Monessa pk-yrityksessä IT on sujuvaa. Sähköpostit kulkevat, koneet käynnistyvät, tiedostot löytyvät ja työt jatkuvat ilman näkyviä keskeytyksiä. Silti toimitusjohtajan voi olla vaikea sanoa varmasti, onko yrityksen IT aidosti hallinnassa vai vain toistaiseksi toimintakykyinen. Epätietoisuus ei ole johdon vika, vaan usein seurausta siitä, miten IT tapaa yrityksissä rakentua.
IT:n toiminnan ja hallinnan ero on merkittävä. Toimiva IT pitää arjen liikkeessä. Hallittu IT-ympäristö menee sujuvuuden lisäksi pidemmälle. Se antaa johdolle näkyvyyden siihen, mistä yrityksen IT-kokonaisuus muodostuu, kuka siitä vastaa, kenellä on pääsy keskeisiin järjestelmiin ja missä kunnossa tietoturva on. Silloin IT ei ole yksittäisten toimittajien, vanhojen sopimusten tai yhden avainhenkilön muistin varassa.
Käytännössä hallittu IT-ympäristö tarkoittaa, että laitteet, käyttäjätunnukset, ohjelmistot, lisenssit, varmistukset, käyttöoikeudet ja tietoturva ovat yhden selkeän hallinnan alla. Niitä seurataan, niistä raportoidaan ja niihin liittyvät vastuut ovat tiedossa. Johto ei tarvitse teknistä syväosaamista, mutta sen täytyy voida luottaa siihen, että kokonaisuus on näkyvissä myös mahdollisissa poikkeustilanteissa.
Tämän neljän kohdan tarkistuslistan avulla toimitusjohtaja saa nopeasti käsityksen yrityksen IT-ympäristön todellisesta tilasta ilman teknistä taustaa.
Harva yritys rakentaa sirpaleista IT-ympäristöä tietoisesti. Se syntyy vähitellen, kun arjen tarpeisiin vastataan yksi päätös kerrallaan. Uusi palvelu otetaan käyttöön kiireessä, koska sille on heti tarve, työasemat hankitaan sieltä, mistä ne saadaan nopeasti, puhelinliittymät kilpailutetaan erikseen ja tietoturvaa vahvistetaan silloin, kun siihen tulee paine.
Yksittäiset ratkaisut voivat olla täysin perusteltuja ja IT voi kyllä toimia arjessa. Ongelma syntyy vasta vuosien mittaan, kun laitteet, pilvipalvelut, käyttäjätunnukset, varmuuskopiot, lisenssit ja tietoturvaratkaisut ovat päätyneet eri toimittajille ja eri ihmisten tekemien päätösten kautta. Niistä on muodostunut hajanainen himmeli, jota kukaan ei enää johda kokonaisuutena.
Niin kauan kuin kaikki toimii, kokonaisuutta ei välttämättä pysähdytä katsomaan, koska ei ole tarvetta. Ongelmat tulevat näkyviin vasta poikkeustilanteissa tai muutoksissa. Tilanne muuttuu, kun avainhenkilö vaihtaa työpaikkaa, tärkeä asiakas pyytää tietoturvaselvitystä, uusi laatujärjestelmä edellyttää riskien tunnistamista tai kriittinen palvelu lakkaa toimimasta. Silloin huomataan, ettei yrityksessä ole olemassa yhtä paikkaa, josta näkisi, mitä IT-ympäristössä todella on ja missä kunnossa se on.
Tämä ei kerro huonosta johtamisesta, vaan siitä, ettei IT:lle ole välttämättä nimetty selkeää kokonaisvastuuta. Hallittu IT-ympäristö alkaa siitä, että kokonaisuus tehdään näkyväksi ja joku vastaa sen ajantasaisuudesta.
Käy kysymykset läpi rauhassa. Jos vastaus on epävarma tai kuuluu ”pitäisi varmaan tarkistaa”, se on jo vastaus.
Hallinnan ensimmäinen merkki on näkyvyys. Yrityksellä pitäisi olla ajantasainen kuva ainakin laitteista, työasemista, palvelimista, pilvipalveluista, ohjelmistoista, lisensseistä, käyttäjätunnuksista, varmuuskopioinnista ja tietoturvaratkaisuista.
Jos tieto on hajallaan eri toimittajien järjestelmissä, sähköpostiketjuissa, vanhoissa Excel-taulukoissa ja yksittäisten työntekijöiden muistissa, kokonaiskuvaa ei käytännössä ole. Silloin IT voi kyllä toimia, mutta sitä ei johdeta tiedon perusteella.
Hallittu IT-ympäristö alkaa siitä, että joku vastaa kokonaisuudesta ja pitää tiedon ajan tasalla.
Käyttäjätunnukset ja käyttöoikeudet ovat yrityksen tietoturvan kovinta ydintä. Niiden hallinta korostuu erityisesti silloin, kun työntekijä vaihtaa tehtävää, lähtee yrityksestä tai ulkoinen kumppani ei enää tarvitse pääsyä järjestelmiin.
