Salasanakäytännöt yrityksessä: toimiva malli ilman turhaa kitkaa

Miksi salasanakäytännöt kaatuvat arjessa (ja miten se korjataan)

Salasanat ovat edelleen yleisin tunnistautumisen perusta yrityksissä. Samalla ne ovat yksi tyypillisimmistä heikoista lenkeistä: liian lyhyet salasanat, uudelleenkäyttö, jaetut tunnukset, puutteellinen poiskytkentä työsuhteen päättyessä tai se, että käytäntöjä ei oikeasti noudateta. Usein ongelma ei ole se, ettei ohjeita olisi olemassa, vaan se, että ohjeet eivät sovi arjen työhön.

Toimiva salasanapolitiikka on käytännön malli, jossa yhdistyvät kolme asiaa:

  • Tekniset kontrollit (esim. vähimmäispituus, estolistat, MFA, SSO)
  • Selkeät vastuut ja prosessit (käyttöoikeudet, poistot, poikkeamat, audit trail)
  • Henkilöstön osaaminen (miksi näin tehdään ja miten toimitaan kiireessäkin)

Käpy A.I. Oy:n näkökulmasta salasanakäytännöt ovat hyvä esimerkki aiheesta, jossa koulutus, kartoitus ja konsultointi tukevat toisiaan: ensin selvitetään nykytila, sitten tehdään järkevä ja organisaatiolle sopiva malli, ja lopuksi varmistetaan, että se myös juurtuu.

Toimivan salasanapolitiikan perusperiaatteet yrityksessä

Hyvä lähtökohta on luopua sellaisista vaatimuksista, jotka kuulostavat turvallisilta, mutta tuottavat käytännössä heikompaa turvallisuutta. Tyypillinen esimerkki on tiheä pakotettu salasanan vaihto ilman muuta suojausta. Se johtaa usein ennustettaviin variaatioihin ja muistilappuihin.

Toimiva malli voidaan rakentaa seuraavien periaatteiden ympärille:

1) Pituus ja yksilöllisyys tärkeämmäksi kuin “monimutkaisuus”

Yrityksen kannattaa painottaa pitkiä, yksilöllisiä salasanoja ja passphrase-mallia (useampi sana). Tämä parantaa murtamisen kustannusta ja vähentää tarvetta keksiä vaikeasti muistettavia merkkijonoja. Samalla on kriittistä estää uudelleenkäyttö eri palveluissa.

Käytännön päätös: määritellään vähimmäispituus ja ohjeistetaan passphrase-ajattelu. Lisäksi rakennetaan toimintatapa, jolla varmistetaan, että henkilöstö ymmärtää, miksi “sama salasana kaikkialle” on todellinen liiketoimintariski.

2) Salasanojen hallinta: joko salasanamanageri tai SSO – mieluiten molemmat

Kun tunnuksia on paljon, muistaminen ei skaalaudu. Salasanamanageri vähentää uudelleenkäyttöä ja parantaa käytäntöjen noudattamista. Jos organisaatiolla on valmius keskittää tunnistautumista, SSO (Single Sign-On) vähentää salasanojen määrää ja tukee parempaa kontrollia.

Kun Käpy A.I. Oy tekee tietoturvakartoituksia, tarkastellaan usein samalla myös identiteetin ja käyttöoikeuksien hallinnan kokonaisuutta: missä tunnuksia syntyy, miten niitä hallitaan, ja miten “hajautetut” käytännöt näkyvät riskinä.

3) Monivaiheinen tunnistautuminen (MFA) oletukseksi

Salasana voi vuotaa ilman, että yritys huomaa sitä heti. MFA nostaa merkittävästi hyökkääjän kynnystä erityisesti pilvipalveluissa, sähköpostissa ja etäkäytössä. Oleellinen käytännön kysymys ei ole “otetaanko MFA käyttöön”, vaan missä järjestyksessä ja millä menetelmillä se otetaan käyttöön ilman että työ pysähtyy.

Salasanakäytännöt kannattaa aina kytkeä organisaation laajempaan tietoturvan kehittämiseen ja kouluttamiseen. Käytännönläheinen tietoturvakoulutus varmistaa, että henkilöstö ymmärtää MFA:n tarkoituksen ja osaa toimia esimerkiksi tilanteessa, jossa tunnistautumisprompti tulee yllättäen.

