Vuosi vaihtui ja työt jatkuvat – mikä muuttui?

GDPR-vuosi 2018 on takana. Taakse jäi toukokuun viestitulva ja provosoivia GDPR:aan liitettyjä otsikoita saunavuorolistoista ja seurakuntavaaliehdokkaiden nimien julkaisemisesta lähtien. GDPR:aa täydentävä, tietosuojavaltuutetun toimivaltavajeen korjaava kansallinen tietosuojalaki astui voimaan 1.1.2019.

Merkittävä määrä yleistä toimintaympäristöä heikentävää epämääräisyyttä ja höpöpuhetta on siis takana päin. Nyt on hyvät mahdollisuudet keskittyä itse asiaan, kun lainsäädännöllinen tilanne on kunnossa ja oikeaa tietoa on saatavilla eikä kaistanleveyttä toivottavasti (enää) käytetä luulojen lietsontaan.

GDPR ei edelleenkään aseta mitään sellaisia vaatimuksia, joita ei henkilötietoja käsittelevässä organisaatiossa olisi hyvä laittaa kuntoon. Asiaan kunnianhimoisimmin suhtautuvat organisaatiot analysoivat tietovarantonsa, mallintavat tietovuonsa sekä selventävät näihin liittyvien ihmisten, prosessien ja sovellusten toiminnan. Vähemmälläkin pärjää, kunhan asioiden todellisen laidan ja sen, miten niiden luullaan olevan välillä ei ole liian suurta eroa. Tämä tarkoittaa mm. sitä, että muidenkin kuin organisaation avainhenkilöiden tulee olla kartalla.

Omalta osaltani Sarasen Data Security Pro – koulutusohjelma on nyt taputeltu. Koulutusohjelma sisälsi edustavan kattauksen tietosuojaan ja käytännön tietoturvaan liittyvää koulutusta ja toimi hyvänä virikkeenä varsinaiseen työntekoon GDPR Techissa. Koulutuksen teknisimmissä osuuksissa merkillepantavaa oli se, kuinka suuri osuus käsitteli verkkosivuihin liittyvää tietoturvaa. Toki on loogista, että näin on, kun suuri osa käyttäjien vuorovaikutuksesta tapahtuu verkkosivujen kautta ja käyttäjienhän tiedot ovat ne rahanarvoisimmat.

Erinomaisia kouluttajia ja heidän tiettyjä asioita koskevaa turhautuneisuuttakin kuunnellessa tuli mieleen, että nimenomaan verkkosivujen toteutuksessa ja toteutukseen liittyvissä työkaluissa olisi syytä siirtyä tietoturvan kannalta varmatoimisempaan ja standardoidumpaan suuntaan. Olen ihan varma, että asioita olisi resursseja säästävästi toteutettavissa ilman, että niistä tulee oikeaa tekemistä estävää, hankalaa pakkopullaa.

Varmaa on myös se, että vaikka tämä koulutusohjelma ja työskentely GDPR Techissa nyt osaltani tältä erää ovat ohitse, aihealueeseen liittyvä tiedonjano ei milloinkaan. Toisin sanoen haastava, mielenkiintoinen ja paljon uuden oppimista sisältävä vuosi aluillaan. Erinomaista ja paljon olennaiseen keskittymistä sisältävää sekä mahdollisimman tietoturvallista uutta vuotta kaikille!

 

Teksti: Mervi Hongisto

Mitäs tietoja täällä oikein säilötäänkään?

gdpr tech

Joulu on tulossa. Ja joulupukki jos kuka kerää henkilöihin liittyviä tietoja. No, mehän emme tiedä mihin joulupukki tallentaa tietonsa ja miten hän pääsee käsiksi laajoihin tietovarantoihinsa. Jokainen voi tietty kuvitella näitä hiljaa itsekseen. Toki joitain tietoja joulupukin harjoittamista tiedonkeruumetodeista sisältyy kansanperinteeseen.

EU:n yleiseen tietosuoja-asetukseen voidaan tulkita liittyvän samantyyppistä kaikkivoipaisuuden ajatusta kuin joulupukin toiminnassa. Mitä tietovarantoja organisaatiolla on ja missä niissä on henkilöön liittyvää tietoa?