Hyvä kysymys johdolle on yksinkertainen: sulkeutuvatko lähtevän työntekijän tunnukset varmasti kaikista palveluista vai onko riski, että vanhat tunnukset jäävät jonnekin elämään?
Jos vastaus on “pitäisi sulkeutua” tai “täytyy tarkistaa”, ympäristössä voi olla vanhoja tunnuksia, ylimääräisiä käyttöoikeuksia tai pääsyjä, joista kukaan ei enää ole täysin varma. Ne eivät välttämättä aiheuta ongelmaa tänään, mutta ne kasvattavat uhkaa tarpeettomasti.
Hallittu ympäristö ei perustu oletuksiin. Se perustuu selkeään käytäntöön siitä, kuka luo tunnukset, kuka hyväksyy oikeudet, kuka sulkee pääsyoikeudet ja mistä tämä voidaan tarvittaessa todentaa.
Tietoturva ei voi olla vain teknisten asiantuntijoiden sisäinen asia. Se on liiketoiminnan jatkuvuuteen, asiakasluottamukseen ja sopimuskelpoisuuteen vaikuttava johtamisen kysymys.
Toimitusjohtajan ei tarvitse lukea teknisiä lokeja tai tuntea jokaisen tietoturvatyökalun yksityiskohtia. Hänen pitäisi kuitenkin tietää, onko tilanne vakaa, mitä poikkeamia on havaittu, mihin on reagoitu ja mitä seuraavaksi kannattaa tehdä.
Jos tietoturvan tilasta kuullaan vain kerran vuodessa, auditoinnin yhteydessä tai vasta ongelman sattuessa, johto tekee päätöksiä vajaan tiedon varassa. Hallitussa ympäristössä tietoturvasta raportoidaan säännöllisesti tavalla, joka tukee päätöksentekoa.
Hyvä raportti ei hukuta johtoa teknisiin yksityiskohtiin. Se kertoo olennaisen ymmärrettävässä muodossa siitä, mikä on kunnossa, missä on riskejä ja mitä pitää tehdä seuraavaksi.
Yhä useampi suuri asiakas haluaa varmistaa kumppaniensa tietoturvan ja tietosuojan jo ennen sopimuksen syntymistä. Sama paine kasvaa toimitusketjuissa, laatujärjestelmissä ja sääntelyn kiristyessä. Esimerkiksi NIS2-sääntelyn kaltaiset vaatimukset nostavat odotuksia myös niille yrityksille, jotka eivät itse olisi sääntelyn suorassa ytimessä.
Toimitusjohtajan kannattaa kysyä: jos iso asiakas lähettäisi huomenna tietoturvakyselyn, pystyisimmekö vastaamaan siihen uskottavasti ja ilman paniikkia?
Tämä kysymys erottaa tehokkaasti toimivan IT:n hallitusta IT:stä. Arjessa kaikki voi näyttää olevan kunnossa, mutta jos käytännöistä, vastuista, varmistuksista ja käyttöoikeuksista ei löydy selkeää dokumentaatiota, kokonaisuutta on vaikea osoittaa ulospäin.
Monelle yritykselle juuri tämä hetki paljastaa todellisen tilanteen. IT ei olekaan ongelma siksi, että jokin olisi rikki, vaan siksi, ettei sen hallintaa pystytä näyttämään toteen.
Kun uuden asiakkaan IT-ympäristöä katsotaan ensimmäistä kertaa kokonaisuutena, perusasiat ovat usein kunnossa. Työvälineet toimivat, sähköpostit kulkevat ja työntekijät saavat työnsä tehtyä. Mikään ei välttämättä ole näkyvästi rikki, mutta silti pinnan alla voi olla epäselvyyttä. Kukaan ei välttämättä tiedä varmasti, mitä lisenssejä on käytössä, kenellä on ylläpitäjän oikeudet, miten varmuuskopiot palautetaan tai mitkä palvelut ovat liiketoiminnan kannalta kriittisiä. Arki pyörii, mutta kokonaiskuva on hajallaan. Vuosien aikana syntyneet ratkaisut muodostavat palapelin, mutta palapelistä puuttuu kuva kannesta.
Sysäys yhteydenottoon tulee harvoin tekniikasta johtuen. Useammin se tulee asiakaskunnasta. Iso asiakas alkaa vaatia todisteita tietoturvasta ja tietosuojasta, tai oma laatujärjestelmä edellyttää, että riskit on tunnistettu ja hallinnassa. Silloin kysymys ei ole enää se, toimiiko IT, vaan se, pystyykö yritys osoittamaan, että IT on hallinnassa jatkuvasti. Moni huomaa juuri tässä kohtaa, ettei kokonaiskuvaa olekaan.
Erityisen usein tämä näkyy käyttäjätunnuksissa. Kun pyydämme listaa käytössä olevista tunnuksista ja käyttöoikeuksista, sitä ei aina ole valmiina. Tunnukset elävät eri järjestelmissä ja yhden tai kahden ihmisen muistissa. Kyse ei yleensä ole huolimattomuudesta, vaan siitä, ettei kenenkään tehtävänä ole ollut pitää listaa ajan tasalla. Siitä hallittu IT-ympäristö käytännössä alkaa, että vastuut nimetään selkeästi, kokonaisuus tehdään näkyväksi ja toimintatavat viedään arkeen.
