Mitä tietoturvakartoitus sisältää yritykselle? Selkeä vaiheistus, löydökset ja miten korjaukset viedään käytäntöön

Miksi tietoturvakartoitus on yritykselle käytännön työkalu (ei raporttipino)

Tietoturvakartoitus tehdään yleensä silloin, kun organisaatiossa on aito tarve saada näkyvyys nykytilaan: mitä on suojattu hyvin, missä on aukkoja ja mitä pitäisi tehdä seuraavaksi. Ongelmana on, että moni kartoitus jää “tilannekuvaksi”, jota ei pystytä viemään toiminnaksi. Silloin hyöty jää pieneksi, vaikka työ olisi tehty huolellisesti.

Käpy A.I. Oy:n näkökulmasta kartoituksen arvo syntyy siitä, että sen tuloksena saadaan konkreettinen, vaiheittain toteutettava kehityspolku. Käytännössä tämä tarkoittaa, että kartoitus linkitetään suoraan ratkaisuihin ja kontrollien toteutukseen: päätelaitteiden suojaus ja haavoittuvuuksien hallinta (Heimdal Security), paikallisten admin-oikeuksien hallinta (Admin By Request), varmistus ja palautettavuus (Veeam) sekä vaatimusten ja todisteiden hallinta (Digiturvamalli).

Kun nämä kytketään samaan kokonaisuuteen, kartoitus ei jää yleiselle tasolle, vaan tuottaa valmiita toimenpiteitä: mitä otetaan käyttöön, missä järjestyksessä ja miten todentaminen hoidetaan auditointeja, asiakasvaatimuksia tai johdon seurantaa varten.

Mitä tietoturvakartoitus sisältää vaihe vaiheelta

Hyvä tietoturvakartoitus etenee loogisesti: ensin rajataan kohde ja riskit, sitten kerätään tekninen ja hallinnollinen todistusaineisto, ja lopuksi muodostetaan priorisoitu korjauslista. Alla on malli, jonka avulla kartoituksen sisältö ja lopputulokset on helppo ymmärtää myös liiketoiminnalle.

1) Rajaus ja tavoitteet: mitä ollaan suojaamassa ja miksi

Kartoitus alkaa aina rajauksesta. Ilman rajausta tuloksena on helposti sekalainen lista huomioita, joista kukaan ei tiedä, mitkä ovat kriittisiä. Rajauksessa määritellään tyypillisesti:

  • kriittiset järjestelmät ja tiedot (esim. ERP, asiakasrekisteri, tuotannon ohjaus, taloushallinto)
  • käyttäjäryhmät ja roolit (toimisto, tuotanto, johto, IT, ulkoiset kumppanit)
  • ympäristöt (on-prem, pilvi, hybridi, Microsoft 365)
  • uhkaskenaariot (kiristyshaittaohjelma, tilikaappaus, tietovuoto, palvelukatko)

Samalla sovitaan mittarit, joilla kartoituksen onnistumista arvioidaan: esimerkiksi “löydetään 10 suurinta riskiä ja niille korjauspolku” tai “varmistetaan palautuminen kriittisiin palveluihin sovitussa ajassa”.

2) Käyttöoikeudet ja paikalliset admin-oikeudet: pienikin poikkeama on iso riski

Käytännössä moni tietoturvaongelma tiivistyy oikeuksiin: kenellä on pääsy mihin ja millä perusteella. Kartoituksessa tarkastellaan sekä hallinnolliset käytännöt että tekninen todellisuus työasemissa ja palvelimissa.

Erityisen usein vastaan tulee “hiljainen oletus”, jossa käyttäjillä on paikalliset järjestelmänvalvojan oikeudet “koska muuten työ ei suju”. Tämä kasvattaa hyökkäyspinta-alaa merkittävästi: jos haittaohjelma suoritetaan admin-oikeuksilla, se pystyy useammin asentumaan pysyvästi, sammuttamaan suojauksia ja liikkumaan laajemmin ympäristössä.