4) Käyttöoikeusprosessit: tunnusten elinkaari kuntoon

Salasanapolitiikka ei ole vain “mitä käyttäjä tekee”, vaan myös sitä, miten yritys hallitsee tunnusten elinkaaren:

  • Luonti: kuka saa luoda tunnuksia ja millä perusteella
  • Muutokset: miten roolimuutokset, sijaisuudet ja projektit vaikuttavat oikeuksiin
  • Poistot: mitä tapahtuu, kun työsuhde päättyy tai kumppani poistuu
  • Poikkeamat: miten käsitellään “pakko saada nyt” -tilanteet hallitusti

Monessa organisaatiossa suurin riski ei ole yksittäinen heikko salasana, vaan se, että tunnuksia jää voimaan ja oikeudet ovat liian laajoja. Tämä on tyypillinen havainto nykytilakartoituksessa: prosessi on olemassa “paperilla”, mutta ei näy arjen toteutuksessa, lokituksessa tai omistajuudessa.

Käytännön malli: näin salasanakäytännöt viedään läpi ilman kitkaa

Toimivin tapa on tehdä salasanakäytännöistä osa normaalia työskentelyä. Alla on malli, joka toimii erityisesti pk-yrityksissä ja organisaatioissa, joissa IT-tiimi on pieni ja aikaa on rajallisesti.

Vaihe 1: Nykytila näkyväksi – missä oikeasti ollaan?

Ensimmäinen askel on tunnistaa, mitkä palvelut ovat kriittisiä ja miten niihin kirjaudutaan. Käytännössä kartoitetaan esimerkiksi:

  • mitkä järjestelmät ovat “avainjärjestelmiä” (sähköposti, talous, CRM, tuotanto, pilvitallennus)
  • onko MFA käytössä ja millä kattavuudella
  • onko käytössä salasanamanageri, SSO tai keskitetty identiteetinhallinta
  • miten käyttöoikeudet myönnetään ja poistetaan
  • miten poikkeamat, jaetut tunnukset ja palvelutunnukset on ratkaistu

Jos tavoitteena on vaatimustenmukaisuus tai sertifiointivalmius, nykytilaa kannattaa tarkastella myös ohjaus- ja todentamisnäkökulmasta: mikä on dokumentoitu, mikä on todennettavissa, ja mikä jää oletusten varaan. Tätä lähestytään usein ISO 27001 -kypsyyskartoituksen tai GAP-ajattelun kautta.

Vaihe 2: Päätetään peruslinjat – mitä vaaditaan ja missä

Kun nykytila on selvillä, tehdään päätökset, jotka ohjaavat kaikkea tekemistä:

  • MFA-pakko kriittisiin palveluihin ja etäkäyttöön
  • Vähimmäissalasanapituus ja passphrase-ohjeistus
  • Estolistat (yleisimmät ja vuodetuimmat salasanat)
  • Salasanamanagerin käyttöönotto tai vahvistaminen
  • SSO ja roolipohjaisuus siellä missä se tuo oikeasti hallintaa

Käpy A.I. Oy:n tietoturvakonsultointi painottuu tässä kohtaa päätösten käytännön vaikutuksiin: mitä muutokset tarkoittavat henkilöstölle, mitä ne vaativat IT:ltä, ja mitä riskejä jää jäljelle. Tavoite ei ole rakentaa täydellistä mallia, vaan hallittava ja mitattava malli.

Vaihe 3: Ohjeistus ja koulutus – “näin toimit” -tasolle

Pelkkä politiikkadokumentti ei muuta toimintaa. Käytännönläheisessä koulutuksessa käydään läpi organisaatiolle tärkeimmät tilanteet, esimerkiksi:

  • miten rakennetaan pitkä salasana, joka on helppo muistaa
  • miten salasanamanageria käytetään oikein (ja mitä ei pidä tehdä)
  • mitä tehdä, jos epäilee tunnuksen vuotaneen
  • miten toimitaan MFA-huijausten ja yllättävien kirjautumispyyntöjen kanssa
  • miten tunnistetaan riskit ja miten raportoidaan matalalla kynnyksellä

Käpy A.I. Oy:n koulutuksissa sisältö sidotaan organisaation arkeen. Tavoite on, että henkilöstö osaa tehdä oikein myös kiireessä, eikä turvallisuus jää “IT:n asiaksi”.

