Sisältöön

Tietoturvapalvelun ostaminen - SecMeter

Ohita valikko
Ohita valikko

Tietoturvapalvelun ostaminen

Yritysturvallisuus > Johtaminen
Johtaminen



Tietoturvasta on tullut yksi keskeisimmistä liiketoiminnan riskialueista. Samalla siitä on tullut voimakkaasti markkinoitu palvelukategoria. Yrityksille tarjotaan kokonaisvaltaista suojaa, huippuluokan asiantuntemusta ja stressittömämpää arkea tilanteessa, jossa kyberuhkat, geopoliittinen epävarmuus ja sääntelyn kiristyminen lisäävät johdon painetta tehdä nopeita ratkaisuja.

Tietoturvamainonta rakentuu usein kahden elementin varaan, uhkakuvien korostamiseen ja turvallisuuden tunteen lupaamiseen. Ensin kuvataan toimintaympäristön vaarallisuus, kuten sota, kyberrikollisuus, kiristyshaittaohjelmat, toimitusketjuhyökkäykset. Tämän jälkeen tarjotaan ratkaisua, joka lupaa vakautta ja hallintaa. Viesti on selvä, maailma on epävarma, mutta meidän palvelumme avulla voit nukkua yösi rauhassa.

Tällainen viestintä ei ole lähtökohtaisesti väärää. Kyberuhat ovat todellisia, ja ulkoistettu osaaminen voi olla monelle yritykselle välttämätöntä. Ongelma syntyy kuitenkin silloin, kun markkinointilauseet alkavat korvata analyyttista riskinarviointia. Kun lupaukset jäävät yleiselle tasolle eikä niitä sidota mitattaviin sitoumuksiin, syntyy helposti mielikuva, että riski on siirtynyt palveluntarjoajalle. Juuri tässä kohtaa on tärkeää tehdä selkeä ero. Ulkoistettu tietoturva ei ole sama asia kuin ulkoistettu vastuu.

Tietoturvan ja IT-palveluiden ostaminen on arkipäivää. Useat yritykset ja valtionhallinto käyttävät pilvipalveluja, identiteetin- ja pääsynhallintaa, hallittuja SOC- ja MDR-palveluja sekä muita ulkoistettuja tietojärjestelmäratkaisuja. Ulkoistaminen tuo osaamista, skaalautuvuutta ja usein kustannusetuja, mutta se tuo mukanaan myös monimutkaisuutta ja uusia riippuvuuksia.

Vastuu liiketoiminnan riskeistä säilyy kuitenkin aina asiakkaalla, koska palvelun ostamisessa ei ole kysymys liiketoiminnan siirrosta. Yritys voi ostaa valvontaa, teknisiä kontrollimekanismeja ja asiantuntijaresursseja, mutta se ei voi siirtää lopullista vastuuta arvoketjussaan syntyvistä seurauksista. Lainsäädännöllinen vastuu, asiakkaiden luottamus, sopimusvelvoitteet ja mainekysymykset jäävät yritykselle itselleen.

Siksi yrityksen on kyettävä itse ymmärtämään ja selittämään omat liiketoimintariskinsä. Riskien tunnistaminen, priorisointi ja hyväksyminen ovat johtamisen ydintehtäviä. Palveluntarjoaja on väline riskien hallintaan, ei riskin omistaja.

Tietoturvamainonnan lupaukset voivat tukea päätöksentekoa, mutta ne eivät saa korvata sitä. Kun mielikuvapohjaiset väitteet erotetaan mitattavista sitoumuksista ja vastuun rajat ymmärretään selkeästi, ulkoistaminen voi olla tehokas ja perusteltu ratkaisu. Ilman tätä erottelua ulkoistamisesta voi kuitenkin tulla vaarallinen illuusio, tunne turvallisuudesta ilman todellista kontrollia.

