Ads 468x60px

keskiviikko 19. marraskuuta 2014

KPMG Cyber Security - alueen ostoksilla EMA-alueella




KPMG  on Britanniassa ostanut pääasiassa IAM konsultointiin keskittyneen Quberan liiketoiminnot Britanniassa, USA:ssa ja Intiassa. Yrityksen vahvinta osaamista on erityisesti SailPoint ja IAM konsultointi laajemminkin. Kaupan myötä KPMG:lle tuli noin 80 uutta kyberturvallisuuden ja erityisesti käyttövaltuushallinnan asiantuntijaa.

Lisätietoja: http://www.quberasolutions.com/

KPMG On Saksassa ostanut P3 nimisen tietoturvallisuuteen erikoistuneen konsulttiyrityksen.  Yrityskaupan myötä KPMG:lle tuli saksassa yli 100 uutta kyberturvallisuuden konsulttia, joiden erityisosaamista on kyberriskien hallinta, tietoturvallisuuden auditointi ja testaus sekä mobiili- ja kiinteiden yhteyksien suojaus.

Lisätietoja:
http://www.kpmg.com/uk/en/issuesandinsights/articlespublications/newsreleases/pages/kpmg-acquires-german-cyber-security-firm.aspx

Yritysostot vahvistavat mukavasti jo ennestään vahvaa  tietoturvaosaajien verkostoamme EMA-alueella.

torstai 13. marraskuuta 2014

Kybervakuuttamisesta

Kybervakuuttaminen (ts. kyberriskin siirtäminen vakuuttamalla) on kasvava markkinatrendi ja eräs yritysten liiketoiminnallisen varautumisen kuumista puheenaiheista. Yhdysvaltain kybervakuutusmarkkinan on arvioitu kasvavan jopa 2 miljardin dollarin arvoiseksi vielä vuonna 2014. Euroopan kybervakuutusmarkkina on edelleen huomattavasti pienempi, mutta sen on arvioitu kasvavan vuositasolla jopa 50-100% ja saavan lisäpontta mm. EU:n tulevan tietosuoja-asetuksen velvoitteiden ja sanktiopotentiaalin myötä (ks. http://www.reuters.com/article/2014/07/14/us-insurance-cybersecurity-idUSKBN0FJ0B820140714).

Kyberriskit ovat yhä korkeammalla yritysten riskienhallinnan agendalla johdon tietoisuuden kasvaessa ja yritysjohdon asennoituminen tietoturvallisuuteen liittyviin riskeihin on muuttunut selkeästi sitoutuneemmaksi.

Kyber- eli verkkohyökkäykset ovat niin hakkereiden, järjestäytyneen rikollisuuden, kuin valtioiden välisen kybersodankäynninkin työkaluja, motiiveina esimerkiksi luottamuksellisten tai kaupallisesti merkittävien tietojen kuten esim. henkilötietojen, pankkitilinumeroiden tai liiketoimintasalaisuuksien varastaminen tai vaikkapa strategisesti tai kansallisesti merkittävän infrastruktuurin kuten energianjakeluverkon rampauttaminen.

Kyberhyökkäyksen aiheuttamien liiketoiminnallisten vahinkojen määrittely ja korvaaminen on usein monimutkaista. Hyökkäysten tunnistaminen voi viedä runsaastikin aikaa, mikäli yritys ei varaudu tilanteeseen ja valvo verkkoaan tehokkaasti. Nykyaikaiset ja edistyneet verkkohyökkäykset ovat salakavalia ja ne voivat aiheuttaa ongelmia verkossa tapahtuvalle toiminalle estämättä sitä kuitenkaan välttämättä täysin. Hyökkäyksen myöhäinen havaitseminen hankaloittaa itse korvauskäsittelyä ja tapahtuneen vahingon laajuuden määrittelyä (mikäli laajuutta voidaan aina edes välttämättä tarkasti määritellä).

Myös organisaation sisäinen toiminta voi aiheuttaa liiketoiminnan keskeytyksiä tai vaarantaa tietoturvallisuuden. Huonot toimintatavat, kuten vaarallisten työyhdistelmien salliminen tai puutteellinen käyttövaltuushallinta voivat koitua kalliiksi.

Vakuutusmeklarin kautta hankittavat kybervakuutukset voivat korvata esim. välittömiä tietoturvahyökkäyksen aiheuttamia toimintakustannuksia, tulonmenetyksiä, kiristystä (esim. tietovuodolla uhkaaminen), merkittäviä liiketoiminnan katkoksia, inhimillisiä virheitä, immateriaalioikeuksien tai tavaramerkin loukkauksia, kolmansien osapuolten kärsimiä vahinkoja (esim. tietomurron aiheuttamat vahingot) sekä liiketoimintakriittisen tai luottamuksellisen tiedon ja yritysmaineen menetyksiä.


