Ads 468x60px

torstai 9. kesäkuuta 2016

H-hetki lähestyy: yleisen tietosuoja-asetuksen soveltaminen alkaa 25.5.2018

Huhtikuussa koitti jokaisen tietosuoja-ammattilaisen hartaasti odottama päivä, kun Euroopan Unionin yleinen tietosuoja-asetus sai lopullisen hyväksyntänsä. Asetuksen tultua julkaistuksi Euroopan Unionin virallisessa lehdessä varmistui myös sen ensimmäinen soveltamispäivä: 25. päivänä toukokuuta 2018 jokaisen Euroopassa ja Euroopan ulkopuolella toimivan rekisterinpitäjän ja henkilötietojen käsittelijän pelikenttä mullistuu.


Asetukseen valmistautuminen näkyy kesän kynnyksellä niin yksityisissä kuin julkisissa suomalaisissa organisaatioissa. Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) on julkaissut 2.6. raportin EU-tietosuojan kokonaisuudistuksesta (1/2016), joka selventää asetuksen keskeisimpiä muutoksia niin rekisterinpitäjän, henkilötietojen käsittelijän kuin rekisteröidynkin näkökulmasta. Raportti antaa myös suosituksia toimenpiteistä asetuksen vaatimusten täyttämiseksi. Päivityksiä raporttiin tehdään sitä mukaa kun tarkempia yksityiskohtia ja esimerkiksi lainsäädäntöön liittyvää kansallista liikkumavaraa tarkennetaan.


Kuten VAHTIn raportissa todetaan, tärkein pohjatyö asetuksen vaatimusten täyttämiseksi tehdään viimeistään nyt. Vaikka osa asetuksen artikloista jättää tulkitsijalleen runsaasti pelivaraa, tämän ei kannata antaa viivästyttää valmistelutyön aloittamista: valmiita vastauksia löydetään harvassa tapauksessa suoraan asetustekstiä tulkitsemalla. Huolellinen valmistautuminen edellyttää asetuksen vaatimusten tuntemisen lisäksi organisaation tietosuojan nykytilan kartoitusta, asetuksen vaatimuksiin liittyvien puutteiden tunnistamista ja vaiheistettua kehityssuunnitelmaa. Tietosuoja-asetus on suoraan kytköksissä myös henkilötietojen käsittelyssä käytettävien järjestelmien arkkitehtuuriin ja tietoturvaan: esimerkiksi paljon puhutun unohdetuksi tulemisen oikeuden toteuttaminen edellyttää, että käsiteltävistä henkilötiedoista voidaan tunnistaa niiden alkuperä, käyttötarkoitus ja käyttötarkoituksen vanhentuminen järjestelmätasolla. Lisäksi tiedot on kyettävä poistamaan tehokkaasti kaikista niistä järjestelmistä ja tietokannoista, joissa tietoja sijaitsee.


Useimmissa asetukseen varautuvissa organisaatioissa tarvitaan myös asetuksen vaatimusten huolellista priorisointia. Kahden vuoden valmistautumisajan ollessa lyhyt, organisaation tietosuojan kokonaishallinnasta riippuen voi olla syytä priorisoida kriittisimmät riskit ja muutoskohteet ja erottaa ne sellaisista uudistuksista, jotka voidaan riskit arvioiden ja huolellisesti dokumentoiden toteuttaa mahdollisimman pian asetuksen voimaantulon jälkeen. Perusteellisesti dokumentoidut riskianalyysit ja kehityssuunnitelmat paitsi auttavat valmistelutyössä ja toteuttavat tilivelvollisuuden periaatetta, myös toimivat näyttönä huolellisuudesta silloin kun jotakin odottamatonta sattuu. KPMG:n tietoturvapalveluiden tietosuoja-asiantuntijat avustavat tällä hetkellä useissa asiakkaidemme tietosuojan kehitysprojekteissa, joiden tavoitteena on saavuttaa vaaditun tietosuojan taso ajoissa ja käytännönläheisesti, sekä ylläpitää sitä asetuksen voimaantulon jälkeen.


