Tietoturvan riskien hallinta yrityksessä: käytännön malli, vastuut ja todennettavat toimet

Miksi tietoturvan riskien hallinta kaatuu arjessa (ja miten sen voi korjata)

Tietoturvan riskien hallinta tarkoittaa käytännössä sitä, että organisaatio tunnistaa liiketoiminnalle olennaiset uhkat ja haavoittuvuudet, päättää mitä niille tehdään ja osoittaa tehdyt päätökset myös todeksi. Monessa yrityksessä tämä jää kuitenkin asiakirjaksi, jota päivitetään kiireessä auditoinnin tai asiakasvaatimuksen alla. Silloin riskit eivät vähene, vaikka riskirekisteri näyttäisi siistiltä.

Tyypilliset syyt epäonnistumiseen ovat yllättävän käytännöllisiä:

• Vastuut ovat epäselvät: IT:lle sysätään kaikki, vaikka riskit syntyvät myös prosesseista, ihmisistä ja toimittajista.
• Riskiarviointi ei kytkeydy päätöksiin: hankinnat, muutokset ja projektit etenevät ilman riskikäsittelyä.
• Kontrollit ovat oletuksia: “Meillä on MFA” tai “Meillä on varmuuskopiot” ilman testejä, kattavuutta ja valvontaa.
• Riskiä ei mitata: ei tiedetä, pieneneekö riski oikeasti vai vain paperilla.

Käpy A.I. Oy:n näkökulmasta toimiva riskien hallinta ei ole raskas viitekehys, vaan toistettava malli: nykytilan kartoitus, olennaisten riskien priorisointi, konkreettinen toimenpideohjelma ja henkilöstön kyvykkyyksien varmistaminen koulutuksella. Tämä yhdistelmä tekee riskienhallinnasta käytännönläheistä ja johdettavaa.

Riskienhallinnan käytännön malli: 6 vaihetta, jotka tuottavat päätöksiä

Alla on malli, jota voidaan soveltaa pk-yrityksestä monitoimipaikkaiseen organisaatioon. Olennaista on, että jokaisessa vaiheessa syntyy päätöksiä, vastuita ja todennettavia todisteita (evidence), joita voidaan hyödyntää myös vaatimustenmukaisuudessa.

1) Rajaa kohde: mitä suojataan ja miksi

Riskien hallinta alkaa rajauksesta. Yrityksen kannattaa kuvata vähintään:

• kriittiset palvelut ja prosessit (esim. tilaus-toimitus, tuotanto, asiakaspalvelu)
• kriittiset tiedot (henkilötiedot, sopimukset, tuotekehitysaineisto, talous)
• kriittiset järjestelmät ja riippuvuudet (pilvipalvelut, päätelaitteet, verkko, toimittajat)

Tässä vaiheessa syntyy myös järkevä “riskinottohalu” (risk appetite): mikä on hyväksyttävää ja mikä ei. Ilman tätä priorisointi on arvailua.

2) Tunnista riskit arjen kautta (ei vain uhkalistojen kautta)

Riskit tunnistetaan tehokkaimmin yhdistämällä kolme näkökulmaa:

• Arjen tapahtumat: lähetetäänkö tietoa sähköpostilla väärään paikkaan, jaetaanko linkkejä väärillä oikeuksilla, jääkö laitteita ilman päivityksiä?
• Muutostilanteet: järjestelmäuudistukset, toimittajavaihdokset, yritysjärjestelyt, uudet integraatiot.
• Hyökkäyspolut: todennäköisimmät tavat, joilla hyökkääjä etenee (kalastelu → tunnukset → sivuttaisliike → tietovuoto / kiristys).

Käytännössä tämä tarkoittaa työpajoja avainhenkilöiden kanssa ja kohdennettuja kysymyksiä. Usein jo pelkkä käsitteiden yhdenmukaistaminen (mitä tarkoittaa “kriittinen”, “henkilötieto”, “ylläpitäjä”) vähentää riskiä, koska päätöksenteko selkeytyy.

3) Arvioi riski: todennäköisyys, vaikutus ja nykykontrollit

Hyödyllinen riskinarviointi on riittävän yksinkertainen, jotta se pysyy käytössä. Käytännöllinen tapa on arvioida:

• Vaikutus: talous, maine, operatiivinen jatkuvuus, sopimus- ja sääntelyseuraamukset.
• Todennäköisyys: altistuminen (internet, etätyö, toimittajat), tekninen kypsyys (päivitykset, lokitus), henkilöstön toimintatavat.
• Nykykontrollien tehokkuus: onko kontrolli olemassa, kattava, valvottu ja testattu.

