Toteuttamamme auditoinnit perustuvat kansainv\u00e4lisiin standardeihin ja alan parhaisiin k\u00e4yt\u00e4nt\u00f6ihin, mutta lopputuloksen pit\u00e4\u00e4 olla k\u00e4yt\u00e4nn\u00f6nl\u00e4heinen. Hyv\u00e4 auditointi ei j\u00e4\u00e4 yleiselle tasolle. Sen pit\u00e4\u00e4 kertoa selke\u00e4sti, mit\u00e4 ymp\u00e4rist\u00f6st\u00e4 l\u00f6ydettiin, miksi l\u00f6yd\u00f6kset ovat liiketoiminnan kannalta merkitt\u00e4vi\u00e4 ja mit\u00e4 seuraavaksi kannattaa tehd\u00e4.<\/p>\n\n\n\n
Mit\u00e4 tietoturva-auditointi on ja miksi se kannattaa tehd\u00e4?<\/h2>\n\n\n\n
Tietoturva-auditointi kannattaa tehd\u00e4 silloin, kun yritys tarvitsee riippumattoman ja k\u00e4yt\u00e4nn\u00f6nl\u00e4heisen kuvan omasta riskitasostaan. Tarve voi tulla asiakkaalta, johdolta, viranomaisvaatimuksista, NIS2-direktiiviin varautumisesta, ISO 27001 -ty\u00f6st\u00e4 tai yksinkertaisesti siit\u00e4, ett\u00e4 ymp\u00e4rist\u00f6 on kasvanut vuosien aikana monimutkaiseksi.<\/p>\n\n\n\n
K\u00e4yt\u00e4nn\u00f6ss\u00e4 auditointi auttaa vastaamaan kysymyksiin, joihin arjen IT-ty\u00f6ss\u00e4 ei aina ehdit\u00e4 pys\u00e4hty\u00e4. Ovatko k\u00e4ytt\u00f6oikeudet ajan tasalla? Tiedet\u00e4\u00e4nk\u00f6, kuka p\u00e4\u00e4see kriittisiin j\u00e4rjestelmiin? Toimivatko varmistukset my\u00f6s palautustilanteessa? Onko et\u00e4yhteydet rajattu oikein? N\u00e4kyv\u00e4tk\u00f6 poikkeamat lokeissa ajoissa? Onko OT-ymp\u00e4rist\u00f6 erotettu riitt\u00e4v\u00e4sti muusta verkosta?<\/p>\n\n\n\n
Tietoturva auditointi kannattaa tehd\u00e4 ennen kuin ongelma pakottaa siihen <\/h3>\n\n\n\n
Tietomurto, haittaohjelma, tietovuoto tai palvelunestohy\u00f6kk\u00e4ys voi aiheuttaa nopeasti k\u00e4ytt\u00f6katkoja, kustannuksia ja luottamuspulaa asiakkaiden suuntaan. Ennakoivassa auditoinnissa riskit voidaan korjata hallitusti, ennen kuin niist\u00e4 tulee kiireellinen h\u00e4iri\u00f6tilanne. Samalla se auttaa tunnistamaan heikkoudet ennen kuin ne ehtiv\u00e4t kasvaa vakaviksi ongelmiksi.<\/p>\n\n\n\n
Tietoturva-auditointi ei ole vain ISO 27001 -sertifikaattia varten. Se voi tukea sertifiointia, asiakasvaatimuksia ja johdon riskienhallintaa, mutta k\u00e4yt\u00e4nn\u00f6n hy\u00f6ty on suoraviivainen: yritys n\u00e4kee, mitk\u00e4 asiat ovat kriittisi\u00e4, mitk\u00e4 voidaan aikatauluttaa my\u00f6hemm\u00e4ksi ja mist\u00e4 tietoturvan kehitt\u00e4minen kannattaa aloittaa. Samalla auditointi voi toimia my\u00f6s katalysaattorina organisaation turvallisuuskulttuurin kehitt\u00e4misess\u00e4.<\/p>\n\n\n\n Tietoturva-auditointi etenee aina sovitun rajauksen mukaan. Pienen toimistoverkon tarkastus on eri asia kuin energia-alan yrityksen IT- ja OT-ymp\u00e4rist\u00f6n arviointi. <\/p>\n\n\n\n Siksi ensimm\u00e4inen vaihe ei ole tekninen skannaus, vaan ty\u00f6n rajaus. Samalla sovitaan palvelusta, salassapidosta ja aikataulusta sek\u00e4 m\u00e4\u00e4ritell\u00e4\u00e4n, mit\u00e4 ymp\u00e4rist\u00f6\u00e4 arvioidaan, mitk\u00e4 j\u00e4rjestelm\u00e4t ovat kriittisi\u00e4 ja mit\u00e4 auditoinnilla halutaan saavuttaa.<\/p>\n\n\n\n Asiakasty\u00f6ss\u00e4 olemme n\u00e4hneet, ett\u00e4 hyv\u00e4 rajaus ratkaisee paljon. Jos auditointi aloitetaan liian teknisesti, riskin\u00e4 on, ett\u00e4 l\u00f6yd\u00f6kset j\u00e4\u00e4v\u00e4t irrallisiksi. Kun ensin ymm\u00e4rret\u00e4\u00e4n yrityksen toiminta, kriittiset palvelut, toimittajayhteydet ja verkon rakenne, tekniset havainnot voidaan my\u00f6hemmin liitt\u00e4\u00e4 suoraan liiketoiminnan riskeihin.