Mikäli yritys laiminlyö riskienhallinnassaan tietoturvallisuuden perusteet, kuten tietoturvastrategian ja -politiikan luomisen, sitouttamisen ja jalkauttamisen ja tietoturvatietoisuustyön, kybervakuutus ei välttämättä korvaa verkkohyökkäyksen aiheuttamia vahinkoja. Kybervakuuttamisen lisäksi tarvitaan siis myös riittävän monipuolista tietoturvaosaamista ja valveutunutta riskienhallintaa sekä esimerkiksi kriisienhallinnan ja kriisiviestinnän kokemusta ja osaamista, jotta yritystoiminnan puolustus kestää hyökkäykset kyberriskien alati kehittyvällä pelikentällä.

maanantai 10. marraskuuta 2014

Tietosuoja-asetus - vaatimustenmukaisuuden saavuttamisen lyhyt oppimäärä osa 2


Edellisessä kirjoituksessani käytiin läpi ensimmäisiä askelia vaatimustenmukaisuuden saavuttamisessa, tarkemmin

1        Nykytilan selvitys; sekä
2        Gap-analyysi ja riskianalyysi.

Tämänkertaisessa tarinassa on tarkoitus uppoutua siihen, miten riskiarvioinnin perusteella suunniteltavat kehittämistoimenpiteet priorisoidaan ja miten kehityssuunnitelma konkreettisesti jalkautetaan organisaatiossa.

3        Toimenpiteiden priorisointi ja kehityssuunnitelman laatiminen

Riskianalyysissä puutteet nykyisessä toiminnassa luokitellaan yleensä korkean, keskimääräisen ja matalan riskin havaintoihin. Usein arvioidaan lisäksi vielä korjaustoimenpiteiden helppous/vaikeus. Luokittelun tarkoitus on kiinnittää ylimmän johdon huomio kaikista kriittisimpiin puutteisiin, jotta niiden korjaamiseen tarvittavien resurssien saatavuus on turvattu, ja jotta vastuulliset osaltaan huolehtivat siitä, että puutteet korjataan viivästyksettä.

Toiseksi, riskilähtöisessä toiminnassa tulee vakavimmat puutteet korjata ensimmäisinä ja varmentaa korjaustoimenpiteiden tehokkuus ennen kuin siirrytään vähemmän kriittisiin puutteisiin. Kehitystoimenpiteet toteutetaan usein sykleissä, jotta rajalliset resurssit voidaan kohdentaa tehokkaasti ja toimenpiteiden vaikutuksia arvioida. Kehitystoimenpiteiden tulee olla mitattavissa olevia, havaittujen puutteiden korjaamiseen tähtääviä riittävän yksityiskohtaisia tehtäviä/tehtävien kokonaisuuksia, jotka voidaan vastuuttaa tietyille tahoille ja joiden etenemistä voidaan seurata.

Kehitysvaihe on hankkeen pisin vaihe, joten sen suunnitteluun ja hallintaan on syytä kiinnittää erityistä huomiota. Vastuut on määriteltävä huolella, sillä prosessit saattavat kulkea horisontaalisesti eri organisaatio-osien läpi. Ennen kehittämistoimien aloittamista hankkeen johdon on siis myytävä suunnitelma monelle asianosaiselle!

Oiotaan tässä myös yksi väärinkäsitys, johon edelleen törmätään: Kehityssuunnitelman laatiminen ja kontrolliympäristön suunnittelu eivät kuulu tietohallinnon, vaan liiketoiminnan tehtäviin.

4        Kehityssuunnitelman jalkauttaminen

Kehittämisen mahdollistamiseksi ylipäänsä tulee organisaatiolla olla riittävät tietosuojan hallinnointirakenteet, jotta tehtävät voidaan vastuuttaa, jotta jollain taholla on kokonaisvastuu ja – näkymä toteutettavista toimista ja jotta päätöksenteon perustaksi saadaan riittävästi tietoa. Samalla tietosuojan suunnitelmallinen hallinta on tietosuoja-asetuksen tuoman tilivelvollisuuden periaatteen tärkeimpiä ilmentymiä. Yleisesti, tietosuojatoimintojen tulee tukea liiketoiminnan tavoitteita, jotka puolestaan myötäilevät ja konkretisoivat organisaation strategiaa.

Tietosuojan kehittäminen tapahtuu monella eri organisaation tasolla, lisäksi kehitystoimenpiteet vaihtelevat suurestikin luonteeltaan. Toisinaan saattaa puute olla vähäinen, esim. kirjallisen prosessikuvauksen puuttuminen. Esimerkiksi tietosuojavastaavan nimittäminen, roolittaminen ja koulutus on kuitenkin iso, haasteellinen kokonaisuus, joka vaatii muutoksia myös päätöksenteon rakenteisiin.

Tyypillisiä kehittämiskohteita ovat tietosuojapolitiikka ja sitä tukeva ohjeistus, henkilöstön osaamisen varmistaminen, henkilötietojen käsittelyn valvonta, tiedon luokittelu ja käsittelysäännöt sekä tiedon suojaaminen ja elinkaaren hallinta. Ulkopuoliset asiantuntijaorganisaatiot kuten KPMG pystyvät tukemaan kehittämisprosessia silloin, kun organisaation oma osaaminen ei ole riittävää.

Isommissa organisaatioissa kehittämistyötä valvoo usein ohjausryhmä, joka koostuu ylemmän johdon edustajista, riskienvalvonnan edustajista, liiketoiminnan edustajista sekä projektijohdosta. Ohjausryhmän tehtävä on seurata kehittämistoimien etenemistä ja tehokkuutta, punnita ja esitellä uusia avauksia, seurata taloudellisia mittareita sekä viime kädessä, tehdä päätökset hankkeen suuntaviivoista, jatkumisesta tai alasajosta.