Tietoturvatarkistus itse: 20 kohdan checklist pk-yritykselle
Tämä checklist kattaa pk-yrityksen tietoturvan perustarkistuksen. Käy läpi kerran vuodessa tai kun epäilet ongelmia. Arviolta 1–2 tuntia aikaa. Jos löydät puutteita, korjaa ne tai pyydä apua. Parempi tietää ongelmat kuin elää tietämättömyydessä.
Tunnistautuminen ja pääsynhallinta
- ☐ MFA päällä sähköpostissa? (M365/Google admin-paneeli)
- ☐ MFA päällä kriittisissä palveluissa? (CRM, taloushallinto, pilvipalvelut)
- ☐ Vanhat käyttäjätunnukset poistettu? (entiset työntekijät)
- ☐ Admin-oikeudet vain niille jotka tarvitsevat?
- ☐ Salasananhallinta käytössä? (Bitwarden, 1Password tms.)
Laitteet
- ☐ Windows/macOS päivitetty? (viimeisin versio)
- ☐ Selaimet päivitetty? (Chrome, Firefox, Edge)
- ☐ Virustorjunta päällä ja päivitetty?
- ☐ Kovalevyn salaus päällä? (BitLocker/FileVault)
- ☐ Automaattinen näytönlukitus? (max 5 min)
- ☐ Puhelimet päivitetty ja lukittu?
Verkko
- ☐ Reitittimen oletussalasana vaihdettu?
- ☐ Wi-Fi-salasana vahva ja vaihdettu viimeisen vuoden aikana?
- ☐ Vierasverkko erillään yrityksen verkosta?
- ☐ Reitittimen firmware päivitetty?
Data ja varmuuskopiot
- ☐ Tiedätkö missä kriittinen data on? (listaa)
- ☐ Varmuuskopiot toimivat? (testaa palautus)
- ☐ Varmuuskopio eri sijainnissa? (pilvi + paikallinen)
Sähköposti
- ☐ SPF, DKIM, DMARC kunnossa? (tarkista: mxtoolbox.com)
- ☐ Eteenpäinlähetyssäännöt tarkistettu? (ei automaattista ohjautumista ulkopuolelle)
Ilmaiset työkalut tarkistukseen
| Työkalu | Mitä tarkistaa | Linkki |
|---|---|---|
| Have I Been Pwned | Vuotaneet sähköpostit/salasanat | haveibeenpwned.com |
| MXToolbox | Sähköpostin SPF/DKIM/DMARC | mxtoolbox.com |
| SSL Labs | Verkkosivun SSL-sertifikaatti | ssllabs.com |
| Security Headers | Verkkosivun HTTP-headerit | securityheaders.com |
| Microsoft Secure Score | M365-ympäristön tietoturva | M365 Admin Center |
Miten tulkita tuloksia?
- Vihreä/OK: Kunnossa, ei toimenpiteitä
- Keltainen/varoitus: Suositus korjata lähiaikoina
- Punainen/kriittinen: Korjaa heti tai pyydä apua
Mitä tehdä jos löytyy puutteita?
- Priorisoi: Kriittiset ensin (MFA, päivitykset, vuotaneet salasanat)
- Dokumentoi: Kirjaa ylös mitä löytyi ja mitä tehtiin
- Korjaa: Tee itse tai pyydä apua
- Seuraa: Tarkista uudelleen korjauksen jälkeen
Milloin pyytää ammattilaista?
- Et ymmärrä mitä työkalun tulos tarkoittaa
- Korjaus vaatii teknistä osaamista (SPF/DKIM, palomuurit)
- Epäilet tietomurtoa tai väärinkäyttöä
- Haluat perusteellisemman auditoinnin
Tarkistusten aikataulu
| Tarkistus | Väli |
|---|---|
| Päivitykset (OS, selaimet) | Viikottain/automaattinen |
| Käyttöoikeuksien tarkistus | Kuukausittain |
| Varmuuskopioiden testaus | Kvartaaleittain |
| Täysi tietoturvatarkistus | Vuosittain |
| Salasanojen vuototarkistus | Vuosittain |
Usein kysytyt kysymykset
Riittääkö tämä checklist?
Perustasolle kyllä. Tämä kattaa yleisimmät riskit. Erityistarpeisiin (GDPR-auditointi, toimialasäädökset, laajempi infra) tarvitaan ammattilaisauditointi.
Kuinka kauan tarkistus kestää?
1–2 tuntia ensimmäisellä kerralla. Seuraavilla kerroilla nopeammin kun tiedät mitä tehdä.
Mitä teen jos en osaa korjata ongelmaa?
Dokumentoi ongelma ja pyydä apua IT-kumppanilta. Älä jätä kriittisiä ongelmia korjaamatta.
Lue myös
- Tietoturvan peruspaketti 90 päivässä
- Salasanakäytännöt 2026
- Varmuuskopioiden 3-2-1-sääntö
- Tietoturva palveluna →
Haluatko ammattilaisen auditoinnin?
Teemme perusteellisen tietoturva-auditoinnin ja annamme toimenpidesuositukset. 70 €/h.
Pyydä auditointi