Ads 468x60px

keskiviikko 14. helmikuuta 2018

#tj100 - vai sittenkin enemmän?



Tänään on jäljellä 100 päivää (tai 99, laskutavasta riippuen) hetkeen, jota osa (lue: tietosuoja-asiantuntijat) odottaa "kuin kuuta nousevaa", ja johon osa taas (lue: yritysjohtajat) suhtautuu varauksella, ehkä jopa hieman pelonsekaisin tuntemuksin. 100 päivän kuluttua tulee sovellettavaksi EU:n tietosuoja-asetus uudistuneine velvollisuuksineen ja tarkentunein säännöksin.
Tietosuojatyö organisaatioissa on kuumimmillaan. Niin suuret kuin keskisuuret toimijat miettivät asetuksen vaatimuksia (liike)toimintansa näkökulmasta – mitä meidän tulee tehdä täyttääksemme asetuksen vaatimukset, miten varmistamme vaatimustenmukaisuuden ja miten me haluamme kehittää tietosuojaa osana liiketoimintaamme edelleen?
Nyt kun toukokuun 25. päivään on jäljellä 100 päivää (#tj100), on hyvä pysähtyä hetkeksi miettimään miksi ja miten kehitämme organisaatiomme tietosuojaa.
IAPP:n julkaiseman tutkimuksen mukaan organisaatiot ovat n. puolessa välissä (keskimäärin 48,62 %) kohti vaatimustenmukaisuutta. Yllättävää kyllä, vain 72 % EU:n sisällä toimivista yrityksistä ennusti täyttävänsä asetuksen vaatimukset 25.5.2018 mennessä, kun taas 84 % Yhdysvalloissa toimivista uskoi olevansa ”GDPR Compliant” määräpäivään mennessä.
Tietosuoja-asetuksen vaatimuksista korkeariskisimmiksi (mikäli vaatimuksia ei noudata) nähtiin henkilötietojen tietoturvaloukkauksesta ilmoittamiseen varautuminen, henkilötietoinventaari, artiklan 30 mukaisen selosteen ylläpito, suostumusten hallinta ja kansainväliset tiedonsiirrot. Kysymykseen siitä, miten näitä riskejä voidaan hallita tai pienentää, oli vastaus kautta linjan koulutus. Koulutuksen ja tietoisuuden lisäämisen ohella keinoina nähtiin esimerkiksi teknologiset ratkaisut sekä ulkopuolinen tuki.
Kuten moni meistä tietää, organisaation vaatimustenmukaisuutta on tosiasiassa haastavaa, jos ei mahdotonta, eksplisiittisesti varmentaa. Asetuksen vaatimukset vaativat tulkintaa, ja henkilötietojen suojamekanismien toteuttaminen edellyttää riskilähtöistä arviointia vaaditusta suojaustasosta. Vaatimusten kompleksisuudesta huolimatta, tietosuoja-asetus on loistava mahdollisuus kehittää liiketoimintaa. Tulevaisuudessa parhaiten menestyvät ne toimijat, jotka toteuttavat palvelunsa ja tuotteensa huomioiden tietosuoja-asiat oletusarvoisesti ja sisäänrakennetusti lunastaen täten asiakkaidensa luottamuksen. Vastaavasti tietovuodosta aiheutuva mainehaitta voi olla liiketoiminnalle pysäyttävä.
Tietosuojatyö, GDPR-kehityshankkeet eritoten, nähdään takkuavan muutamasta keskeisestä syystä. IAPP:n tutkimuksesta käy ilmi, että EU:ssa merkittävimmät kompastuskivet ovat:
  1. riittämätön budjetti (tietosuojaa ei ole huomioitu budjetoinnissa riittävästi tai pahimmassa tapauksessa lainkaan);
  2. lainsäädännön monimutkaisuus (kuten todettu, asetuksen vaatimukset vaativat tulkintaa); sekä
  3. jäljellä olevan ajan niukkuus (”liian vähän aikaa”).
Haasteet ovat linjassa niiden kysymysten kanssa, joita kohtaamme asiakkaillamme päivittäin. Mitä tulee ensimmäiseen kompastuskiveen, on budjetoinnissa otettava huomioon kehitystyön resurssit ja investoinnit vs. riski siitä, ettei yritys ole vaatimustenmukainen (esim. henkilöstön kuormittaminen tehottomien prosessien johdosta, puutteet rekisteröidyn oikeuksien totetuttamisessa, sanktiouhat) – toimitko mieluummin proaktiivisesti vai reaktiivisesti?
