Kyberuhat eivät kohdistu enää vain suuriin organisaatioihin. Myös pk-yritykset joutuvat jatkuvasti kohtaamaan kalasteluviestejä, kiristyshaittaohjelmia, käyttöoikeusvirheitä ja toimittajaketjun kautta tulevia riskejä. Monessa yrityksessä ongelma ei ole se, etteikö tietoturvaa haluttaisi hoitaa, vaan se, että tekeminen jää hajanaiseksi: yksi työkalu siellä, yksi ohje täällä, mutta kokonaisuus puuttuu.
ISO 27001 tuo tähän rakenteen. Se on kansainvälinen standardi, jonka avulla rakennetaan tietoturvan hallintajärjestelmä eli käytännön malli sille, miten tietoturvaa johdetaan, mitataan ja parannetaan. Tässä artikkelissa käymme läpi viisi kriittistä suojausaluetta, joihin kyberturvallisuudessa kannattaa keskittyä, ja lopuksi näytän myös, miten pääset liikkeelle ilman raskasta projektia.
Miksi ISO 27001 liittyy suoraan kyberturvallisuuteen?
Kyberturvallisuus mielletään usein palomuureiksi, virustorjunnaksi ja teknisiksi ratkaisuiksi. Ne ovat tärkeitä, mutta yksin ne eivät riitä. Jos käyttäjillä on liian laajat oikeudet, varmuuskopioita ei testata tai poistuneen työntekijän tunnukset jäävät voimaan, tekninen suojaus ei pelasta tilannetta.
Juuri tässä hallintajärjestelmä auttaa. ISO 27001 pakottaa katsomaan kokonaisuutta: mitä tietoa suojataan, mitkä ovat suurimmat riskit, kuka vastaa mistäkin ja miten varmistetaan, että sovitut käytännöt myös toteutuvat arjessa. Kyse ei siis ole vain auditointia varten tehdyistä dokumenteista, vaan johtamismallista.
Käytännössä tämä näkyy esimerkiksi näin:
| Tilanne | Ilman ISO 27001 -mallia | ISO 27001 -mallilla |
|---|---|---|
| Käyttöoikeuksien hallinta | Oikeuksia annetaan tapauskohtaisesti ilman seurantaa | Oikeudet hyväksytään, tarkistetaan ja poistetaan 24 tunnin sisällä työsuhteen päättyessä |
| Riskienhallinta | Riskit tunnistetaan vasta ongelman jälkeen | 3–5 keskeistä riskiä arvioidaan säännöllisesti ja niille määritetään toimenpiteet |
| Poikkeamien käsittely | Häiriöistä keskustellaan sähköpostissa | Poikkeamat kirjataan, tutkitaan ja korjaavat toimet seurataan loppuun |
| Toimittajaturva | Kumppanit valitaan hinnan perusteella | Tietoturvavaatimukset tarkistetaan ennen sopimusta ja vähintään vuosittain |
Huomio
ISO 27001 ei tarkoita, että yrityksen pitäisi suojata kaikki samalla tasolla. Standardin ydin on riskiperusteisuus: suojaa eniten se, mikä aiheuttaisi liiketoiminnalle suurimman vahingon.
1. Käyttöoikeudet ja identiteetin hallinta
Ensimmäinen kriittinen suojausalue on se, kuka pääsee mihinkin käsiksi. Yllättävän moni tietoturvapoikkeama johtuu liian laajoista oikeuksista, jaetusta ylläpitotunnuksesta tai siitä, että vanhat tunnukset jäävät voimaan kuukausiksi.
Käyttöoikeuksien hallinta tarkoittaa käytännössä sitä, että jokaisella käyttäjällä on vain työn kannalta välttämättömät oikeudet. Tätä kutsutaan vähimpien oikeuksien periaatteeksi. Jos myyntihenkilö tarvitsee CRM-järjestelmän mutta ei palkanlaskentaa, pääsy rajataan siihen, mitä työ todella vaatii.
Tarkista ainakin nämä asiat:
- Onko uusien käyttäjien oikeuksille hyväksymiskäytäntö?
- Poistetaanko tunnukset 24 tunnin sisällä työsuhteen päättymisestä?
- Tarkistetaanko oikeudet vähintään 2 kertaa vuodessa?
