Ads 468x60px

tiistai 31. lokakuuta 2017

KPMGTechGuru - koulutusohjelma




Haluatko työpaikan, jossa pääse kehittymään huippuosaajaksi alalla, jossa ei työttömyys uhkaa?

KPMG haluaa omalta osaltaan edistää nuorten työllistymistä ja tarjota mielenkiintoisia 
uramahdollisuuksia vastavalmistuneille tai opintojen loppuvaiheessa oleville tulevaisuuden lupauksille. Haemme nyt 10 tulevaisuuden lupausta KPMGTechGuru–ohjelmaan. Tämä ohjelma kattaa meillä Cyber security, Identiteetinhallinta ja IT Neuvontapalvelu – liiketoiminta-alueet.

KPMG on maailmanlaajuisesti kyberturvallisuuden ja IAM konsultoinnin markkinajohtaja. Suomessa meillä on markkinan kokoon nähden poikkeuksellisen suuri tiimi ja pystymmekin tukemaan myös ulkomaan kollegoitamme mielenkiintoisissa asiakasprojekteissa. Asiakkaina meillä on lukuisia maailman johtavia yrityksiä eri toimialoilta. Osaamisestasi ja kiinnostuksestasi riippuen saatat työskennellä suomalaisten suuryritysten, valtionhallinnon organisaatioiden sekä yrittäjävetoisten PK-yritysten kanssa tai saatat pyöriä ympäri maailmaa globaalien asiakkaidemme toimeksiannoissa.

Tässä blogissa suomalaiset asiantuntijamme ovat vuosien saatossa käyneet läpi ajankohtaisia aiheita ja kirjoittaneet työtämme ja asiakkaitamme koskettavista aiheista. Lukemalla tätä blogia saat hyvää käsitystä siitä, millaista osaamista miellä on ja minkä aiheiden ympärillä tekemisemme muun muassa pyörii.

Mitä tarjoamme?
   6kk määräaikaisen työsopimuksen ja mahdollisuuden pysyvään työsuhteeseen
   Kattavan koulutusohjelman arvoltaan noin 10.000 €, sisältäen muun muassa:
   Tietoturvasertifiointikoulutuksia ja ammattitutkintoja sekä tuotekoulutuksia
   Identiteetinhallinnan tuote- ja metodologiakoulutuksia
   IT projektihallinnan, arkkitehtuurin sekä esimerkiksi toiminnanohjausjärjestelmien ja teknologiakumppanuuksiemme koulutuksia
   Loistavan työyhteisön ja yhteishengen
   Mielenkiintoiset projektit ja asiakkaat sekä suomessa että globaalisti


Mahdollisuuden päästä osaksi:
   mailman johtavaa, globaalia Cyberturvallisuuden asiantuntijatiimiä (Lähde: Forrester Research Inc. report, The Forrester Wave™: Information Security Consulting Services 2017)
   CIO Advisory alueen konsultointitiimiä, jonka IDC on tunnistanut johtajaksi “Digital Transformation Consulting and Systems Integration Services” -alueella.
   yhtä KPMG:n suurinta ja osaavinta Digitaalisen Identiteetinhallinnan tiimiä.

Laita siis hakemus sisään ja tule osaksi voittajatiimiä!
https://home.kpmg.com/fi/fi/home/tyopaikat/KPMG-Tech-Guru.html

torstai 5. lokakuuta 2017

EU:n yleinen tietosuoja-asetus ja integraatiot

Yritykset ovat viimeisen vuoden aikana heränneet EU:n yleiseen tietosuoja-asetukseen, jonka vaatimustenmukaisuuden siirtymäaika päättyy 25.5.2018. Tällöin yritysten henkilötietojen käsittely tulee olla linjassa tietosuoja-asetuksen vaatimusten kanssa. Yritykset ovat lähteneet täyttämään tietosuoja-asetuksen velvoitteita kartoittamalla henkilörekistereitään, rekistereiden käyttöoikeuksia ja käyttötarpeita sekä päivittämällä rekisteriselosteita. Samalla osa yrityksistä on havahtunut tosiasiaan, että henkilötietoja ei pelkästään käsitellä tietojärjestelmissä vaan henkilötietoa myös välitetään integraatiossa niin yrityksen sisällä kuin yritysten välillä.

Viimeistään tässä vaiheessa integraatioarkkitehtien tulisi kiinnostua tietosuoja-asetuksesta. Mikäli yritys on kuvannut tietojenkäsittely-ympäristönsä, tulisi yrityksellä olla kuvaus niin loogisista kuin fyysistä tietovarannoista, joista henkilötietoa löytyy. Mikäli yrityksen integraatioarkkitehtuurikuvaukset ovat tietoarkkitehtuurin lisäksi kunnossa, ei henkilötietoa sisältävien integraatioiden kartoitus ole yleensä kovinkaan iso työ.