Lainsäädäntö voi olla monimutkaista, mutta tietosuojan perusperiaatteet ovat verrattain selkeät ja ovat läsnä jo nykylainsäädännössämme. On tärkeää pystyä hahmottamaan henkilötietojen käsittelyyn liittyvä kokonaisuus sekä tunnistaa keskeisimmät kehityskohteet; mitä meidän täytyy tehdä nyt (must-have) ja mitkä ovat pidemmän aikavälin kehitystoimenpiteitä (should-have) sekä kuinka näitä lähestytään riskiperusteisesti.
”Liian vähän aikaa” on paradoksaalinen väite ottaen huomioon, että asetus on tullut voimaan keväällä 2016 (ollen myös pitkälti samansuuntainen jo nykyisin voimassa olevan sääntelyn kanssa).
Seuraava kysymys kuuluu, miten voimme varmistaa tietosuojan riittävän tason toukokuuhun mennessä ja miten jatkamme siitä eteenpäin?
Yhtä oikeaa tietä kohti vaatimustenmukaisuutta ei ole, vaan tietosuojan kehitysprojekti tulisikin nähdä liiketoimintalähtöisenä muutosprojektina. Työ on alkanut monessa organisaatiossa joitakin kuukausia (valistuneimmilla jo vuosia) sitten, osalla työ on vasta aluillaan. Projektien yhdistävänä tekijänä on se, ettei mikään niistä pääty toukokuun 25. päivä. Tietosuoja on tullut jäädäkseen – kyseessä ei ole yhden vuoden tai yhden kevään ponnistus, vaan pysyvä ja jatkuvasti kehittyvä osa toimintaamme ja sen laatua.
Yhtä menestysreseptiä ei onnistuneeseen GDPR:n implementointiin ole, koska toimiala-, kokoluokka ja liiketoimintaprioriteetit asettavat reunaehtoja lähestymistapaan ja toteutukseen.
Työn onnistumisen elementit ovat kuitenkin vastaavia kuin minkä tahansa muutosprojektin; muutoksen vuorovaikutteinen ja suunnitelmallinen johtaminen, riittävä resursointi sekä ihmisten osallistaminen, motivointi ja viestintä.
  1. Investoinnin huomioiminen budjetissa ja resurssien varaaminen
    • tämä johdon sitoutuminen kehitystyöhön vaikuttaa välittömästi ja näkyvästi onnistumiseen
  2. Vastuiden määrittely, priorisointi ja roolien selkeyttäminen
    • miten työtä viedään tehokkaasti eteenpäin lyhyellä ja pitkällä tähtäimellä
  3. Tietosuojastrategian kohdistaminen linjaan liiketoimintastrategian kanssa
    • tässä lähestymisessä mahdollisuus saavuttaa merkittäviä liiketoimintaetuja
  4. Muutosviestintä
    • miten jalkautamme uudet toimintamallit, käytänteet ja ohjeet läpi organisaation mahdollisimman tehokkaasti, sekä
    • mitä olemassa olevia prosesseja voimme käyttää hyväksemme
  5. Jatkuva kehittäminen
    • miten varmistamme, että tietosuojatyö ei jää yksittäiseksi ponnistukseksi, vaan otamme sen osaksi liiketoimintamalliamme ja toimintatapojamme
    • tehokkaasti toteutettuna tuo myös strategista hyötyä
Tiivistettynä, meillä on 100 päivää aikaa saattaa organisaatiomme tietosuoja-asiat tietylle tasolle. Lyhyen tähtäimen ponnistuksen lisäksi meidän tulee kuitenkin nähdä tietosuoja strategisena valttikorttina – mitä pidemmällä tähtäimellä kehitämme tietosuojaamme, sitä luotettavampina kumppaneina, palveluntarjoajina ja työnantajina meidät tulevaisuudessa nähdään.
---
Kukaan ei kulje niin kauas ja nopeasti kuin ihminen, joka ei tiedä mihin hän on menossa. (H.W. Tillman)