Vaihe 4: Tekniset asetukset ja valvonta – kontrollit päälle

Kun peruslinjat on päätetty ja henkilöstö on mukana, kontrollit viedään järjestelmiin. Tyypillisiä toteutuksia ovat:

  • kirjautumisen suojaus (MFA, ehdollinen pääsy, riskipohjaiset säännöt)
  • salasanapolitiikat ja estolistat identiteettipalvelussa
  • jaettujen tunnusten poistaminen tai korvaaminen
  • palvelutunnusten ja integraatioiden hallinta (omistajuus, salaisuuksien säilytys, rotaatio)
  • lokitus ja hälytykset poikkeavista kirjautumisista

Teknisten kontrollien valinnassa kannattaa huomioida myös ympäristö: pilvipalveluissa painottuu identiteetti ja pääsynhallinta, kun taas on-premises-ympäristöissä korostuvat usein myös verkko- ja päätelaitesuojaus. Tarvittaessa kokonaisuutta voidaan tarkastella myös suhteessa organisaation muuhun kybersuojaamiseen ja valvontaan.

Vaihe 5: Mittarit ja jatkuva parantaminen

Salasanakäytännöt eivät ole “projekti”, vaan jatkuvaa hallintaa. Jotta kehitys pysyy käsissä, kannattaa sopia muutamasta mitattavasta asiasta, kuten:

  • MFA-kattavuus kriittisissä järjestelmissä
  • salasanamanagerin käyttöönottoaste
  • käyttöoikeuspyyntöjen ja poistojen läpimenoaika
  • poikkeamien määrä (jaettujen tunnusten tarve, ohitukset)
  • havaittujen kirjautumispoikkeamien käsittelyaika

Kun mittarit ovat selkeitä, johto ja IT näkevät, mihin panostus kannattaa kohdistaa seuraavaksi. Tämä tukee myös vaatimustenmukaisuuden todentamista, kun voidaan osoittaa sekä suunnitelma että toteutus.

Missä kohtaa kartoitus tai konsultointi tuo eniten hyötyä?

Salasanat liittyvät lähes aina laajempaan kokonaisuuteen: käyttöoikeuksiin, pilvipalveluihin, etätyöhön ja henkilöstön toimintamalleihin. Seuraavat tilanteet ovat tyypillisiä hetkiä, joissa ulkopuolinen arvio ja käytännön sparraus nopeuttavat päätöksiä:

  • Organisaatiossa on useita palveluita ja kirjautumistapoja eikä kokonaisuus ole kenenkään omistuksessa.
  • MFA:n käyttöönotto on jäänyt kesken tai se on rajattu vain osaan käyttäjistä.
  • Käyttöoikeuksien poistot ja muutokset ovat hitaita ja prosessi nojaa yksittäisiin henkilöihin.
  • Auditointi, NIS2/vaatimukset tai sertifiointivalmistelu edellyttää, että kontrollit ovat todennettavissa.
  • On tapahtunut läheltä piti -tilanne (tilin kaappaus, epäilyttävä kirjautuminen, väärin jaettu tieto), mutta syy jäi epäselväksi.

Käpy A.I. Oy:n tietoturvakartoitukset ja konsultointi auttavat kääntämään salasanateeman konkreettisiksi päätöksiksi: mitä muutetaan nyt, mitä myöhemmin, ja mitä riskiä hyväksytään perustellusti.

CTA: tee salasanakäytännöistä hallittu kokonaisuus

Jos salasanakäytännöt ovat organisaatiossa “vaihtelevasti toteutuvia”, järkevin seuraava askel on nykytilan arviointi ja selkeä etenemissuunnitelma. Käpy A.I. Oy auttaa yhdistämään tekniset asetukset, käyttöoikeusprosessit ja henkilöstön toimintamallit yhdeksi käytännön kokonaisuudeksi.

Ota yhteyttä ja pyydä arvio salasanakäytännöistä tai aloita keskustelu siitä, miten koulutus ja kartoitus voidaan toteuttaa organisaation arkeen sopivalla tavalla.

Pyydä tarjous

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Kysy lisää

Harri Juntunen

Toimitusjohtaja
Tietoturvakonsultti ja -kouluttaja

046 920 1509
[email protected]

Räätälöityjä tietoturvapalveluita yrityksesi digitaalisten resurssien suojaamiseen.

Yhteystiedot

[email protected]

Käpy A.I. Oy
Y-tunnus: 3118566-9

Tietosuojaseloste

Ota yhteyttä

Verkkolaskutus

verkkolaskuosoite
003731185669001

Operaattoritunnus
003714377140

Sivut

Etusivu
Tuotteet
Palvelut
Palvelutuotteet
Ota yhteyttä

Sopimusehdot

Yleiset sopimusehdot

Kumppanit

Veeam Data Platform
Admin By Request
Tehtris XDR AI Platform
Heimdal Security

Palvelut

Koulutukset
Kartoitukset

Lataa etäyhteysohjelma