<\/p>\n\n\n\n Tyypillisesti auditointi etenee viidess\u00e4 vaiheessa, ja koko prosessi sis\u00e4lt\u00e4\u00e4 rajauksen, dokumenttien ja toimintamallien arvioinnin, teknisen tarkastuksen, riskien priorisoinnin sek\u00e4 raportin ja kehityssuunnitelman. Laajuudesta riippuen ty\u00f6 voi kest\u00e4\u00e4 muutamasta p\u00e4iv\u00e4st\u00e4 useisiin viikkoihin.<\/p>\n\n\n\n Esiselvityksess\u00e4 m\u00e4\u00e4ritell\u00e4\u00e4n, mit\u00e4 auditointi kattaa ja mit\u00e4 se ei kata. T\u00e4m\u00e4 kuulostaa yksinkertaiselta, mutta k\u00e4yt\u00e4nn\u00f6ss\u00e4 rajaus vaikuttaa suoraan ty\u00f6n laatuun, hintaan ja lopputulokseen. Auditointiin kannattaa ottaa mukaan vain sellaiset kohteet, joilla on oikeasti merkityst\u00e4 yrityksen toiminnalle.<\/p>\n\n\n\n Jos yrityksell\u00e4 on sek\u00e4 toimistoverkko ett\u00e4 OT-ymp\u00e4rist\u00f6, rajauksessa p\u00e4\u00e4tet\u00e4\u00e4n, arvioidaanko ne yhdess\u00e4 vai erillisin\u00e4 kokonaisuuksina. Samalla selvitet\u00e4\u00e4n ulkopuolisten toimittajien yhteydet ja et\u00e4k\u00e4ytt\u00f6, koska monessa ymp\u00e4rist\u00f6ss\u00e4 vakavin riski ei synny omasta henkil\u00f6st\u00f6st\u00e4, vaan siit\u00e4, ett\u00e4 toimittajalle, huoltokumppanille tai j\u00e4rjestelm\u00e4toimittajalle on j\u00e4\u00e4nyt liian laaja tai huonosti valvottu p\u00e4\u00e4sy kriittisiin j\u00e4rjestelmiin.<\/p>\n\n\n\n Rajauksen j\u00e4lkeen haastatellaan yleens\u00e4 johdon ja teknisen henkil\u00f6st\u00f6n avainhenkil\u00f6it\u00e4. N\u00e4in saadaan k\u00e4sitys siit\u00e4, miten tietoturva n\u00e4kyy sek\u00e4 p\u00e4\u00e4t\u00f6ksenteossa ett\u00e4 arjen toiminnassa.<\/p>\n\n\n\n Auditoinnin rajauksessa sovitaan esimerkiksi:<\/strong><\/p>\n\n\n\n Dokumenttien arvioinnissa ei tarkasteta vain sit\u00e4, l\u00f6ytyyk\u00f6 yritykselt\u00e4 tietoturvapolitiikka, k\u00e4ytt\u00f6oikeusohje, varautumissuunnitelma tai riskienhallintasuunnitelma. T\u00e4rke\u00e4mp\u00e4\u00e4 on selvitt\u00e4\u00e4, vastaavatko dokumentit todellista toimintaa.<\/p>\n\n\n\n Riski syntyy usein juuri t\u00e4st\u00e4 v\u00e4list\u00e4: ohje n\u00e4ytt\u00e4\u00e4 paperilla hyv\u00e4lt\u00e4, mutta kukaan ei seuraa sen toteutumista arjessa. K\u00e4yt\u00e4nn\u00f6ss\u00e4 t\u00e4m\u00e4 voi tarkoittaa esimerkiksi sit\u00e4, ett\u00e4 poistuneen ty\u00f6ntekij\u00e4n tunnus j\u00e4\u00e4 aktiiviseksi, varmistuksia ei ole koskaan testattu palautustilanteessa, toimittajan et\u00e4yhteys on liian laaja tai lokit ker\u00e4t\u00e4\u00e4n, mutta niit\u00e4 ei kukaan seuraa.<\/p>\n\n\n\n Jos auditointi liittyy ISO 27001 -sertifiointiin, NIS2-vaatimuksiin tai asiakkaiden tietoturvavaatimuksiin, dokumentaation ja todellisen toiminnan v\u00e4linen ero pit\u00e4\u00e4 tunnistaa ajoissa.<\/p>\n\n\n\n Tekninen tarkastus n\u00e4ytt\u00e4\u00e4, miten tietoturva toteutuu k\u00e4yt\u00e4nn\u00f6ss\u00e4 j\u00e4rjestelmiss\u00e4, verkoissa, ty\u00f6asemissa, palvelimissa ja pilvipalveluissa. Sen tarkoitus on l\u00f6yt\u00e4\u00e4 haavoittuvuudet ennen kuin ne johtavat tietomurtoihin, k\u00e4ytt\u00f6katkoihin tai taloudellisiin menetyksiin. Auditoinnissa voidaan tarkastaa esimerkiksi seuraavat kohteet:<\/p>\n\n\n\n \u2610 Palomuuris\u00e4\u00e4nn\u00f6t, verkkolaitteet ja hallintayhteydet<\/p>\n\n\n\n \u2610 VPN-yhteydet, et\u00e4k\u00e4ytt\u00f6 ja toimittajap\u00e4\u00e4syt<\/p>\n\n\n\n \u2610 Verkon segmentointi ja IT-\/OT-ymp\u00e4rist\u00f6jen erottelu<\/p>\n\n\n\n \u2610 Windows- ja Linux-palvelimien p\u00e4ivitykset, kovennukset