GDPR: Olettaminen ei ole todentamista

GDPR: Olettaminen ei ole todentamista

Sivustomme gdprtech.com aukeaa sanoilla ”GDPR Tech – Tukenasi EU:n tietosuoja-asetuksessa”.

Konkreettista ja käytännönläheistä apua ja tukea meiltä on saatavissa karkeasti luokitellen tasoille Tee-se-itse -> Vähän apua -> Paljon apua. Tee-se-itse -tasolla avuntarvitsija saa tyypillisesti käyttöönsä SaaS-ratkaisun / dokumenttipohjat joita hyödyntämällä on mahdollista dokumentoida asioita hallitusti ja pitkäjänteisesti.

Toki on hyvä muistaa etteivät dokumentit ota kantaa siihen onko niissä kuvattu esim. toivetila vai yleinen, johdonmukainen ja todennettu tapa tehdä asioita organisaatiossa.

Osastossa ”Vähän apua” apu ja tuki on konsultointia, koulutusta tai ohjelmistoja, joita asiakas itse täsmäkäyttää ja johtaa.

Tarjoamamme PK-sektorin GDPR ratkaisupaketti asettuu kategoriaan ”Paljon apua”. Siis paljon apua GDPR Tech:in johdolla pienelle tai keskisuurelle yritykselle/organisaatiolle työpajoineen, teknisen toimintaympäristön arviointeineen ja koulutuksineen ratkaisupakettina.

Edelleen, GDPR ei sisällä mitään sellaista mihin ei olisi joka tapauksessa syytä ottaa yrityksessä kantaa ja minkä suhteen on hyvä työstää ja selkiyttää yrityksen käytäntöjä.  Tämän takia on huolestuttavaa seurata uutisointia ylireagoinneista ja muista väärinkäsityksistä (esim. tivi 15.9.18: Yritykset painavat liian herkästi gdpr-liipaisinta: paljon turhia raportteja). Aikaa ja energiaa kuluu vääriin asioihin.

Meillä on asiakkaita hyvin erilaisilta toimialoilta ja toimintaympäristöistä. Kun asetettuna tavoitteena on todentaa miten asiat oikeasti ovat, sen lisäksi että on itsessään mielekästä kuunnella oman alansa osaavia ja tekeviä ihmisiä, kuuntelu ja kuullun ymmärtäminen ovat myös palvelun toimittamisen kannalta olennaisen tärkeitä.

Yksi lempilausahduksistani etenkin teknisten ympäristöjen ollessa kyseessä on brutaaliudestaan huolimatta ”ota silmä käteen ja katso”. Todennamme keskeisimmät asiat. Olettaminen ei ole todentamista.

Teksti: Mervi Hongisto

Rakenteettoman tiedon hallinta – Dark Data?

Rakenteettoman tiedon hallinta – Dark Data?

Unstructured data – ne kaikki tuhannet excelit ja muut dokumentit, jotka ovat jossain. Ne tuhannet sähköpostien varmuuskopiot ja muut tiedostot, joita silloin tällöin tarvitaan. Tai tarvitaanko?

EU GDPR:n osalta olisi syytä luokitella tietoa: mitä tarvitaan, mikä sisältää henkilötietoa, mikä on turhaa, kuka omistaa tiedon. Ongelma on siinä, että käyttäjät ovat vuosikausia luoneet dokumentteja, tallentaneet, muuttaneet ja kopioineet eri paikkoihin. Laitteet ovat vaihtuneet ja kopioita on luotu varalta lisää. Käyttäjät ovat vaihtuneet, siirtyneet, poistuneet. Miljoonia tai kymmeniä miljoonia tiedostoja. Osa on itsellä, osa voi olla pilvessä, osa siellä täällä.

Tarvitsetko niitä kaikkia. Et. Ei kukaan tarvitse niitä vanhoja tiedostoja, joissa on vanhoja nimilistoja tai henkilöhakemuksia. Ja joita kukaan ei ole tarvinnut vuosikausiin. Uskallatko poistaa niitä – ja millä perusteella?

Kokemuksemme mukaan organisaatioissa on teratavuittain tietoa. Tämä tarkoittaa miljoonia tiedostoja, joita tallennetaan ja suojataan joka päivä. Pääosin turhaan. Joidenkin arvioiden mukaan yli 60% käyttäjistä pääsee sellaiseen tietoon käsiksi, johon ei pitäisi. Osa näistä käyttäjistä omaa liika käyttöoikeuksia ja lisäksi ei ole vaihtanut salasanaa vuoteen. Tai koskaan. Pääosin turhia tietosuojaloukkausriskejä.