- Onko ylläpitotunnuksilla monivaiheinen tunnistautuminen?
- Onko jaetut tunnukset poistettu tai minimoitu?
Hyvä mittari pk-yritykselle on tämä: tavoittele, että 100 % poistuneiden työntekijöiden tunnuksista suljetaan saman työpäivän aikana ja että vähintään 90 % kriittisistä järjestelmistä käyttää monivaiheista tunnistautumista.
2. Päätelaitteet, palvelimet ja tekninen suojaus
Toinen suojausalue on tekninen perusta: työasemat, kannettavat, puhelimet, palvelimet ja pilvipalvelut. Jos laitteita ei päivitetä tai niiden suojausasetukset vaihtelevat käyttäjäkohtaisesti, hyökkääjä löytää kyllä heikoimman lenkin.
ISO 27001 ei määrää yhtä tiettyä työkalua, mutta se edellyttää, että organisaatio hallitsee tekniset riskinsä järjestelmällisesti. Tämä tarkoittaa esimerkiksi päivityksiä, haittaohjelmasuojausta, lokitietojen seurantaa ja laitteiden salausta.
Konkreettinen minimitaso näyttää usein tältä:
- Tietoturvapäivitykset asennetaan kriittisiin järjestelmiin 7 päivän sisällä
- Kaikki kannettavat salataan levysalauksella
- Mobiililaitteissa on etälukitus ja etätyhjennys
- Palvelimista kerätään lokit vähintään 90 päivän ajalta
- Käytöstä poistuvat laitteet tyhjennetään dokumentoidusti
Jos haluat nopean tilannekuvan, tee 30 minuutin tarkistuslista IT-vastaavan kanssa. Käy läpi viisi asiaa: päivitykset, salaus, varmuuskopiot, lokit ja päätelaitesuojaus. Jo tämä paljastaa usein suurimmat puutteet.
Vinkki
Valitse ensin 3 kriittisintä järjestelmää ja varmista niihin päivitysrytmi, lokitus ja monivaiheinen tunnistautuminen. Kaikkea ei tarvitse korjata kerralla, kunhan etenet riskin mukaan.
3. Varmuuskopiot ja jatkuvuus häiriötilanteissa
Moni yritys huomaa varmuuskopioiden merkityksen vasta silloin, kun tiedostoja ei enää saa auki tai pilvipalvelun data katoaa virheen seurauksena. Jatkuvuuden hallinta tarkoittaa sitä, että liiketoiminta pystyy jatkumaan myös häiriön aikana tai palautumaan nopeasti.
Kyberturvallisuudessa tämä on kriittistä erityisesti kiristyshaittaohjelmien, inhimillisten virheiden ja palvelukatkosten vuoksi. Varmuuskopio on hyödyllinen vasta silloin, kun palautus toimii oikeasti. Siksi pelkkä “backup on olemassa” ei riitä.
Kysy omassa organisaatiossasi nämä kysymykset:
- Mitkä tiedot on palautettava ensin, jos järjestelmät kaatuvat?
- Kuinka pitkä käyttökatko on hyväksyttävä: 4 tuntia, 24 tuntia vai 3 päivää?
- Testataanko palautus vähintään 2 kertaa vuodessa?
- Säilytetäänkö vähintään yksi varmuuskopio erillään tuotantoympäristöstä?
- Onko vastuuhenkilö nimetty häiriötilanteiden johtamiseen?
Alla yksinkertainen malli palautustavoitteiden määrittelyyn:
| Kohde | Suositeltu palautusaika | Suositeltu tietohävikki | Testausväli |
|---|---|---|---|
| Sähköposti | 4–8 tuntia | 1–4 tuntia | 2 kertaa vuodessa |
| Tiedostopalvelu | 8–24 tuntia | 4–8 tuntia | 2 kertaa vuodessa |
| Toiminnanohjaus / ERP | 4–24 tuntia | 1–4 tuntia | 2–4 kertaa vuodessa |
| Verkkosivusto | 24 tuntia | 24 tuntia | 1–2 kertaa vuodessa |
4. Henkilöstö, osaaminen ja arjen toimintatavat
Tekniikka ei yksin ratkaise kyberturvallisuutta, koska suuri osa poikkeamista alkaa ihmisen tekemästä virheestä. Kalasteluviestin avaaminen, väärän liitteen lähettäminen tai salasanan kierrättäminen ovat arjen tilanteita, joihin jokainen organisaatio törmää.
