Ads 468x60px

torstai 26. toukokuuta 2016

On Top of The World

Robert Mortell, a tax trainee from KPMG in Dublin has become the youngest Irish person to summit Mount Everest.

Originally from Limerick, Robert Mortell left Ireland on St. Patrick’s Day to begin a two-month climb to the summit of the world’s highest mountain and reached its peak in the early hours of Monday morning, 23 May.

At 26 years old, Mortell has set a new Irish record as the youngest Irish person to reach its summit at 8,848 metres above sea level. To date, 36 Irish climbers have now reached the summit of Mount Everest.

torstai 12. toukokuuta 2016

Miten digitalisaatio ja tietoturva kohtaavat?

Riskienhallinnan kannalta mielenkiintoinen ilmiö on uudenlaisten luottamusmekanismien yleistyminen. Suuret digitaaliset alustat keräävät käyttäjiä yhteen ja keskeistä on tiedon avoimuus ja tasapuolisuus palveluiden ja tuotteiden myyjien sekä ostajien välillä. Myös sekä ostajat että myyjät arvioidaan, mikä laskee väärinkäytösten määrää. Voidaankin väittää, että perinteiset regulointijärjestelmät menettävät merkitystään.

Valitettavasti digitalisaatio ei ole vielä tuonut ratkaisua tietoturvan varmistamiseen sormia napsauttamalla, vaan se vaatii toimenpiteitä ja osaamista. Siinä missä digitalisaatio on monilla aloilla tasapäistänyt informaatiota ostajien ja myyjien välillä, digitaalisten ratkaisujen kehittäminen on yhä ala, jota leimaa epäsuhtainen informaatio. Tilaajalla on harvoin osaamista tai resursseja arvioida ratkaisun luotettavuutta ja tietoturvallisuutta.

Tätä epäsuhtaista ja puutteellista tietoa voi hallita mm. sertifioinneilla, jotka toimivat IT-palveluita ostavien asiakkaiden riskienhallintamenetelmänä. Digitalisaation myötä myös riskit ovat digitaalisia, joten asia on mitä akuutein ja jatkuvasti kasvattaa merkitystään.

Lue lisää Sytyke-lehdestä (2/2016), jossa käsittelemme tätä asiaa ja tarjoamme vinkkejä epävarmuuden hallintaan. (Sähköinen versio saatavilla Sytykkeen-sivuilta myöhemmin.)


Teijo Peltoniemi & Mika Iivari

maanantai 9. toukokuuta 2016

KPMGCyberGuru



KPMG haluaa omalta osaltaan edistää nuorten työllistymistä ja tarjota mielenkiintoisia 
uramahdollisuuksia vastavalmistuneille tai opintojen loppuvaiheessa oleville tulevaisuuden lupauksille. Haemme nyt 10 tulevaisuuden lupausta Cyber Academy Graduate –ohjelmaan.

KPMG on maailmanlaajuisesti kyberturvallisuuden ja IAM konsultoinnin markkinajohtaja. Suomessa meillä on markkinan kokoon nähden poikkeuksellisen suuri tiimi ja pystymmekin tukemaan myös ulkomaan kollegoitamme mielenkiintoisissa asiakasprojekteissa. Asiakkaina meillä on lukuisia maailman johtavia yrityksiä eri toimialoilta.

Tässä blogissa suomalaiset asiantuntijamme ovat vuosien saatossa käyneet läpi ajankohtaisia aiheita ja kirjoittaneet työtämme ja asiakkaitamme koskettavista aiheista. Lukemalla tätä blogia saat hyvää käsitystä siitä, millaista osaamista miellä on ja minkä aiheiden ympärillä tekemisemme muun muassa pyörii.

Laita siis hakemus sisään ja tule osaksi voittajatiimiä!
https://home.kpmg.com/fi/fi/home/tyopaikat/cyber-academy.html

maanantai 25. huhtikuuta 2016

Uutta sertifiointi- ja varmennusrintamalla

Erilaisten sertifiointien ja varmennuslausuntojen käyttö tietoturvan ja tietosuojan osoittamiseksi on lisääntynyt ja toisaalta niiden kysynnän lisääntyminen on lisännyt myös tarvetta uusille varmennuslausunnoille ja sertifioinneille. Olen käsitellyt varmennuslausuntojen ideaa ja etuja jo aiemmissa blogiteksteissäni, joten perusasiat voi tarkistaa sieltä.