ja avoimet portit<\/p>\n\n\n\n \u2610 Ty\u00f6asemien p\u00e4ivitystaso, p\u00e4\u00e4telaitesuojaus ja paikalliset oikeudet<\/p>\n\n\n\n \u2610 Active Directory, k\u00e4ytt\u00e4j\u00e4ryhm\u00e4t, admin-oikeudet ja vanhat tunnukset<\/p>\n\n\n\n \u2610 Microsoft 365:n ja Azuren suojausasetukset, MFA ja Conditional Access<\/p>\n\n\n\n \u2610 Pilvipalveluiden jakamisasetukset, lokitus ja p\u00e4\u00e4synhallinta<\/p>\n\n\n\n \u2610 Varmistusten kattavuus, palautustestit ja eriytys tuotantoymp\u00e4rist\u00f6st\u00e4<\/p>\n\n\n\n \u2610 Lokien ker\u00e4\u00e4minen, seuranta ja poikkeamien havaitseminen<\/p>\n\n\n\n \u2610 Suojaamattomat RDP-, SSH- tai muut et\u00e4yhteyspalvelut<\/p>\n\n\n\n \u2610 Vanhentuneet j\u00e4rjestelm\u00e4t, ohjelmistoversiot ja laitteistot<\/p>\n\n\n\n \u2610 Haittaohjelmasuojaus, EDR\/XDR-ratkaisut ja p\u00e4\u00e4telaitteiden valvonta<\/p>\n\n\n\n \u2610 S\u00e4hk\u00f6postin suojaus, roskapostisuodatus ja phishing-suojaus<\/p>\n\n\n\n \u2610 Pilviymp\u00e4rist\u00f6jen julkiset ja v\u00e4\u00e4rin m\u00e4\u00e4ritetyt resurssit<\/p>\n\n\n\n \u2610 K\u00e4ytt\u00f6oikeuksien minimointi ja p\u00e4\u00e4k\u00e4ytt\u00e4j\u00e4roolien hallinta<\/p>\n\n\n\n \u2610 Varmuuskopioiden suojaus kiristyshaittaohjelmia vastaan<\/p>\n\n\n\n \u2610 Teknisten havaintojen vaikutus liiketoimintaan, jatkuvuuteen ja s\u00e4\u00e4ntelyvaatimuksiin<\/p>\n\n\n\n Erityisesti OT- ja tuotantoymp\u00e4rist\u00f6iss\u00e4 tekninen tarkastus pit\u00e4\u00e4 suunnitella huolellisesti. Kaikkea ei voida tarkastaa samalla tavalla kuin tavallisessa toimistoverkossa, koska tuotannon jatkuvuus, laitteiden ik\u00e4 ja j\u00e4rjestelmien kriittisyys vaikuttavat siihen, mit\u00e4 voidaan tehd\u00e4 turvallisesti.<\/p>\n\n\n\n Riskien arvioinnissa auditoinnin l\u00f6yd\u00f6kset muutetaan p\u00e4\u00e4t\u00f6ksenteon kannalta ymm\u00e4rrett\u00e4v\u00e4\u00e4n muotoon. Pelkk\u00e4 tekninen havainto ei viel\u00e4 kerro, kuinka kiireellinen ongelma on. Siksi jokaisen l\u00f6yd\u00f6ksen kohdalla arvioidaan, mihin se vaikuttaa, kuinka todenn\u00e4k\u00f6inen riski on ja kuinka nopeasti siihen pit\u00e4\u00e4 reagoida. Tavoitteena on erottaa kriittiset riskit niist\u00e4 kehityskohteista, jotka voidaan aikatauluttaa my\u00f6hemm\u00e4ksi.<\/p>\n\n\n\n ISO 27001 ja NIST tulevat my\u00f6hemmin omassa kohdassaan, joten niit\u00e4 ei tarvitse t\u00e4ss\u00e4 en\u00e4\u00e4 painottaa.<\/p>\n\n\n\n K\u00e4yt\u00e4nn\u00f6ss\u00e4 sama havainto voi olla eri yrityksiss\u00e4 eri tasoinen riski. Esimerkiksi puuttuva MFA voi olla kriittinen ongelma, jos se koskee et\u00e4yhteyksi\u00e4 tai p\u00e4\u00e4k\u00e4ytt\u00e4ji\u00e4. Toisessa ymp\u00e4rist\u00f6ss\u00e4 sama puute voi olla alempi prioriteetti, jos j\u00e4rjestelm\u00e4 ei ole liiketoiminnan kannalta kriittinen eik\u00e4 siihen ole ulkoista p\u00e4\u00e4sy\u00e4.<\/p>\n\n\n\n Priorisoinnin tarkoitus on tehd\u00e4 korjaamisesta hallittavaa. Kaikkea ei tarvitse ratkaista kerralla, mutta kriittiset riskit pit\u00e4\u00e4 erottaa selv\u00e4sti niist\u00e4 kehityskohteista, jotka voidaan aikatauluttaa my\u00f6hemm\u00e4ksi. N\u00e4in auditoinnin lopputulos ei ole vain pitk\u00e4 lista puutteita, vaan k\u00e4yt\u00e4nn\u00f6llinen korjausj\u00e4rjestys.