Olisi ihan kätevää jos kaikki olisi tarkkaan järjestellyissä ja hallinnoiduissa tietokannoissa (kuten ehkä joulupukillakin). Käytäntö kuitenkin osoittaa ettei näin ole. Ja sattumia, poikkeustilanteita, monimutkaisia tapahtumaketjuja ja muutoksia sisältävän tosielämän tuntemus kertoo, ettei näin voikaan ainakaan kaiken aikaa olla.

No, ei tietosuojavaltuutetun toimistolla kaiketi ole resursseja mennä tonkimaan yksittäisen firman tietovarantoja. Toisaalta yleisen hygienian, firman resurssien- sekä riskinhallinnan kannalta voisi olla hyvä tietää mitä kaikkea tietovarannot pitävät sisällään.

Entä sitten se työkalupuoli? Veritas, Varonis ja Micro Focus ovat kukin kehittäneet tähän omat ratkaisunsa. Näistä meillä on eniten kokemusta Veritaksen Data Insightista.

Ennen kesää 2017 Data Insightissa ei ollut sisältöskannausta eli varsinaista “tietosuojavaltuutetun ystävä”- ominaisuutta. Kesästä 2017 lähtien olemme käyneet läpi paljon tiedostoja, joista pukki ei kyllä olisi iloinen – voisi jäädä lahjat saamatta.

Data Insightissa on monia muitakin riskienhallintamielessä käyttökelpoisia ominaisuuksia kuten:

  • Sisällön luokittelun kautta riskien helpompi tunnistaminen – mistä korjataan ensin
  • tiedon omistajan tunnistaminen – eli kuka hyväksyy tiedon poiston
  • tieto siitä kuka on nähnyt datan / “data leak investigation”
  • epätarkoituksenmukaisten / liian lepsujen pääsyoikeuksien tunnistaminen
  • passiivisen datan hallinta
  • tiedon käytön ja yhteiskäytön sekä käyttöaktiivisuuden analyysi / mallintaminen.

Kokemuksemme rakenteettoman tiedon kartoituksesta kertoo, että aina tai lähes aina löytyy mm. seuraavia huomiota herättäviä asioita:

  • tiedostoja väärissä paikoissa, tätä kautta liikaa pääsyoikeuksia
  • suuria määriä poistuneiden/poistettujen käyttäjien tiedostoja
  • yksittäisille käyttäjille myönnetyt käyttöoikeudet (käyttöoikeuksien tulisi aina olla käyttäjäryhmäkohtaisia)

Rakenteettoman tiedon tietovarannossa on kokemuksemme mukaan yleensä aina noin 30% tietoa, mikä voitaisiin helposti siivota tarpeettomana (pois levyltä ja varmuuskopioista). Lisäksi yleensä noin 5-10% on kyseenalaisia tiedostoja, jotka pitäisi riskienhallintamielessä tutkia. Esim. 1M tiedoston varannossa tämä tarkoittaisi 50 000 – 100 000 tiedostoa. Ei kovin motivoiva työtehtävä ja tulkittavissa ehkä jopa simputukseksi jos näitä käsin aletaan tutkimaan.

Rakenteettoman tiedon kartoitus (tiedostopalvelin, SharePoint ja O365 -ympäristöt) on mahdollista toteuttaa kertaskannauksena tai jatkuvana palveluna. Mitä “vilkkaampi” ympäristö, mitä enemmän käyttäjiä ja tapahtumia, mitä arkaluonteisempaa tietoa, sitä riskialttiimpaa ja sitä tiukemmin ote rakenteettoman(kin) tiedon hallinnasta pitäisi ottaa.

Joulu tulee tänäkin vuonna. Valmistaudu ajoissa. Hyvää joulunodotusta kaikille!

Terveisin Mervi ja GDPR Techin tontut

Muista: Kansallinen tietosuojalaki hyväksyttiin eduskunnassa 13.11.2018. Laki tulee voimaan presidentin esittelyn jälkeen.

 

 

 

                                                                                       

 

About Rigacomm, people & robots

About Rigacomm, people & robots


Off we went with Juha to Rigacomm, the biggest business and IT technology fair in Baltics arranged this year on Oct 11 to 12. Our stand was strategically located between coffee area demonstrating InOut cloud-based queueing system and Diatom stand occupied by interactive robot, near digital marketing stage. So we received our fair share of visitors which was nice.

In quite a few conversations I ended up explaining the significance of GDPR legitimate interest and balancing test. There is no legal requirement to ask for marketing consent from customer on customer list when certain (broadly set) conditions are met. Of course regular explicit opt-our is still mandatory.