Varmennuslausuntojen käyttö on ollut yleistä jo vuosikymmenien ajan.  Aiemmin puhuttiin SAS 70 (myöhemmin SSAE 16/ISAE 3402) -lausunnoista, ja näiden lausuntojen perustana oli taloudellisen raportoinnin oikeellisuuden varmentaminen. Tähän tuli erityistä tarvetta tiettyjen kirjanpidon vääristelyskandaalien myötä säädetyn SOX-lainsäädännön kautta. Taloudellisen raportoinnin oikeellisuuden varmentamiseen keskittyneinä ne soveltuivat vain osittain tietoturvan varmentamiseen, joten eri maissa on kehitetty erilaisia instrumentteja tietoturvan ja tietosuojan varmentamiseen, esim. ISAE 3000-lausunnon tai Trust Services Principles –periaatteisiin pohjaavan SOC2-lausunnon avulla.

tiistai 5. huhtikuuta 2016

KPMG:n ja kumppaneiden Cyber Cruise- seminaari

KPMG:n ja kumppaneiden Cyber Cruise- seminaari

Varaa ajoissa paikkasi KPMG:n ja kumppaneiden Cyber Cruise- seminaariin Tallinnaan. Lähdemme matkaan uuudistetulla, ajankohtaisella sekä entistä monipuolisemmalla ohjelmalla. Luvassa on mielenkiintoisia puhujia sekä verkostoitumista rennoissa merkeissä.

Varaa ajankohta kalenteristasi ja varmista paikkasi risteilyllä!
KPMG:n yhteistyökumppanit risteilyllä ovat: Palo Alto, Software AG, Cysec Ice wall Oy, Sailpoint ja ServiceNow.
Keynote puhujat ovat: Jari Österberg, Head of IT Risk and Information Security Management, UPM
Kaapro Kanto, Chief Architect, TeliaSonera Finland
Vuoden 2015 TiVi-vaikuttaja Timur Kärki, Managing Director, Gofore Ltd.

Varsinainen tarkennettu ohjelma lähetetään huhtikuun aikana.

Alustava ohjelma

8.6. Keskiviikko

klo 12.30       Kokoontuminen Länsiterminaalissa
klo 16-20       Seminaari ja ohjelmaa
klo 21.00       Yhteinen illallinen

9.6.    Torstai

klo 10-14      Seminaari ja ohjelma
klo 16.30      Yhteinen buffetruokailu laivalla
klo 18.30      Saapuminen  Helsinkiin

Hinta osallistujille 

240 EUR + alv 24% 1 hh/huone
290 eur + alv 24% 2 hh/huone

Osallistujamaksu sisältää laivamatkat, hotellimajoituksen ja ohjelmaan sisältyvät ruokailut, ruokajuomat sekä seminaariohjelman.

Lisätietoja: Heidi Vaha, Event Planner P 040 521 4030
Juha Ahlgren, Sales Manager P 044 504 4828

Rekisteröidy/ilmottaudu: https://ssl.eventilla.com/event/jNdPW

KPMG:n tietoturvapalvelut

tiistai 1. maaliskuuta 2016

EU:n tietosuoja-asetus ja tilivelvollisuuden periaate

Joulukuussa koitti vihdoin se hetki, jota kaikki tietosuoja-ammattilaiset ja varmasti muutkin tietosuojan kanssa työskentelevät ovat hartaasti odottaneet. Miltei neljän vuoden tiukkojen neuvottelujen jälkeen tietosuoja-asetuksen lopullisesta tekstistä päästiin yhteisymmärrykseen kolmikantaneuvotteluissa. Kun pöly on alkanut laskeutua, on viimeistään nyt hyvä aika analysoida, mitä tulevat vaatimukset todella pitävät sisällään ja mitä ne tarkoittavat oman organisaation kannalta.

Asetus vahvistaa vanhoja tietosuojaperiaatteita siinä missä esittelee myös uusia konsepteja, joiden tarkoitus on aktivoida rekisterinpitäjät huolehtimaan entistä aktiivisemmin ja omalähtöisemmin henkilötietojen käsittelyn asianmukaisesta hallinnoinnista ja sitä kautta yksityisyyden suojan toteutumisesta. Yksi näistä periaatteista on nk. tilivelvollisuuden periaate (accountability), joka vapaasti kääntäen tarkoittaa sitä, että rekisterinpitäjän on toteutettava tarvittavat tekniset ja hallinnolliset toimenpiteet sen varmistamiseksi ja osoittamiseksi, että henkilötietojen käsittelyssä noudatetaan asetuksen määräyksiä. Periaate voidaan siis jakaa kahteen komponenttiin, velvollisuuteen a) toimia huolellisesti ja lainmukaisesti sisäisesti, ja toisaalta b) osoittaa toimien lainmukaisuus tarvittaessa myös ulospäin, esimerkiksi viranomaiselle.

Tilivelvollisuuden toteuttaminen voidaan ajatella sinä kuuluisana punaisena lankana, joka kulkee läpi koko asetuksen. Se tukee yksittäisiä vaatimuksia ja toisaalta muovaa niiden toteuttamisen tueksi nk. parhaita käytäntöjä.

