Ads 468x60px

maanantai 25. huhtikuuta 2016

Uutta sertifiointi- ja varmennusrintamalla

Erilaisten sertifiointien ja varmennuslausuntojen käyttö tietoturvan ja tietosuojan osoittamiseksi on lisääntynyt ja toisaalta niiden kysynnän lisääntyminen on lisännyt myös tarvetta uusille varmennuslausunnoille ja sertifioinneille. Olen käsitellyt varmennuslausuntojen ideaa ja etuja jo aiemmissa blogiteksteissäni, joten perusasiat voi tarkistaa sieltä.

Varmennuslausuntojen käyttö on ollut yleistä jo vuosikymmenien ajan.  Aiemmin puhuttiin SAS 70 (myöhemmin SSAE 16/ISAE 3402) -lausunnoista, ja näiden lausuntojen perustana oli taloudellisen raportoinnin oikeellisuuden varmentaminen. Tähän tuli erityistä tarvetta tiettyjen kirjanpidon vääristelyskandaalien myötä säädetyn SOX-lainsäädännön kautta. Taloudellisen raportoinnin oikeellisuuden varmentamiseen keskittyneinä ne soveltuivat vain osittain tietoturvan varmentamiseen, joten eri maissa on kehitetty erilaisia instrumentteja tietoturvan ja tietosuojan varmentamiseen, esim. ISAE 3000-lausunnon tai Trust Services Principles –periaatteisiin pohjaavan SOC2-lausunnon avulla.

tiistai 5. huhtikuuta 2016

KPMG:n ja kumppaneiden Cyber Cruise- seminaari

KPMG:n ja kumppaneiden Cyber Cruise- seminaari

Varaa ajoissa paikkasi KPMG:n ja kumppaneiden Cyber Cruise- seminaariin Tallinnaan. Lähdemme matkaan uuudistetulla, ajankohtaisella sekä entistä monipuolisemmalla ohjelmalla. Luvassa on mielenkiintoisia puhujia sekä verkostoitumista rennoissa merkeissä.

Varaa ajankohta kalenteristasi ja varmista paikkasi risteilyllä!
KPMG:n yhteistyökumppanit risteilyllä ovat: Palo Alto, Software AG, Cysec Ice wall Oy, Sailpoint ja ServiceNow.
Keynote puhujat ovat: Jari Österberg, Head of IT Risk and Information Security Management, UPM
Kaapro Kanto, Chief Architect, TeliaSonera Finland
Vuoden 2015 TiVi-vaikuttaja Timur Kärki, Managing Director, Gofore Ltd.

Varsinainen tarkennettu ohjelma lähetetään huhtikuun aikana.

Alustava ohjelma

8.6. Keskiviikko

klo 12.30       Kokoontuminen Länsiterminaalissa
klo 16-20       Seminaari ja ohjelmaa
klo 21.00       Yhteinen illallinen

9.6.    Torstai

klo 10-14      Seminaari ja ohjelma
klo 16.30      Yhteinen buffetruokailu laivalla
klo 18.30      Saapuminen  Helsinkiin

Hinta osallistujille 

240 EUR + alv 24% 1 hh/huone
290 eur + alv 24% 2 hh/huone

Osallistujamaksu sisältää laivamatkat, hotellimajoituksen ja ohjelmaan sisältyvät ruokailut, ruokajuomat sekä seminaariohjelman.

Lisätietoja: Heidi Vaha, Event Planner P 040 521 4030
Juha Ahlgren, Sales Manager P 044 504 4828

Rekisteröidy/ilmottaudu: https://ssl.eventilla.com/event/jNdPW

KPMG:n tietoturvapalvelut

tiistai 1. maaliskuuta 2016

EU:n tietosuoja-asetus ja tilivelvollisuuden periaate

Joulukuussa koitti vihdoin se hetki, jota kaikki tietosuoja-ammattilaiset ja varmasti muutkin tietosuojan kanssa työskentelevät ovat hartaasti odottaneet. Miltei neljän vuoden tiukkojen neuvottelujen jälkeen tietosuoja-asetuksen lopullisesta tekstistä päästiin yhteisymmärrykseen kolmikantaneuvotteluissa. Kun pöly on alkanut laskeutua, on viimeistään nyt hyvä aika analysoida, mitä tulevat vaatimukset todella pitävät sisällään ja mitä ne tarkoittavat oman organisaation kannalta.

Asetus vahvistaa vanhoja tietosuojaperiaatteita siinä missä esittelee myös uusia konsepteja, joiden tarkoitus on aktivoida rekisterinpitäjät huolehtimaan entistä aktiivisemmin ja omalähtöisemmin henkilötietojen käsittelyn asianmukaisesta hallinnoinnista ja sitä kautta yksityisyyden suojan toteutumisesta. Yksi näistä periaatteista on nk. tilivelvollisuuden periaate (accountability), joka vapaasti kääntäen tarkoittaa sitä, että rekisterinpitäjän on toteutettava tarvittavat tekniset ja hallinnolliset toimenpiteet sen varmistamiseksi ja osoittamiseksi, että henkilötietojen käsittelyssä noudatetaan asetuksen määräyksiä. Periaate voidaan siis jakaa kahteen komponenttiin, velvollisuuteen a) toimia huolellisesti ja lainmukaisesti sisäisesti, ja toisaalta b) osoittaa toimien lainmukaisuus tarvittaessa myös ulospäin, esimerkiksi viranomaiselle.