tiistai 31. lokakuuta 2017

KPMGTechGuru - koulutusohjelma




Haluatko työpaikan, jossa pääse kehittymään huippuosaajaksi alalla, jossa ei työttömyys uhkaa?

KPMG haluaa omalta osaltaan edistää nuorten työllistymistä ja tarjota mielenkiintoisia 
uramahdollisuuksia vastavalmistuneille tai opintojen loppuvaiheessa oleville tulevaisuuden lupauksille. Haemme nyt 10 tulevaisuuden lupausta KPMGTechGuru–ohjelmaan. Tämä ohjelma kattaa meillä Cyber security, Identiteetinhallinta ja IT Neuvontapalvelu – liiketoiminta-alueet.

KPMG on maailmanlaajuisesti kyberturvallisuuden ja IAM konsultoinnin markkinajohtaja. Suomessa meillä on markkinan kokoon nähden poikkeuksellisen suuri tiimi ja pystymmekin tukemaan myös ulkomaan kollegoitamme mielenkiintoisissa asiakasprojekteissa. Asiakkaina meillä on lukuisia maailman johtavia yrityksiä eri toimialoilta. Osaamisestasi ja kiinnostuksestasi riippuen saatat työskennellä suomalaisten suuryritysten, valtionhallinnon organisaatioiden sekä yrittäjävetoisten PK-yritysten kanssa tai saatat pyöriä ympäri maailmaa globaalien asiakkaidemme toimeksiannoissa.

Tässä blogissa suomalaiset asiantuntijamme ovat vuosien saatossa käyneet läpi ajankohtaisia aiheita ja kirjoittaneet työtämme ja asiakkaitamme koskettavista aiheista. Lukemalla tätä blogia saat hyvää käsitystä siitä, millaista osaamista miellä on ja minkä aiheiden ympärillä tekemisemme muun muassa pyörii.

Mitä tarjoamme?
   6kk määräaikaisen työsopimuksen ja mahdollisuuden pysyvään työsuhteeseen
   Kattavan koulutusohjelman arvoltaan noin 10.000 €, sisältäen muun muassa:
   Tietoturvasertifiointikoulutuksia ja ammattitutkintoja sekä tuotekoulutuksia
   Identiteetinhallinnan tuote- ja metodologiakoulutuksia
   IT projektihallinnan, arkkitehtuurin sekä esimerkiksi toiminnanohjausjärjestelmien ja teknologiakumppanuuksiemme koulutuksia
   Loistavan työyhteisön ja yhteishengen
   Mielenkiintoiset projektit ja asiakkaat sekä suomessa että globaalisti


Mahdollisuuden päästä osaksi:
   mailman johtavaa, globaalia Cyberturvallisuuden asiantuntijatiimiä (Lähde: Forrester Research Inc. report, The Forrester Wave™: Information Security Consulting Services 2017)
   CIO Advisory alueen konsultointitiimiä, jonka IDC on tunnistanut johtajaksi “Digital Transformation Consulting and Systems Integration Services” -alueella.
   yhtä KPMG:n suurinta ja osaavinta Digitaalisen Identiteetinhallinnan tiimiä.