Mullistus on siis tulossa vuonna 2018. Tärkein kysymys rekisterinpitäjille ja henkilötietojen käsittelijöille on, toteutuuko muutos hallitusti vai hallitsemattomana kaaoksena. Viimeistään nyt on aika tutustua siihen, mitä tietosuoja-asetus tarkoittaa omassa organisaatiossasi.

tiistai 7. kesäkuuta 2016

Tutkimus: Identiteetin- ja pääsynhallinta entistä tärkeämpi osa digitaalisen muutoksen strategiaa



Tutkimus: Identiteetin- ja pääsynhallinta entistä tärkeämpi osa digitaalisen muutoksen strategiaa

KPMG järjestää 16.6.2016 kello 9:00-9:45 Webinaarin, jossa tämän tutkimuksen tuloksia käydään läpi. Webinaariin voi ilmoitautua osoitteessa https://ssl.eventilla.com/event/je87N

Pierre Audoin Consultants (PAC) on toteuttanut KPMG:n, CyberArkin ja SailPointin sponsoroimana tutkimuksen, jossa selvitetään, kuinka identiteetin- ja pääsynhallinnan nähdään muuttavan liiketoimintaa digiaikana. Kyselytutkimukseen vastasi 202 liiketoiminta- ja tietoturvajohtajaa eri yrityksistä ympäri Eurooppaa.

Tuoreen Identity and Access Management (IAM) in the Digital Age -tutkimuksen mukaan eurooppalaiset CIO:t, CISO:t ja muut tietoturvasta vastaavat johtavat asiantuntijat uskovat, että digitaalinen muutos voi onnistua ainoastaan tietoturvaa parantamalla. Identiteetin- ja pääsynhallinta auttaa suojautumaan kyberuhilta ja on samalla olennainen osa yritysjohtajien digitaalisen muutoksen strategiaa.

Yritykset tasapainoilevat tietoturvan, käytettävyyden ja oikeiden digitaalisten kanavien valinnan kanssa tuottaakseen päivittäispalveluja mahdollisimman tehokkaasti. Lähes puolet (48 %) vastaajista piti kuitenkin kyberuhkien ja tunkeilun estämistä jopa asiakaskokemuksen parantamista tai kustannussäästöjä tärkeämpänä digitaalisen muutoksen onnistumisen kannalta.
Tutkimuksessa nostetaan esille identiteetin- ja pääsynhallinnan soveltamiseen liittyviä kysymyksiä. Henkilöstön kouluttaminen sekä identiteetin- ja pääsynhallintaan liittyvien prosessien ymmärtäminen ovat entistä tärkeämmässä roolissa, kun yritykset aikovat hyödyntää esimerkiksi esineiden internetin (Internet of Things, IoT) tuomia mahdollisuuksia. Lisäksi tutkimuksessa kiinnitetään huomiota identiteetin- ja pääsynhallinnan haasteisiin, kuten varjo-IT:n leviämiseen pilvipalveluiden oston myötä.

Keskeiset avainlöydökset
Tutkimus osoittaa, että IT-johtajat pitävät identiteetin- ja pääsynhallintaa oleellisena niin digiajan haasteisiin vastaamisessa kuin myös digitalisaation kokonaispotentiaalin hahmottamisessa.

  • Lähes puolet vastaajista (48 %) korostaa, että digitalisoituminen edellyttää tietoturvauhkien torjuntaa ja ennaltaehkäisyä.
  • Suurin osa vastaajista (92 %) aikoo lisätä identiteetin- ja pääsynhallinnan investointejaan seuraavan kolmen vuoden aikana.
  • Yli puolet vastaajista (65 %) näkee kuluttajaidentiteetit ja -sovellukset yhtenä seuraavista identiteetin- ja pääsynhallinnan sijoituskohteistaan.
  • Vastaajista 65 % näkee varjo-IT:n kehityksen haasteena yhdenmukaisten identiteetin- ja pääsynhallintasysteemien käyttöönotolle.
  • Tulevaisuudessa perehdytyksen ja tiedon puute aiheuttaa todennäköisemmin enemmän identiteetin- ja pääsynhallinnan rikkomuksia kuin hallitsemattomat kolmansien osapuolten identiteetit.
  • Lue lisää tutkimuksesta ja selvitä, kuinka saat eniten irti identiteetin- ja pääsynhallinnan investoinneista ja turvaat liiketoimintaan liittyvän datan.

 
Taustaa tutkimuksesta
PAC haastatteli yli 200:aa eurooppalaisen yrityksen IT- ja tietoturva-asiantuntijaa maaliskuussa 2016. Asiantuntijat työskentelevät muun muassa pankki- ja vakuutussektoreilla, teollisuudessa, logistiikassa ja julkisella sektorilla Benelux-maissa, Pohjoismaissa Iso-Britanniassa, Saksassa, Sveitsissä ja Ranskassa.

PAC on perustettu vuonna 1976. PAC on osa eurooppalaista CXP Groupia, joka on johtava itsenäinen konsultointi- ja tutkimusyritys. CXP Group on erikoistunut ohjelmistotoimialaan, IT-palveluihin ja digitaaliseen transformaatioon. 

Tutkimuksen on sponsoroinut KPMG International, CyberArk ja SailPoint.