Tilivelvollisuuden toteuttaminen voidaan ajatella sinä kuuluisana punaisena lankana, joka kulkee läpi koko asetuksen. Se tukee yksittäisiä vaatimuksia ja toisaalta muovaa niiden toteuttamisen tueksi nk. parhaita käytäntöjä.

Haasteena asetuksen vaatimusten täyttämisessä tulee olemaan mm. se, että osa vaatimuksista jää asian luonteesta johtuen melko yleiselle tasolle, jättäen tulkinnanvaraa esimerkiksi tietoturvan tason määrittelemisessä. Rekisterinpitäjän vastuulle jää viime kädessä päättää esim. tiedon suojaamiseen käytettävien kontrollien järeydestä ja arvioida niiden riittävyys. Tämä liikkumavara on osa tilivelvollisuuden ajatusta. Tilivelvollisuuden periaate täydentää asetuksen vaatimuksia, mitoittaa kontrolleja ja ohjaa toimimaan riskilähtöisesti. Siksi erityisesti riskianalyysit ovat välttämätön apuväline rajallisten resurssien tehokkaaseen kohdistamiseen.

Rekisterinpitäjän tulee tarvittaessa jälkikäteen pystyä perustelemaan valittu suojaustaso. Parasta evidenssiä päätöksen perusteeksi ovat dokumentoidut riskianalyysit, prosessit ja teknologiaratkaisut – henkilötietojen käsittelyn prosessit tulee tietosuoja-asetuksen mukaan myös dokumentoida. Myös yleisesti käytössä olevien tietoturvastandardien noudattamisella voidaan osoittaa toiminnan vastuullisuus. Järein työkalu esimerkiksi kehitystyön tehokkuuden arviointiin ja tehtyjen toimien todentamiseen on ulkopuolisen, riippumattoman tahon suorittama auditointi.

Jos jotakin pääsee kaikista kontrolleista huolimatta kuitenkin sattumaan, on tärkeää pysytä näyttämään toteen kaikki se huolellisuuden ja vastuullisuuden puolesta puhuva työ, joka on tehty riskien realisoitumisen välttämiseksi. Riittävä varautuminen ja omien toimien dokumentointi voi myös parhaassa tapauksessa auttaa välttämään sanktiot tai rikkomuksen vakavuudesta riippuen ainakin vaikuttaa seuraamuksia lieventävästi.

tiistai 2. helmikuuta 2016

Analyytikot: KPMG tietoturvapalvelujen johtava asiantuntija



Forrester Research Incin tuottama The Forrester Wave™: Information Security Consulting Services, Q1 2016 -raportti nostaa KPMG:n johtavaksi tietoturvapalvelujen tarjoajaksi kansainvälisesti. Asiakkaat kuvasivat KPMG:n erityisiksi vahvuuksiksi strategisia neuvontapalveluja, asiantuntijuutta ja joustavuutta palveluiden toimittamisessa.

Forrester Researchin raportin mukaan KPMG on osoittanut kyberturvallisuuden olevan sen keskeinen liiketoiminta-alue. Kyberturvallisuus on myös noussut yhdeksi KPMG:n kuudesta strategisesta kasvualueesta. Raportin mukaan KPMG:n maailmanlaajuisessa verkostossa strategiseen kasvuun panostaminen näkyy muun muassa toteutuneina yrityskauppoina ja investointeina tutkimukseen ja kehitykseen. Viimeisen 16 kuukauden aikana KPMG:n jäsenyritykset ovat hankkineet useita alan merkittäviä palveluntarjoajia, joista yksi on Suomen KPMG:n tammikuussa 2015 hankkima, identiteetinhallintaan erikoistunut Trusteq Oy.

− Suomessa KPMG on panostanut kyberturvapalveluiden kasvattamiseen jo pidemmän aikaa, ja kasvumme on ollut vahvaa niin orgaanisesti kuin yritysostojen kautta. Kuulumme KPMG:n suurten kyberturvayksiköiden joukkoon, toteaa KPMG:n Suomen ja Pohjoismaiden kyberturvapalveluista vastaava Mika Laaksonen

− Kyberturvallisuus ei ole enää ainoastaan teknologiaan ja riskeihin liittyvä asia, vaan siitä on tullut keskeinen innovoinnin osatekijä. Kyberturvallisuuden merkitys kasvaa entisestään neljännen teollisen vallankumouksen aikana esimerkiksi robotiikan ja keinoälyn lisääntymisen myötä, jatkaa Laaksonen. 






KPMG on maailmanlaajuinen asiantuntijayritysten verkosto, joka tarjoaa tilintarkastus-, vero-, laki- ja neuvontapalveluita. Toimimme 174 000 henkilön voimin 155 maassa ympäri maailmaa. KPMG-verkoston jäsenyritykset ovat Sveitsissä rekisteröidyn KPMG International Cooperativen ("KPMG International") jäseniä. Jokainen jäsenyritys on juridisesti itsenäinen ja erillinen yhteisö. Suomessa KPMG:n palveluksessa on yli 900 henkilöä 23 paikkakunnalla.

The Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change.