<\/p>\n\n\n\n Auditointiraportin pit\u00e4\u00e4 olla k\u00e4ytt\u00f6kelpoinen sek\u00e4 johdolle ett\u00e4 tekniselle henkil\u00f6st\u00f6lle. Pelkk\u00e4 tekninen havaintolista ei viel\u00e4 auta yrityst\u00e4 tekem\u00e4\u00e4n p\u00e4\u00e4t\u00f6ksi\u00e4. Raportin pit\u00e4\u00e4 kertoa selke\u00e4sti, mitk\u00e4 l\u00f6yd\u00f6kset vaikuttavat liiketoiminnan jatkuvuuteen, asiakasluottamukseen, sopimusvelvoitteisiin tai s\u00e4\u00e4ntelyvaatimuksiin. <\/p>\n\n\n\n Meid\u00e4n ty\u00f6ss\u00e4mme raportin t\u00e4rkein teht\u00e4v\u00e4 on erottaa kriittiset riskit niist\u00e4 asioista, jotka voidaan korjata my\u00f6hemmin. Johto tarvitsee selke\u00e4n kuvan vaikutuksista ja prioriteeteista. Tekninen henkil\u00f6st\u00f6 tarvitsee puolestaan riitt\u00e4v\u00e4n konkreettiset suositukset, jotta korjaavat toimet voidaan vied\u00e4 k\u00e4yt\u00e4nt\u00f6\u00f6n.<\/p>\n\n\n\n Auditointiraportti sis\u00e4lt\u00e4\u00e4 yleens\u00e4:<\/p>\n\n\n\n Tekninen tietoturva-auditointi n\u00e4ytt\u00e4\u00e4, millainen hy\u00f6kk\u00e4yspinta yrityksell\u00e4 on k\u00e4yt\u00e4nn\u00f6ss\u00e4. Hy\u00f6kk\u00e4yspinnalla tarkoitetaan kaikkia niit\u00e4 j\u00e4rjestelmi\u00e4, yhteyksi\u00e4, tunnuksia ja asetuksia, joita hy\u00f6kk\u00e4\u00e4j\u00e4 voisi yritt\u00e4\u00e4 k\u00e4ytt\u00e4\u00e4 p\u00e4\u00e4st\u00e4kseen sis\u00e4\u00e4n yrityksen ymp\u00e4rist\u00f6\u00f6n.<\/p>\n\n\n\n Auditoinnissa tarkastellaan esimerkiksi verkkoja, palomuureja, VPN-yhteyksi\u00e4, palvelimia, ty\u00f6asemia, k\u00e4ytt\u00e4j\u00e4hallintaa, varmistuksia ja pilvipalveluita. Asiakasty\u00f6ss\u00e4 n\u00e4emme usein, ett\u00e4 tekniset riskit eiv\u00e4t johdu yhden suojauksen puuttumisesta, vaan monen pienen asian yhdistelm\u00e4st\u00e4: palomuuris\u00e4\u00e4nn\u00f6t ovat vuosien aikana paisuneet, toimittajayhteyksi\u00e4 ei valvota riitt\u00e4v\u00e4sti, vanhoja tunnuksia on j\u00e4\u00e4nyt k\u00e4ytt\u00f6\u00f6n tai Microsoft 365:n suojausasetukset eiv\u00e4t vastaa nykyist\u00e4 k\u00e4ytt\u00f6\u00e4.<\/p>\n\n\n\n Johdon kannalta teknisen auditoinnin t\u00e4rkein hy\u00f6ty on ymm\u00e4rt\u00e4\u00e4, mitk\u00e4 tekniset puutteet voivat johtaa k\u00e4ytt\u00f6katkoon, tietovuotoon, kiristyshaittaohjelman levi\u00e4miseen tai kriittisen j\u00e4rjestelm\u00e4n v\u00e4\u00e4rink\u00e4ytt\u00f6\u00f6n. Erityisesti OT- ja tuotantoymp\u00e4rist\u00f6iss\u00e4 tarkastus pit\u00e4\u00e4 tehd\u00e4 hallitusti, jotta auditointi ei vaaranna j\u00e4rjestelmien toimintaa. S\u00e4\u00e4nn\u00f6llinen tekninen auditointi on osa riskienhallintaa, liiketoiminnan jatkuvuutta ja tietoturvan yll\u00e4pitoa.<\/p>\n\n\n\n Microsoft 365 on monelle suomalaiselle pk-yritykselle yksi keskeisimmist\u00e4 hy\u00f6kk\u00e4yspinnoista. S\u00e4hk\u00f6posti, Teams, SharePoint, OneDrive, k\u00e4ytt\u00e4j\u00e4tunnukset ja tiedostojen jakaminen kulkevat usein saman ymp\u00e4rist\u00f6n kautta. Jos M365-ymp\u00e4rist\u00f6\u00f6n p\u00e4\u00e4st\u00e4\u00e4n murtautumaan, hy\u00f6kk\u00e4\u00e4j\u00e4 voi saada nopeasti p\u00e4\u00e4syn yrityksen viesteihin, tiedostoihin, laskutukseen, asiakastietoihin tai sis\u00e4isiin keskusteluihin.<\/p>\n\n\n\n Auditoinnissa tarkastetaan esimerkiksi:<\/p>\n\n\n\n Asiakasty\u00f6ss\u00e4 n\u00e4emme usein, ett\u00e4 M365 on otettu k\u00e4ytt\u00f6\u00f6n v\u00e4hitellen ilman selke\u00e4\u00e4 turvallisuusmallia. Ymp\u00e4rist\u00f6 toimii arjessa, mutta suojausasetukset, jakolinkit, p\u00e4\u00e4k\u00e4ytt\u00e4j\u00e4roolit tai vanhat tunnukset eiv\u00e4t en\u00e4\u00e4 vastaa yrityksen nykyist\u00e4 riskitasoa.