 

Tietosuojan osalta olisi järkevää kartoittaa mitä tietoa on, kuka pääsee niihin ja onko tiedoissa EU GDPR:ään liittyvää henkilötietoa. Yleensä ottaen noin 5-10 prosenttia tiedostoista sisältää sellaista tietoa, josta pitäisi olla huolissaan. Helppo juttu. Pyydät käyttäjiä käymään tiedostot läpi ja merkitsemään mikä on mitäkin tietoa. Samalla on hyvä tarkistaa, onko käyttäjää edes olemassa enää – milloin se Pertti lähtikään ja onko Erkin tiedot enää tarpeellisia?

Tai me voimme tehdä sen automaattisesti. Sisältö luokitellaan ja luodaan raportit. Olemme vähän tehokkaampia, sellainen keskimäärin muutama sata tiedostoa minuutissa, mutta tarvittaessa huomattavasti nopeamminkin. Aika nopea kaveri pitää olla, jotta pysyy meidän vauhdissa. Kysy lisää ja tilaa Dark Data Assessment, näitä on tehty vuodesta 2016. Metsäyhtiöstä ja teleoperaattorista putkiyhtiöön. 

Lisätietoja tästä tai tilaa tästä.

#DDA #Dark Data Assessment #GDPR #Rakenteettoman tiedon kartoitus

Oikein- ja väärinkäsityksiä re: GDPR

Oikein- ja väärinkäsityksiä re: GDPR

”Tieto on tämän ajan uusi öljy.” Kun tiedetään mitä kaikkea öljyyn on aikojen saatossa liittynyt (mm. sotia, taloudellista kukoistusta sekä ympäristökatastrofeja), on paikallaan että sääntelyä kehitetään mieluummin etupainotteisesti. Sääntelyn toteuttaminen ja valvominen saattaa toki olla hankalaa, väärinkäsityksiä aiheuttavaa ja jopa turhauttavaa. 

GDPR ei kuitenkaan sisällä mitään sellaista mihin ei olisi joka tapauksessa syytä ottaa yrityksessä kantaa ja minkä suhteen on hyvä työstää ja selkiyttää yrityksen käytäntöjä. Sääntelyn muututtua (/ muuttuessa re: kansallinen tietosuojalaki vielä vaiheessa) osaksi pakottavaa lainsäädäntöä asiat toki saattavat muuttua eri aikataululla ja eri järjestyksessä tärkeysjärjestyksen mukaan. 

Kysymys ei ole suurempaa mystiikkaa sisältävistä toimista. GDPR on henkilötietojen käsittelyn perälauta joka jättää organisaatiolle harkintavallan vaatimusten toteutustavoista. On myös huomioitava että GDPR:n lisäksi on olemassa muutakin henkilötietoihin liittyvää lainsäädäntöä. 

Omaa oikein- ja väärinkäsitysteni sekä oppimiskäyräni tasoa määrittelee – kaiken muun lisäksi – tällä hetkellä Sarasen Data Security Pro -ohjelman koulutuspäivät. 

Viime viikolla opin mm. että web-sovellusten tietoturvassa top10 -uhat eivät ole merkittävästi muuttuneet vuodesta 2013 vuoteen 2017. (Kouluttaja: ”Eikö mitään ole opittu?”) Lisäksi web-sovelluskehityksessä käytetään paljon ulkopuolisia hyvin erilaisista yhteyksissä haalittuja kirjastoja joissa saattaa olla tietosuojaan liittyviä ”ylläreitä”. Joissain tilanteissa testauksessa saatetaan edelleen käyttää juridisiin henkilöihin liittyvää materiaalia. (Realistisen testin ajamiseksi ei olisi pakko: http://www.iri.com/solutions/test-data).

Työ jatkuu ja sitä on paljon. Oma toivomus on että GDPR:aan liittyviä shokkiotsikoita sekä vastakkainasettelua olisi mahdollisimman vähän ja näiden sijaan keskityttäisiin pitkäjänteiseen perustyöhön sekä realistisiin ja käytännönläheisiin toteutuksiin mitä GDPR-yhteensopivuuden toteuttaminen ja ylläpito oikeasti on. Ja loppujen lopuksihan GDPR:ssa kyse on ihmis- eli meidän kaikkien oikeuksista kuten Human Rights Watch uutisoi

Pysytään linjoilla ja kyllä tämä tästä.

Teksti: Mervi Hongisto

GDPR-havaintoja: Terveisiä it-työläisen pöydältä

GDPR-havaintoja: Terveisiä it-työläisen pöydältä

Minä, pitkän linjan it-puurtaja, halusin tässä kohtaa työuraani oppia uutta uudesta tulokulmasta. Hain ja pääsin Sarasen Data Security Pro -koulutusohjelmaan ja sitä kautta hommiin GDPR Techiin kesäkuun lopulla.

Koulutukset alkoivat kesäkuussa ja jatkuivat heinäkuussa juristin vetämällä yhteensä kolmen koulutuspäivän mittaisella tymäkällä ja paljon hyvää keskustelua sisältäneellä GDPR-lakiosuudella. Lupaava alku siis.