Riskien hallinnan kompastuskivi on “kontrollin olemassaolo” ilman näyttöä. Esimerkiksi varmuuskopioinnin osalta oikea kysymys ei ole onko varmuuskopioita, vaan palautuuko liiketoiminta tavoiteajassa ja onko palautus testattu. Sama pätee tunnistautumiseen, käyttöoikeuksiin ja lokitukseen.

4) Valitse riskin käsittelytapa ja tee siitä toteutussuunnitelma

Jokaiselle olennaiselle riskille valitaan käsittely:

• Vähennä (implementoi/kehitä kontrolleja)
• Vältä (lopeta toiminta tai muuta toteutusta)
• Siirrä (sopimukset, toimittajamallit, vakuutukset)
• Hyväksy (tietoinen päätös perusteluineen)

Toimivuus syntyy siitä, että jokaisella toimenpiteellä on omistaja, deadline, mittari ja todiste. Ilman näitä riskin pienentyminen jää toteamatta.

5) Rakenna “todennettava” kontrollipaketti: ihmiset + prosessit + teknologia

Tehokkaimmat kontrollit ovat yhdistelmä käytäntöjä ja teknisiä asetuksia. Esimerkkejä riskienhallinnan “peruspaketista”, jota voidaan sovittaa organisaation tarpeisiin:

• Käyttöoikeudet: vähimmän oikeuden malli, ylläpito-oikeuksien erottelu, tilapäiset admin-oikeudet ja lokitus.
• Päivitys- ja laitehallinta: kattavuus, kriittisten päivitysten aikarajat, näkyvyys poikkeamiin.
• Varmuuskopiointi ja palautus: immuuttisuus/eristys, palautustestit, RTO/RPO-tavoitteet.
• Lokitus ja seuranta: “mitä pitää nähdä”, hälytykset, vasteen työnjako.
• Henkilöstön toiminta: kalastelun tunnistus, turvallinen tiedonjakaminen, raportointikäytännöt.

Kun tätä rakennetaan, Käpy A.I. Oy yhdistää usein kartoituksen ja käytännön kehityssuunnitelman: ensin selvitetään nykytila ja aukot, sitten päätetään konkreettisista toimista. Tätä tukevat tietoturvakartoitukset, joissa riskit kytketään toimenpiteisiin niin, että johto näkee vaikutuksen ja IT saa toteutuskelpoisen listan.

6) Seuraa, testaa ja paranna: riskienhallinnasta vuosikello

Riskien hallinta ei pysy ajan tasalla ilman rytmiä. Käytännöllinen vuosikello sisältää esimerkiksi:

• kvartaaleittain: riskikatsaus johdolle (3–10 tärkeintä riskiä, trendit, päätökset)
• kuukausittain: päivitys- ja haavoittuvuuspoikkeamien läpikäynti
• puolivuosittain: palautustestit ja toimittajariskien tarkistus
• jatkuvasti: henkilöstön ilmoituskanava ja lyhyet teematietoiskut

Tässä kohtaa koulutus ei ole “yksi koulutuspäivä”, vaan tapa ylläpitää turvallisia toimintatapoja. Käpy A.I. Oy:n tietoturvakoulutukset voidaan rakentaa tukemaan riskikohteita: jos suurin riski on tunnusten kalastelu ja väärä tiedonjako, koulutus kohdistetaan juuri niihin ja muutosta seurataan.

Miten kartoitus ja GAP-analyysi tekevät riskien hallinnasta todennettavaa

Moni organisaatio tarvitsee riskienhallinnan rinnalle vaatimustenmukaisuuden näkökulman: asiakasvaatimukset, sopimusehdot, toimialasääntely tai sertifiointitavoitteet. Silloin riskienhallinta kannattaa ankkuroida kehikkoon, jota voidaan myös auditoida.

Käpy A.I. Oy:n käytännönläheinen tapa on yhdistää riskienhallinta ja vaatimustenmukaisuus GAP-ajattelulla:

• määritetään tavoitetaso (esim. valittu standardi tai sisäinen politiikka)
• todennetaan nykytila (dokumentit, asetukset, lokit, käytännöt)
• kirjataan aukot ja niiden riskivaikutus
• tehdään vaiheistettu korjausohjelma

Tämä on erityisen hyödyllistä, jos organisaatio tähtää ISO-linjaukseen tai haluaa muuten kypsyysnäkymän. Kypsyysajattelussa keskeistä on, että kontrollit eivät ole satunnaisia, vaan toistettavia ja omistettuja. Tarvittaessa ISO-näkökulmaa voidaan vahvistaa kypsyyskartoituksella osana nykytilakartoitusta.

