Tietoturva-opas pk-yrityksille: kaikki mitä sinun pitää tietää (2026)

Mistä pk-yrityksen tietoturva oikeasti koostuu – ja miksi “yksi työkalu” ei riitä

Pk-yrityksen arjessa tietoturva ei ole yksittäinen projekti, vaan joukko käytännön valintoja: miten päätelaitteet suojataan, miten käyttäjäoikeudet pidetään kurissa, miten varmistukset rakennetaan ja miten vaatimukset pystytään osoittamaan toteen ilman manuaalista säätöä. Yleinen kompastuskivi on ajatus, että tietoturvan voi “hoitaa pois” yhdellä tuotteella tai yhdellä käyttöönotolla. Todellisuudessa tehokas kokonaisuus syntyy, kun suojaus, hallinta, palautuminen ja vaatimustenmukaisuus tukevat toisiaan.

Käpy A.I. Oy toimittaa pk-yrityksille käytännönläheisen kokonaisuuden, joka nojaa neljään toisiaan täydentävään ratkaisuun:

• Heimdal Security päätelaitteiden ja verkon uhkien torjuntaan sekä haavoittuvuuksien hallintaan
• Veeam varmistukseen ja palautukseen, jotta liiketoiminnan jatkuvuus ei jää toiveeksi
• Admin By Request paikallisten ylläpito-oikeuksien hallintaan (Just-in-Time), jotta hyökkäyspinta pienenee
• Digiturvamalli vaatimustenhallintaan ja tietoturvan johtamiseen, jotta tekeminen on todennettavaa ja raportoitavaa

Tämä opas käy läpi, mitä pk-yrityksen pitää käytännössä tehdä – ja miten ratkaisut kytkeytyvät toisiinsa niin, että tietoturva paranee mitattavasti ilman raskaita prosesseja.

1) Uhkien torjunta ja näkyvyys päätelaitteisiin: Heimdal Security käytännössä

Useimmat tietoturvapoikkeamat pk-yrityksissä alkavat päätelaitteelta: käyttäjä avaa linkin, asentaa ohjelman, käyttää vanhentunutta sovellusta tai kirjautuu palveluun, jonka tunnus on vuotanut. Siksi ensimmäinen peruspilari on päätelaitesuojaus, joka ei jää vain “virustorjunnaksi”, vaan kattaa myös havaitsemisen, reagoinnin ja ennaltaehkäisyn.

Heimdal Securityn vahvuus pk-yrityksen näkökulmasta on, että useita keskeisiä kontrollikerroksia voidaan tuoda samaan hallintaan. Kun tavoite on vähentää riskiä arjessa, tärkeintä on saada kiinni seuraavat tilanteet:

• Haittaohjelma tai epäilyttävä toiminta päätelaitteessa: havaitaan nopeasti ja reagointi voidaan standardoida.
• Haavoittuvat ohjelmistot: riskit eivät liity vain Windowsiin, vaan myös selaimiin, PDF-lukijoihin ja muihin työkaluihin.
• Verkkoyhteyksien väärinkäyttö: esimerkiksi haitalliset domainit tai ohjauspalvelimet, joita hyökkäykset käyttävät.

Pk-yritykselle olennainen hyöty on ennakoitavuus: kun ympäristöön syntyy näkyvyys ja toistettavat toimintatavat, poikkeamat eivät jää yksittäisten henkilöiden muistin ja kiireen varaan. Samalla helpottuu myös auditointi ja sisäinen raportointi, koska havainnot ja toimenpiteet voidaan osoittaa jälkikäteen.

Jos Heimdal Security on uusi tuttavuus, kannattaa aloittaa Käpy A.I. Oy:n Heimdal Security -ratkaisun kokonaiskuvasta ja siitä, mitä osa-alueita se kattaa päätelaitesuojaamisen näkökulmasta.

2) Pääkäyttäjäoikeudet kuriin: Admin By Request ja Just-in-Time -korotukset

Yksi konkreettisimmista tavoista pienentää hyökkäyspintaa on vähentää pysyviä admin-oikeuksia työasemissa. Pysyvät paikalliset ylläpito-oikeudet ovat pk-yrityksissä yleisiä “koska muuten työ ei suju” -syistä, mutta ne lisäävät riskiä kahdella tavalla: haittaohjelman on helpompi tehdä pysyviä muutoksia ja käyttäjä voi vahingossa muuttaa asetuksia, joita ei pitäisi koskea.