Laita siis hakemus sisään ja tule osaksi voittajatiimiä!
https://home.kpmg.com/fi/fi/home/tyopaikat/KPMG-Tech-Guru.html

torstai 5. lokakuuta 2017

EU:n yleinen tietosuoja-asetus ja integraatiot

Yritykset ovat viimeisen vuoden aikana heränneet EU:n yleiseen tietosuoja-asetukseen, jonka vaatimustenmukaisuuden siirtymäaika päättyy 25.5.2018. Tällöin yritysten henkilötietojen käsittely tulee olla linjassa tietosuoja-asetuksen vaatimusten kanssa. Yritykset ovat lähteneet täyttämään tietosuoja-asetuksen velvoitteita kartoittamalla henkilörekistereitään, rekistereiden käyttöoikeuksia ja käyttötarpeita sekä päivittämällä rekisteriselosteita. Samalla osa yrityksistä on havahtunut tosiasiaan, että henkilötietoja ei pelkästään käsitellä tietojärjestelmissä vaan henkilötietoa myös välitetään integraatiossa niin yrityksen sisällä kuin yritysten välillä.

Viimeistään tässä vaiheessa integraatioarkkitehtien tulisi kiinnostua tietosuoja-asetuksesta. Mikäli yritys on kuvannut tietojenkäsittely-ympäristönsä, tulisi yrityksellä olla kuvaus niin loogisista kuin fyysistä tietovarannoista, joista henkilötietoa löytyy. Mikäli yrityksen integraatioarkkitehtuurikuvaukset ovat tietoarkkitehtuurin lisäksi kunnossa, ei henkilötietoa sisältävien integraatioiden kartoitus ole yleensä kovinkaan iso työ.

Kun henkilötietoa sisältävät integraatiot on tunnistettu, tulee integraatiot luokitella niissä välitettävien henkilötietojen perusteella. Luokitteluun vaikuttavat muun muassa välitettävien henkilötietojen arkaluonteisuus (esim. potilastieto on arkaluonteisempaa kuin henkilöiden yhteystiedot), määrä sekä käyttötarkoitus eli esimerkiksi välitetäänkö henkilötietoa yrityksen sisällä vai yhteistyökumppaneille. Luokittelu kannattaa tehdä riskilähtöisesti, sillä tietosuoja-asetus vaatii henkilötietojen käsittelyn olevan ennakoivaa, päätökset henkilötietojen suojaukseen tulee perustua tunnistettuihin riskeihin sekä tehdyt päätökset ja niiden perusteella tehdyt toimenpiteet pitää pystyä osoittamaan.

Riskianalyysi kannattaa ottaa osaksi niitä integraatioprojekteja, joissa käsitellään henkilötietoja. Esimerkiksi, jos integraatioprojektissa toteutetaan uusia integraatioita, joissa henkilötietoa yhdistellään uudella tavalla, saattaa henkilötietojen käyttötarkoitus muuttua siten, että rekisteriseloste on päivitettävä ja rekisteröidyiltä (eli henkilörekisterissä olevilta henkilöiltä) on kysyttävä lupa käyttää henkilötietoa uudella tavalla. Kun integraatioarkkitehtuurissa on kuvattu henkilötietoa sisältävät tietovirrat, on edellä mainittu tilanne helpompi tunnistaa integraatioprojekteissa.

Lisäksi tietosuoja-asetus lähtee siitä oletuksesta, että henkilötiedolla on elinkaari, joka pohjautuu henkilötiedon käsittelytarpeeseen. Vaikkei henkilötietoa yleensä säilytetä integraatiokerroksessa, on kuitenkin muistettava tarkastaa, miten henkilötietoja säilytetään ja millaisilla pääsyoikeuksilla mahdollisissa integraatiokerroksen virhejonoissa ja arkistointihakemistoissa. Samalla voidaan tarkistaa, ettei esimerkiksi henkilötietoja sisältäviä siirtotiedostoja ”jää lojumaan” siirtohakemistoihin. On hyvä muistaa, että mikäli pääkäyttäjä näkee virhejonossa olevien sanomien sisältämiä henkilötietoja, tulee pääkäyttäjän käsitellä niitä tietosuojalainsäädännön mukaisesti. Yleinen ratkaisu on salata sanomien sisältämät henkilötiedot siten, että pääkäyttäjä pystyy tekemään virheselvittelyä, muttei näe sanoman sisältämiä henkilötietoja.

