan?

Admin By Request on käytännön työkalu tämän kuilun kaventamiseen: se mahdollistaa Just-in-Time -korotukset, hyväksyntäpolut ja kattavan lokituksen ilman, että käyttäjälle annetaan pysyvää pääkäyttäjyyttä. Kun GAP-analyysin löydös on “pysyvät oikeudet”, korjaustoimi voi olla yksinkertaisesti: poistetaan pysyvät oikeudet ja siirrytään hallittuihin korotuksiin.

2) Päätelaitteiden suojaus ja uhkien torjunta (havainnointi + reagointi)

GAP-analyysissä on tärkeää erottaa kaksi asiaa: estetäänkö haitta, ja nähdäänkö hyökkäys ajoissa. Perinteinen virustorjunta ei aina anna riittävää näkyvyyttä tapahtumiin, eikä se välttämättä tue toimenpiteitä, kun poikkeama tapahtuu.

Heimdal Securityn ratkaisuilla voidaan kattaa käytännössä useita tyypillisiä gap-kohtia, kuten päätelaitteiden uhkien tunnistaminen ja reagointi (EDR/XDR-tyyppinen näkyvyys), haitallisen liikenteen esto sekä päätelaitteiden suojauskerrosten keskitetty hallinta. GAP-analyysissä kannattaa arvioida:

  • Mitä näkyvyyttä päätelaitteista saadaan (mitä tapahtui, milloin ja missä)?
  • Miten hälytykset käsitellään (kuka reagoi, mikä on vasteaika)?
  • Onko poikkeaman rajaamiseen selkeä toimintatapa (esim. eristys, estot, korjaus)?

Kun löydös on “hälytyksiä ei seurata” tai “ei ole selkeää reagointiketjua”, se on suora kehityskohde. Tässä kohtaa voidaan myös linkittää tekeminen organisaation laajempaan jatkuvaan tietoturvan valvontaan, jotta GAP-analyysi ei jää kertaluonteiseksi.

3) Haavoittuvuuksien ja päivitysten hallinta (patch management)

Haavoittuvuuksien hallinta on tyypillinen alue, jossa tavoitetila on helppo määrittää (“järjestelmät ovat ajantasaisia”), mutta nykytila on vaikeampi todentaa. GAP-analyysissä kannattaa erottaa:

  • käyttöjärjestelmäpäivitykset
  • kolmannen osapuolen ohjelmistot (selaimet, PDF-lukijat, etätyökalut)
  • kriittisyysluokittelu ja korjausajat (SLA-tyyppinen ajattelu)

Heimdal Securityn haavoittuvuuksien ja päivitysten hallinnan ominaisuudet auttavat tekemään nykytilan näkyväksi ja automatisoimaan korjauksia. GAP-analyysin löydös voi olla esimerkiksi: “kolmannen osapuolen sovelluksia ei päivitetä hallitusti” tai “ei ole näkyvyyttä siihen, mitkä laitteet ovat jäljessä”. Näihin voidaan rakentaa konkreettinen korjauspolku: inventointi → päivitysringit → automaatio → raportointi.

4) Varmuuskopiointi ja palautettavuus (toipuminen todellisessa häiriössä)

Moni organisaatio uskoo olevansa turvassa, koska “varmuuskopiot ovat olemassa”. GAP-analyysissä kriittinen kysymys on kuitenkin palautettavuus: saadaanko tieto ja palvelut oikeasti takaisin sovitussa ajassa, myös silloin kun hyökkääjä yrittää estää palautuksen.

Veeam on käytännössä varmistus- ja palautusjärjestelmä, jonka avulla voidaan toteuttaa hallittu varmuuskopiointi, eriytetyt palautuspisteet ja palautuksen testaus. GAP-analyysissä kannattaa tarkistaa:

  • Onko varmistus kattava (palvelimet, virtuaalikoneet, työkuormat, kriittinen data)?
  • Onko palautus testattu (milloin viimeksi, mitä palautettiin, mikä oli lopputulos)?
  • Onko palautuspisteitä suojattu (esim. muuttumattomuus/eriytys periaatetasolla ja toteutuksessa)?

Jos organisaatiossa on epäselvyyttä esimerkiksi varmuuskopioinnin kokonaisuudesta tai palautuksen prioriteeteista, GAP-analyysi tekee tilanteen nopeasti näkyväksi ja antaa perusteen korjauslistalle.

5) Sähköposti, DNS ja verkon suojaus (hyökkäyspolkujen katkaisu)

GAP-analyysin kannalta sähköposti ja nimipalvelut ovat usein reittejä, joista hyökkäykset alkavat: phishing, haitalliset linkit ja ohjaukset. Tavoitetila on tyypillisesti yhdistelmä teknisiä suojauskerroksia ja käytäntöjä. Heimdal Securityn verkko- ja DNS-tason suojaukset voivat auttaa katkaisemaan yhteyksiä haitallisiin kohteisiin jo ennen kuin käyttäjä ehtii tehdä virheen.

Tässä osiossa GAP-analyysi voi tunnistaa esimerkiksi:

  • estetäänkö haitalliset domainit ja komentopalvelimet käytännössä
  • saadaanko lokit ja näkyvyys epäilyttävästä liikenteestä
  • ovatko suojauskäytännöt samat toimistolla ja etätyössä

6) Vaatimustenhallinta ja todennettavuus (audit trail)

GAP-analyysissä on helppo jäädä pelkkään tekniseen listaan, vaikka moni vaatimus liittyy vastuihin, dokumentointiin ja todennettavuuteen. Tässä Digiturvamalli auttaa viemään löydökset hallittuun muotoon: vaatimukset, kontrollit, omistajat, toimenpiteet, aikataulut ja tilannekuva samassa paikassa.

