Olen nähnyt yli kymmenen vuoden aikana satoja pk-yritysten IT-ympäristöjä. Samat ongelmat toistuvat ympäristöstä toiseen — ja suurin osa niistä olisi estettävissä perusasioilla.
Tämä on tarkistuslista. 10 asiaa, joiden pitää olla kunnossa. Jokaisen kohdalla kerron, miksi se on tärkeää ja mitä tehdä, jos se ei ole kunnossa.
Jos yksikin kohta ontuu, yrityksesi IT on haavoittuvainen.
1. Varmuuskopiot — ja niiden palautustesti
Varmuuskopiot ovat olemassa. Hienoa. Mutta milloin viimeksi testasit, että niistä oikeasti saa palautettua jotain?
Olen nähnyt tilanteita, joissa varmuuskopiot olivat pyörineet vuosia — mutta kun niitä tarvittiin, data oli korruptoitunutta tai palautus ei toiminut. Varmuuskopio jota ei ole testattu ei ole varmuuskopio. Se on toive.
Jos ontuu: Testaa palautus tällä viikolla. Varmista, että kopio on erillisessä paikassa (ei samalla palvelimella). Automatisoi ja aikatauluta testaus vähintään neljännesvuosittain.
2. Monivaiheinen tunnistautuminen (MFA)
Jos yrityksessäsi kirjaudutaan pelkällä salasanalla mihinkään, tämä on ensimmäinen asia joka korjataan. Ei huomenna. Tänään.
Pelkkä salasana ei riitä. Se varastetaan kalastelussa, vuotaa tietomurroissa tai arvaillaan. MFA on yksinkertaisin ja tehokkain yksittäinen toimenpide tietoturvasi parantamiseksi — ja se on käytännössä ilmainen jokaisessa modernissa järjestelmässä.
Jos ontuu: Ota MFA käyttöön kaikissa palveluissa jotka sitä tukevat. M365, sähköposti, VPN, etätyöpöytä, pankki, kirjanpito — kaikki. Aloita admineista ja johdon tunnuksista.
3. Päätelaitesuojaus
Windows Defender on hyvä alku, mutta onko se hallittuna? Tiedätkö, jos jonkun koneen suojaus on pois päältä? Saatko hälytyksen, jos joku lataa haittaohjelman?
Hallitsematon virustorjunta on kuin palovaroitin ilman patteria. Intune + Defender for Business tai vastaava ratkaisu antaa sinulle näkyvyyden koko laitekantaan.
Jos ontuu: Ota käyttöön keskitetty hallinta. M365 Business Premium sisältää Intuneen ja Defender for Businessin. Jos et käytä Microsoftia, CrowdSec tai vastaava avoimen lähdekoodin ratkaisu ajaa saman asian.
4. Päivitykset — automaattisesti ja ajallaan
Päivittämätön järjestelmä on avoin ovi. Jokainen kuukausi ilman päivitystä kasvattaa hyökkäyspintaa.
Tämä ei koske pelkästään Windowsia. Selaimet, toimisto-ohjelmat, palvelimet, verkkalaitteet, tulostimet — kaikki päivitetään. Ja mieluiten automaattisesti, jotta kukaan ei "unohda".
Jos ontuu: Määritä automaattiset päivitykset. Intunella tai WSUS:lla hallittu Windows-päivitys, selaimen automaattipäivitys pakolla. Tarkista erikseen palomuurien ja verkkalaitteiden firmware.
5. Käyttöoikeuksien hallinta
Kuka pääsee mihinkin? Onko entisillä työntekijöillä vielä tunnukset? Onko jokaisella admin-oikeudet "koska se on helpompaa"?
Olen löytänyt ympäristöjä, joissa kolme vuotta sitten lähteneen työntekijän tunnus oli yhä aktiivinen — ja sillä oli pääsy kaikkeen. Tämä on yleisempää kuin luulisi.
Jos ontuu: Käy käyttöoikeudet läpi. Poista tarpeettomat tunnukset. Ota pois admin-oikeudet niiltä, jotka eivät niitä tarvitse. Tee tästä kvartaalitarkistus.
6. Sähköpostin suojaus (SPF, DKIM, DMARC)
Voiko joku lähettää sähköpostia yrityksesi nimissä? Jos SPF, DKIM ja DMARC eivät ole kunnossa, vastaus on kyllä.
