Ads 468x60px

tiistai 25. elokuuta 2015

Ajatuksia jatkuvuuden hallinnasta

Jatkuvuuden hallinnan kymmenen sudenkuoppaa ja miten vältät ne
Yrityksen ja organisaation johdolla on velvollisuus asettaa tavoitteet ja varmistaa resurssit sille, että yrityksen ydinliiketoiminta pystyy jatkumaan ja toipumaan merkittävistä häiriötilanteista.
Väitän, että suurella osalla suomalaisten yritysten ja organisaatioiden johtajista ei kuitenkaan ole riittävää varmuutta siitä onko yrityksen kriittisten ydinsovellusten jatkuvuus oikeasti varmistettu riittävällä tasolla IT:n ja sovellusylläpidon osalta (palvelutuottajilla tai omassa ylläpidossa) tapahtuvan merkittävän häiriön sattuessa.
Kaikilla ammattimaisilla palveluntuottajilla tai yrityksen omilla jaetuilla alusta- tai infrastuktuuripalvelua tuottavilla yksiköillä on varmasti omat jatkuvuussuunnitelmansa kirjoitettuna ja ylläpidettyinä, monella toimijalla myös riittävällä tasolla säännöllisesti testattuna. Nämä jaetun infrastruktuurin jatkuvuussuunnitelmat eivät vain kata yritysten liiketoimintasovelluksia.
Väitän myös, että kun yrityksen liiketoiminnassa tapahtuu merkittävä pitkävaikutteinen häiriö, häiriötä johtavalla tai toipumista edistävillä ryhmillä ei välttämättä ole käytettävissään ajan tasalla olevaa tilannekuvaa häiriöistä, kommunikointikanavat ovat puutteellisia, sovelluskohtaiset toipumisratkaisut ovat epäselviä tai puuttuvat sekä pahimmassa tapauksessa jopa toipumista johtavan ja korjaavan ryhmän työvälineetkään eivät toimi. Lisäksi toipumista ohjataan vaillinaisen tai väärän tiedon varassa.
Olen listannut alle jatkuvuuden hallinnan kymmenen sudenkuoppaa, jotka huomioimalla tai korjaamalla ylläolevia riskejä saadaan pienenettyä:

maanantai 24. elokuuta 2015

EU:n tietosuoja-asetuksesta kilpailuetua

EU:n yleinen tietosuoja-asetus tulee lähitulevaisuudessa muuttamaan henkilötietojen käsittelyn sääntelyn perustaa ja tuo mukanaan uusia, nykyistä tiukempia vaatimuksia rekisterinpitäjille. Jatkossa henkilötietojen käsittelyn tulee olla suunnitelmallista, dokumentoitua ja perustua riskianalyysiin. Rekisterinpitäjän tulee jatkossa kyetä tarvittaessa osoittamaan, että on toiminut asetuksen vaatimusten mukaisesti, korotettujen sanktioiden uhalla.

Viranomaisten tehtävä on valvoa rekisterinpitäjien ja tietojenkäsittelijöiden suorittamaa henkilötietojen käsittelyä sekä asetuksen vaatimusten toteuttamista. Koska toistaiseksi viranomaisten resurssit valvontaan ovat olleet rajalliset, organisaatioiden oma vastuunkanto ja proaktiivisuus asiassa korostuvat, ja osoittamalla itse vaatimustenmukaisuus sekä hyvät tietosuojakäytännöt voidaan saavuttaa selkeä kilpailuetu markkinoilla. Jo nykyisin monien tarjouspyyntöjen edellytyksenä on osoittaa tietoturvan ja tietosuojan hoidon tila.

perjantai 14. elokuuta 2015

Tietoturvasertifiointien kysynnässä odotettavissa piikki - takarajat sertifioinneille umpeutumassa


Sosiaali- ja terveydenhuollon tietojärjestelmien tietoturvavaatimusten määrittely ja seuranta siirtyi 1.1.2015 Sosiaali- ja terveysministeriöltä Terveyden ja hyvinvoinnin laitokselle (THL). Vastuiden siirtymisen yhteydessä THL julkaisi päivitetyt tietoturvavaatimukset, jotka astuivat voimaan 1.2.2015.

