Ads 468x60px

torstai 9. kesäkuuta 2016

H-hetki lähestyy: yleisen tietosuoja-asetuksen soveltaminen alkaa 25.5.2018

Huhtikuussa koitti jokaisen tietosuoja-ammattilaisen hartaasti odottama päivä, kun Euroopan Unionin yleinen tietosuoja-asetus sai lopullisen hyväksyntänsä. Asetuksen tultua julkaistuksi Euroopan Unionin virallisessa lehdessä varmistui myös sen ensimmäinen soveltamispäivä: 25. päivänä toukokuuta 2018 jokaisen Euroopassa ja Euroopan ulkopuolella toimivan rekisterinpitäjän ja henkilötietojen käsittelijän pelikenttä mullistuu.


Asetukseen valmistautuminen näkyy kesän kynnyksellä niin yksityisissä kuin julkisissa suomalaisissa organisaatioissa. Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) on julkaissut 2.6. raportin EU-tietosuojan kokonaisuudistuksesta (1/2016), joka selventää asetuksen keskeisimpiä muutoksia niin rekisterinpitäjän, henkilötietojen käsittelijän kuin rekisteröidynkin näkökulmasta. Raportti antaa myös suosituksia toimenpiteistä asetuksen vaatimusten täyttämiseksi. Päivityksiä raporttiin tehdään sitä mukaa kun tarkempia yksityiskohtia ja esimerkiksi lainsäädäntöön liittyvää kansallista liikkumavaraa tarkennetaan.


Kuten VAHTIn raportissa todetaan, tärkein pohjatyö asetuksen vaatimusten täyttämiseksi tehdään viimeistään nyt. Vaikka osa asetuksen artikloista jättää tulkitsijalleen runsaasti pelivaraa, tämän ei kannata antaa viivästyttää valmistelutyön aloittamista: valmiita vastauksia löydetään harvassa tapauksessa suoraan asetustekstiä tulkitsemalla. Huolellinen valmistautuminen edellyttää asetuksen vaatimusten tuntemisen lisäksi organisaation tietosuojan nykytilan kartoitusta, asetuksen vaatimuksiin liittyvien puutteiden tunnistamista ja vaiheistettua kehityssuunnitelmaa. Tietosuoja-asetus on suoraan kytköksissä myös henkilötietojen käsittelyssä käytettävien järjestelmien arkkitehtuuriin ja tietoturvaan: esimerkiksi paljon puhutun unohdetuksi tulemisen oikeuden toteuttaminen edellyttää, että käsiteltävistä henkilötiedoista voidaan tunnistaa niiden alkuperä, käyttötarkoitus ja käyttötarkoituksen vanhentuminen järjestelmätasolla. Lisäksi tiedot on kyettävä poistamaan tehokkaasti kaikista niistä järjestelmistä ja tietokannoista, joissa tietoja sijaitsee.


Useimmissa asetukseen varautuvissa organisaatioissa tarvitaan myös asetuksen vaatimusten huolellista priorisointia. Kahden vuoden valmistautumisajan ollessa lyhyt, organisaation tietosuojan kokonaishallinnasta riippuen voi olla syytä priorisoida kriittisimmät riskit ja muutoskohteet ja erottaa ne sellaisista uudistuksista, jotka voidaan riskit arvioiden ja huolellisesti dokumentoiden toteuttaa mahdollisimman pian asetuksen voimaantulon jälkeen. Perusteellisesti dokumentoidut riskianalyysit ja kehityssuunnitelmat paitsi auttavat valmistelutyössä ja toteuttavat tilivelvollisuuden periaatetta, myös toimivat näyttönä huolellisuudesta silloin kun jotakin odottamatonta sattuu. KPMG:n tietoturvapalveluiden tietosuoja-asiantuntijat avustavat tällä hetkellä useissa asiakkaidemme tietosuojan kehitysprojekteissa, joiden tavoitteena on saavuttaa vaaditun tietosuojan taso ajoissa ja käytännönläheisesti, sekä ylläpitää sitä asetuksen voimaantulon jälkeen.