Käytännön kysymykset, joita tämä osio vastaa:

  • Miten osoitetaan asiakkaalle tai johdolle, että vaatimukset täyttyvät?
  • Mistä löytyy “yksi totuus” tietoturvan toimenpiteistä ja niiden tilasta?
  • Onko riskeille ja poikkeamille selkeä käsittelymalli?

Kun GAP-analyysi tuottaa havaintoja, Digiturvamalli auttaa pitämään ne elävänä kehitysjärjestelmänä, ei irrallisina muistiinpanoina. Tämä tukee myös esimerkiksi tietoturvariskien hallintaa ja jatkuvaa parantamista.

Näin viet GAP-analyysin löydökset käytäntöön: toteutusmalli 30–90 päivälle

Hyvä GAP-analyysi on nopea, mutta sen jälkeinen toimeenpano ratkaisee hyödyn. Alla on käytännön malli, joka sopii moniin ympäristöihin.

Viikko 1–2: rajaa tavoitetila ja määritä “todisteet”

  • Valitse viitekehys tai vaatimuslista (esim. ISO 27001 -painotukset, asiakasvaatimukset, NIS2-valmistautuminen).
  • Määritä jokaiselle kohdalle, mikä on hyväksyttävä todiste: raportti, loki, asetusten tila, testitulokset.
  • Sovi omistajuus: kuka vastaa mistäkin (IT, tietoturva, johto, palvelutoimittaja).

Viikko 2–4: tee nykytilan kartoitus ja priorisoi löydökset

  • Kokoa nykytila teknisestä ympäristöstä (päätelaitteet, päivitykset, varmistukset, oikeudet).
  • Kirjaa löydökset selkeään muotoon: “havainto → riski → suositus → omistaja”.
  • Priorisoi: mitkä ovat todennäköisimpiä ja vaikutukseltaan suurimpia riskejä.

Kuukausi 2–3: toteuta korjaukset hallituissa sprinteissä

  • Oikeudet: siirry pysyvistä admin-oikeuksista Admin By Requestin hallittuihin korotuksiin.
  • Havaitseminen ja torjunta: yhtenäistä päätelaitesuojaus ja hälytyskäsittely Heimdal Securityn avulla.
  • Päivitykset: rakenna päivitysringit ja automaatio, raportoi poikkeamat.
  • Palautus: varmista Veeamilla palautuspolut, testaa vähintään yksi kriittinen skenaario.
  • Vaatimukset: dokumentoi ja seuraa Digiturvamallissa, jotta tilannekuva pysyy ajan tasalla.

Jatkuva tekeminen: mittarit ja rytmi

GAP-analyysin arvo kasvaa, kun se ei ole kertaluonteinen. Rakenna kevyt kuukausirytmi:

  • päivitysten kattavuus ja kriittisten puutteiden määrä
  • admin-korotusten määrä ja perustelut (poikkeamat näkyviksi)
  • varmistusten onnistumisprosentti ja palautustestien tulokset
  • havaittujen poikkeamien määrä ja käsittelyaika

Tämä on myös käytännön tapa osoittaa kehitys johdolle ilman raskasta raportointia.

Yleisimmät virheet GAP-analyysissä (ja miten ne vältetään)

  • Tavoitetila on epämääräinen: määritä jokaiselle vaatimukselle todiste, ei pelkkää tekstiä.
  • Lista on liian pitkä: priorisoi 5–10 tärkeintä korjausta seuraavalle 30–90 päivälle.
  • Tekninen ja hallinnollinen puoli erotetaan: yhdistä toimenpiteet vastuisiin ja seurantaan Digiturvamallissa.
  • Varmuuskopiointi oletetaan toimivaksi: tee palautustesti ja kirjaa tulos.
  • Oikeudet jätetään “myöhemmäksi”: pysyvät admin-oikeudet ovat usein nopein riskin pienennys, kun käytössä on hallittu JIT-malli.

CTA: tehdään GAP-analyysi, joka johtaa oikeisiin toimenpiteisiin

Jos tavoitteena on saada selkeä kuva nykytilasta ja viedä korjaukset oikeasti käytäntöön, Käpy A.I. Oy auttaa rakentamaan GAP-analyysin, joka kytkeytyy suoraan toteutukseen: Heimdal Security (uhkien torjunta ja haavoittuvuuksien hallinta), Admin By Request (hallittu pääkäyttäjyys), Veeam (varmistus ja palautus) ja Digiturvamalli (vaatimusten ja toimenpiteiden hallinta).

Seuraava askel: ota yhteyttä ja sovitaan lyhyt kartoituspalaveri. Sen pohjalta määritetään tavoitetila, analyysin rajaus ja nopeimmat riskin pienentämisen toimet.

Ota yhteyttä ja aloitetaan GAP-analyysi, joka tuottaa mitattavia parannuksia.

Pyydä tarjous

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Kysy lisää

Harri Juntunen

Toimitusjohtaja
Tietoturvakonsultti ja -kouluttaja

046 920 1509
[email protected]

Räätälöityjä tietoturvapalveluita yrityksesi digitaalisten resurssien suojaamiseen.

Yhteystiedot

[email protected]

Käpy A.I. Oy
Y-tunnus: 3118566-9

Tietosuojaseloste

Ota yhteyttä

Verkkolaskutus

verkkolaskuosoite
003731185669001

Operaattoritunnus
003714377140

Sivut

Etusivu
Tuotteet
Palvelut
Palvelutuotteet
Ota yhteyttä

Sopimusehdot

Yleiset sopimusehdot

Kumppanit

Veeam Data Platform
Admin By Request
Tehtris XDR AI Platform
Heimdal Security

Palvelut

Koulutukset
Kartoitukset

Lataa etäyhteysohjelma