Kun henkilötietoa sisältävät integraatiot on tunnistettu, tulee integraatiot luokitella niissä välitettävien henkilötietojen perusteella. Luokitteluun vaikuttavat muun muassa välitettävien henkilötietojen arkaluonteisuus (esim. potilastieto on arkaluonteisempaa kuin henkilöiden yhteystiedot), määrä sekä käyttötarkoitus eli esimerkiksi välitetäänkö henkilötietoa yrityksen sisällä vai yhteistyökumppaneille. Luokittelu kannattaa tehdä riskilähtöisesti, sillä tietosuoja-asetus vaatii henkilötietojen käsittelyn olevan ennakoivaa, päätökset henkilötietojen suojaukseen tulee perustua tunnistettuihin riskeihin sekä tehdyt päätökset ja niiden perusteella tehdyt toimenpiteet pitää pystyä osoittamaan.

Riskianalyysi kannattaa ottaa osaksi niitä integraatioprojekteja, joissa käsitellään henkilötietoja. Esimerkiksi, jos integraatioprojektissa toteutetaan uusia integraatioita, joissa henkilötietoa yhdistellään uudella tavalla, saattaa henkilötietojen käyttötarkoitus muuttua siten, että rekisteriseloste on päivitettävä ja rekisteröidyiltä (eli henkilörekisterissä olevilta henkilöiltä) on kysyttävä lupa käyttää henkilötietoa uudella tavalla. Kun integraatioarkkitehtuurissa on kuvattu henkilötietoa sisältävät tietovirrat, on edellä mainittu tilanne helpompi tunnistaa integraatioprojekteissa.

Lisäksi tietosuoja-asetus lähtee siitä oletuksesta, että henkilötiedolla on elinkaari, joka pohjautuu henkilötiedon käsittelytarpeeseen. Vaikkei henkilötietoa yleensä säilytetä integraatiokerroksessa, on kuitenkin muistettava tarkastaa, miten henkilötietoja säilytetään ja millaisilla pääsyoikeuksilla mahdollisissa integraatiokerroksen virhejonoissa ja arkistointihakemistoissa. Samalla voidaan tarkistaa, ettei esimerkiksi henkilötietoja sisältäviä siirtotiedostoja ”jää lojumaan” siirtohakemistoihin. On hyvä muistaa, että mikäli pääkäyttäjä näkee virhejonossa olevien sanomien sisältämiä henkilötietoja, tulee pääkäyttäjän käsitellä niitä tietosuojalainsäädännön mukaisesti. Yleinen ratkaisu on salata sanomien sisältämät henkilötiedot siten, että pääkäyttäjä pystyy tekemään virheselvittelyä, muttei näe sanoman sisältämiä henkilötietoja.

Integraatiot ulkopuolisten toimijoiden ja kumppaneiden kanssa

Kun henkilötietoa välitetään yrityksen ulkopuolelle, esimerkiksi yhteistyökumppanin pilvipalveluun, korostuu yksityisyyden varmistava henkilötietojen käsittely entisestään. Katsotaan tätä esimerkin kautta – oletetaan että Yritys Oy lähettää henkilötietoa yhteistyökumppanille. Yritys Oy on tässä tapauksessa rekisterinpitäjä, joka on vastuussa henkilötiedosta. Yhteistyökumppani, joka voi olla vaikkapa palkanlaskennan suorittava kumppani, on henkilötietojen käsittelijä. Tämä yhteistyö on otettava huomioon kumppanuushallinnassa eli yhteistyösopimuksissa tulee määrittää henkilötietoihin ja niiden käsittelyyn liittyvät vastuut ja velvollisuudet.

Ennen yhteistyösopimuksen allekirjoittamista on syytä tarkistaa integraatioiden vaatimustenmukaisuus eli tarkastetaan että yrityksen ja yhteistyökumppanin tietoturva- ja tietosuojakontrollit ovat yhteneväiset ja riittävällä tasolla. Tämä otetaan yleensä yhteistyösopimuksessa huomioon sopimuksen liitteenä olevilla tietoturva- ja tietosuojavaatimuksina. Vaatimusten lisäksi on syytä toimittaa tiedonkäsittelyohjeet, joissa otetaan kantaa esimerkiksi henkilötiedon säilytysaikoihin. Lisäksi yhteystyöhön liittyvät henkilötietointegraatiot on kuvattava osana integraatioarkkitehtuuria. Tehty dokumentaatio täyttää osaltaan tietosuoja-asetuksen dokumentaatiovaatimuksia ja osoittamisvelvoitetta.

Mikäli yritys toimii EU/ETA-alueella, tietosuoja-asetus helpottaa asioita, koska henkilötietojen käsittely tulisi olla samanlaista kaikissa EU/ETA-alueen maissa. Valitettavasti jokaisella maalla on omia maakohtaisia erityispiirteitä, joten kohdemaan (juridiset) erityispiirteet kannattaa tarkistaa.

Henkilötietojen välitys integraatioissa edellyttää havainnointikykyä

Henkilötietointegraatioissa on varmistettava tietoturvan kolme peruspilaria - luottamuksellisuus, eheys ja saatavuus. Mitä nämä tarkoittavat integraatioiden näkökulmasta? Otetaan esimerkiksi perinteiset flat file -tiedostosiirrot. Luottamuksellisuus tarkoittaa, ettei siirtotiedostoihin ja niiden sisältöön pääse käsiksi kuin ne henkilöt, joiden tehtäviensä puolesta käsittelevät siirtotiedostojen sisältämiä henkilötietoja.  Eheys tarkoittaa, ettei siirtotiedostojen sisältöä pääse muuttamaan oikeudetta. Saatavuus kattaa esimerkiksi pääsyoikeudet henkilötietointegraatioiden siirtohakemistoihin.