ISO 27001 korostaa tietoisuutta ja osaamista. Tämä tarkoittaa, että henkilöstölle ei pidetä vain yhtä vuosittaista koulutusta, vaan heille annetaan selkeät toimintamallit: mitä tehdä epäilyttävän viestin kanssa, kenelle ilmoittaa poikkeamasta ja miten toimia etätyössä turvallisesti.
Toimiva perusmalli sisältää ainakin nämä:
- Uusille työntekijöille tietoturvaperetys ensimmäisen 7 päivän aikana
- Koko henkilöstölle lyhyt kertaus vähintään 1–2 kertaa vuodessa
- Kalastelusimulaatio tai muu harjoitus vähintään 1 kerran vuodessa
- Selkeä ilmoituskanava poikkeamille, esimerkiksi yksi sähköpostiosoite tai tiketöinti
- Etätyöohje, jossa määritellään laitteet, VPN-yhteydet ja tiedostojen käsittely
Hyvä käytännön mittari on, että epäilyttävästä viestistä ilmoitetaan keskimäärin 15 minuutin sisällä havainnosta. Mitä nopeammin tieto tulee IT:lle tai vastuuhenkilölle, sitä pienemmäksi vahinko yleensä jää.
Varoitus
Yleinen virhe on tehdä tietoturvakoulutus kerran vuodessa ja olettaa sen riittävän. Käytännössä ihmiset muistavat parhaiten lyhyet, toistuvat ohjeet, jotka liittyvät heidän omaan työhönsä.
5. Toimittajat, pilvipalvelut ja ulkoistetut riskit
Harva pk-yritys tuottaa kaiken itse. Käytössä on Microsoft 365, taloushallinnon järjestelmä, IT-kumppani, ohjelmistotoimittaja ja ehkä ulkoistettu asiakaspalvelu. Siksi yksi kriittisimmistä suojausalueista on toimittajahallinta.
Jos kumppani käsittelee asiakasdataa, ylläpitää järjestelmiä tai pääsee yrityksesi verkkoon, sen tietoturva vaikuttaa suoraan omaan riskiisi. ISO 27001 auttaa tekemään tästä hallittavaa: toimittajat arvioidaan, vaatimukset kirjataan sopimuksiin ja toteutumista seurataan.
Tarkista vähintään nämä asiat ennen sopimusta ja sen aikana:
- Käsitteleekö toimittaja henkilötietoja tai luottamuksellista tietoa?
- Onko toimittajalla omat tietoturvakäytännöt tai esimerkiksi ISO 27001 -sertifiointi?
- Missä data sijaitsee ja kuka siihen pääsee käsiksi?
- Miten nopeasti toimittaja ilmoittaa poikkeamasta, esimerkiksi 24 tunnin sisällä?
- Miten palvelu ja data palautetaan sopimuksen päättyessä?
Yksinkertainen toimittajaluokittelu auttaa priorisoimaan työtä:
| Toimittajaluokka | Esimerkki | Tarkistusväli | Minimitaso |
|---|---|---|---|
| Korkea | IT-ylläpito, ERP, asiakasdataa käsittelevä SaaS | 12 kk | Sopimusvaatimukset, riskikatsaus, poikkeamailmoitusvelvoite |
| Keskitaso | Taloushallinto, HR-järjestelmä | 12–24 kk | Perustason tietoturvakysely ja sopimusehdot |
| Matala | Työkalut ilman kriittistä dataa | 24 kk | Kevyt arviointi |
Miten pk-yritys pääsee liikkeelle käytännössä?
Kun suojausalueita on viisi, voi tulla tunne, että kaikkea pitäisi tehdä heti. Todellisuudessa hyvä eteneminen on vaiheittaista. Tärkeintä on saada näkyvyys nykytilaan ja valita ensimmäiset korjaukset riskin perusteella.
Rajaa tärkein tieto ja kriittiset järjestelmät
Listaa ensin 5–10 tärkeintä tietovarantoa tai järjestelmää, kuten asiakasdata, sähköposti, ERP ja tiedostot. Arvioi jokaiselle, mitä tapahtuisi, jos tieto vuotaa, muuttuu vääräksi tai ei ole käytettävissä 24 tuntiin.