Tästä näkökulmasta tarkasteltuna kysymys ei ole siitä, voiko tietoturvapalveluita ostaa, vaan siitä, miten se tehdään vastuullisesti ja ymmärtäen, että vastuu liiketoiminnan riskeistä ei koskaan siirry pois yritykseltä itseltään.
Tehtävälista
Määrittele oma lähtötilanne

  1. Tunnista kriittiset liiketoimintaprosessit
  2. Selvitä, mitä dataa yrityksellä on (henkilötiedot, sopimukset, IP, taloustiedot)
  3. Dokumentoi, missä data sijaitsee (pilvi, palvelimet, SaaS, alihankkijat)
  4. Tunnista suurimmat uhat (esim. kiristyshaittaohjelmat, tietovuodot, toimitusketjuriskit)
  5. Arvioi liiketoimintavaikutus (raha, maine, sopimukset)
  6. Määritä hyväksyttävä riskitaso

Määrittele hankinnan tavoite

  1. Onko tarkoitus täydentää omaa osaamista vai ulkoistaa kokonaan?
  2. Tarvitaanko 24/7-valvontaa?
  3. Tarvitaanko reagointipalvelua (MDR/SOC)?
  4. Tarvitaanko auditointia ja riskikartoitusta?
  5. Onko kyse pilviturvasta, päätelaitesuojaamisesta vai kokonaisratkaisusta?

Arvioi palveluntarjoajan kyvykkyys

  1. Onko toimittajalla sertifikaatteja (ISO 27001, SOC 2)?
  2. Kuinka monta sertifioitua asiantuntijaa (CISSP, CISM jne.) on palveluntarjoajan palveluksessa?
  3. Onko toimialakohtaisia referenssejä?
  4. Onko palvelu 24/7 vai työaikapohjainen?
  5. Missä asiakaspalvelu/yhteyshenkilö/valvontakeskus sijaitsee?
  6. Liittyykö palvelun tuottamisen alihankkijoita?

Selvitä jaettu vastuu

  1. Mitkä asiat jäävät asiakkaan vastuulle?
  2. Kuka vastaa pääsynhallinnasta?
  3. Kuka vastaa konfiguraatioista?
  4. Kuka vastaa varmuuskopioiden testauksesta?
  5. Miten vastuunjako on dokumentoitu?

Tarkista tekniset ja operatiiviset yksityiskohdat

  1. Mitä lokeja kerätään ja miten niitä säilytetään?
  2. Kuinka nopeasti poikkeamiin reagoidaan (SLA)?
  3. Kuinka nopeasti asiakasta informoidaan?
  4. Onko käytössä automaattinen eristys?
  5. Miten häiriötilanteet dokumentoidaan?
  6. Toimitetaanko jälkiraportti?

Sopimus ja riskienhallinta

  1. Onko SLA kirjattu selkeästi?
  2. Onko sopimussakkoja SLA-rikkomuksista?
  3. Onko vastuuvakuutus ja minkä suuruinen?
  4. Miten data palautetaan tai siirretään toiselle palveluntarjoajalle sopimuksen päättyessä?
  5. Onko exit-strategia määritelty?
  6. Onko auditointioikeus sopimuksessa?

Testaa ennen kuin luotat

  1. Onko palveluntarjoaja valmis tekemään harjoituksen (incident simulation)?
  2. Onko palautumissuunnitelma (DR/BCP) testattu?
  3. Onko yhteyshenkilöt nimetty molemmin puolin?
  4. Onko kriisiviestintäprosessi määritelty?

Johdon vastuut

  1. Onko hallitus tai johto hyväksynyt riskit?
  2. Onko tietoturva osa riskienhallinnan vuosikelloa?
  3. Seurataanko palvelun suorituskykyä säännöllisesti?
  4. Raportoidaanko palvelun ietoturvasta johdolle?
Ostettu tietoturvapalvelu ei ole sama asia kuin ulkoistettu vastuu
Asiaa voidaan lähestyä konkreettisesti DNA Oyj:n mainosväittämien kautta (Lähde: kauppalehti.fi 2.3.2026 kaupallinen yhteistyö, otsikko: Sota ei pysäytä liiketoimintaa – Pysyykö yrityksesi toimintakykyisenä kriisin keskellä?)

”Varautuminen on yhteinen asiamme, johon DNA haluaa tarjota yrityksellesi apua. Huippuluokan asiantuntemus, vahva projektiosaaminen ja toisiaan tukevat ratkaisut tekevät yrityksesi arjesta turvallista ja stressittömämpää. Tutustu DNA:n kattaviin verkko- ja tietoturvapalveluihin ja ota yhteyttä!”

