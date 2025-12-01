Tietoturva-asiantuntija Jarmo Laakso: "Laadukas tietoturvakartoitus on tärkein vakuutuksesi"
Kyberhyökkäyksen seuraukset ulottuvat paljon teknistä häiriötä laajemmalle. Tietomurron vaikutukset riippuvat sen laajuudesta, mutta yleisimpiä seurauksia ovat taloudelliset menetykset, mainehaitta sekä oikeudelliset seuraamukset.
"Laadukas tietoturvakartoitus on tärkein vakuutuksesi. Tekoälyn nopeasti laajeneva käyttö korostaa tietoturvan merkitystä", sanoo tietoturva-asiantuntija Jarmo Laakso 3NFocus-tietoturvayhtiöstä.
Tietoturvakartoitus on monelle organisaatiolle tuttu käsite, mutta sen laatu vaihtelee valtavasti. Liian usein kartoituksesta saadaan tuloksena vain pintapuolinen lista yleisluontoisia havaintoja, joiden perusteella on vaikea tehdä konkreettisia päätöksiä. Todellinen hyöty syntyy vasta, kun kartoitus tehdään perusteellisesti ja oikein.
"Laadukas tietoturvakartoitus ei rajoitu pelkkään tekniseen tarkasteluun, vaan se käy systemaattisesti läpi organisaation henkilöstön osaamisen ja tietoturvatietoisuuden, sillä inhimilliset tekijät ovat yhä useamman tietoturvapoikkeaman taustalla", Laakso kuvaa.
"Samalla kartoitetaan käytössä olevat järjestelmät ja sovellukset sekä niiden keskinäiset riippuvuudet. Oleellista on, että koko tarkastelu tehdään lainsäädännön näkökulmasta riippumatta siitä, onko kyse GDPR:stä, NIS2-direktiivistä tai toimialakohtaisista vaatimuksista."
Laadukas kartoitus ei jätä arvailemaan
"Hyvän kartoituksen tunnistaa myös sen tuottamista raporteista", Laakso tiivistää.
Johto tarvitsee tiiviin yhteenvedon riskeistä ja niiden liiketoimintavaikutuksista, kun taas IT-osasto kaipaa yksityiskohtaista teknistä raporttia havainnoista ja korjausehdotuksista. Näiden lisäksi organisaatio saa käyttöönsä selkeän toimenpidelistan, joka priorisoi tehtävät kiireellisyyden mukaan.
"Laadukas kartoitus ei jätä organisaatiota arvailemaan, mitä korjaukset vaativat", Laakso sanoo.
Jokainen toimenpide-ehdotus sisältää arvion sekä tarvittavasta ajasta että kustannuksista. Näin johto voi budjetoida realistisesti ja aikatauluttaa korjaukset liiketoiminnan ehdoilla. IT-osasto puolestaan pystyy suunnittelemaan työkuormansa ja tarvittaessa kilpailuttamaan ulkopuolisia palveluntarjoajia vertailukelpoisin tiedoin.
Varautumisen kustannukset etukäteen ovat murto-osa verrattuna realisoituneen riskin aiheuttamiin kustannuksiin. Kun vertaa kartoituksen hintaa yhdenkin tietomurron aiheuttamiin selvityskuluihin, tuotannon seisokkeihin, mainevahinkoihin ja mahdollisiin sanktioihin, investoinnin kannattavuus on selvä. Kyse ei ole siitä, onko organisaatiolla varaa tietoturvakartoitukseen, vaan kyse on siitä, onko sillä varaa olla ilman sitä.
Sanktiot ovat todellisia
Lainsäädännön noudattamatta jättäminen tulee kalliiksi. Suomessakin on jo määrätty GDPR-sakkoja useille organisaatioille.
Laakso tietää, että eräs yritys sai seuraamusmaksun, koska se ei ollut kertonut rekisteröidyille heidän oikeuksistaan muuttoilmoituksen yhteydessä. Toinen puolestaan sai sanktion, koska se paikansi työntekijöitään ajotietojärjestelmän avulla ilman vaadittua tietosuojavaikutusten arviointia. Kolmas yritys sai seuraamusmaksun, koska se oli kerännyt rekrytoitavilta tarpeettomia henkilötietoja, kuten tietoja terveydentilasta, uskonnosta ja perhesuhteista.
GDPR-sakot voivat nousta jopa neljään prosenttiin yrityksen vuotuisesta liikevaihdosta. Lisäksi uusi NIS2-direktiivi tuo omat vaatimuksensa, ja sanktiot voivat muodostua seuraamusmaksuista tai vastuullisilta henkilöiltä voidaan jopa väliaikaisesti kieltää yrityksen johtotehtäviin osallistuminen.
3NFocus "Integroi ideat toimivaksi kokonaisuudeksi". Se on hämeenlinnalainen IT- ja viestintäalan yritys, joka tarjoaa tietoturvapalveluja ja digitaalisia kokonaisratkaisuja. Yritys erottuu kilpailijoistaan yhdistämällä teknisen IT-osaamisen, kuten tietoturvan ja tekoälyn, vahvaan viestinnälliseen kokemukseen.
3NFocus toimii "yhden luukun" periaatteella tarjoten palveluita, jotka usein joudutaan hankkimaan eri toimistoilta, kuten tietoturva ja tietosuoja, verkkosivut ja sovellukset, tekoälyratkaisut, hakukoneoptimointi (SEO) sekä viestintä ja brändäys.
Yksityisyydensuoja ei tarkoita vain salattavia tietoja, vaan se on perusoikeutemme, joka suojaa ajattelunvapautta, mielipiteen muodostusta ja ihmisarvoa. Jos se katoaa, katoaa jotain olennaista siitä, mitä vapaus tarkoittaa. Näin pohtii pitkän linjan tietoturva-asiantuntija Jarmo Laakso 3NFocus-tietoturvayhtiöstä.