Mullistus on siis tulossa vuonna 2018. Tärkein kysymys rekisterinpitäjille ja henkilötietojen käsittelijöille on, toteutuuko muutos hallitusti vai hallitsemattomana kaaoksena. Viimeistään nyt on aika tutustua siihen, mitä tietosuoja-asetus tarkoittaa omassa organisaatiossasi.

tiistai 7. kesäkuuta 2016

Tutkimus: Identiteetin- ja pääsynhallinta entistä tärkeämpi osa digitaalisen muutoksen strategiaa



Tutkimus: Identiteetin- ja pääsynhallinta entistä tärkeämpi osa digitaalisen muutoksen strategiaa

KPMG järjestää 16.6.2016 kello 9:00-9:45 Webinaarin, jossa tämän tutkimuksen tuloksia käydään läpi. Webinaariin voi ilmoitautua osoitteessa https://ssl.eventilla.com/event/je87N

Pierre Audoin Consultants (PAC) on toteuttanut KPMG:n, CyberArkin ja SailPointin sponsoroimana tutkimuksen, jossa selvitetään, kuinka identiteetin- ja pääsynhallinnan nähdään muuttavan liiketoimintaa digiaikana. Kyselytutkimukseen vastasi 202 liiketoiminta- ja tietoturvajohtajaa eri yrityksistä ympäri Eurooppaa.

Tuoreen Identity and Access Management (IAM) in the Digital Age -tutkimuksen mukaan eurooppalaiset CIO:t, CISO:t ja muut tietoturvasta vastaavat johtavat asiantuntijat uskovat, että digitaalinen muutos voi onnistua ainoastaan tietoturvaa parantamalla. Identiteetin- ja pääsynhallinta auttaa suojautumaan kyberuhilta ja on samalla olennainen osa yritysjohtajien digitaalisen muutoksen strategiaa.

Yritykset tasapainoilevat tietoturvan, käytettävyyden ja oikeiden digitaalisten kanavien valinnan kanssa tuottaakseen päivittäispalveluja mahdollisimman tehokkaasti. Lähes puolet (48 %) vastaajista piti kuitenkin kyberuhkien ja tunkeilun estämistä jopa asiakaskokemuksen parantamista tai kustannussäästöjä tärkeämpänä digitaalisen muutoksen onnistumisen kannalta.
Tutkimuksessa nostetaan esille identiteetin- ja pääsynhallinnan soveltamiseen liittyviä kysymyksiä. Henkilöstön kouluttaminen sekä identiteetin- ja pääsynhallintaan liittyvien prosessien ymmärtäminen ovat entistä tärkeämmässä roolissa, kun yritykset aikovat hyödyntää esimerkiksi esineiden internetin (Internet of Things, IoT) tuomia mahdollisuuksia. Lisäksi tutkimuksessa kiinnitetään huomiota identiteetin- ja pääsynhallinnan haasteisiin, kuten varjo-IT:n leviämiseen pilvipalveluiden oston myötä.

Keskeiset avainlöydökset
Tutkimus osoittaa, että IT-johtajat pitävät identiteetin- ja pääsynhallintaa oleellisena niin digiajan haasteisiin vastaamisessa kuin myös digitalisaation kokonaispotentiaalin hahmottamisessa.

  • Lähes puolet vastaajista (48 %) korostaa, että digitalisoituminen edellyttää tietoturvauhkien torjuntaa ja ennaltaehkäisyä.
  • Suurin osa vastaajista (92 %) aikoo lisätä identiteetin- ja pääsynhallinnan investointejaan seuraavan kolmen vuoden aikana.
  • Yli puolet vastaajista (65 %) näkee kuluttajaidentiteetit ja -sovellukset yhtenä seuraavista identiteetin- ja pääsynhallinnan sijoituskohteistaan.
  • Vastaajista 65 % näkee varjo-IT:n kehityksen haasteena yhdenmukaisten identiteetin- ja pääsynhallintasysteemien käyttöönotolle.
  • Tulevaisuudessa perehdytyksen ja tiedon puute aiheuttaa todennäköisemmin enemmän identiteetin- ja pääsynhallinnan rikkomuksia kuin hallitsemattomat kolmansien osapuolten identiteetit.
  • Lue lisää tutkimuksesta ja selvitä, kuinka saat eniten irti identiteetin- ja pääsynhallinnan investoinneista ja turvaat liiketoimintaan liittyvän datan.