Nämä kolme DNS-tietuetta kertovat vastaanottajan sähköpostijärjestelmälle, onko viesti oikeasti teiltä vai väärennös. Ilman niitä kuka tahansa voi lähettää postia @yritys.fi-osoitteella.
Jos ontuu: Tarkista DNS-tietueet. SPF ja DKIM ovat yleensä kunnossa jos käytätte M365:tä, mutta DMARC puuttuu yllättävän usein. Aseta DMARC vähintään p=none monitorointitilaan ja kiristä myöhemmin.
7. Dokumentaatio — tiedätkö mitä teillä on?
Jos ainoa ihminen joka tietää miten teidän IT toimii kävelee ulos ovesta, kuinka nopeasti olette pulassa?
Dokumentaation ei tarvitse olla sadan sivun opus. Riittää, että perusasiat ovat kirjattuna: mitä palveluita on käytössä, missä ne pyörivät, keillä on tunnukset, miten varmuuskopiot toimivat, kuka vastaa mistäkin.
Jos ontuu: Aloita yhdellä sivulla. Listaa kaikki IT-palvelut, niiden toimittajat, vastuuhenkilöt ja kriittiset yhteystiedot. Päivitä vähintään kerran vuodessa.
8. Palomuurit ja verkon segmentointi
Onko toimistoverkkonne yksi litteä verkko, jossa kaikki laitteet näkevät toisensa? Jos hyökkääjä pääsee yhteen koneeseen, pääseekö hän kaikkiin?
Verkon segmentointi tarkoittaa, että eri käyttötarkoitukset (työasemat, palvelimet, IoT-laitteet, vierasverkko) ovat erillisissä verkoissa. Tämä rajaa vahingon, jos jokin päätyy vääriin käsiin.
Jos ontuu: Erota vähintään vierasverkko ja IoT-laitteet työverkosta. Varmista, että palomuuri on päivitetty ja oletussalasana vaihdettu. Kyllä, tämä on edelleen ongelma vuonna 2026.
9. Etätyön tietoturva
COVID muutti työn pysyvästi. Mutta monessa yrityksessä etätyön tietoturva on edelleen vuoden 2020 hätäratkaisujen varassa.
VPN tai Zero Trust -ratkaisu, hallitut laitteet, MFA (ks. kohta 2), ja selkeät pelisäännöt siitä mitä saa tehdä omalla koneella ja mitä ei. Etätyö ei ole tietoturvauhka — hallitsematon etätyö on.
Jos ontuu: Varmista, että etäyhteydet kulkevat hallitun kanavan kautta. Jos käytetään omia laitteita, rajaa pääsyä ja varmista, että yrityksen data ei jää henkilökohtaisille koneille. Intune MAM (Mobile Application Management) tekee tämän ilman täyttä laitehallintaa.
10. Toipumissuunnitelma (disaster recovery)
Jos kaikki kaatuu huomenna — ransomware, tulipalo, pilvipalvelun vikatilanne — tiedätkö mitä tapahtuu? Kuinka nopeasti olette taas toiminnassa?
Toipumissuunnitelma ei tarkoita 50-sivuista dokumenttia. Se tarkoittaa, että tiedät: mikä on kriittistä, missä se on, miten se palautetaan, kuka soittaa kenelle, ja kuinka kauan se kestää. Jos et tiedä näitä vastauksia, sinulla ei ole suunnitelmaa.
Jos ontuu: Määrittele kriittiset järjestelmät ja niiden palautusaika (RTO) ja palautuspiste (RPO). Testaa palautus käytännössä. Kirjaa ylös yhteystiedot kriisitilanteeseen. Älä oleta, että pilvipalveluntarjoaja hoitaa kaiken — lue sopimus.
Yhteenveto
Nämä eivät ole monimutkaisia asioita. Ne ovat perusteita. Mutta "perusteet kunnossa" on harvinaisempaa kuin luulisi.
Jos luet tätä listaa ja tunnistat oman ympäristösi useammasta kohdasta, et ole yksin. Suurin osa pk-yrityksistä on samassa tilanteessa. Ero on siinä, kuka tekee asialle jotain.
Tarkistuslista on hyvä alku. Mutta jos haluat oikeasti tietää missä kunnossa teidän IT on, ammattilaisen tekemä kuntokartoitus kertoo sen tunnissa enemmän kuin oma arviointi viikossa.