<\/p>\n\n\n\n Azure- ja muut pilviymp\u00e4rist\u00f6t ovat monessa yrityksess\u00e4 kasvaneet v\u00e4hitellen projektien, sovellusten ja k\u00e4ytt\u00e4j\u00e4tarpeiden mukana. Riski syntyy usein siit\u00e4, ett\u00e4 ymp\u00e4rist\u00f6 toimii teknisesti, mutta k\u00e4ytt\u00f6oikeudet, verkkom\u00e4\u00e4ritykset, lokitus, varmistukset tai resurssien omistajuus eiv\u00e4t ole en\u00e4\u00e4 selke\u00e4sti hallinnassa.<\/p>\n\n\n\n Auditoinnissa tarkastetaan esimerkiksi:<\/strong><\/p>\n\n\n\n Pilviymp\u00e4rist\u00f6ss\u00e4 pieni m\u00e4\u00e4ritysvirhe voi avata hy\u00f6kk\u00e4\u00e4j\u00e4lle suoran reitin yrityksen tietoihin. Esimerkiksi julkiseksi j\u00e4\u00e4nyt tallennustila, liian laaja yll\u00e4pit\u00e4j\u00e4rooli tai valvomaton hallintaliittym\u00e4 voi olla paljon suurempi riski kuin arjessa huomataan.<\/p>\n\n\n\n Jos yrityksell\u00e4 on OT- tai tuotantoymp\u00e4rist\u00f6j\u00e4, auditoinnissa pit\u00e4\u00e4 tarkastaa my\u00f6s, voiko pilvipalvelun, VPN:n, yll\u00e4pitotunnusten tai toimittajayhteyksien kautta muodostua ep\u00e4suora reitti kriittisiin j\u00e4rjestelmiin. Johdon kannalta pilviauditoinnin hy\u00f6ty on n\u00e4hd\u00e4, ovatko pilven riskit, kustannukset ja vastuut oikeasti hallinnassa.<\/p>\n\n\n\n Termit menev\u00e4t usein sekaisin, mutta tarkoittavat eri asioita.<\/p>\n\n\n\n Auditoinnissa tarkastellaan valittuja osa-alueita kartoitusta syv\u00e4llisemmin. Sen lopputuloksena syntyy priorisoitu toimenpidelista ja konkreettiset suositukset, joiden avulla yritys voi korjata t\u00e4rkeimm\u00e4t puutteet hallitusti.<\/p>\n\n\n\n Kartoitus sopii kehitysmatkan aloitukseen, auditointi tarjouskilpailuihin ja NIS2-vaatimusten osoittamiseen.<\/p>\n\n\n\n Tietoturva-auditoinnissa standardit ja viitekehykset antavat yhteisen vertailupohjan. Niiden avulla auditoinnin l\u00f6yd\u00f6kset voidaan suhteuttaa tunnettuihin vaatimuksiin eik\u00e4 arvio j\u00e4\u00e4 pelk\u00e4st\u00e4\u00e4n auditoijan oman n\u00e4kemyksen varaan.<\/p>\n\n\n\n K\u00e4yt\u00e4nn\u00f6ss\u00e4 sama auditointi voi hy\u00f6dynt\u00e4\u00e4 useampaa viitekehyst\u00e4. Esimerkiksi tekniset l\u00f6yd\u00f6kset voidaan kuvata NISTin avulla, hallinnolliset puutteet suhteuttaa ISO 27001:een ja johdon vastuut sek\u00e4 toimittajariskit peilata NIS2-vaatimuksiin.<\/p>\n\n\n\n Tietoturva-auditointi on hyv\u00e4 ensimm\u00e4inen askel kohti ISO 27001 -auditointia ja mahdollista sertifiointia. Sen avulla yritys n\u00e4kee, kuinka l\u00e4hell\u00e4 nykyinen tietoturvan taso on ISO 27001 -standardin vaatimuksia ja mitk\u00e4 asiat pit\u00e4\u00e4 korjata ennen varsinaista sertifiointiauditointia. ISO 27001 on sertifioitava standardi, jonka tavoitteena on tietoturvan hallintaj\u00e4rjestelm\u00e4n rakentaminen ja yll\u00e4pito osana organisaation tietoturvallisuuden kehitt\u00e4mist\u00e4.<\/p>\n\n\n\n ISO 27001 -n\u00e4k\u00f6kulmasta tietoturva-auditoinnissa voidaan tarkastella esimerkiksi riskienhallintaa, k\u00e4ytt\u00f6oikeuksia, varautumista, dokumentaatiota, toimittajahallintaa, lokitusta ja teknisi\u00e4 kontrolleja. T\u00e4rke\u00e4\u00e4 on erottaa, mitk\u00e4 asiat ovat jo kunnossa, mitk\u00e4 vaativat t\u00e4smennyst\u00e4 ja miss\u00e4 on selkeit\u00e4 puutteita. T\u00e4ss\u00e4 vaiheessa ei viel\u00e4 tehd\u00e4 varsinaista sertifiointiauditointia, vaan selvitet\u00e4\u00e4n, mit\u00e4 ennen sit\u00e4 pit\u00e4\u00e4 saada kuntoon.<\/p>\n\n\n\n Sertifiointi voi olla t\u00e4rke\u00e4 kilpailuetu erityisesti B2B-yrityksille, ohjelmistoyrityksille, kriittisten asiakkaiden toimittajille ja kansainv\u00e4lisiss\u00e4 tarjouskilpailuissa toimiville yrityksille. Monessa tilanteessa ISO 27001 ei ole en\u00e4\u00e4 vain hyv\u00e4 lis\u00e4, vaan asiakkaan tai kumppanin vaatimus.