 
Taustaa tutkimuksesta
PAC haastatteli yli 200:aa eurooppalaisen yrityksen IT- ja tietoturva-asiantuntijaa maaliskuussa 2016. Asiantuntijat työskentelevät muun muassa pankki- ja vakuutussektoreilla, teollisuudessa, logistiikassa ja julkisella sektorilla Benelux-maissa, Pohjoismaissa Iso-Britanniassa, Saksassa, Sveitsissä ja Ranskassa.

PAC on perustettu vuonna 1976. PAC on osa eurooppalaista CXP Groupia, joka on johtava itsenäinen konsultointi- ja tutkimusyritys. CXP Group on erikoistunut ohjelmistotoimialaan, IT-palveluihin ja digitaaliseen transformaatioon. 

Tutkimuksen on sponsoroinut KPMG International, CyberArk ja SailPoint.

torstai 26. toukokuuta 2016

On Top of The World

Robert Mortell, a tax trainee from KPMG in Dublin has become the youngest Irish person to summit Mount Everest.

Originally from Limerick, Robert Mortell left Ireland on St. Patrick’s Day to begin a two-month climb to the summit of the world’s highest mountain and reached its peak in the early hours of Monday morning, 23 May.

At 26 years old, Mortell has set a new Irish record as the youngest Irish person to reach its summit at 8,848 metres above sea level. To date, 36 Irish climbers have now reached the summit of Mount Everest.

torstai 12. toukokuuta 2016

Miten digitalisaatio ja tietoturva kohtaavat?

Riskienhallinnan kannalta mielenkiintoinen ilmiö on uudenlaisten luottamusmekanismien yleistyminen. Suuret digitaaliset alustat keräävät käyttäjiä yhteen ja keskeistä on tiedon avoimuus ja tasapuolisuus palveluiden ja tuotteiden myyjien sekä ostajien välillä. Myös sekä ostajat että myyjät arvioidaan, mikä laskee väärinkäytösten määrää. Voidaankin väittää, että perinteiset regulointijärjestelmät menettävät merkitystään.

Valitettavasti digitalisaatio ei ole vielä tuonut ratkaisua tietoturvan varmistamiseen sormia napsauttamalla, vaan se vaatii toimenpiteitä ja osaamista. Siinä missä digitalisaatio on monilla aloilla tasapäistänyt informaatiota ostajien ja myyjien välillä, digitaalisten ratkaisujen kehittäminen on yhä ala, jota leimaa epäsuhtainen informaatio. Tilaajalla on harvoin osaamista tai resursseja arvioida ratkaisun luotettavuutta ja tietoturvallisuutta.

Tätä epäsuhtaista ja puutteellista tietoa voi hallita mm. sertifioinneilla, jotka toimivat IT-palveluita ostavien asiakkaiden riskienhallintamenetelmänä. Digitalisaation myötä myös riskit ovat digitaalisia, joten asia on mitä akuutein ja jatkuvasti kasvattaa merkitystään.

Lue lisää Sytyke-lehdestä (2/2016), jossa käsittelemme tätä asiaa ja tarjoamme vinkkejä epävarmuuden hallintaan. (Sähköinen versio saatavilla Sytykkeen-sivuilta myöhemmin.)


Teijo Peltoniemi & Mika Iivari

maanantai 9. toukokuuta 2016

KPMGCyberGuru



KPMG haluaa omalta osaltaan edistää nuorten työllistymistä ja tarjota mielenkiintoisia 
uramahdollisuuksia vastavalmistuneille tai opintojen loppuvaiheessa oleville tulevaisuuden lupauksille. Haemme nyt 10 tulevaisuuden lupausta Cyber Academy Graduate –ohjelmaan.

KPMG on maailmanlaajuisesti kyberturvallisuuden ja IAM konsultoinnin markkinajohtaja. Suomessa meillä on markkinan kokoon nähden poikkeuksellisen suuri tiimi ja pystymmekin tukemaan myös ulkomaan kollegoitamme mielenkiintoisissa asiakasprojekteissa. Asiakkaina meillä on lukuisia maailman johtavia yrityksiä eri toimialoilta.