Haasteena asetuksen vaatimusten täyttämisessä tulee olemaan mm. se, että osa vaatimuksista jää asian luonteesta johtuen melko yleiselle tasolle, jättäen tulkinnanvaraa esimerkiksi tietoturvan tason määrittelemisessä. Rekisterinpitäjän vastuulle jää viime kädessä päättää esim. tiedon suojaamiseen käytettävien kontrollien järeydestä ja arvioida niiden riittävyys. Tämä liikkumavara on osa tilivelvollisuuden ajatusta. Tilivelvollisuuden periaate täydentää asetuksen vaatimuksia, mitoittaa kontrolleja ja ohjaa toimimaan riskilähtöisesti. Siksi erityisesti riskianalyysit ovat välttämätön apuväline rajallisten resurssien tehokkaaseen kohdistamiseen.

Rekisterinpitäjän tulee tarvittaessa jälkikäteen pystyä perustelemaan valittu suojaustaso. Parasta evidenssiä päätöksen perusteeksi ovat dokumentoidut riskianalyysit, prosessit ja teknologiaratkaisut – henkilötietojen käsittelyn prosessit tulee tietosuoja-asetuksen mukaan myös dokumentoida. Myös yleisesti käytössä olevien tietoturvastandardien noudattamisella voidaan osoittaa toiminnan vastuullisuus. Järein työkalu esimerkiksi kehitystyön tehokkuuden arviointiin ja tehtyjen toimien todentamiseen on ulkopuolisen, riippumattoman tahon suorittama auditointi.

Jos jotakin pääsee kaikista kontrolleista huolimatta kuitenkin sattumaan, on tärkeää pysytä näyttämään toteen kaikki se huolellisuuden ja vastuullisuuden puolesta puhuva työ, joka on tehty riskien realisoitumisen välttämiseksi. Riittävä varautuminen ja omien toimien dokumentointi voi myös parhaassa tapauksessa auttaa välttämään sanktiot tai rikkomuksen vakavuudesta riippuen ainakin vaikuttaa seuraamuksia lieventävästi.

tiistai 2. helmikuuta 2016

Analyytikot: KPMG tietoturvapalvelujen johtava asiantuntija



Forrester Research Incin tuottama The Forrester Wave™: Information Security Consulting Services, Q1 2016 -raportti nostaa KPMG:n johtavaksi tietoturvapalvelujen tarjoajaksi kansainvälisesti. Asiakkaat kuvasivat KPMG:n erityisiksi vahvuuksiksi strategisia neuvontapalveluja, asiantuntijuutta ja joustavuutta palveluiden toimittamisessa.

Forrester Researchin raportin mukaan KPMG on osoittanut kyberturvallisuuden olevan sen keskeinen liiketoiminta-alue. Kyberturvallisuus on myös noussut yhdeksi KPMG:n kuudesta strategisesta kasvualueesta. Raportin mukaan KPMG:n maailmanlaajuisessa verkostossa strategiseen kasvuun panostaminen näkyy muun muassa toteutuneina yrityskauppoina ja investointeina tutkimukseen ja kehitykseen. Viimeisen 16 kuukauden aikana KPMG:n jäsenyritykset ovat hankkineet useita alan merkittäviä palveluntarjoajia, joista yksi on Suomen KPMG:n tammikuussa 2015 hankkima, identiteetinhallintaan erikoistunut Trusteq Oy.

− Suomessa KPMG on panostanut kyberturvapalveluiden kasvattamiseen jo pidemmän aikaa, ja kasvumme on ollut vahvaa niin orgaanisesti kuin yritysostojen kautta. Kuulumme KPMG:n suurten kyberturvayksiköiden joukkoon, toteaa KPMG:n Suomen ja Pohjoismaiden kyberturvapalveluista vastaava Mika Laaksonen

− Kyberturvallisuus ei ole enää ainoastaan teknologiaan ja riskeihin liittyvä asia, vaan siitä on tullut keskeinen innovoinnin osatekijä. Kyberturvallisuuden merkitys kasvaa entisestään neljännen teollisen vallankumouksen aikana esimerkiksi robotiikan ja keinoälyn lisääntymisen myötä, jatkaa Laaksonen. 






KPMG on maailmanlaajuinen asiantuntijayritysten verkosto, joka tarjoaa tilintarkastus-, vero-, laki- ja neuvontapalveluita. Toimimme 174 000 henkilön voimin 155 maassa ympäri maailmaa. KPMG-verkoston jäsenyritykset ovat Sveitsissä rekisteröidyn KPMG International Cooperativen ("KPMG International") jäseniä. Jokainen jäsenyritys on juridisesti itsenäinen ja erillinen yhteisö. Suomessa KPMG:n palveluksessa on yli 900 henkilöä 23 paikkakunnalla.

The Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change.