GDPR on 88 sivua tulkintoja vaativaa lakitekstiä täynnä terminologiaa kuten ”riittävät organisatoriset ja tekniset toimenpiteet”, ”rekisterinpitäjä”, ”käsittelijä”, ”sisäänrakennettu ja oletusarvoinen tietosuoja”, ”osoitusvelvollisuus” ja ”seuraamukset”. Tulkintoja vaativaa kuten lakiteksti yleensäkin ja sinänsä kauhistelu on turhaa.

Haaste: mitä teksti tarkoittaa käytäntöön sovellettuna? Miten asetusta tulee tulkita toimintaympäristö huomioon ottaen?

Tai miten saavuttaa GDPR-yhteensopivuus? Tai pikemminkin miten osoittaa että prosessi/toimenpiteet GDPR-yhteensopivuuden saavuttamiseksi ovat käynnissä?

Ei himmeleitä. Suhteellisuudentajuinen resursointi, käytännönläheisyys, tehokas toteutus, varautuminen ja seuranta.

Ensimmäiset asiakastapaamiset, GDPR Techiin ja GDPR Techin palveluihin tutustuminen, Sarasen intensiivinen 3 päivän GDPR-lakikoulutus sekä yleinen aloitusrutistus todistetusti mahtuvat vajaaseen kahteen viikkoon. Kerron lisää tulevina viikkoina, pysy linjalla.

Teksti: Mervi Hongisto

GDPR ja asiakaspalvelu?

GDPR ja asiakaspalvelu?

Kuinka GDPR tulee ottaa huomioon asiakaspalvelussa? Katso video, jossa toimitusjohtajamme Juha Sallinen kertoo tietosuoja-asetuksesta asiakaspalvelun kannalta!

Autamme yrityksiä samaan myös asiakaspalvelunsa GDPR:n mukaiseksi. Meiltä löytyvät monipuoliset palvelut konsultoinnista koulutukseen. Autamme myös videolla mainittujen tietopyyntöjen ja tietojen poiston kanssa. Ota meihin yhteyttä ja kerro kuinka voimme auttaa!

Office 365 Tietoturvatalkoot!

Office 365 Tietoturvatalkoot!

Onko Office 365 Secure Score jo tuttu? Ja tiedätkö käytössä olevien palvelukomponenttien tietoturva-asetukset? Secure Score -palvelulla Microsoft kuvaa ja visualisoi heidän standardejaan vasten yrityksenne Office 365 -palvelun nykyisen tietoturvatason. Security Score toimii siis oivana benchmarkina yrityksen Office 365 -ympäristön tilasta.

Olemme saanet vahvistusta Office 365 Security -alueella, sillä kesäkuun alusta lähtien GDPR Techissä aloitti osa-aikaisena Office 365 -ratkaisuarkkitehtinä ja -tietoturva-asiantuntijana Petri Aalto. Petrillä on 10 vuoden kokemus Microsoftin julkisista pilvipalveluista viestintä-ja ryhmätyöpalveluiden käyttöönotoissa ja tietoturvamäärityksissä aina 300 000 käyttäjän kansainvälisiin organisaatioihin asti ja haluamme tarjota Petrin osaamista ja kokemusta käyttöönne kesän 2018 aikana.

Tarjoamme teille kesähintaan 3000,00€ (alv 0%) Office 365 Tietoturvatalkoot -paketin, joka pitää sisällään seuraavat komponentit:

• Nykyisen Office 365 -palvelun analysointi
• Eri komponenttien käyttö olemassa olevia lisenssejä vasten ja tiekartan luominen käytettävissä olevien Office 365 -palveluiden ja lisenssien realisoinnista ja käyttöönotosta tietoturvallisesti
• Dokumentointi ja konfigurointi Office 365 -palvelun perus tietoturva-asetuksista
• Dokumentointi ja konfigurointi Azure Active Directory -palvelun perus tietoturva-asetuksista
• Yleiset suositukset Office 365:sen eri palveluiden käytön suojaamiseen (olemassa oleva lisenssitaso huomioiden)

Tarjous on voimassa 16. heinäkuuta asti ja työ suoritetaan (etänä) heinä-elokuun aikana. Tarvittaessa matkakulut toteutuneen mukaan.

Petri on ollut ensimmäisenä maailmassa siirtämässä suomalaisia yrityksiä Office 365:sta edeltävään Business Productivity Online Suite – Standard -palveluun Microsoftin julkisessa pilvessä ja on alan pioneereja kansainvälisten yrityksien migraatioissa eri lähdejärjestelmistä kuten Lotus Notes, GroupWise, Google Apps ja Hybrid Exchange.
Viimeiset kaksi vuotta hän on toiminut päätyössään Office 365 Technical ja Security Advisor -rooleissa kansainvälisissä yrityksissä.