<\/p>\n\n\n\n Tietoturva-auditoinnin hinta riippuu yrityksen koosta, auditoinnin rajauksesta ja ymp\u00e4rist\u00f6n monimutkaisuudesta. Pienelle yritykselle kevyt auditointi tai tietoturvakartoitus voidaan usein toteuttaa alle 1 000 euron hintaluokassa, jos tarkastettava kokonaisuus on selke\u00e4sti rajattu.<\/p>\n\n\n\n Laajempi auditointi maksaa enemm\u00e4n, jos mukana on esimerkiksi useita toimipisteit\u00e4, Microsoft 365- tai Azure-ymp\u00e4rist\u00f6, palvelimia, ty\u00f6asemia, verkkolaitteita, toimittajayhteyksi\u00e4 tai OT-verkkoja. Hintaan vaikuttaa my\u00f6s se, arvioidaanko ymp\u00e4rist\u00f6\u00e4 esimerkiksi ISO 27001:n, NIST CSF:n, NIS2-vaatimusten tai muun viitekehyksen perusteella.<\/p>\n\n\n\n Suuntaa-antavat hintahaarukat Suomessa:<\/p>\n\n\n\n Hintaan vaikuttavat erityisesti valmisteluty\u00f6, haastattelujen m\u00e4\u00e4r\u00e4, teknisten tarkastusten laajuus, raportoinnin taso ja kehityssuunnitelman yksityiskohtaisuus. Hyv\u00e4 tarjous kertoo selke\u00e4sti, mit\u00e4 auditoidaan, mit\u00e4 rajataan ulkopuolelle ja millainen raportti ty\u00f6n lopuksi toimitetaan.<\/p>\n\n\n\n Auditointi kannattaa kilpailuttaa silloin, kun kyseess\u00e4 on laaja kokonaisuus, toistuva auditointisopimus tai s\u00e4\u00e4ntelyyn, ISO 27001 -valmisteluun tai NIS2-vaatimuksiin liittyv\u00e4 hanke.<\/p>\n\n\n\n Tarjouksia vertaillessa ei kannata katsoa pelkk\u00e4\u00e4 tuntihintaa. T\u00e4rke\u00e4mp\u00e4\u00e4 on ymm\u00e4rt\u00e4\u00e4, mit\u00e4 auditointi sis\u00e4lt\u00e4\u00e4, miten l\u00f6yd\u00f6kset priorisoidaan ja onko auditoijalla kokemusta juuri yrityksen toimintaymp\u00e4rist\u00f6st\u00e4. Kriittisiss\u00e4 IT- ja OT-ymp\u00e4rist\u00f6iss\u00e4 toimialaymm\u00e4rrys voi ratkaista enemm\u00e4n kuin halvin hinta.<\/p>\n\n\n\n Sis\u00e4inen arviointi on t\u00e4rke\u00e4\u00e4, mutta se j\u00e4\u00e4 helposti oman ymp\u00e4rist\u00f6n n\u00e4k\u00f6kulman vangiksi. Ulkopuolinen auditointi auttaa n\u00e4kem\u00e4\u00e4n, mitk\u00e4 riskit ovat oikeasti kriittisi\u00e4 ja mitk\u00e4 asiat ovat vain totuttuja toimintatapoja.<\/p>\n\n\n\n Tietoturvan puutteet eiv\u00e4t ole pelkk\u00e4 IT-asia. Ne voivat n\u00e4ky\u00e4 k\u00e4ytt\u00f6katkoina, tuotannon h\u00e4iri\u00f6in\u00e4, tietovuotoina, sopimusriskein\u00e4 tai asiakasluottamuksen heikkenemisen\u00e4. Siksi auditoinnin l\u00f6yd\u00f6kset kannattaa k\u00e4sitell\u00e4 osana yrityksen riskienhallintaa, ei vain teknisen\u00e4 korjauslistana.<\/p>\n\n\n\n Jos yrityksen tietoturvaa ei ole arvioitu ulkopuolisesti pitk\u00e4\u00e4n aikaan, auditointi antaa selke\u00e4n l\u00e4ht\u00f6pisteen: mit\u00e4 pit\u00e4\u00e4 korjata heti, mit\u00e4 voidaan aikatauluttaa my\u00f6hemm\u00e4ksi ja mitk\u00e4 riskit johto hyv\u00e4ksyy tietoisesti.<\/p>\n\n\n\n Haluatko selvitt\u00e4\u00e4, miss\u00e4 kunnossa yrityksenne tietoturva on k\u00e4yt\u00e4nn\u00f6ss\u00e4? Ota yhteytt\u00e4 Save LANiin, niin arvioidaan yhdess\u00e4, millainen auditointi sopii teid\u00e4n ymp\u00e4rist\u00f6\u00f6nne.