Ads 468x60px

perjantai 28. maaliskuuta 2014

KPMG valtionhallinnon tietoturvallisuuden asiantuntijapalvelun toimittajaksi

Valtion tieto- ja viestintätekniikkakeskus Valtori on kilpailuttanut neljä toimittajaa valtionhallinnon tietoturvallisuuden asiantuntijapalvelun toimittajiksi. Palvelun tuottajiksi on valittu KPMG Oy Ab, CGI Suomi Oy, Netum Oy ja Reaktor Innovations Oy. 
Kilpailu toteutettiin Hansel Oy:n johdon konsultointipalveluja koskevan puitejärjestelyn 2013–2017 perusteella sen osa-alueella Tietohallinnon kehittäminen, kokonaisarkkitehtuuri ja riskienhallinta.

"Yhteisen puitesopimuksen tavoitteena on tukea valtiohallinnon organisaatioita tietoturvallisuuden ja varautumisen kehittämisessä. Kilpailutuksessa tärkein valintakriteeri oli laatu, jonka painoarvo oli 60 %", kertoo kilpailutuksesta vastannut apulaisjohtaja Kimmo Rousku Valtion tieto- ja viestintätekniikkakeskus Valtorista.

"Asiakkaan ei tarvitse enää tehdä kilpailutusta, turvallisuuselvityksiä, vaitiolositoumuksia ja toimittajien auditointia, koska olemme jo huolehtineet tästä kaikkien toimittajien ja heidän yli 100 asiantuntijan osalta", Rousku jatkaa.

Sopimuksen myötä valitut palvelutoimittajat tuottavat palveluita mm. tietoturvallisuuden ja vaatimusmääritysten auditointiin, hallintajärjestelmän prosessien, kyberturvallisuuden, riskienhallinnan ja jatkuvuuden hallinnan kehittämiseen, vaatimusmäärittelyiden tuottamiseksi ja arkkitehtuurin suunnitteluun. 

Asiakkaan itse määrittämien toimeksiantojen koko vaihtelee muutaman päivän konsultoinnista usean kuukauden tietoturvapäällikköpalveluun tai jopa satojen päivien laajempiin kehittämiskokonaisuuksiin.

Palvelu on suunnattu kaikille valtionhallinnon organisaatioille ja nyt tehty sopimus on voimassa valittujen palvelutoimittajien kanssa vuoden 2018 toukokuuhun asti.

Lisätietoja:
Valtion tieto- ja viestintätekniikkakeskus Valtori
  • Tuotantojohtaja Jukka Yli-Koivisto, p. 040 561 7611
  • Apulaisjohtaja (tietoturvapalvelut) Kimmo Rousku, p. 050 566 2986
    etunimi.sukunimi@valtori.fi

KPMG Oy Ab

torstai 6. maaliskuuta 2014

Asiakasmatka vaaroja täynnä?

Kaupanalan puhutuimpia trendejä on monikanavaisuus. Tämä tarkoittaa eri kanavien, kuten kivijalan, verkkokaupan, puhelinpalvelun, mobiilin ja sosiaalisen median, integroimista yhtenäisen palvelukokemuksen saavuttamiseksi. Monikanavaisuuden mahdollisuuksia ovat toiminnan tehostaminen ja varsinkin myynnin kasvattaminen.

Monikanavaisuuteen liittyy ajatus siitä, että kuluttajan ostoprosessi on matka (engl. customer journey), joka on monipolvinen ja sisältää useita kontaktipisteitä eri kanavissa. Asiakaskohtaamisia on paljon varsinaisen ostotapahtuman ulkopuolella. Myös tuotevertailut, nouto, toimitus, palautukset ja jälkihoito ovat mahdollisia paikkoja brändin ja asiakasuskollisuuden rakentamiselle. Haasteena ja toisaalta mahdollisuutena on positiivisen asiakaskokemuksen välittäminen kattavasti asiakasmatkan eri vaiheissa.

Monikanavaisessa arkkitehtuurissa kanavien hallinta muodostaa tärkeän alueen. Tämän on tuettava kolmansien osapuolien toimittamien palveluiden nopeaa integrointia. Toisaalta myös omien palveluiden nopea kehittäminen ja liiketoiminnallinen testaaminen pitää olla mahdollista ja yhteentoimivuuden on oltava saumatonta yli organisaation.