Päivitettyjen tietoturvavaatimusten ohella myös vaatimusten tarkastusprosessi muuttui. Aikaisemman auditoinnin sijasta jokaisen A-luokkaan kuuluvan apteekki- ja potilastietojärjestelmän sekä välityspalvelun tulee hankkia järjestelmäkohtainen vaatimuksenmukaisuustodistus. Vaatimuksenmukaisuustodistuksia voi myöntää kaikki Viestintäviraston hyväksymät tietoturvallisuuden arviointilaitokset, joille on myönnetty VAHTI-pätevyysalue. Tällä hetkellä KPMG IT Sertifiointi Oy on ainoa Viestintäviraston hyväksymä tietoturvallisuuden arviointilaitos. KPMG IT Sertifiointi Oy:n pätevyysalue kattaa tällä hetkellä VAHTI
, KATAKRI II ja ISO/IEC 27001:2013.

maanantai 29. kesäkuuta 2015

Salaavan web-pohjaisen sähköpostin tuottama lisäturva?

Usealle blogin lukijoista salaava web-pohjainen sähköposti on tuttu aihe vähintään konseptina. Useat julkishallinnon toimijat käyttävät salavaa web-pohjaista sähköpostia kommunikoidessaan organisaation ulkopuolelle. Salaavan web-pohjaisen sähköpostin tavoitteena on tarjota mahdollisuus lähettää ja vastaanottaa salattuja sähköposteja ilman ohjelmistoasennuksia. Web-pohjainen salaava sähköposti tarjoaa lähettäjälle myös mahdollisuuden kontrolloida jo lähetettyä sähköpostia, esimerkiksi tietoa siitä onko vastaanottaja lukenut viestin tai jopa mahdollisuuden poistaa lähetetty viesti. Tässä blogitekstissä haluan keskittyä erityisesti web-pohjaisen salaavan sähköpostin salauksen tuottamaan lisäturvaan.

keskiviikko 10. kesäkuuta 2015

Strategiasta sen tavoitteita toteuttavaan toimintaan



Palveluyksikössä on saatu tärkeäksi koettu hanke valmiiksi ja hankkeen lopputulokset tuotantoon. Hanke on sujunut hyvin, se on tuottanut suunnitellut tulokset ja on pysynyt aikataulussaan ja budjetissaan. Tulokset on otettu käyttöön ongelmitta. Mutta miksi organisaation ylin johto ei koe tuloksia tärkeinä ja antaa ymmärtää olevansa tyytymätön yksikön toimintaan. Missä vika? Onko hankkeessa kenties tehty vääriä asioita?

Johdon tärkeä työkalu on strategia. Organisaation strategiaan kuvataan tavoitetila, jossa organisaation halutaan olevan tulevaisuudessa. Strategia asettaa organisaation toiminnalle ja kehittämiselle päämäärät. Strategiaan kirjataan organisaation toiminnalle selkeät tavoitteet, jotka täyttämällä päämäärät on tarkoitus saavuttaa.

Kun tavoitteet on kirjattu, on analyysin paikka. Onko organisaatio kykenevä saavuttamaan strategiset tavoitteensa? Tarvitaanko kenties uudenlaista toimintakykyä tai uutta osaamista? Ehkä on rakennettava uusi tietojärjestelmä tukemaan uutta toimintaa. Tai sitten olemassa olevia toimintaprosesseja on muutettava ja olevia järjestelmiä kehitettävä.  Analyysin tuloksena saadaan käsitys uusista ja kehitettävistä kyvykkyyksistä, joita tarvitaan strategian tavoitteiden toteuttamiseksi.
Kyvykkyydet toteutetaan kehittämishankkeissa. Kullekin hankkeelle asetetaan tavoitteeksi toteuttaa tietty osa tarvittavista uusista kyvyistä. Näin kullakin hankkeella on suora kytkentä strategiaan ja sen tavoitteisiin. Hankkeet on hyvä koota hankesalkkuun, jotta säilytetään kokonaisnäkemys siitä, mitä kaikkea kehittämistä, kenen vastuulla ja koska on käynnissä. Kun uudet ja muutetut kyvyt on toteutettu ja otettu käyttöön, on organisaatio kykenevä strategiaa toteuttavaan toimintaan.