Kun sirpaleinen IT-ympäristö kootaan yhden hallinnan ja seurannan alle, muutos näkyy sekä arjessa että johtamisessa. Tukipyyntöjen selvittäminen nopeutuu, koska sama tekninen henkilö tuntee ympäristön eikä jokaista tilannetta tarvitse aloittaa alusta. Ongelmat myös vähenevät, kun laitteita, palveluita ja tietoturvaa seurataan jatkuvasti. Moni vika voidaan huomata ennen kuin se ehtii keskeyttää työn.
Johdon työ helpottuu, kun IT ei ole epämääräinen huolenaihe, vaan johdettava kokonaisuus. Kun tietoturvan tila, avoimet riskit ja tarvittavat toimenpiteet raportoidaan selkeästi, päätöksiä voi tehdä tosiasioiden eikä oletusten perusteella.
Myös asiakasvaatimuksiin vastaaminen muuttuu sujuvammaksi. Tietoturvakysely, joka ennen vei useita päiviä ja aiheutti sisäistä selvittelyä, voidaan hallitussa ympäristössä hoitaa huomattavasti nopeammin. Samalla yritys näyttäytyy asiakkaalleen ammattimaiselta ja luotettavalta kumppanilta.
Tarkat vaikutukset riippuvat aina lähtötilanteesta. Siksi työ kannattaa aloittaa kartoituksella, joka kertoo oman talon todellisen tilanteen – missä IT-ympäristö on jo kunnossa ja mihin kannattaa tarttua ensin.
Hallittuun IT-ympäristöön ei tarvitse siirtyä kerralla eikä kuukausien esiselvitysprojektilla, jonka aikana ei tapahdu mitään. Usein järkevin ensimmäinen askel on kevyt IT-kartoitus, jossa selvitetään yrityksen nykytilanne käytännönläheisesti. Sen perusteella voi tehdä päätöksiä tosiasioiden eikä arvausten pohjalta.
Kartoituksessa katsotaan esimerkiksi:
Tärkeintä on saada päätöksenteon pohjaksi oikea tilannekuva. Sen jälkeen IT:tä ei tarvitse kehittää arvailun perusteella.
Samalla on hyvä katsoa myös tulevaisuuteen ja mihin suuntaan yritys on menossa. Moni toimitusjohtaja pohtii nyt, miten datasta, automaatiosta ja tekoälystä saisi liiketoimintaan todellista hyötyä. Niiden varaan on vaikea rakentaa, jos IT-ympäristö on hajanainen, käyttöoikeudet epäselvät ja tietoturvan tilanne epävarma. Hallittu IT-ympäristö on perusta, jonka päälle seuraavat askeleet voidaan rakentaa turvallisesti.
Midarella yrityksen IT:tä ei hoideta kasvottomana tikettijonona. Asiakkaalla on nimetty yhteyshenkilö ja tuttu tekninen asiantuntija, joka tuntee ympäristön, ihmiset ja liiketoiminnan tarpeet. Pitkä kokemuksemme näkyy käytännössä ja tunnistamme nopeasti, missä ympäristö toimii, missä on piileviä riskejä ja mistä hallintaan siirtyminen kannattaa aloittaa.
Jos haluat varmistaa, onko yrityksenne IT aidosti hallinnassa vai vain arjessa toimiva, aloitetaan kartoituksesta. Sen jälkeen tiedät, missä mennään ja mitä kannattaa tehdä seuraavaksi.
Ota yhteyttä, niin katsotaan yrityksenne IT-ympäristön tilanne läpi.
Voit lukea lisää siitä, miten huolehdimme yrityksen IT-ympäristöstä IT-palvelut yrityksille -sivulta.
Hallittu IT-ympäristö tarkoittaa, että yrityksen laitteet, käyttäjätunnukset, ohjelmistot, lisenssit, varmistukset ja tietoturva ovat yhden selkeän kokonaisuuden alla. Niitä seurataan säännöllisesti, niistä on ajantasainen tilannekuva ja vastuut ovat tiedossa.
Yleisiä merkkejä ovat hajallaan oleva tieto, epäselvät käyttöoikeudet, vanhat tunnukset, puutteellinen dokumentaatio, satunnainen tietoturvaraportointi ja se, ettei yritys pysty vastaamaan asiakkaan tietoturvakyselyyn ilman suurta selvittelyä.
Koska IT vaikuttaa suoraan liiketoiminnan jatkuvuuteen, kehitykseen, asiakasluottamukseen, tietoturvaan ja sopimuskelpoisuuteen. Toimitusjohtajan ei tarvitse ratkaista teknisiä yksityiskohtia, mutta hänen täytyy pystyä johtamaan riskejä ja varmistamaan, että kokonaisuus on hallinnassa.