There were also many questions about what our technical solutions for GDPR are and do we develop those ourselves (answer being yes, but no for software). So, more discussions about dark data assessment in different environments (fileserver, SharePoint, O365, other cloud-based environments). There is no single patent solution for all cases. We are offering solutions based on Veritas, Varonis and Micro Focus software.

As there were vivid discussions on our SMB start package content and implementation and the effort and commitment it takes from customer organization as well (we go deep inside to verify), there was not as much time for discussions about data flow modeling ”beef” as I would have liked.

As contrast for GDPR discussions in our booth, there were two generally available robots around in the fair. I overheard someone asking the lobby robot: ”Do you like Robocop?” That confused the robot more or less (and amused me). I wonder if the robots were set to collect and store questions made by people this time. That could be really interesting machine learning data as I assume human imagination in the end is still supreme to what any machine could possibly produce.

I also had a really nice discussion with a lady who was tired of all that information available and GDPR in particular. It’s no surprise GDPR doesn’t have a good echo as so many misunderstandings and even disinformation about it around. She was open about her frustration and then we ended up talking about chocolate and ice cream. That’s what we humans are like and I appreciate it.

GDPRtech ricacomm

GDPR: Olettaminen ei ole todentamista

GDPR: Olettaminen ei ole todentamista

Sivustomme gdprtech.com aukeaa sanoilla ”GDPR Tech – Tukenasi EU:n tietosuoja-asetuksessa”.

Konkreettista ja käytännönläheistä apua ja tukea meiltä on saatavissa karkeasti luokitellen tasoille Tee-se-itse -> Vähän apua -> Paljon apua. Tee-se-itse -tasolla avuntarvitsija saa tyypillisesti käyttöönsä SaaS-ratkaisun / dokumenttipohjat joita hyödyntämällä on mahdollista dokumentoida asioita hallitusti ja pitkäjänteisesti.

Toki on hyvä muistaa etteivät dokumentit ota kantaa siihen onko niissä kuvattu esim. toivetila vai yleinen, johdonmukainen ja todennettu tapa tehdä asioita organisaatiossa.

Osastossa ”Vähän apua” apu ja tuki on konsultointia, koulutusta tai ohjelmistoja, joita asiakas itse täsmäkäyttää ja johtaa.

Tarjoamamme PK-sektorin GDPR ratkaisupaketti asettuu kategoriaan ”Paljon apua”. Siis paljon apua GDPR Tech:in johdolla pienelle tai keskisuurelle yritykselle/organisaatiolle työpajoineen, teknisen toimintaympäristön arviointeineen ja koulutuksineen ratkaisupakettina.

Edelleen, GDPR ei sisällä mitään sellaista mihin ei olisi joka tapauksessa syytä ottaa yrityksessä kantaa ja minkä suhteen on hyvä työstää ja selkiyttää yrityksen käytäntöjä.  Tämän takia on huolestuttavaa seurata uutisointia ylireagoinneista ja muista väärinkäsityksistä (esim. tivi 15.9.18: Yritykset painavat liian herkästi gdpr-liipaisinta: paljon turhia raportteja). Aikaa ja energiaa kuluu vääriin asioihin.

Meillä on asiakkaita hyvin erilaisilta toimialoilta ja toimintaympäristöistä. Kun asetettuna tavoitteena on todentaa miten asiat oikeasti ovat, sen lisäksi että on itsessään mielekästä kuunnella oman alansa osaavia ja tekeviä ihmisiä, kuuntelu ja kuullun ymmärtäminen ovat myös palvelun toimittamisen kannalta olennaisen tärkeitä.

Yksi lempilausahduksistani etenkin teknisten ympäristöjen ollessa kyseessä on brutaaliudestaan huolimatta ”ota silmä käteen ja katso”. Todennamme keskeisimmät asiat. Olettaminen ei ole todentamista.

Teksti: Mervi Hongisto

Rakenteettoman tiedon hallinta – Dark Data?

Rakenteettoman tiedon hallinta – Dark Data?

Unstructured data – ne kaikki tuhannet excelit ja muut dokumentit, jotka ovat jossain. Ne tuhannet sähköpostien varmuuskopiot ja muut tiedostot, joita silloin tällöin tarvitaan. Tai tarvitaanko?

EU GDPR:n osalta olisi syytä luokitella tietoa: mitä tarvitaan, mikä sisältää henkilötietoa, mikä on turhaa, kuka omistaa tiedon. Ongelma on siinä, että käyttäjät ovat vuosikausia luoneet dokumentteja, tallentaneet, muuttaneet ja kopioineet eri paikkoihin. Laitteet ovat vaihtuneet ja kopioita on luotu varalta lisää. Käyttäjät ovat vaihtuneet, siirtyneet, poistuneet. Miljoonia tai kymmeniä miljoonia tiedostoja. Osa on itsellä, osa voi olla pilvessä, osa siellä täällä.

Tarvitsetko niitä kaikkia. Et. Ei kukaan tarvitse niitä vanhoja tiedostoja, joissa on vanhoja nimilistoja tai henkilöhakemuksia. Ja joita kukaan ei ole tarvinnut vuosikausiin. Uskallatko poistaa niitä – ja millä perusteella?

Kokemuksemme mukaan organisaatioissa on teratavuittain tietoa. Tämä tarkoittaa miljoonia tiedostoja, joita tallennetaan ja suojataan joka päivä. Pääosin turhaan. Joidenkin arvioiden mukaan yli 60% käyttäjistä pääsee sellaiseen tietoon käsiksi, johon ei pitäisi. Osa näistä käyttäjistä omaa liika käyttöoikeuksia ja lisäksi ei ole vaihtanut salasanaa vuoteen. Tai koskaan. Pääosin turhia tietosuojaloukkausriskejä.

 

Tietosuojan osalta olisi järkevää kartoittaa mitä tietoa on, kuka pääsee niihin ja onko tiedoissa EU GDPR:ään liittyvää henkilötietoa. Yleensä ottaen noin 5-10 prosenttia tiedostoista sisältää sellaista tietoa, josta pitäisi olla huolissaan. Helppo juttu. Pyydät käyttäjiä käymään tiedostot läpi ja merkitsemään mikä on mitäkin tietoa. Samalla on hyvä tarkistaa, onko käyttäjää edes olemassa enää – milloin se Pertti lähtikään ja onko Erkin tiedot enää tarpeellisia?

Tai me voimme tehdä sen automaattisesti. Sisältö luokitellaan ja luodaan raportit. Olemme vähän tehokkaampia, sellainen keskimäärin muutama sata tiedostoa minuutissa, mutta tarvittaessa huomattavasti nopeamminkin. Aika nopea kaveri pitää olla, jotta pysyy meidän vauhdissa. Kysy lisää ja tilaa Dark Data Assessment, näitä on tehty vuodesta 2016. Metsäyhtiöstä ja teleoperaattorista putkiyhtiöön. 

Lisätietoja tästä tai tilaa tästä.

#DDA #Dark Data Assessment #GDPR #Rakenteettoman tiedon kartoitus

Oikein- ja väärinkäsityksiä re: GDPR

Oikein- ja väärinkäsityksiä re: GDPR

”Tieto on tämän ajan uusi öljy.” Kun tiedetään mitä kaikkea öljyyn on aikojen saatossa liittynyt (mm. sotia, taloudellista kukoistusta sekä ympäristökatastrofeja), on paikallaan että sääntelyä kehitetään mieluummin etupainotteisesti. Sääntelyn toteuttaminen ja valvominen saattaa toki olla hankalaa, väärinkäsityksiä aiheuttavaa ja jopa turhauttavaa. 

GDPR ei kuitenkaan sisällä mitään sellaista mihin ei olisi joka tapauksessa syytä ottaa yrityksessä kantaa ja minkä suhteen on hyvä työstää ja selkiyttää yrityksen käytäntöjä. Sääntelyn muututtua (/ muuttuessa re: kansallinen tietosuojalaki vielä vaiheessa) osaksi pakottavaa lainsäädäntöä asiat toki saattavat muuttua eri aikataululla ja eri järjestyksessä tärkeysjärjestyksen mukaan. 

Kysymys ei ole suurempaa mystiikkaa sisältävistä toimista. GDPR on henkilötietojen käsittelyn perälauta joka jättää organisaatiolle harkintavallan vaatimusten toteutustavoista. On myös huomioitava että GDPR:n lisäksi on olemassa muutakin henkilötietoihin liittyvää lainsäädäntöä. 

Omaa oikein- ja väärinkäsitysteni sekä oppimiskäyräni tasoa määrittelee – kaiken muun lisäksi – tällä hetkellä Sarasen Data Security Pro -ohjelman koulutuspäivät. 

Viime viikolla opin mm. että web-sovellusten tietoturvassa top10 -uhat eivät ole merkittävästi muuttuneet vuodesta 2013 vuoteen 2017. (Kouluttaja: ”Eikö mitään ole opittu?”) Lisäksi web-sovelluskehityksessä käytetään paljon ulkopuolisia hyvin erilaisista yhteyksissä haalittuja kirjastoja joissa saattaa olla tietosuojaan liittyviä ”ylläreitä”. Joissain tilanteissa testauksessa saatetaan edelleen käyttää juridisiin henkilöihin liittyvää materiaalia. (Realistisen testin ajamiseksi ei olisi pakko: http://www.iri.com/solutions/test-data).

Työ jatkuu ja sitä on paljon. Oma toivomus on että GDPR:aan liittyviä shokkiotsikoita sekä vastakkainasettelua olisi mahdollisimman vähän ja näiden sijaan keskityttäisiin pitkäjänteiseen perustyöhön sekä realistisiin ja käytännönläheisiin toteutuksiin mitä GDPR-yhteensopivuuden toteuttaminen ja ylläpito oikeasti on. Ja loppujen lopuksihan GDPR:ssa kyse on ihmis- eli meidän kaikkien oikeuksista kuten Human Rights Watch uutisoi

Pysytään linjoilla ja kyllä tämä tästä.

Teksti: Mervi Hongisto

GDPR-havaintoja: Terveisiä it-työläisen pöydältä

GDPR-havaintoja: Terveisiä it-työläisen pöydältä

Minä, pitkän linjan it-puurtaja, halusin tässä kohtaa työuraani oppia uutta uudesta tulokulmasta. Hain ja pääsin Sarasen Data Security Pro -koulutusohjelmaan ja sitä kautta hommiin GDPR Techiin kesäkuun lopulla.

Koulutukset alkoivat kesäkuussa ja jatkuivat heinäkuussa juristin vetämällä yhteensä kolmen koulutuspäivän mittaisella tymäkällä ja paljon hyvää keskustelua sisältäneellä GDPR-lakiosuudella. Lupaava alku siis.

GDPR on 88 sivua tulkintoja vaativaa lakitekstiä täynnä terminologiaa kuten ”riittävät organisatoriset ja tekniset toimenpiteet”, ”rekisterinpitäjä”, ”käsittelijä”, ”sisäänrakennettu ja oletusarvoinen tietosuoja”, ”osoitusvelvollisuus” ja ”seuraamukset”. Tulkintoja vaativaa kuten lakiteksti yleensäkin ja sinänsä kauhistelu on turhaa.

Haaste: mitä teksti tarkoittaa käytäntöön sovellettuna? Miten asetusta tulee tulkita toimintaympäristö huomioon ottaen?

Tai miten saavuttaa GDPR-yhteensopivuus? Tai pikemminkin miten osoittaa että prosessi/toimenpiteet GDPR-yhteensopivuuden saavuttamiseksi ovat käynnissä?

Ei himmeleitä. Suhteellisuudentajuinen resursointi, käytännönläheisyys, tehokas toteutus, varautuminen ja seuranta.

Ensimmäiset asiakastapaamiset, GDPR Techiin ja GDPR Techin palveluihin tutustuminen, Sarasen intensiivinen 3 päivän GDPR-lakikoulutus sekä yleinen aloitusrutistus todistetusti mahtuvat vajaaseen kahteen viikkoon. Kerron lisää tulevina viikkoina, pysy linjalla.

Teksti: Mervi Hongisto

GDPR ja asiakaspalvelu?

GDPR ja asiakaspalvelu?

Kuinka GDPR tulee ottaa huomioon asiakaspalvelussa? Katso video, jossa toimitusjohtajamme Juha Sallinen kertoo tietosuoja-asetuksesta asiakaspalvelun kannalta!

Autamme yrityksiä samaan myös asiakaspalvelunsa GDPR:n mukaiseksi. Meiltä löytyvät monipuoliset palvelut konsultoinnista koulutukseen. Autamme myös videolla mainittujen tietopyyntöjen ja tietojen poiston kanssa. Ota meihin yhteyttä ja kerro kuinka voimme auttaa!

