Dell etätoimisto laitteet
04.05.2026 |  Jarno Hämäläinen - DG Finland

Pk-yrityksen tietoturva 2026: yhdeksän asiaa, jotka kannattaa laittaa kuntoon

Tietoturva ei ole pelkästään isojen yritysten asia. Pienet ja keskisuuret yritykset ovat yhä useammin hyökkäysten kohteena, koska niissä on vähemmän suojauksia kuin suurissa organisaatioissa.

Hyvä uutinen on, että perusasiat eivät ole monimutkaisia. Tässä oppaassa käydään läpi yhdeksän asiaa, joita jokainen pk-yritys voi tehdä tietoturvansa parantamiseksi. 

Haluatko tietää, missä yrityksesi tietoturva juuri nyt menee? Lue lisää tietoturvakartoituksesta tai testaa itse oman yrityksesi tietoturvan taso.

1. Tietoturvasuunnitelma — selvitä kuka vastaa mistäkin

Tietoturva ei hoida itseään. Jonkun pitää tietää, mitä tietoja yrityksessä on, missä ne ovat ja kuka vastaa niiden suojaamisesta. Ilman tätä asiat jäävät tekemättä, koska kukaan ei koe niitä omakseen.

Tietoturvasuunnitelma ei tarvitse olla monimutkainen. Riittää, kun johto on yhdessä käynyt läpi muutaman kysymyksen:

  • Kuka yrityksessä vastaa tietoturva-asioista?
  • Mitä tietoja meillä on ja missä ne säilytetään?
  • Mitä tietoja pitää suojata erityisen tarkasti, esimerkiksi asiakkaiden henkilötiedot?
  • Miten toimitaan, jos jotain tapahtuu?

Tietoturvasta huolehtiminen on aina yrityksen johdon vastuulla. IT-kumppani voi auttaa käytännön toteutuksessa, mutta vastuu pysyy yrityksellä itsellään. Käy suunnitelma läpi ja päivitä se kerran vuodessa.

Huomioita: Monella asiakkaalla ei ole mitään kirjallista. Kun jotain sattuu, kukaan ei tiedä kehen ottaa yhteyttä tai miten toimitaan. Edes yhden sivun ohje pelastaa paljon hermoja.

2. Henkilöstön osaaminen — tietoturva on jokaisen asia

Suurin osa onnistuneista tietomurroista hyödyntää inhimillistä virhettä. Joku klikkaa väärää linkkiä, antaa salasanansa huijaussivustolla tai lähettää arkaluonteisen tiedoston väärään osoitteeseen.

Virheitä sattuu kaikille, mutta niiden määrää voidaan vähentää selkeillä ohjeilla ja säännöllisellä koulutuksella.

  • Henkilöstöllä on selkeät ohjeet siitä, miten toimitaan epäilyttävässä tilanteessa
  • Ohjeet ovat helposti löydettävissä, ei haudattu jonkin intranetin syövereihin
  • Tietoturvakoulutusta järjestetään säännöllisesti, ei kerran kolmessa vuodessa
  • Jokaisella on pääsy vain niihin tietoihin ja järjestelmiin, joita hän tarvitsee työssään

Huomioita: Yksi tai kaksi tuntia yhteistä läpikäyntiä siitä, miltä huijaussähköposti näyttää, on usein parempi investointi kuin moni kallis tekninen ratkaisu. Ihmiset tekevät parempaa työtä kun he tietävät mitä varoa.

3. Kaksivaiheinen kirjautuminen — tärkein yksittäinen toimenpide

Kun kirjaudut sähköpostiin tai muihin pilvipalveluihin, salasanan lisäksi pitää syöttää koodi, joka tulee puhelimeen. Tätä kutsutaan kaksivaiheiseksi kirjautumiseksi.

Se estää suurimman osan tunnusten kaappaamisyrityksistä, vaikka salasana olisi jo vuotanut jonnekin. Hyökkääjällä voi olla salasana, mutta puhelinta hänellä ei ole.

Tämä on erityisen tärkeää palveluissa, joissa on arkaluonteista tietoa:

  • Sähköposti, esimerkiksi Microsoft 365 ja Google
  • Taloushallintojärjestelmä
  • CRM ja asiakasrekisteri
  • Sosiaalisen median tilit

Microsoft 365:ssä kaksivaiheinen kirjautuminen onnistuu muutamassa minuutissa eikä maksa erikseen.

Huomioita: Tämä on se yksi asia, jonka laittaisimme kuntoon ensimmäisenä. Se on nopea tehdä ja hyöty on suuri.

4. Tietoturvaratkaisut — valitse luotettava toimittaja ja pidä ne päivitettynä

Virustorjunta ja muut tietoturvaratkaisut ovat tarpeellisia, mutta niiden hyöty riippuu siitä, pidetäänkö ne ajan tasalla. Vanhentunut suojausohjelma ei suojaa uusia uhkia vastaan.

Muutama käytännön asia:

  • Valitse tunnettu ja luotettava toimittaja, esimerkiksi WithSecure tai Microsoft Defender
  • Varmista, että ratkaisu kattaa kaikki yrityksen laitteet, myös puhelimet
  • Pidä huoli, että päivitykset asentuvat automaattisesti

Microsoft 365 Business Premium sisältää Microsoftin Defender-suojauksen, joka riittää useimmille pk-yrityksille ilman erillistä hankintaa.