Admin By Request on tällaisessa tilanteessa käytännönläheinen kontrolli: se mahdollistaa Just-in-Time -korotukset, selkeän hyväksyntäprosessin ja audit trailin. Kartoituksessa tämä näkyy konkreettisina kysymyksinä:

  • Kuinka monella päätelaitteella käyttäjät ovat paikallisia admin-käyttäjiä?
  • Mitkä sovellukset oikeasti vaativat korotuksia, ja kuinka usein?
  • Onko korotuksista loki ja hyväksyntäketju?

Lopputuloksena syntyy usein suora toimenpide: poistetaan pysyvät admin-oikeudet ja korvataan ne hallitulla korotusmallilla.

3) Päätelaitesuojaus, haavoittuvuudet ja päivitykset: näkyvyys ennen optimointia

Kartoituksessa tarkastellaan, miten päätelaitteiden suojaus on toteutettu ja millainen näkyvyys IT:llä on poikkeamiin. Usein ongelma ei ole se, ettei suojausta ole lainkaan, vaan se, että suojaus ei tuota riittävää tilannekuvaa tai reagointi jää manuaaliseksi.

Heimdal Security tuo kartoituksen kannalta kaksi tärkeää käytännön elementtiä:

  • uhkien havaitseminen ja reagointi päätelaitteissa (havaitaan poikkeamat ja estetään eteneminen)
  • haavoittuvuuksien ja päivitysten hallinta (vähennetään altistusta tunnetuille hyökkäysmenetelmille)

Kartoituksessa tarkastellaan esimerkiksi:

  • Onko päätelaitteilla kattava suojaus ja keskitetty hallinta?
  • Kuinka nopeasti kriittiset päivitykset saadaan läpi (OS + kolmannen osapuolen sovellukset)?
  • Näkyykö poikkeamien ketju (mitä tapahtui, missä ja milloin)?

Kun nämä vastataan faktapohjaisesti, voidaan tehdä priorisointi: ensin näkyvyys ja peruskovennukset, sitten automaatiot ja vasteen parantaminen.

4) Varmistukset ja palautettavuus: “backup on olemassa” ei vielä riitä

Yksi kartoitusten yleisimmistä löydöksistä on, että varmistus on kyllä olemassa, mutta palautettavuus on epävarma. Esimerkiksi palautusta ei ole testattu, varmistukset eivät kata kaikkia kriittisiä kohteita tai palautus vaatii yhden henkilön hiljaista tietoa.

Veeam kytketään kartoituksessa suoraan liiketoiminnan jatkuvuuteen. Käytännön kysymykset ovat:

  • Mitä varmistetaan (palvelimet, virtuaalikoneet, työkuormat, pilviympäristöt)?
  • Mikä on palautustavoite: RPO ja RTO (kuinka paljon dataa saa kadota ja kuinka nopeasti palvelu pitää saada takaisin)?
  • Onko palautukset testattu ja dokumentoitu (kuka tekee, miten ja millä oikeuksilla)?
  • Onko palautuspisteitä suojattu manipuloinnilta (esim. hyökkääjä ei pääse poistamaan varmistuksia)?

Kartoituksen lopputulos on usein palautussuunnitelma, joka sisältää sekä tekniset asetukset että harjoittelun: miten palautus tehdään kiireessä ja miten varmistetaan, että toipuminen onnistuu myös henkilövaihdoksissa.

5) Vaatimukset, politiikat ja todisteet: näin kartoitus muuttuu jatkuvaksi tekemiseksi

Monessa organisaatiossa tietoturvaa kehitetään “teknisinä projekteina”, mutta vaatimustenmukaisuuden todentaminen (asiakkaat, sopimukset, standardit, sisäinen ohjaus) jää raskaaksi. Kartoituksessa kannattaakin ottaa mukaan malli, jolla todisteet, vastuut ja seuranta saadaan pysyväksi osaksi arkea.

Digiturvamalli toimii tässä käytännön työkaluna: sillä voidaan hallita vaatimuksia, tehtäviä, dokumentteja ja näyttöjä (evidence) niin, että kartoituksen tulokset eivät jää erilliseksi tiedostoksi. Kartoituksessa tämä tarkoittaa:

  • mitkä politiikat ja ohjeet puuttuvat tai ovat vanhentuneet
  • miten kontrollit todennetaan (lokit, raportit, hyväksynnät, testit)
  • kuka omistaa minkäkin osa-alueen ja millä aikataululla

Kun Digiturvamalliin viedään korjauslista ja todisteet, johto saa läpinäkyvän näkymän etenemiseen ja IT välttää “auditointipaniikin”.