DNA:n myyntiväittämä on tyypillistä B2B-markkinointikieltä. Edellä mainitusta myyntiväittämästä erottuvat seuraavat puffiväiteet:

  • “Huippuluokan asiantuntemus”, ei ole mitattava väite. Ei todennettava faktalause.
  • “Toisiaan tukevat ratkaisut tekevät yrityksesi arjesta turvallista”, rakentaa tunnetta turvallisuudesta ilman mitattavaa lupausta. Ei todennettava faktalause.
  • “Vahva projektiosaaminen”, ei tarkennusta referensseihin. Ei todennettava faktalause.
  • “Turvallista ja stressittömämpää”, puhdas tunneperäinen lupaus. Ei todennettava faktalause.

Epämääräisillä mielikuvapohjaisilla markkinointiväittämillä on vahva asema B2B-markkinoinnissa. Vaikka ne eivät ole suoranaisesti virheellisiä, ne voivat heikentää päätöksenteon laatua ja lisätä riskiä, jos niitä ei eroteta mitattavista sitoumuksista.

Miksi edellä mainitut väittämät voivat olla yritykselle haitallisia?

  • Hämärtävät päätöksentekoa. Jos päätökset tehdään mielikuvien eikä mitattavien faktojen perusteella, riskit kasvavat.
  • Luovat väärän turvallisuuden tunteen. Esimerkiksi tietoturvassa “kokonaisvaltainen suojaus” voi kuulostaa kattavalta, vaikka vastuut ovat jaettuja.
  • Heikentävät luottamusta pitkällä aikavälillä. Jos lupaukset eivät konkretisoidu, asiakas kokee pettymyksen.
  • Vääristävät kilpailua. Yritys, joka puhuu kovemmin, voi voittaa yrityksen, joka tarjoaa parempaa teknistä laatua.

Miksi ne eivät ole välttämättä haitallisia?

  • Puffit ovat juridisesti sallittuja, koska niitä ei voi tulkita konkreettiseksi lupaukseksi.
  • B2B-ostajat osaavat yleensä erottaa myyntipuheen ja sopimustason sitoumukset.
  • Markkinointi rakentaa tunnetason luottamusta, joka on osa päätöksentekoa myös rationaalisessa ympäristössä.

Tyypillisiä virheitä, joita yritykset tekevät
Asiakasyritysten ei pitäisi “uskoa” mainosväittämiä sellaisenaan, vaan arvioida ne kriittisesti. Tämä koskee kaikkia toimijoita.

  • Myyntilauseet kuten “huippuluokan asiantuntemus” voivat olla totta, mutta ne eivät korvaa dokumentoitua näyttöä (sertifikaatit, SLA:t, referenssit, auditoinnit).
  • Johto voi olettaa, että koska “tietoturva on ostettu palveluntarjoajalta”, sisäisiä toimintoja ei tarvitse muuttaa. Tämä johtaa usein heikkoon pääsynhallintaan, huonoon dataluokitteluun ja epäselviin prosesseihin.
  • Jos yritys ei tiedä, mitä dataa sillä on ja missä se sijaitsee, se ei pysty määrittämään, mitä ulkoistetun palvelun pitäisi suojata.
  • Pilvi- ja SaaS-toimittajat usein käyttävät “shared responsibility” -mallia, mutta asiakkaat eivät aina ymmärrä, mikä osa on heidän vastuullaan.

Pitäisikö olla varovaisempi tietoturvapalveluiden kohdalla?
Tietoturvapalveluiden hankinta ei ole tavallinen IT-ostos. Se on riskienhallintaa koskeva strateginen päätös, jonka vaikutukset ulottuvat liiketoiminnan jatkuvuuteen, maineeseen ja jopa juridiseen vastuuseen. Siksi kysymykseen, pitäisikö olla varovaisempi juuri tietoturvapalveluiden kohdalla, vastaus on selkeä kyllä. Kriittinen harkinta on välttämätöntä.

Asiantuntijuutta ostetaan, mutta sitä on vaikea arvioida
Tietoturvapalveluissa asiakas ostaa usein osaamista, jota se ei itse täysin hallitse. Tämä luo epäsymmetrian, joss palveluntarjoajalla on enemmän teknistä tietoa kuin ostajalla. Toisin kuin fyysisen tuotteen kohdalla, palvelun laatua ei voi nähdä tai testata yksinkertaisesti ennen kuin kriisi tapahtuu. Usein vasta tietoturvaloukkaus paljastaa, kuinka hyvin palvelu toimi.