Admin By Request ratkaisee ongelman Just-in-Time -mallilla: käyttäjä saa korotetut oikeudet vain tarvittaessa, rajatuksi ajaksi ja perustellusti. Keskeiset käytännön hyödyt ovat:

• Vähemmän pysyviä admin-tunnuksia → pienempi hyökkäyspinta ja parempi hallittavuus.
• Hyväksyntä- ja perusteluprosessi → näkyvyys siihen, miksi oikeuksia pyydetään ja mihin niitä käytetään.
• Audit trail → jäljitettävyys: mitä korotettiin, milloin ja kenen toimesta.

Kun oikeuksien hallinta on kunnossa, myös Heimdal Securityn tuottamien hälytysten käsittely helpottuu: poikkeamien juurisyyt (esim. luvaton asennus) löytyvät nopeammin, ja toimenpiteet voidaan kohdentaa oikeaan käyttäytymiseen tai prosessiin.

Lisää käytännön kuvauksia löytyy Käpy A.I. Oy:n Admin By Request -ratkaisun esittelystä, jossa Just-in-Time -korotusten toimintamalli avataan pk-yrityksen näkökulmasta.

3) Varmistus ja palautus: Veeam tekee jatkuvuudesta todennettavaa

Tietoturva ei ole vain hyökkäysten estämistä. Se on myös kykyä jatkaa toimintaa, vaikka jotain tapahtuu: lunnasohjelma, inhimillinen virhe, laiterikko, palvelun väärä konfiguraatio tai vahingossa poistettu tieto. Pk-yrityksessä vaikutukset näkyvät nopeasti: laskutus pysähtyy, tuotanto keskeytyy, projektidatat katoavat tai asiakaspalvelu ei pääse järjestelmiin.

Veeam on varmistus- ja palautusalusta, jonka ydinidea pk-yritykselle on yksinkertainen: varmistukset eivät ole “olemassa”, ellei palautusta testata ja ellei palautus onnistu nopeasti. Käytännön tasolla hyvä malli tarkoittaa:

• Selkeät RPO/RTO-tavoitteet: paljonko dataa voidaan menettää ja kuinka nopeasti palvelu pitää saada takaisin.
• Eristetyt ja suojatut varmistukset: varmistusketju ei saa olla samaa hyökkäyspintaa kuin tuotanto.
• Palautustestit: säännöllinen todennus, että kriittinen palvelu voidaan palauttaa ajassa.

Kun Veeam on osa kokonaisuutta, Heimdal Security ja Admin By Request vähentävät todennäköisyyttä, että vakava poikkeama toteutuu – ja Veeam varmistaa, että jos toteutuu, palautuminen on hallittua ja mitattavaa. Tämä on erityisen tärkeää lunnasohjelmatilanteissa, joissa päätös ei saa olla “maksa tai menetä kaikki”, vaan “palauta ja jatka”.

Veeamin käytännön hyödyistä ja käyttöönoton perusperiaatteista saa hyvän yleiskuvan Käpy A.I. Oy:n Veeam varmuuskopiointi -sivulta.

4) Vaatimustenmukaisuus ja tietoturvan johtaminen: Digiturvamalli tuo rakenteen ja todisteet

Moni pk-yritys huomaa tietoturvan puutteet viimeistään silloin, kun asiakas pyytää selvityksiä, vakuutusyhtiö kysyy kontrollien tasosta tai kun pitää vastata vaatimuksiin (esim. toimialan ohjeet, sopimusehdot, NIS2-vaikutukset alihankintaketjussa tai ISO 27001 -tyyppiset käytännöt). Haaste ei ole vain “mitä pitää tehdä”, vaan “miten osoitetaan, että tämä on tehty ja että sitä ylläpidetään”.

Digiturvamalli toimii pk-yritykselle käytännön työkaluna, jolla tietoturvan tekeminen muutetaan:

• Vaatimuksiksi ja tehtäviksi: mitä pitää olla olemassa, kenen vastuulla ja millä aikataululla.
• Dokumenteiksi ja todisteiksi: ohjeet, päätökset, lokit ja raportit löytyvät yhdestä paikasta.
• Jatkuvaksi parantamiseksi: ei vain “projekti”, vaan vuosikello ja seuranta.