Yksittäisiä kehittämishankkeita on ohjattava niin, että niiden tuottamat lopputulokset istuvat osaksi organisaation toiminnallista ja järjestelmäteknistä kokonaisuutta. Sitä varten on oltava käsitys organisaation toimintojen, tietojen, järjestelmien ja teknologian muodostaman kokonaisuuden nykytilasta sekä suunnitelma kokonaisuuden halutusta tavoitetilasta.

Organisaation kokonaisuuden suunnittelu on hankkeiden ulkopuolista jatkuvaa toimintaa, joka on tehtävä järjestelmällisesti ja hallitusti. Kokonaisuuden suunnitteluakin ohjaavat strategiassa asetetut tavoitteet.

Organisaation kokonaissuunnitelmaa kutsutaan myös kokonaisarkkitehtuuriksi.

Jukka Uusitalo
Arkkitehti,
Manager, Management Consulting

perjantai 5. kesäkuuta 2015

Digitaalinen identiteetti saapuu Töölönlahdelle.

KPMG on varmasti kaikille tuttu toimija etenkin tilintarkastuksen ja liikkeenjohdon konsultoinnin alueilla. Näin tuoreena KPMG:läisenä minulle on tullut kuitenkin yllätyksenä Suomen KPMG:n toimituskyky tietoturvan ja IT -neuvontapalveluiden osalta. Näiden palveluiden parissa työskentelee pitkälti yli sata asiantuntijaa, ja yli 10% talon liikevaihdosta tulee näistä IT -alueen asiantuntijapalveluista.

Tietoturvapuolella KPMG on panostanut merkittävästi niin hallinnollisen, kuin teknisenkin tietoturvan palveluiden tarjontaan. Siinä missä hallinnollinen tietoturva määrittelee erilaisten viitekehyksien kautta järkevän tavan toteuttaa liiketoimintaa siten että riskit pysyvät hallinnassa, tekninen tietoturva tekee mm. auditointeja ja penetraatiotestausta alan neuvontatehtävien lisäksi.

Identiteetinhallinnan (IAM, Identity and Access Management) ratkaisut luetaan yleisesti osaksi tietoturvapalveluita, mutta asia ei ole oikeasti ihan niin suoraviivainen. IAM ratkaisee toki tietoturvaan ja riskienhallintaan liittyviä asoita, mutta monesti IAM -hankkeen laukaisee käytettävyys tai kustannussäästöasiat, tai yhä useammin halu parantaa sähköisten palveluiden asioinnin asiakaskokemusta. Suomalainen identiteetinhallinnan skene on varsin rikas. Täältä löytyy useita ohjelmistotaloja, asiantuntijaorganisaatioita, ja jokainen merkittävä käyttöpalvelutoimittajakin on sekaantunut Identiteetinhallinan palveluiden tarjoamiseen. Missään muussa pohjoismaassa tällaista tietoturvan ja IT-palveluiden niche-alueen osaamisklusteria ei ole syntynyt. Tarkkaa syytä tähän en tiedä, mutta veikkaan että menestysvuosien Nokia alan suurena palveluostajana on suurin syy alan kehittymiselle, jonka jälkeen tarjonta on lisännyt myös kysyntää.

Trusteq oli ensimmäinen suomalainen täysin identiteetinhallinnan palveluihin keskittynyt asiantuntijaorganisaatio. Olin itse perustamassa Trusteqia tammikussa 2003. Kasvoimme kahden hengen organisaatiosta lähes 50 asiantuntijaa työllistäväksi merkittäväksi toimijaksi reilussa kymmenessä vuodessa. KPMG Oy Ab:n ostaessa Trusteqin osakekannan alkuvuonna 2015, se sai riveihinsä ison joukon osaavia ja motivoituneita digitaalisen identiteetin palveluiden asiantuntijoita.