Jäljitettävyys liittyy keskeisesti havainnointikykyyn. Sen vuoksi on tärkeää kiinnittää huomiota integraatiokerroksessa tapahtuvaan lokitukseen ja henkilötiedon audit trail -tietoon. Mikäli pääkäyttäjä käsittelee esimerkiksi aiemmin mainitussa virheenselvittelytilanteessa henkilötietoa sisältävää sanomaa, on siitä jäätävä jälki lokitietoihin – etenkin mikäli henkilötietoja ei ole salattu sanomassa. Audit trail pitää pystyä osoittamaan niin tietoliikenteen kuin tiedonkäsittelyn osalta. Keskitetty lokienhallinta vastaa moneen tietosuoja-asetuksen vaatimukseen.

Muistilista integraatioarkkitehdille:
  1. Tunnista missä ja mitä henkilötietoa on olemassa
  2. Kuvaa henkilötietointegraatiot integraatioarkkitehtuurissa
  3. Luokittele henkilötietointegraatiot ja kuvaa käsittelytarve
  4. Tarkista ja päivitä sopimukset
  5. Kuvaa henkilötiedon elinkaari
  6. Rakenna tekniset kontrollit henkilötiedon suojaamiseen ja valvontaan
Pasi Vänttinen

KPMG Oy Ab

Kirjoittaja toimii kokonais- ja integraatioarkkitehtinä KPMG:n kyberturvallisuusyksikössä.

keskiviikko 28. kesäkuuta 2017

GDPR - Webinaari 19.7 - käytännön kokemuksia ja näkemyksiä maailmalta




Kollegamme Lontoosta pitävät alla olevan webinaarin, jossa käsitellään GDPRään liittyviä käytännön asioita, kuten: Mitä on realistista yrittää saavuttaa ja mitä on muualla havaittu toimiviksi käytännöiksi. Lisäksi jaetaan käytännön vinkkejä GDPR-hankkeen läpiviemiseksi


GDPR Webinar - Get Data Protection Ready – make the most of every € you invest

Wednesday 19 July 12pm - 1pm (BST)

Does your company hold people’s personal information? The EU’s General Data Protection Regulation (GDPR) is rapidly coming down the track – and will be the biggest overhaul in data protection rules for over 20 years.

We know that meeting the deadline will be tough and a few companies might not get there. Join our webinar on Wednesday 19 July at 12pm BST to find out:

• what is achievable
• what has worked well elsewhere
• practical advice on how to work through your own GDPR programme.

GDPR should not be seen just as an exercise in compliance, ticking boxes and trying to do the bare minimum. It is an opportunity for organisations to rethink their whole approach to data and privacy. Embraced effectively, it’s a way to gain a clear competitive advantage, with better management of risk, improved efficiency and the generation of insights you can build on.

Ahead of our webinar, download our guide to the five steps your organisation needs to take in order to get GDPR ready.

If you have any questions, please do 
contact us.


http://az720617.vo.msecnd.net/kpmg-public-af8ebecd81c44dbfaec45a0cf2318437/945511be-b380-4936-9a3f-d68370ae61ee-HRD4u8s4lGNxLcq90VnlKV6sH2h9h8FWwCyFNQK4rA=

Event Information

Wednesday 19 July, 2017
12pm - 1pm (BST) 

I will be attending


http://az720617.vo.msecnd.net/kpmg-public-af8ebecd81c44dbfaec45a0cf2318437/b668c445-6c6f-42f8-b431-cfea3abc8807-TW3BHin30jhHgKhIRbbdepBU4uFPxzs3Coy67HfE0=
http://az720617.vo.msecnd.net/kpmg-public-af8ebecd81c44dbfaec45a0cf2318437/b10c52b6-65ef-4207-b500-b180a1a03c22-4yvgd5VU6Hz1ak3InowFMGUg0gRoW0ziWzeIvUPj0=

Martin Tyley
Partner
KPMG in the UK
E: 
martin.tyley@kpmg.co.uk

Martin leads KPMG’s UK regional Cyber Security practice. Martin’s career began in banking before moving to KPMG where, from his Manchester base, Martin leads and supports work across the public and private sector. This includes discovery and testing work, remediation of cyber or privacy issues, through to running services such as certification on an ongoing basis for clients. Martin and his teams will work across over 20 countries during 2017, half of which are in the European Union.
Mark Thompson
Global Privacy Lead
KPMG in the UK
E: 
mark.thompson@kpmg.co.uk

Mark is the global lead for KPMG’s Privacy Advisory practice and has deep experience in delivering global privacy compliance programmes across the world. During his career, Mark has led support projects for some of the world’s largest organisations across multiple industries. He has helped many clients develop their global privacy strategies – and to design, develop, and implement robust and pragmatic privacy improvement programs.