Kun ostetaan asiantuntijuutta, joudutaan luottamaan lupauksiin. Tässä piilee riski. Markkinointilauseet kuten “huippuluokan asiantuntemus” tai “kokonaisvaltainen suojaus” kuulostavat vakuuttavilta, mutta ne eivät vielä kerro mitään konkreettista. Ne eivät itsessään osoita, millä tasolla osaaminen on tai miten se mitataan.

Riskit ovat poikkeuksellisen suuria
Tietoturva eroaa monista muista palveluista siinä, että epäonnistumisen seuraukset voivat olla vakavia ja laaja-alaisia. Tietovuoto voi johtaa:

  • merkittäviin taloudellisiin tappioihin
  • liiketoiminnan keskeytymiseen
  • sopimussanktioihin
  • viranomaisilmoituksiin
  • maineen pitkäaikaiseen vahingoittumiseen

Usein kyse ei ole vain teknisestä häiriöstä, vaan luottamuksen menetyksestä. Asiakkaat ja kumppanit eivät ensisijaisesti syytä alihankkijaa, vaan vastuussa olevaa yritystä, jonka kanssa he ovat sopimussuhteessa. Tämän vuoksi tietoturvapalvelun valinta ei ole kustannusoptimointikysymys, vaan riskinsietokykyä koskeva päätös.

Myyntipuheiden kiire ja uhkaretoriikka
Tietoturvamarkkinoinnissa korostetaan usein uhkia, kuten kasvavia kyberhyökkäyksiä, uusia haavoittuvuuksia ja rikollisten kehittyneitä menetelmiä. Tämä ei ole perusteetonta, uhkakenttä on todellinen. Mutta uhkaretoriikka voi myös luoda kiireen tunteen, joka heikentää harkintaa.

Kun päätös tehdään pelon tai kiireen ohjaamana, riski kasvaa. Yritys saattaa ostaa ratkaisun, joka ei vastaa sen todellista riskiprofiilia tai joka on ylimitoitettu tai väärin kohdennettu. Siksi kriittinen arviointi on erityisen tärkeää juuri tietoturvassa.

Mitä asiakkaan tulisi palveluntarjoajalta kysyä?
Varovaisuus ei tarkoita epäluuloisuutta. Se tarkoittaa systemaattista kysymistä ja todisteiden pyytämistä. Esimerkiksi:

  • Mitä “huippuluokan asiantuntemus” tarkoittaa käytännössä?
  • Onko yrityksellä sertifikaatteja, kuten ISO 27001 tai SOC 2?
  • Kuinka monta sertifioitua asiantuntijaa (CISSP, CISM tai vastaava) palvelussa työskentelee?
  • Millaisia referenssejä löytyy omalta toimialalta?
  • Mitä palvelu konkreettisesti sisältää?
  • Mitä valvotaan? Mitä ei valvota? Onko kyse reaktiivisesta vai proaktiivisesta palvelusta?
  • Mitkä ovat vasteajat (SLA)?
  • Kuinka nopeasti poikkeamiin reagoidaan? Onko reagointi 24/7?
  • Missä data sijaitsee?
  • Onko data EU-alueella? Käytetäänkö alihankkijoita?
  • Miten vastuut jakautuvat?
  • Kuka vastaa konfiguraatioista? Kuka pääsynhallinnasta? Kuka raportoinnista?
  • Mitä tapahtuu, jos palvelu epäonnistuu?
  • Onko sopimussanktioita?
  • Onko vastuuvakuutus?
  • Onko exit-suunnitelma?

Näiden kysymysten tarkoitus ei ole hankaloittaa yhteistyötä, vaan tehdä riskienhallinnasta läpinäkyvää.

Varovaisuus on osa hyvää johtamista
Tietoturvapalvelun ostaminen on pohjimmiltaan päätös siitä, miten yritys hallitsee epävarmuutta. Palvelun osatminen voi olla erittäin järkevää. Harvalla yrityksellä on mahdollisuus ylläpitää omaa 24/7-tason kyberturvakeskusta. Mutta palveluntarjoajan käyttö ei poista vastuuta.

Varovaisuus tarkoittaa:

  • oman liiketoiminnan ja riskien ymmärtämistä ennen ostoa
  • markkinointiväitteiden erottamista todennettavista sitoumuksista
  • sopimusten tarkkaa läpikäyntiä
  • jatkuvaa seurantaa hankinnan jälkeen

Tietoturvassa luottamus on tärkeää, mutta sen tulee perustua näyttöön, ei pelkkään mielikuvaan.
Ohita valikko
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön