Mitä tietoturvakartoitus sisältää pk-yritykselle? Selkeä lista vaiheista ja havainnoista
Mitä tietoturvakartoitus sisältää pk-yritykselle?
Tietoturva tuntuu usein isolta kokonaisuudelta, kun arjessa pitäisi samalla pitää liiketoiminta pyörimässä, tukea käyttäjiä ja kehittää ympäristöä. Siksi tietoturvakartoitus on monelle pk-yritykselle käytännöllisin tapa saada nopeasti näkyviin, missä riski oikeasti on ja mitä kannattaa tehdä seuraavaksi. Kartoituksen arvo ei ole siinä, että saadaan “raportti”, vaan siinä, että syntyy priorisoitu toimenpidelista: mitä korjataan nyt, mitä seuraavassa sprintissä ja mitä voi jättää myöhemmäksi.
Käpy A.I. Oy:n näkökulmasta kartoitus ei ole irrallinen konsulttityö, vaan lähtökohta konkreettisille suojaus- ja jatkuvuusratkaisuille. Kun nykytila on selvitetty, voidaan rakentaa hallittu kokonaisuus, jossa Heimdal Security parantaa päätelaitteiden suojausta ja haavoittuvuuksien hallintaa, Admin By Request tuo hallinnan paikallisiin ylläpito-oikeuksiin, Veeam varmistaa palautettavuuden ja Digiturvamalli auttaa vaatimustenhallinnassa ja dokumentoinnissa.
Kartoituksen tavoite: riskien pienentäminen ja päätöksenteon helpottaminen
Hyvä tietoturvakartoitus vastaa pk-yritykselle neljään kysymykseen:
- Mikä on todennäköisin hyökkäystapa juuri tässä ympäristössä (esim. phishing, haavoittuvuus, väärät oikeudet, varmistusten puutteet)?
- Mikä on suurin vaikutus liiketoimintaan, jos hyökkäys onnistuu (käyttökatko, tietovuoto, kiristyshaittaohjelma)?
- Mitä kontrollit tällä hetkellä kattavat ja mitä ne eivät kata (näkyvyys, estot, reagointi, palautus)?
- Mitä kannattaa tehdä ensin, jotta riski pienenee nopeasti ilman raskasta hanketta?
Tärkeää on, että kartoitus ei jää yleiselle tasolle (“pitäisi olla parempi tietoturva”), vaan se sidotaan yrityksen arkeen: laitteet, käyttäjäroolit, pilvipalvelut, kriittiset järjestelmät ja toipumiskyky.
Vaihe 1: nykytilan läpikäynti ja kriittisten tietovirtojen tunnistaminen
Kartoitus alkaa siitä, että muodostetaan yhteinen kuva ympäristöstä. Pk-yrityksessä tämä tarkoittaa tyypillisesti Microsoft 365 -ympäristöä, päätelaitteita (Windows/macOS), mahdollisia toimialasovelluksia, tiedostopalvelimia tai pilvitallennusta sekä verkon peruspalveluita. Tavoite ei ole piirtää täydellistä arkkitehtuuria, vaan tunnistaa kriittiset riippuvuudet:
- Mitä palveluita ilman työ pysähtyy (ERP, taloushallinto, sähköposti, tiedostot, CRM)?
- Missä sijaitsee kriittinen data (palvelin, pilvi, työasemat, SaaS)?
- Ketkä käsittelevät sitä (roolit, ulkoiset kumppanit, ylläpito)?
- Miten pääsy on järjestetty (MFA, etäyhteydet, admin-oikeudet)?
Tässä vaiheessa syntyy myös ensimmäinen “riskikartta”: jos kriittinen data on yhden tunnuksen takana tai varmistukset ovat epäselvät, se ohjaa koko kartoituksen painotusta.
Vaihe 2: päätelaitteiden suojaustaso ja näkyvyys (Heimdal Security)
Pk-yrityksen yleisin hyökkäyspinta on päätelaite. Kartoituksessa selvitetään, miten päätelaitteet on suojattu ja ennen kaikkea: onko organisaatiolla näkyvyys poikkeamiin. Tämä on kohta, jossa Heimdal Security tuo käytännön hyötyä kartoituksen jälkeen.
Tyypilliset havainnot, joita kartoitus nostaa esiin:
- Päivitykset ja kolmannen osapuolen sovellusten patchaus eivät ole hallittuja.
- Poikkeamien havaitseminen perustuu yksittäisiin käyttäjähavaintoihin (“kone on hidas”).
- Haitallista liikennettä (esim. komentopalvelimet, phishing-linkit) ei estetä riittävän aikaisin.
Kun kartoitus on tehty, Heimdal Securityllä voidaan rakentaa kerroksittainen suojaus: haavoittuvuuksien ja päivitysten hallinta, päätelaitesuojauksen valvonta sekä uhkien torjunta käytännön tasolla. Näin riskien pienentäminen ei jää pelkäksi ohjeeksi, vaan muuttuu hallituksi toiminnaksi.
Vaihe 3: käyttäjäoikeudet ja ylläpito-oikeuksien hallinta (Admin By Request)
Monessa pk-yrityksessä paikalliset admin-oikeudet ovat jääneet “väliaikaiseksi” ratkaisuksi, joka on muuttunut pysyväksi. Kartoituksessa tämä näkyy usein näin:
- Työasemilla on turhan laajat oikeudet, koska ohjelmien asennus muuten hidastuu.
- Ylläpitäjätunnuksia käytetään arjessa myös tavalliseen työskentelyyn.
- Ei ole läpinäkyvää lokia siitä, kuka korotti oikeuksia, milloin ja miksi.
Kartoituksen yksi tärkeimmistä tuloksista on ymmärtää, missä kohtaa liialliset oikeudet kasvattavat riskiä. Admin By Request vastaa tähän käytännönläheisesti: käyttäjä voi pyytää korotuksen vain tarvittaessa (Just-in-Time), pyyntö voidaan hyväksyä, ja tapahtumat jäävät lokiin. Tämä vähentää haittaohjelmien mahdollisuuksia tehdä pysyviä muutoksia ja helpottaa samalla IT:n arkea, koska oikeuksia ei tarvitse jakaa pysyvästi “varmuuden vuoksi”.
Vaihe 4: varmistukset, palautus ja toipumiskyky (Veeam)
Tietoturvakartoitus ei ole valmis ilman palautettavuuden arviointia. Pk-yrityksessä suurin väärinkäsitys on, että varmuuskopiointi “on olemassa”, mutta kukaan ei tiedä:
- mitä oikeasti varmistetaan (koko ympäristö vai vain osa),
- mihin varmistukset tallentuvat ja ovatko ne suojassa kiristyshaittaohjelmilta,
- kuinka nopeasti palautus onnistuu käytännössä.
Veeam on kartoituksen jälkeinen työkalu siihen, että varmistus ja palautus eivät ole vain prosessi, vaan testattu kyvykkyys. Kartoituksessa arvioidaan tyypillisesti RPO/RTO-tarpeet (kuinka paljon dataa voi kadota ja kuinka nopeasti palvelut pitää saada takaisin) sekä se, tarvitaanko muuttumattomia varmistuksia (immutable) ja erillinen suoja pilvipalveluiden datalle.
Kun palautusketju on suunniteltu ja toteutettu, yritys pystyy vähentämään käyttökatkon riskiä olennaisesti myös silloin, kun ennaltaehkäisy ei riitä. Tämä on kriittinen osa kokonaisuutta, koska mikään suojaus ei ole 100%.
Vaihe 5: dokumentointi, vaatimukset ja jatkuva kehitys (Digiturvamalli)
Moni pk-yritys joutuu vastaamaan asiakkaiden, kumppaneiden tai sääntelyn vaatimuksiin: “Miten tietoturva on järjestetty?” Kartoitus tuottaa havaintoja, mutta ilman rakenteellista tapaa ylläpitää niitä ne vanhenevat nopeasti.
Digiturvamalli auttaa tuomaan kartoituksen tulokset hallittuun muotoon:
- Vaatimusten hallinta: mitä yrityksen pitää täyttää ja miksi.
- Toimenpiteiden seuranta: kuka tekee, mitä tekee ja mihin mennessä.
- Raportointi: tilannekuva johdolle ja tarvittaessa asiakkaille tai auditointiin.
Käytännössä Digiturvamalli tekee kartoituksesta jatkuvan kehityksen rungon. Kun Heimdal Security, Admin By Request ja Veeam tuottavat teknisen toteutuksen ja lokitiedon, Digiturvamalli auttaa yhdistämään sen yrityksen prosesseihin ja näyttämään edistymisen ilman manuaalista Excel-työtä.
Mitä kartoituksen lopputuloksena pitäisi saada?
Pk-yritykselle hyödyllinen lopputulos ei ole kymmenien sivujen yleisraportti, vaan selkeä kokonaisuus, joka ohjaa tekemistä:
- Priorisoitu toimenpidelista (0–30 päivää, 30–90 päivää, 3–12 kk).
- Riski vs. vaikutus -näkemys: mihin kannattaa sijoittaa aikaa ensin.
- Tekninen etenemismalli: mitä toteutetaan Heimdal Securityllä, missä Admin By Request on nopein hyöty, miten Veeamilla varmistetaan palautusketju.
- Jatkuvan ylläpidon malli: miten Digiturvamallilla pidetään dokumentaatio ja vaatimukset ajan tasalla.
Kun tämä on kunnossa, tietoturvan kehittäminen ei ole “projekti”, vaan hallittu käytäntö.
CTA: Ota seuraava askel – tee kartoituksesta konkreettinen kehityssuunnitelma
Jos tavoitteena on ymmärtää nopeasti, missä pk-yrityksen suurimmat tietoturvariskit ovat ja miten ne pienennetään käytännössä, kannattaa aloittaa tietoturvakartoituksesta. Käpy A.I. Oy auttaa viemään havainnot suoraan toteutukseen: Heimdal Security päätelaitesuojaukseen ja päivitysten hallintaan, Admin By Request oikeuksien hallintaan, Veeam varmistukseen ja palautukseen sekä Digiturvamalli vaatimusten hallintaan ja dokumentointiin.
Ota yhteyttä ja sovitaan lyhyt läpikäynti nykytilanteesta sekä siitä, millainen kartoitus ja toteutusmalli sopii juuri teidän ympäristöön.