Integraatiot ulkopuolisten toimijoiden ja kumppaneiden kanssa

Kun henkilötietoa välitetään yrityksen ulkopuolelle, esimerkiksi yhteistyökumppanin pilvipalveluun, korostuu yksityisyyden varmistava henkilötietojen käsittely entisestään. Katsotaan tätä esimerkin kautta – oletetaan että Yritys Oy lähettää henkilötietoa yhteistyökumppanille. Yritys Oy on tässä tapauksessa rekisterinpitäjä, joka on vastuussa henkilötiedosta. Yhteistyökumppani, joka voi olla vaikkapa palkanlaskennan suorittava kumppani, on henkilötietojen käsittelijä. Tämä yhteistyö on otettava huomioon kumppanuushallinnassa eli yhteistyösopimuksissa tulee määrittää henkilötietoihin ja niiden käsittelyyn liittyvät vastuut ja velvollisuudet.

Ennen yhteistyösopimuksen allekirjoittamista on syytä tarkistaa integraatioiden vaatimustenmukaisuus eli tarkastetaan että yrityksen ja yhteistyökumppanin tietoturva- ja tietosuojakontrollit ovat yhteneväiset ja riittävällä tasolla. Tämä otetaan yleensä yhteistyösopimuksessa huomioon sopimuksen liitteenä olevilla tietoturva- ja tietosuojavaatimuksina. Vaatimusten lisäksi on syytä toimittaa tiedonkäsittelyohjeet, joissa otetaan kantaa esimerkiksi henkilötiedon säilytysaikoihin. Lisäksi yhteystyöhön liittyvät henkilötietointegraatiot on kuvattava osana integraatioarkkitehtuuria. Tehty dokumentaatio täyttää osaltaan tietosuoja-asetuksen dokumentaatiovaatimuksia ja osoittamisvelvoitetta.

Mikäli yritys toimii EU/ETA-alueella, tietosuoja-asetus helpottaa asioita, koska henkilötietojen käsittely tulisi olla samanlaista kaikissa EU/ETA-alueen maissa. Valitettavasti jokaisella maalla on omia maakohtaisia erityispiirteitä, joten kohdemaan (juridiset) erityispiirteet kannattaa tarkistaa.

Henkilötietojen välitys integraatioissa edellyttää havainnointikykyä

Henkilötietointegraatioissa on varmistettava tietoturvan kolme peruspilaria - luottamuksellisuus, eheys ja saatavuus. Mitä nämä tarkoittavat integraatioiden näkökulmasta? Otetaan esimerkiksi perinteiset flat file -tiedostosiirrot. Luottamuksellisuus tarkoittaa, ettei siirtotiedostoihin ja niiden sisältöön pääse käsiksi kuin ne henkilöt, joiden tehtäviensä puolesta käsittelevät siirtotiedostojen sisältämiä henkilötietoja.  Eheys tarkoittaa, ettei siirtotiedostojen sisältöä pääse muuttamaan oikeudetta. Saatavuus kattaa esimerkiksi pääsyoikeudet henkilötietointegraatioiden siirtohakemistoihin.

Jäljitettävyys liittyy keskeisesti havainnointikykyyn. Sen vuoksi on tärkeää kiinnittää huomiota integraatiokerroksessa tapahtuvaan lokitukseen ja henkilötiedon audit trail -tietoon. Mikäli pääkäyttäjä käsittelee esimerkiksi aiemmin mainitussa virheenselvittelytilanteessa henkilötietoa sisältävää sanomaa, on siitä jäätävä jälki lokitietoihin – etenkin mikäli henkilötietoja ei ole salattu sanomassa. Audit trail pitää pystyä osoittamaan niin tietoliikenteen kuin tiedonkäsittelyn osalta. Keskitetty lokienhallinta vastaa moneen tietosuoja-asetuksen vaatimukseen.