Tunnista 3–5 suurinta kyberriskiä
Valitse riskit, jotka ovat sekä todennäköisiä että liiketoiminnalle haitallisia. Pk-yrityksessä nämä ovat usein kalastelu, liian laajat käyttöoikeudet, puutteelliset varmuuskopiot, toimittajariippuvuus ja päivittämättömät laitteet.
Määritä omistajat ja aikarajat
Nimeä jokaiselle toimenpiteelle vastuuhenkilö ja määräaika. Esimerkiksi käyttöoikeuksien poistoprosessi voidaan ottaa käyttöön 30 päivässä, varmuuskopioiden palautustesti tehdä kahden viikon sisällä ja toimittajaluokittelu valmiiksi kuukaudessa.
Dokumentoi vain se, mitä oikeasti johdatte
Kirjaa politiikat, ohjeet ja vastuut niin, että ne tukevat arjen tekemistä. Hyvä sääntö on, että jokaiselle dokumentille pitää löytyä omistaja, päivitysväli ja käytännön käyttötarkoitus — muuten se jää helposti hyllylle.
Seuraa muutamaa mittaria kuukausittain
Aloita pienesti. Seuraa esimerkiksi montako kriittistä päivitystä on myöhässä, kuinka nopeasti tunnukset poistetaan, kuinka moni on suorittanut koulutuksen ja montako poikkeamaa on käsitelty loppuun 30 päivän sisällä.
Missä yritykset yleensä epäonnistuvat?
Yleisin ongelma ei ole työkalujen puute vaan fokuksen puute. Yritys yrittää tehdä liian paljon kerralla, kopioi valmiita mallipohjia tai rakentaa dokumentaatiota ilman yhteyttä todellisiin riskeihin.
Vältä erityisesti nämä virheet:
- Aloitat kontrollilistasta ennen riskiarviointia
- Vastuut jäävät nimeämättä
- Toimittajat unohdetaan kokonaan
- Varmuuskopioita ei koskaan testata
- Mittareita ei seurata kuukausi- tai kvartaalitasolla
Jos tunnistat näistä omasi, hyvä uutinen on tämä: suunta on korjattavissa nopeasti. Usein jo 4–8 viikon aikana saadaan näkyvä parannus, kun keskitytään muutamaan kriittiseen suojausalueeseen eikä kaikkeen yhtä aikaa.
Miten Tietoturvapankki tukee ISO 27001 -työtä?
Monessa pk-yrityksessä haaste ei ole ymmärtää, mitä pitäisi tehdä, vaan löytää aikaa ja rakenne tekemiselle. Tietoturvapankki yhdistää sovelluksen ja asiantuntijatuen niin, että ISO 27001 -työ ei jää irralliseksi projektiksi. Saat käyttöön valmiin rungon, käytännön etenemismallin ja tuen siihen, että sovitut asiat myös viedään maaliin.
Jos organisaatiossasi on käytössä myös ISO 9001, kokonaisuus helpottuu entisestään. Softapankki Oy:n ja QMClouds Oy:n ratkaisuissa tietoturvan ja laadun johtamista voidaan kehittää rinnakkain, ja Laatupankki — Konsernin laadunhallinnan tuotemerkki tukee laadunhallinnan puolta samalla periaatteella: selkeästi, käytännöllisesti ja pk-yrityksen arkeen sopivasti.
Yhteenveto
- ISO 27001 tuo kyberturvallisuuteen johtamismallin, ei vain teknisiä kontrollilistoja.
- Viisi kriittistä suojausaluetta ovat käyttöoikeudet, tekninen suojaus, varmuuskopiot, henkilöstö ja toimittajahallinta.
- Aloita tunnistamalla 5–10 tärkeintä tietoa tai järjestelmää ja arvioi niihin liittyvät 3–5 suurinta riskiä.
- Aseta konkreettiset mittarit, kuten tunnusten poisto 24 tunnissa ja palautustestit 2 kertaa vuodessa.
- Pk-yritys pääsee pitkälle, kun se etenee vaiheittain ja yhdistää dokumentoinnin arjen tekemiseen.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.