Huomioita: Näemme usein tilanteita, joissa tietoturvaohjelma on hankittu mutta unohdettu. Se pyörii jossain koneessa, muttei ole päivittynyt kuukausiin. Tarkista tilanne.

5. Laitteiden hallinta — tiedä mitä laitteita on käytössä

Uusia tietoturva-aukkoja löytyy jatkuvasti. Siksi on tärkeää, että kaikki yrityksen laitteet pysyvät päivitettyinä ja niiden tilaa seurataan.

Käy läpi nämä asiat:

  • Tiedetäänkö, millä laitteilla yrityksen tietoja käsitellään — työkoneilla, puhelimilla, tableteilla?
  • Hallitaanko laitteiden tietoturva-asetukset keskitetysti, vai jokainen omalla tavallaan?
  • Asennetaanko uusiin laitteisiin tarvittavat asetukset heti käyttöönoton yhteydessä?
  • Poistetaanko vanhat laitteet käytöstä oikein ennen kuin ne kierrätetään tai myydään?

Huomioita: Vanhat laitteet kierrätetään usein tyhjentämättä niitä ensin. Sieltä voi löytyä arkaluonteista tietoa pitkänkin ajan kuluttua.

6. Tiedonsiirto — suojaa se mitä kulkee verkossa

Yrityksen tieto liikkuu jatkuvasti: sähköpostissa, pilvipalveluissa ja yrityksen sisäisessä verkossa. Kaikkialla, missä tietoa liikkuu, on myös riski.

Käytännössä tärkeintä on varmistaa, että:

  • Yrityksen verkkolaitteet, kuten reitittimet, on asetettu oikein ja pidetty päivitettyinä
  • Vierailijoiden wifi on erillään yrityksen omasta verkosta
  • Tietoturvaratkaisu kattaa myös sähköpostin suodatuksen

Huomioita: Toimiston wifi on usein se paikka, jossa on eniten puutteita. Vierailijat samassa verkossa kuin yrityksen omat laitteet on yleinen tilanne, joka on helppo korjata.

7. Fyysinen tietoturva — muista myös se, mikä ei ole digitaalista

Kaikki tietoturvariskit eivät tule verkon kautta. Jos ulkopuolinen pääsee fyysisesti yrityksen tiloihin, hän voi päästä käsiksi tietoihin suoraan.

Pohdi, missä tiloissa on mahdollista päästä käsiksi yrityksen tietoihin, ja varmista niiden:

  • Kulunvalvonta — kuka pääsee mihin ja milloin
  • Lukitukset — erityisesti serverit, tulostimet ja arkistot
  • Murtosuojaus

Huomioita: Tulostimessa lojuva asiakaslasku tai toimiston avoin serveritila ovat esimerkkejä fyysisistä tietoturva-aukoista. Ne unohtuvat helposti, kun fokus on digiuhkissa.

8. Poikkeamien havainnointi — huomaa kun jotain tapahtuu

Tietoturvapoikkeaman havaitseminen ajoissa vähentää vahinkoja merkittävästi. Mitä aiemmin ongelma huomataan, sitä helpompi se on rajata.

Käytännössä tämä tarkoittaa, että yrityksen järjestelmistä kerätään lokitietoa — tietoa siitä mitä on tapahtunut ja milloin. Jos joku yrittää kirjautua tunnuksillesi yöllä toiselta puolelta maailmaa, siitä pitäisi tulla hälytys.

Pienessä yrityksessä tämä hoituu usein Microsoft 365:n omilla hälytysasetuksilla tai IT-kumppanin ylläpitopalvelun kautta.

Huomioita: Monet tietomurrot ovat olleet käynnissä viikkoja ennen kuin ne on huomattu. Mitä aiemmin havaitaan, sitä vähemmän vahinkoa ehtii tapahtua.

9. Ilmoita havaituista uhkista

Jos yrityksessänne havaitaan tietoturvauhka tai -poikkeama, siitä kannattaa ilmoittaa Kyberturvallisuuskeskukselle. Se auttaa muita yrityksiä suojautumaan samanlaiselta uhkalta.

Jos poikkeamassa on vuotanut henkilötietoja, siitä pitää myös ilmoittaa tietosuojavaltuutetulle 72 tunnin kuluessa.

Mistä liikkeelle?

Jos et tiedä, missä yrityksesi tietoturva juuri nyt menee, tietoturvakartoitus on hyvä lähtökohta. Siinä käydään yhdessä läpi, mikä on kunnossa ja mihin kannattaa panostaa ensimmäisenä.

Se ei tarkoita, että kaikki pitää uusia. Useimmiten muutama kohdistettu toimenpide riittää.

 

 

Lue myös nämä

Dell etätoimisto laitteet

Pk-yrityksen tietoturva 2026: yhdeksän asiaa, jotka kannattaa laittaa kuntoon

Lue lisää
Claude Microsoft 365 Copilot

Claude saapuu Microsoft 365 Copilotiin — mitä se tarkoittaa käytännössä?

Lue lisää

Miksi kotimaisuudella on väliä myös IT-palveluissa?

Lue lisää
Neuvotteluhuone-ratkaisut näytöt Maxhub

Neuvotteluratkaisut eri tiloihin — Mitä kannattaa huomioida ennen hankintaa?

Lue lisää

Ota yhteyttä

Hyväksyn verkkopalvelun käyttöehdot.