<\/p>","protected":false},"excerpt":{"rendered":" Tietoturva-auditoinnin tarkoitus on selvitt\u00e4\u00e4, miss\u00e4 kunnossa yrityksen tietoturva on k\u00e4yt\u00e4nn\u00f6ss\u00e4. Auditoinnissa ei katsota vain yksitt\u00e4ist\u00e4 palomuuria,…<\/p>","protected":false},"author":11,"featured_media":5080,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_kad_blocks_custom_css":"","_kad_blocks_head_custom_js":"","_kad_blocks_body_custom_js":"","_kad_blocks_footer_custom_js":"","_kad_post_transparent":"","_kad_post_title":"","_kad_post_layout":"","_kad_post_sidebar_id":"","_kad_post_content_style":"","_kad_post_vertical_padding":"","_kad_post_feature":"","_kad_post_feature_position":"","_kad_post_header":false,"_kad_post_footer":false,"_kad_post_classname":"","footnotes":""},"categories":[23,31],"tags":[],"class_list":["post-5076","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tietoturva","category-oppaat"],"acf":[],"taxonomy_info":{"category":[{"value":23,"label":"Tietoturva"},{"value":31,"label":"Oppaat"}]},"featured_image_src_large":["https:\/\/www.savelan.fi\/wp-content\/uploads\/2026\/05\/Tietoturva-auditointi-kaytannon-opas-yritykselle-SAVE-Lan-Oy-1024x683.jpg",1024,683,true],"author_info":{"display_name":"Lauri Jurvanen","author_link":"https:\/\/www.savelan.fi\/en\/author\/lauri-jurvanen\/"},"comment_info":0,"category_info":[{"term_id":23,"name":"Tietoturva","slug":"tietoturva","term_group":0,"term_taxonomy_id":23,"taxonomy":"category","description":"","parent":0,"count":10,"filter":"raw","cat_ID":23,"category_count":10,"category_description":"","cat_name":"Tietoturva","category_nicename":"tietoturva","category_parent":0},{"term_id":31,"name":"Oppaat","slug":"oppaat","term_group":0,"term_taxonomy_id":31,"taxonomy":"category","description":"","parent":0,"count":4,"filter":"raw","cat_ID":31,"category_count":4,"category_description":"","cat_name":"Oppaat","category_nicename":"oppaat","category_parent":0}],"tag_info":false,"_links":{"self":[{"href":"https:\/\/www.savelan.fi\/en\/wp-json\/wp\/v2\/posts\/5076","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.savelan.fi\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.savelan.fi\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.savelan.fi\/en\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/www.savelan.fi\/en\/wp-json\/wp\/v2\/comments?post=5076"}],"version-history":[{"count":3,"href":"https:\/\/www.savelan.fi\/en\/wp-json\/wp\/v2\/posts\/5076\/revisions"}],"predecessor-version":[{"id":5079,"href":"https:\/\/www.savelan.fi\/en\/wp-json\/wp\/v2\/posts\/5076\/revisions\/5079"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.savelan.fi\/en\/wp-json\/wp\/v2\/media\/5080"}],"wp:attachment":[{"href":"https:\/\/www.savelan.fi\/en\/wp-json\/wp\/v2\/media?parent=5076"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.savelan.fi\/en\/wp-json\/wp\/v2\/categories?post=5076"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.savelan.fi\/en\/wp-json\/wp\/v2\/tags?post=5076"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Kuvassa](\"https:\/\/images.surferseo.art\/1d4dd421-674f-429e-a119-26155d402191.png\")
<\/figure>\n\n\n\nMiten tietoturva auditointi etenee \u2013 vaiheet alusta loppuun<\/h2>\n\n\n\n
Esiselvitys ja rajaukset<\/h3>\n\n\n\n
\n
Dokumenttien ja toimintamallien arviointi<\/h3>\n\n\n\n