Konsultointi, joka kytkee riskit arjen tekemiseen ja hankintoihin

Riskien hallinnan suurin hyöty syntyy, kun se ohjaa valintoja arjessa: mitä tehdään seuraavaksi, mihin investoidaan, mitä ei tehdä ja mitä hyväksytään. Tämän takia riskienhallintaa ei kannata irrottaa IT-hankinnoista ja muutoksista.

Käpy A.I. Oy:n tietoturvakonsultointi auttaa erityisesti näissä tilanteissa:

• IT-hankinnat ja kilpailutukset: tietoturvavaatimukset, toimittajan vastuut, sopimusehdot ja todentaminen.
• Pilvipalveluiden käyttöönotot: vastuunjako, lokitus, tietojen elinkaari, varmistus ja palautus.
• Pääkäyttäjämallin korjaus: kun admin-oikeudet ovat liian laajat tai jakautuneet, riski realisoituu nopeasti.
• Poikkeamat ja opit: läheltä piti -tilanteet ja pienet vuodot hyödynnetään parannuksiksi, ei vain “sammuteta tulipaloa”.

Esimerkiksi käyttöoikeusriskien hallinnassa usein merkittävä askel on siirtyä malliin, jossa ylläpito-oikeudet ovat tilapäisiä ja audit trail on selkeä. Tähän liittyvää toteutusta ja toimintamallia kannattaa kuvata selkeästi, jotta se kestää myös ulkoisen tarkastelun. Käytännön ratkaisumallia voi täydentää esimerkiksi paikallisten pääkäyttäjäoikeuksien hallinnan periaatteilla.

Vastaavasti riskienhallinta on vahvasti riippuvainen siitä, miten uhkia havaitaan ja niihin reagoidaan. Kun organisaatio tarvitsee parempaa näkyvyyttä päätelaitteisiin, palvelimiin ja pilviympäristöön, kokonaisuutta voidaan täydentää XDR-ajattelulla, jossa havainnointi, vaste ja pelikirjat tuodaan yhteen. Tätä voi tarkastella suhteessa XDR-alustaan ja siihen, mitä se tarkoittaa käytännön riskien pienentämisenä.

Mitä johdon kannattaa vaatia: mittarit ja todisteet, joilla riskit oikeasti pienenevät

Riskienhallinta onnistuu, kun johto saa säännöllisesti ymmärrettävän näkymän. Hyödyllisiä mittareita ovat esimerkiksi:

• Kriittisten riskien määrä ja trendi: nouseeko vai laskeeko, ja miksi.
• Toimenpiteiden läpimenoaika: kuinka nopeasti sovitut kontrollit saadaan tuotantoon.
• Peitto: kuinka suuri osa laitteista on päivitysvaatimusten piirissä, kuinka monessa palvelussa MFA on pakotettu.
• Testit: palautustestit, harjoitukset, satunnaistarkastukset (esim. käyttöoikeudet).
• Henkilöstön kyvykkyys: havaintojen ja ilmoitusten määrä, koulutusten läpäisy ja toistuvat virheet.

Kun mittarit kytketään riskirekisteriin, riskienhallinta muuttuu johdettavaksi. Samalla syntyy valmius vastata asiakkaiden ja kumppanien kysymyksiin perustellusti: mitä on tehty, millä tasolla ollaan ja mitä on seuraavaksi tulossa.

CTA: aloita riskien hallinta nykytilasta ja konkreettisesta toimenpideohjelmasta

Jos riskien hallinta tuntuu raskaalta tai irralliselta, helpoin tapa on aloittaa käytännön nykytilasta: missä ollaan nyt, mitkä ovat 5–10 tärkeintä riskiä ja mitkä toimet pienentävät niitä nopeimmin. Käpy A.I. Oy auttaa rakentamaan riskienhallinnan mallin, joka näkyy arjen tekemisenä ja kestää myös vaatimustenmukaisuuden tarkastelun.

Tutustu tietoturvakartoituksiin ja tietoturvakoulutuksiin, tai ota yhteyttä ja sovi aloituspalaveri: yhteystiedot.

Päiväys: 2026-03-10T01:00:50.109-04:00