Tässä blogissa suomalaiset asiantuntijamme ovat vuosien saatossa käyneet läpi ajankohtaisia aiheita ja kirjoittaneet työtämme ja asiakkaitamme koskettavista aiheista. Lukemalla tätä blogia saat hyvää käsitystä siitä, millaista osaamista miellä on ja minkä aiheiden ympärillä tekemisemme muun muassa pyörii.

Laita siis hakemus sisään ja tule osaksi voittajatiimiä!
https://home.kpmg.com/fi/fi/home/tyopaikat/cyber-academy.html

maanantai 25. huhtikuuta 2016

Uutta sertifiointi- ja varmennusrintamalla

Erilaisten sertifiointien ja varmennuslausuntojen käyttö tietoturvan ja tietosuojan osoittamiseksi on lisääntynyt ja toisaalta niiden kysynnän lisääntyminen on lisännyt myös tarvetta uusille varmennuslausunnoille ja sertifioinneille. Olen käsitellyt varmennuslausuntojen ideaa ja etuja jo aiemmissa blogiteksteissäni, joten perusasiat voi tarkistaa sieltä.

Varmennuslausuntojen käyttö on ollut yleistä jo vuosikymmenien ajan.  Aiemmin puhuttiin SAS 70 (myöhemmin SSAE 16/ISAE 3402) -lausunnoista, ja näiden lausuntojen perustana oli taloudellisen raportoinnin oikeellisuuden varmentaminen. Tähän tuli erityistä tarvetta tiettyjen kirjanpidon vääristelyskandaalien myötä säädetyn SOX-lainsäädännön kautta. Taloudellisen raportoinnin oikeellisuuden varmentamiseen keskittyneinä ne soveltuivat vain osittain tietoturvan varmentamiseen, joten eri maissa on kehitetty erilaisia instrumentteja tietoturvan ja tietosuojan varmentamiseen, esim. ISAE 3000-lausunnon tai Trust Services Principles –periaatteisiin pohjaavan SOC2-lausunnon avulla.

tiistai 5. huhtikuuta 2016

KPMG:n ja kumppaneiden Cyber Cruise- seminaari 18.8.-19.8.2016


Seminaari pidetään Baltic Queen laivalla. Lähdemme risteilylle ajankohtaisella sekä entistä monipuolisemmalla ohjelmalla. Luvassa on mielenkiintoisia puhujia sekä verkostoitumista rennoissa merkeissä.


Lähtö to 18.8. klo 16.30
Paluu pe 19.8. klo 16.00

Seminaarin ohjelma.

KPMG:n yhteistyökumppanit risteilyllä ovat: Palo Alto Networks, Software AG, Cysec Ice wall Oy, Sailpoint ja ServiceNow.
Keynote puhujat ovat:
Jari Österberg, Head of IT Risk and Information Security Management, UPM
Vuoden 2015 TiVi-vaikuttaja Timur Kärki, Managing Director, Gofore Ltd
Pauli Kartano, Palveluväylähankkeen hankejohtaja, Valtiovarainministeriö
Special guest: Kimmo Rousku, VAHTI pääsihteeri, Valtiovarainministeriö

Hinta osallistujille 220 euroa / henkilö.

Osallistujamaksu sisältää laivamatkat, hytin ja ohjelmaan sisältyvät ruokailut, ruokajuomat sekä seminaariohjelman.

Matkalle mukaan: Passi tai poliisin myöntämä kuvallinen henkilökortti.

Dress code: Business casual.

Lisätietoja: Heidi Vaha, Event Planner P 040 521 4030
Juha Ahlgren, Sales Manager P 044 504 4828



Viimeinen ilmoittautuminen maanantai 25.7.
 

KPMG tietoturvapalvelujen johtava asiantuntija

Forrester Research Incin tuottama The Forrester Wave™: Information Security Consulting Services, Q1 2016 -raportti nostaa KPMG:n johtavaksi tietoturvapalvelujen tarjoajaksi kansainvälisesti.
Asiakkaat kuvasivat KPMG:n erityisiksi vahvuuksiksi strategisia neuvontapalveluja, asiantuntijuutta ja joustavuutta palveluiden toimittamisessa.