Tarkastettava osa-alue<\/th> Mit\u00e4 arvioidaan k\u00e4yt\u00e4nn\u00f6ss\u00e4<\/th><\/tr> Security policy<\/td> Antaako dokumentaatio kattavan kuvan tietoturvan vastuista, tavoitteista ja periaatteista?<\/td><\/tr> K\u00e4ytt\u00f6oikeuspolitiikka<\/td> Miten k\u00e4ytt\u00f6oikeuksia my\u00f6nnet\u00e4\u00e4n, muutetaan ja poistetaan?<\/td><\/tr> Varmistus- ja palautussuunnitelmat<\/td> Testataanko varmistuksia ja tiedet\u00e4\u00e4nk\u00f6, miten palautus tehd\u00e4\u00e4n h\u00e4iri\u00f6tilanteessa?<\/td><\/tr> Lokipolitiikka<\/td> Mit\u00e4 lokeja ker\u00e4t\u00e4\u00e4n, kuka niit\u00e4 seuraa ja kuinka kauan niit\u00e4 s\u00e4ilytet\u00e4\u00e4n?<\/td><\/tr> Alihankkijasopimukset<\/td> Onko toimittajien vastuut, p\u00e4\u00e4syoikeudet ja tietoturvavaatimukset m\u00e4\u00e4ritelty?<\/td><\/tr> Henkil\u00f6st\u00f6n ohjeistus<\/td> Onko et\u00e4ty\u00f6st\u00e4, phishingist\u00e4, salasanoista ja laitteiden k\u00e4yt\u00f6st\u00e4 selke\u00e4t ohjeet?<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Tekninen tarkastus ja haavoittuvuusanalyysi<\/h3>\n\n\n\n
Riskien arviointi ja priorisointi<\/h3>\n\n\n\n
L\u00f6yd\u00f6s<\/th> Vaikutus<\/th> Todenn\u00e4k\u00f6isyys<\/th> Prioriteetti<\/th><\/tr> Varmistuksia ei ole testattu palautustilanteessa<\/td> Korkea<\/td> Keskisuuri<\/td> P1<\/td><\/tr> Vanhoja k\u00e4ytt\u00e4j\u00e4tunnuksia on edelleen aktiivisena<\/td> Keskisuuri<\/td> Korkea<\/td> P1\u2013P2<\/td><\/tr> MFA puuttuu osalta et\u00e4yhteyksist\u00e4<\/td> Korkea<\/td> Keskisuuri<\/td> P1<\/td><\/tr> Lokitusta ker\u00e4t\u00e4\u00e4n, mutta sit\u00e4 ei seurata<\/td> Keskisuuri<\/td> Keskisuuri<\/td> P2<\/td><\/tr> Dokumentaatio ei vastaa nykyist\u00e4 ymp\u00e4rist\u00f6\u00e4<\/td> Keskisuuri<\/td> Keskisuuri<\/td> P2<\/td><\/tr> Toimittajalla on liian laaja et\u00e4yhteys kriittiseen j\u00e4rjestelm\u00e4\u00e4n<\/td> Korkea<\/td> Keskisuuri<\/td> P1<\/td><\/tr> Palomuuris\u00e4\u00e4nn\u00f6t ovat vanhentuneet tai liian sallivia<\/td> Korkea<\/td> Keskisuuri<\/td> P1\u2013P2<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Raportti ja kehityssuunnitelma<\/h3>\n\n\n\n
\n
Aikav\u00e4li<\/th> Mit\u00e4 tehd\u00e4\u00e4n<\/th><\/tr> 0\u20133 kk<\/td> Kriittiset korjaukset, kuten MFA, avoimet et\u00e4yhteydet, varmistusten testaus ja vanhat tunnukset<\/td><\/tr> 3\u201312 kk<\/td> Laajemmat kehitystoimet, kuten lokituksen parantaminen, segmentointi ja dokumentaation p\u00e4ivitys<\/td><\/tr> 12\u201324 kk<\/td> Strategiset muutokset, kuten ISO 27001 -valmistelu, jatkuva valvonta tai OT-ymp\u00e4rist\u00f6n pidemm\u00e4n aikav\u00e4lin kehitys<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Teknisen tietoturvan auditointi: verkot, pilvet ja ty\u00f6asemat<\/h2>\n\n\n\n
![\"Kuvassa](\"https:\/\/images.surferseo.art\/06e1005d-2033-46dd-a642-91c09630c6cb.png\")
<\/figure>\n\n\n\nMicrosoft 365 -ymp\u00e4rist\u00f6n tietoturva-auditointi<\/h3>\n\n\n\n
\n
Azure- ja muu pilviymp\u00e4rist\u00f6 auditoinnissa<\/h3>\n\n\n\n
\n
Tietoturva auditointi vs. tietoturvakartoitus \u2013 mit\u00e4 eroa niill\u00e4 on?<\/h2>\n\n\n\n
Ominaisuus<\/th> Kartoitus<\/th> Auditointi<\/th><\/tr> Tarkoitus<\/td> Nykytilan kuvaus<\/td> Vaatimustenmukaisuuden todentaminen<\/td><\/tr> Scope<\/td> Koko organisaatio yleisesti<\/td> Valitut kohteet syv\u00e4llisesti<\/td><\/tr> Syvyys<\/td> Haastattelut, kyselyt<\/td> Tekniset skannaukset, dokumenttianalyysi<\/td><\/tr> Lopputulos<\/td> Yleiskuva riskeist\u00e4<\/td> Priorisoitu toimenpidelista ja konkreettiset ehdotukset<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Standardit ja viitekehykset: ISO 27001, NIST ja NIS2<\/h2>\n\n\n\n
\n
ISO 27001 -auditointi ja sertifioinnin hy\u00f6dyt<\/h3>\n\n\n\n
Kuinka paljon tietoturva-auditointi maksaa ja mist\u00e4 hinta muodostuu?<\/h2>\n\n\n\n
\n
Milloin auditointi kannattaa kilpailuttaa?<\/h2>\n\n\n\n
Miksi ulkopuolinen tietoturva auditointi on kriittinen osa riskienhallintaa?<\/h2>\n\n\n\n