Mitä kartoituksen lopputuloksena pitäisi aina syntyä

Kartoituksen tuotos ei ole vain lista havainnoista, vaan päätöksentekoa tukeva paketti. Toimiva lopputulos sisältää tyypillisesti:

  • Riskit ja vaikutukset: mitä voi tapahtua ja mitä se tarkoittaa liiketoiminnalle.
  • Priorisoitu toimenpidelista: 30–90 päivän “nopeat korjaukset” ja 3–12 kuukauden kehityspolku.
  • Vastuuroolit: kuka toteuttaa, kuka hyväksyy, kuka seuraa.
  • Tekniset kontrollit ja mittarit: miten nähdään, että muutos on oikeasti tehty (ei vain päätetty).
  • Palautettavuuden varmistus: konkreettiset palautustestit ja harjoittelun aikataulu.

Kun kartoitus sidotaan Heimdal Securityn, Admin By Requestin, Veeamin ja Digiturvamallin kaltaisiin ratkaisuihin, nämä eivät jää irrallisiksi työkaluiksi, vaan muodostavat yhtenäisen kehitysmallin: tunnistus, suojaus, palautuminen ja todentaminen.

Miten tietoturvakartoitus viedään käytäntöön ilman että tekeminen pysähtyy

Suurin käytännön riski ei ole se, että löydökset olisivat vääriä, vaan se, että organisaatio yrittää korjata kaiken kerralla. Siksi eteneminen kannattaa rytmittää:

  • Viikot 1–2: päätetään 3–5 tärkeintä korjausta ja määritellään omistajat.
  • Kuukausi 1: poistetaan pysyviä admin-oikeuksia hallitusti (Admin By Request) ja parannetaan päätelaitenäkyvyyttä (Heimdal Security).
  • Kuukaudet 1–2: varmistusten kattavuus ja palautustestit kuntoon (Veeam), samalla todisteiden ja tehtävien hallinta (Digiturvamalli).
  • Kuukaudet 2–3: automatisoidaan päivityksiä/haavoittuvuuksien hallintaa, tiukennetaan kontrollit ja sovitaan jatkuva seuranta.

Kun kehitystä tehdään pienissä, mitattavissa olevissa erissä, tietoturva paranee ilman että liiketoiminta tai IT:n arki pysähtyy.

CTA: Ota kartoitus haltuun ja tee siitä toimenpideohjelma

Jos tavoitteena on ymmärtää, mitä tietoturvakartoitus sisältää juuri omassa ympäristössä ja miten löydökset viedään käytäntöön, Käpy A.I. Oy auttaa rakentamaan selkeän kokonaisuuden. Samalla voidaan katsoa, miten Heimdal Security, Admin By Request, Veeam ja Digiturvamalli tukevat toisiaan: suojaus, hallinta, palautuminen ja vaatimusten todentaminen samassa mallissa.

Seuraava askel on helppo: varaa aika läpikäyntiin tai pyydä demo, niin määritellään rajaus ja muodostetaan konkreettinen etenemissuunnitelma.

Pyydä tarjous

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Kysy lisää

Harri Juntunen

Toimitusjohtaja
Tietoturvakonsultti ja -kouluttaja

046 920 1509
[email protected]

Räätälöityjä tietoturvapalveluita yrityksesi digitaalisten resurssien suojaamiseen.

Yhteystiedot

[email protected]

Käpy A.I. Oy
Y-tunnus: 3118566-9

Tietosuojaseloste

Ota yhteyttä

Verkkolaskutus

verkkolaskuosoite
003731185669001

Operaattoritunnus
003714377140

Sivut

Etusivu
Tuotteet
Palvelut
Palvelutuotteet
Ota yhteyttä

Sopimusehdot

Yleiset sopimusehdot

Kumppanit

Veeam Data Platform
Admin By Request
Tehtris XDR AI Platform
Heimdal Security

Palvelut

Koulutukset
Kartoitukset

Lataa etäyhteysohjelma