Mitä identiteetinhallinta ja digitaalisen identiteetin palvelut sitten konkreettisesti tarkoittavat ? 


Periaatteen tasolla kyse on samasta asiasta. Siinä missä identiteetinhallinta tai ”identiteetinhallinnan projekti" voidaan ehkä nähdä enemmän prosesseihin tai teknologiaan liittyvänä, kenties talon sisäisen IT:n parantamisena, digitaalinen identiteetti ja sähköinen asiointi tarkoittaa enemmänkin sitä että yritys voi pitää liiketoimintansa käynnissä verkossa, ympäri vuorokauden ja sitä, miten huolehditaan palvelun käytettävyydestä, ilman että käyttäjää vaivataan ylimääräisillä kirjautumisilla tai ylläpitäjän työpäivä täytetään salasanojen palauttelulla. Hyvä verkkopalvelu mahdollistaa käyttäjälle itsepalvelun myös omien tietojen ylläpitoon, ja integraatiot muihin liiketoiminnan järjestelmiin.

Jokainen on kuullut puhuttavan tämän päivän megatrendeistä. Joka puolella puhutaan digitalisaatiosta, kuluttajistumisesta, pilvipalveluista ja esineiden internetistä. Miten identiteetinhallinta tai digitaalinen identiteetti liittyy näihin? Miten ne liittyvät KPMG:n palveluihin? Ei kai tässä olla rakentamassa jotain erillistä saareketta?

Todennäköisesti jokainen verkkopalvelu, jolta odotetaan hyvää käytettävyyttä, vaatii käyttäjän tunnistamisen jollain tasolla. Mikäli verkkopalvelun avulla on tarkoitus tehdä liiketoimintaa, käyttäjä on yleensä tunnistettava henkilökohtaisesti, ja asiakkuushistoriaakin olisi hyvä tuntea. Trusteq on ollut toteuttamassa monia tällaisia järjestelmiä siltä osin, mikä kuuluu käyttäjän tunnistamiseen ja sen jälkeen tapahtuvaan valtuuttamiseen eri palveluissa. Olemme myös suunnitelleet ja toteuttaneet tarvittavat prosessit, joilla esimerkiksi yritysten välisissä verkkopalveluissa vähennetään kirjautumisen tarvetta sekä koitetaan minimoida kaikkeen käyttäjätiedon ylläpitoon kuluva aika.

Trusteq ei kuitenkaan ole toteuttanut kokonaisuudessaan yhtäkään verkkopalvelua, mutta KPMG:n IT-neuvontapalveluille se on ihan arkipäiväistä tekemistä. Esineiden internetissä kuluttaja- tai käyttäjäidentiteettien sijaan joudutaan ottamaan kantaa laitteiden identiteetteihin ja ”valtakirjalla toimimiseen”, jolloin laite voi toimia määrättynä aikana ja tietystä positiosta tietyn käyttäjän oikeuksin. KPMG tuottaa teollisen ja esineiden internetin neuvontapalveluja. Trusteqin asiantuntemus tuo vahvan panoksen identiteetteihin liittyvällä osaamisella.

Palvelua ympäri vuorokauden

Yhdessä voimme reagoida nopeammin asiakkaalla tapahtuviin poikkeustilanteisiin. Voi olla että esimerkiksi erilaisten tarkastusten tai audiointien kautta paljastuu asioita, jotka pitää voida korjata tai muuttaa nopeasti. Tässä Trusteqilta peritty ”hands-on”-asiantuntemus on arvokasta. Mainittakoon myös että Trusteq Garant -palvelukeskus, joka palvelee asiakkaita Espoosta käsin tällä hetkellä 23 aikavyöhykkeellä ja 24/7 mahdollistaa monenlaisten palveluiden tarjoamisen myös tässä koko KPMG:n kontekstissa niin kotimaassa kuin ulkomaillakin.