GDPR tulee – Tässä tarkistuslista

GDPR tulee - Tässä tarkistuslista

GDPR astuu voimaan tällä viikolla. Kaksi vuotta valmistautumisaikaa käytetty. Yleinen tietosuoja-asetus, eli GDPR, määrittelee tietojenkäsittelyä tarkemmin kuin aiemmin. Mitä kaikkea nyt olisikaan pitänyt tehdä? Tietosuojavaltuutetun toimisto ohjeistaa tekemään ainakin nämä:

▪ Käsitteletkö suuria määriä henkilötietoja – varmista ja nimitä organisaatioosi tietosuojavastaava.

▪ Kuvaa ja dokumentoi miten organisaatiossasi käsitellään henkilötietoja. Käy läpi kaikki henkilötietojen käsittelyn vaiheet keräämisestä hävittämiseen ja dokumentoi ne.

▪ Varmenna millä perusteella organisaatiosi käsittelee henkilötietoja. Henkilötietojen käsittelylle on oltava aina laista löytyvä peruste. Huomaa, että käsittelyn edellytyksen ei kaikissa tapauksissa tarvitse olla suora lupa henkilöltä.

▪ Millaisia riskejä henkilötietojen käsittelyyn liittyy organisaatiossasi? Selvitä miten riskejä voitaisiin minimoida (tai poistaa joissain tapauksissa kokonaan).

▪ Valmistaudu rekisteröityjen pyyntöihin. Päivitä prosessit tietosuoja-asetuksen vaatimusten mukaisiksi. Onko yrityksesi jo kyvykäs löytämään tietyn henkilön tiedot pyydettäessä?

▪ Huolehdi tietoturvasta. Valmistaudu ilmoittamaan henkilötietojen tietoturvaloukkauksista.

▪ Tarkista toimittajiesi ja kumppaniesi sopimukset vastaamaan asetuksen puitteita, myös mahdollisten korvausvastuiden osalta.

▪ Määrittele organisaation johtava valvontaviranomainen, jos organisaatiosi toimii usean EU:n jäsenmaan alueella.

▪ Jos käsittelet ala-ikäisten tietoja, selvitä, miten organisaatiosi on huomioitava lasten erityisasema.

GDPR Techin PK-paketti vastaa kokonaisuutena pääosaan yllämainituista. Se on kiihdytyskaista asetuksenmukaiseen toimintaan todennettuna ja dokumentoituna. Tilaa nyt, varsinkin jos GDPR-projektisi on vielä aloittamatta!

GDPR-huolia – vaivaavatko nämä myös sinua?

GDPR-huolia – vaivaavatko nämä myös sinua?

Olemme kevään aikana osallistuneet useisiin GDPR-aiheisiin tapahtumiin. Useissa keskustelussa esimerkiksi GDPR-päivillä ja Tallinnan Nordic -Baltic Security Summitissa nousi vahvasti esille varsinkin nämä GDPR-huolet:

GDPR-projektit koetaan kokonaisuudessaan haasteellisena. Useasti projekti on aloitettu rekisterien läpikäynnillä. Tämä on hyvä alku, mutta ei vielä opasta käytännön toimiin tai korjauksiin. GDPR Techin PK-paketti tarjoaa kokonaisratkaisun kiinteällä hinnalla ja tehokkaalla aikataululla pienille ja keskisuurille yrityksille.

Sovelluksia testataan huonosti ennen tuotantoon vientiä tai tuotannon tiedoilla. Tämä voi johtaa pahoihin tietovuotoihin. IRI Cosortin valikoimasta löytyy niin tiedon peitto kuin synteettisen testitiedon luontityökalut. Lisätietoa valmistajalta ja pyydä meiltä esittelyä!

Ohjeita ei noudateta käytännössä. Organisaatioissa on kyllä ohjeita, koulutuksiakin on pidetty, mutta kun testataan esimerkiksi ”kalasteluviestillä”, kolmasosa testatuista klikkaa sitä linkkiä, mitä ei pitänyt. Oletko varma, että yrityksessänne asia on kunnossa? Meiltä voit tilata testauksen juuri teille.

Päätelaitteiden suojaus on huonosti hoidettu tai edes omaisuuden hallintaa ei ole. Tiedätkö sinä, missä käyttäjien päätelaitteet ovat, ovatko ne tietoturvallisia ja jos laite häviää, aiheutuuko siitä tietosuojaloukkaus? Kysy lisää, tämä on helposti kuntoon laitettava kohta, esim. McAfeen tai Sophoksen työkaluilla.

Autamme sinua myös muissa GDPR-huolissasi, joten ota meihin reilusti yhteyttä!