Kun Digiturvamalli kytketään Heimdal Securityn, Veeamin ja Admin By Requestin tuottamaan dataan ja käytäntöihin, syntyy erittäin käytännöllinen kokonaisuus: kontrollit ovat olemassa, niitä toteutetaan teknisesti, ja niiden tila on raportoitavissa. Tämä vähentää myös avainhenkilöriskiä, koska tietoturvan johtaminen ei ole yhden henkilön muistilappujen varassa.

Digiturvamallin lähtökohdat ja käyttötapa kannattaa katsoa Käpy A.I. Oy:n Digiturvamalli-sivulta, jossa painotus on erityisesti pk-yrityksen arjessa toimivassa vaatimustenhallinnassa.

Toimiva kokonaisuus: malli, jolla pk-yritys vähentää riskiä 90 päivässä

Pk-yrityksessä onnistumisen ratkaisee usein aikataulu ja selkeys. Jos tekeminen venyy “pitkäksi kehitysohjelmaksi”, kiire ja muut projektit syövät edistymisen. Siksi käytännöllinen eteneminen voidaan jäsentää kolmeksi vaiheeksi:

Vaihe 1: Näkyvyys ja peruskontrollit (viikot 1–4)

• Heimdal Security käyttöön päätelaitteisiin: inventaario, peruspolitiikat ja hälytysten käsittelymalli.
• Admin By Request: pysyvät admin-oikeudet pois, JIT-korotukset käyttöön ja hyväksyntälinjaus.
• Digiturvamalli: vastuut ja minimitaso dokumenteille (esim. laitehallinta, päivitykset, varmistukset, poikkeamien käsittely).

Vaihe 2: Palautuskyky todennettavaksi (viikot 5–8)

• Veeam: varmistuspolitiikat, eristys, säilytykset ja palautuspolut kriittisille järjestelmille.
• Ensimmäiset palautustestit: valitaan 1–3 kriittistä skenaariota ja tehdään todennettu palautus.
• Digiturvamalli: palautustestien dokumentointi ja jatkuva testausrytmi.

Vaihe 3: Jatkuva ylläpito ja raportointi (viikot 9–12)

• Heimdal: haavoittuvuuksien ja päivitysten hallinnan rytmitys, poikkeamien trendiseuranta.
• Admin By Request: hyväksyntälogiikan hienosäätö, sovelluslistaukset ja toistuvat pyynnöt prosessiksi.
• Veeam: laajennetaan suojaus kattamaan lisää järjestelmiä ja varmistetaan palautusajat.
• Digiturvamalli: kuukausiraportti ja vastuut, jotta tekeminen pysyy kunnossa henkilöstömuutoksista huolimatta.

Yleisimmät virheet pk-yrityksen tietoturvassa – ja miten ne vältetään Käpy A.I. Oy:n ratkaisuilla

1) Luotetaan siihen, että “virustorjunta riittää”.
Heimdal Security tuo laajemman uhkien hallinnan ja näkyvyyden. Tavoite ei ole vain estää, vaan myös havaita ja reagoida.

2) Admin-oikeudet ovat pysyvästi käyttäjillä “jotta työ sujuu”.
Admin By Request mahdollistaa sujuvan työn ilman pysyvää riskiä: korotus tehdään tarpeeseen, ajaksi ja jäljitettävästi.

3) Varmistuksia tehdään, mutta palautusta ei testata.
Veeamilla palautus voidaan suunnitella ja todennetaan käytännössä, jolloin jatkuvuus on mitattavaa.

4) Vaatimustenmukaisuus on “kerran vuodessa” -paperityötä.
Digiturvamalli tekee vaatimuksista jatkuvaa tekemistä, jossa tekniset kontrollit ja todisteet löytyvät valmiina.

CTA: rakenna pk-yritykselle tietoturva, joka kestää arjen ja poikkeamat

Jos tavoite on selkeä, käytännöllinen tietoturvan parannus ilman raskasta kehitysohjelmaa, aloita kokonaisuuden läpikäynnillä: mitä päätelaitesuojaus, käyttäjäoikeudet, varmistus ja vaatimustenhallinta näyttävät juuri nyt – ja missä järjestyksessä ne kannattaa laittaa kuntoon.

Ota yhteyttä Käpy A.I. Oy:n asiantuntijaan ja pyydä demo tai kartoitus Heimdal Securityn, Veeamin, Admin By Requestin ja Digiturvamallin yhdistämisestä pk-yrityksen tarpeisiin.