KPMG ja Trusteq voivat yhdessä toteuttaa merkittävästi isompia kokonaisuuksia; se on asia josta hyötyy asiakaamme ja heidän asiakkaansa. Trusteqin henkilökunta pystyy laajentamaan osaamistaan monelle muulle IT-neuvontapalveluiden ja teknisen tai hallinnollisen tietoturvan osa-alueelle. Palvelutuotteistuksen osaamisemme on otettu ilolla vastaan KPMG:n puolella, ja olemme jo viemässä osaamistamme muihin maihin. Tästä on tulossa hieno matka.

keskiviikko 3. kesäkuuta 2015

Useimmissa web-sivustoissa vakavia haavoittuvuuksia

Hiljattain julkaistiin raportti, jossa oli analysoitu kymmeniä tuhansia sivustoja tietoturvanäkökulmasta. Tutkimuksen teki WhiteHat Security ja se ajoittui viime vuoteen. Dataa kerättiin sadoilta tunnetuilta organisaatioilta, ja analysoitua dataa kertyi satoja teratavuja. Raportin mukaan useimmista web-sivustoista löytyi ainakin yksi vakava haavoittuvuus. Hälyyttävää on se, että haavoittuvuudet olivat vaarantaneet sovellusten tietoturvaa useiden kuukausien ajan.

Analyysissä vertailtiin eri toimialoja keskenään. Huonoiten haavoittuvuusvertailussa menestyi julkishallinto, jonka sivustoista 64 prosenttia oli haavoittuvia päivittäin ympäri vuoden. Huonosti menestyivät myös logistiikka-ala, tuotanto,  majoitus- ja ravitsemusala sekä vähittäiskauppa, joiden web-sivustoista suurimmassa osassa todettiin olevan jatkuvasti ainakin yksi vakava haavoittuvuus. Terveydenhoitoalan sivustoista jatkuvasti haavoittuvia oli puolet ja rahoitus- ja vakuutusalan web-sivustoistakin yli kolmasosa.

Haavoittuvuudet voivat vaarantaa useita järjestelmiä ja niitä hyväksikäyttämällä hyökkääjä voi saada käyttäjien tietoja tai ottaa ottaa jopa haltuunsa käyttäjätilejä. Tämä aiheuttaa organisaatioille vakavan maineriskin ja voi johtaa asiakkaiden menetykseen, sakkoihin ja oikeusjuttuihin.

Kuinka asian sitten voisi korjata? Tutkimuksessa havaituista haavoittuvuuksista ainoastaan prosentti tai pari oli sellaisia, jotka olivat korjattavissa tietoturvapäivityksillä. Suurin osa haavoittuvuuksista löytyi kustomoitujen web-sovellusten ohjelmistoista. Murtotestaus on yksi keino, jolla voidaan löytää web-sovelluksissa olevia haavoittuvuuksia. Tutkimuksessa havaittiin, että sen jälkeen kun organisaatiot alkoivat käyttää murtotestaajia, haavoittuvuuksien määrä laski keskimäärin 65 prosenttia.

WhiteHat selvitti noin sadankahdenkymmenen yrityksen otannalta syytä siihen miksi näitä haavoittuvuuksia ei korjata. Suurin yksittäinen tekijä oli ylläpitopolitiikka. Toinen merkittävä tekijä liittyi siihen kirjattiinko löydetyt haavoittuvuudet haavoittuvuuksienseurantajärjestelmään. Organisaatiot, joissa lähetetään haavoittuvuus- ja murtotestauksien havainnot seurantajärjestelmään - sen sijaan että vain kerrottaisiin ohjelmistokehittäjille - oli keskimäärin 45 prosenttia vähemmän haavoittuvuuksia. Parhaana käytäntönä voidaankin pitää säännöllisten tietoturvatestausten tekemistä ja seurantajärjestelmän käyttöönottamista ja integroimista osaksi ohjelmistokehityksen prosesseja.