Ympäristön kompleksisuuden lisääntyessä kasvavat myös riskit. Epävarmasti toimivat palvelut ja vaarantuneet henkilötiedot ovat mitä huonointa asiakaskokemusta ja vievät hetkessä pohjan kaikelta brändin rakentamiselta. On selvää, että heikosti turvatut kanavat houkuttelevat rikollista toimintaa ja integroidussa ympäristössä pääsee potentiaalisesti aiheuttamaan laajaa vahinkoa yhden kanavan kautta.

Verkkomaksujen ja kuluttajille suunnattujen palveluiden lisäksi toimitusketjun muiden osien integrointi aiheuttaa uhkia. Tästä on esimerkkinä Targetiin, suureen amerikkalaiskauppaketjuun, kohdistunut taannoinen tietomurto . Murrossa 110 miljoonan kuluttajan tiedot päätyivät rikollisille. Syyksi on arvioitu troijalaista, jonka uhriksi oli joutunut kauppaketjun LVI-toimittaja.

Tapahtumaketju johti merkittäviin kuluihin sekä taloudellisiin tappioihin kuluttajien kaikottua. Ensimmäistä kertaa myös korkean profiilin CIO joutui eroamaan tietomurron takia. Tätä on arvioitu vain alkusoitoksi: 1) ja 2).

Miten riskejä voi hallita? Omien ympäristöjen tuntemus ja riittävä arkkitehtuurityö on hyvä lähtökohta. Tämä tarkoittaa, että kuvaukset organisaation ja kanavien leveydeltä ovat ajantasalla ja tuotettu riittävistä näkökulmista. Periaatteet ja linjaukset pitää olla dokumentoitu, jalkautettu ja hallittu. Prosesseja, järjestelmien välisiä suhteita, verkkokuvia ja muita peruspalikoita analysoimalla voidaan tunnistaa potentiaaliset kehityskohteet ja priorisoida niiden kehittäminen. Uudet palvelut voidaan arvioida yleisiä vaatimuksia vasten.

Tämä kuullostaa varmasti itsestäänselvyydeltä, mutta moni saattaa tuntea piston sydämessään. Suurimpia esteitä hyökkäysten havaitsemiseen ja torjuntaan on omien järjestelmien huono tuntemus (SANS Security Analytics Survey Sep 2013). HP (Cyber risk report 2013) arvioi jopa 80% sovelluksissa olevan haavoittuvuuksia johtuen vääristä konfiguraatioista.

Olennaista on toisaalta myös se, että arkkitehtuuri tukee liiketoiminnan kehittymistä eikä muodostu pullonkaulaksi. Arkkitehtuurin hallintamallin pitää mahdollistaa innovatiivisten uusien palveluiden kehittämisen samalla kun yrityksen ydinjärjestelmät on turvattu. Monelle hallintamalli särähtää ikävästi korvaan, mutta arkkitehtuurin hallintamallin avulla varmistetaan sujuva liiketoimintaa.

Arkkitehtuurin hallintamallista voi lukea lisää aiemmasta postauksesta. Sen tavoitteena on tukea arkkitehtuuriperiaatteiden jalkauttamista eri puolilla organisaatiota, tehostaa uudelleenkäyttöä sekä varmistaa järjestelmien yhteensopivuus. Tämä on erittäin oleellista monikanavaympäristössä, joka edellyttää yhteispeliä organisaation eri osien kesken. Yhtenäistä ostokokemusta ja kanavien yli kulkevia prosesseja on työlästä ja vaikeaa kehittää ilman ohjausta.

Omalta osaltaan yöunia voi helpottaa ulkopuolisen, puolueettoman arvion teettäminen. Arkkitehtuuriarvio antaa objektiivisen kuvan ja saattaa avata uusia näkökulmia. Tätä kannattaa edellyttää myös verkoston muilta jäseniltä. Ympäristön toimivuus ja turvallisuus ovat liiketoiminnan kannalta kriittisiä tekijöitä ja luovat perustan hyvälle asiakaskokemukselle ja monikanavaisuudelle.