Muistilista integraatioarkkitehdille:
  1. Tunnista missä ja mitä henkilötietoa on olemassa
  2. Kuvaa henkilötietointegraatiot integraatioarkkitehtuurissa
  3. Luokittele henkilötietointegraatiot ja kuvaa käsittelytarve
  4. Tarkista ja päivitä sopimukset
  5. Kuvaa henkilötiedon elinkaari
  6. Rakenna tekniset kontrollit henkilötiedon suojaamiseen ja valvontaan
Pasi Vänttinen

KPMG Oy Ab

Kirjoittaja toimii kokonais- ja integraatioarkkitehtinä KPMG:n kyberturvallisuusyksikössä.

keskiviikko 28. kesäkuuta 2017

GDPR - Webinaari 19.7 - käytännön kokemuksia ja näkemyksiä maailmalta




Kollegamme Lontoosta pitävät alla olevan webinaarin, jossa käsitellään GDPRään liittyviä käytännön asioita, kuten: Mitä on realistista yrittää saavuttaa ja mitä on muualla havaittu toimiviksi käytännöiksi. Lisäksi jaetaan käytännön vinkkejä GDPR-hankkeen läpiviemiseksi


GDPR Webinar - Get Data Protection Ready – make the most of every € you invest

Wednesday 19 July 12pm - 1pm (BST)

Does your company hold people’s personal information? The EU’s General Data Protection Regulation (GDPR) is rapidly coming down the track – and will be the biggest overhaul in data protection rules for over 20 years.

We know that meeting the deadline will be tough and a few companies might not get there. Join our webinar on Wednesday 19 July at 12pm BST to find out:

• what is achievable
• what has worked well elsewhere
• practical advice on how to work through your own GDPR programme.

GDPR should not be seen just as an exercise in compliance, ticking boxes and trying to do the bare minimum. It is an opportunity for organisations to rethink their whole approach to data and privacy. Embraced effectively, it’s a way to gain a clear competitive advantage, with better management of risk, improved efficiency and the generation of insights you can build on.

Ahead of our webinar, download our guide to the five steps your organisation needs to take in order to get GDPR ready.

If you have any questions, please do 
contact us.


http://az720617.vo.msecnd.net/kpmg-public-af8ebecd81c44dbfaec45a0cf2318437/945511be-b380-4936-9a3f-d68370ae61ee-HRD4u8s4lGNxLcq90VnlKV6sH2h9h8FWwCyFNQK4rA=

Event Information

Wednesday 19 July, 2017
12pm - 1pm (BST) 

I will be attending


http://az720617.vo.msecnd.net/kpmg-public-af8ebecd81c44dbfaec45a0cf2318437/b668c445-6c6f-42f8-b431-cfea3abc8807-TW3BHin30jhHgKhIRbbdepBU4uFPxzs3Coy67HfE0=
http://az720617.vo.msecnd.net/kpmg-public-af8ebecd81c44dbfaec45a0cf2318437/b10c52b6-65ef-4207-b500-b180a1a03c22-4yvgd5VU6Hz1ak3InowFMGUg0gRoW0ziWzeIvUPj0=

Martin Tyley
Partner
KPMG in the UK
E: 
martin.tyley@kpmg.co.uk

Martin leads KPMG’s UK regional Cyber Security practice. Martin’s career began in banking before moving to KPMG where, from his Manchester base, Martin leads and supports work across the public and private sector. This includes discovery and testing work, remediation of cyber or privacy issues, through to running services such as certification on an ongoing basis for clients. Martin and his teams will work across over 20 countries during 2017, half of which are in the European Union.
Mark Thompson
Global Privacy Lead
KPMG in the UK
E: 
mark.thompson@kpmg.co.uk

Mark is the global lead for KPMG’s Privacy Advisory practice and has deep experience in delivering global privacy compliance programmes across the world. During his career, Mark has led support projects for some of the world’s largest organisations across multiple industries. He has helped many clients develop their global privacy strategies – and to design, develop, and implement robust and pragmatic privacy improvement programs.