GDPR tulee – Tässä tarkistuslista

GDPR tulee - Tässä tarkistuslista

GDPR astuu voimaan tällä viikolla. Kaksi vuotta valmistautumisaikaa käytetty. Yleinen tietosuoja-asetus, eli GDPR, määrittelee tietojenkäsittelyä tarkemmin kuin aiemmin. Mitä kaikkea nyt olisikaan pitänyt tehdä? Tietosuojavaltuutetun toimisto ohjeistaa tekemään ainakin nämä:

▪ Käsitteletkö suuria määriä henkilötietoja – varmista ja nimitä organisaatioosi tietosuojavastaava.

▪ Kuvaa ja dokumentoi miten organisaatiossasi käsitellään henkilötietoja. Käy läpi kaikki henkilötietojen käsittelyn vaiheet keräämisestä hävittämiseen ja dokumentoi ne.

▪ Varmenna millä perusteella organisaatiosi käsittelee henkilötietoja. Henkilötietojen käsittelylle on oltava aina laista löytyvä peruste. Huomaa, että käsittelyn edellytyksen ei kaikissa tapauksissa tarvitse olla suora lupa henkilöltä.

▪ Millaisia riskejä henkilötietojen käsittelyyn liittyy organisaatiossasi? Selvitä miten riskejä voitaisiin minimoida (tai poistaa joissain tapauksissa kokonaan).

▪ Valmistaudu rekisteröityjen pyyntöihin. Päivitä prosessit tietosuoja-asetuksen vaatimusten mukaisiksi. Onko yrityksesi jo kyvykäs löytämään tietyn henkilön tiedot pyydettäessä?

▪ Huolehdi tietoturvasta. Valmistaudu ilmoittamaan henkilötietojen tietoturvaloukkauksista.

▪ Tarkista toimittajiesi ja kumppaniesi sopimukset vastaamaan asetuksen puitteita, myös mahdollisten korvausvastuiden osalta.

▪ Määrittele organisaation johtava valvontaviranomainen, jos organisaatiosi toimii usean EU:n jäsenmaan alueella.

▪ Jos käsittelet ala-ikäisten tietoja, selvitä, miten organisaatiosi on huomioitava lasten erityisasema.

GDPR Techin PK-paketti vastaa kokonaisuutena pääosaan yllämainituista. Se on kiihdytyskaista asetuksenmukaiseen toimintaan todennettuna ja dokumentoituna. Tilaa nyt, varsinkin jos GDPR-projektisi on vielä aloittamatta!

GDPR-huolia – vaivaavatko nämä myös sinua?

GDPR-huolia – vaivaavatko nämä myös sinua?

Olemme kevään aikana osallistuneet useisiin GDPR-aiheisiin tapahtumiin. Useissa keskustelussa esimerkiksi GDPR-päivillä ja Tallinnan Nordic -Baltic Security Summitissa nousi vahvasti esille varsinkin nämä GDPR-huolet:

GDPR-projektit koetaan kokonaisuudessaan haasteellisena. Useasti projekti on aloitettu rekisterien läpikäynnillä. Tämä on hyvä alku, mutta ei vielä opasta käytännön toimiin tai korjauksiin. GDPR Techin PK-paketti tarjoaa kokonaisratkaisun kiinteällä hinnalla ja tehokkaalla aikataululla pienille ja keskisuurille yrityksille.

Sovelluksia testataan huonosti ennen tuotantoon vientiä tai tuotannon tiedoilla. Tämä voi johtaa pahoihin tietovuotoihin. IRI Cosortin valikoimasta löytyy niin tiedon peitto kuin synteettisen testitiedon luontityökalut. Lisätietoa valmistajalta ja pyydä meiltä esittelyä!

Ohjeita ei noudateta käytännössä. Organisaatioissa on kyllä ohjeita, koulutuksiakin on pidetty, mutta kun testataan esimerkiksi ”kalasteluviestillä”, kolmasosa testatuista klikkaa sitä linkkiä, mitä ei pitänyt. Oletko varma, että yrityksessänne asia on kunnossa? Meiltä voit tilata testauksen juuri teille.

Päätelaitteiden suojaus on huonosti hoidettu tai edes omaisuuden hallintaa ei ole. Tiedätkö sinä, missä käyttäjien päätelaitteet ovat, ovatko ne tietoturvallisia ja jos laite häviää, aiheutuuko siitä tietosuojaloukkaus? Kysy lisää, tämä on helposti kuntoon laitettava kohta, esim. McAfeen tai Sophoksen työkaluilla.

Autamme sinua myös muissa GDPR-huolissasi, joten ota meihin reilusti yhteyttä!

PK-yritys, kaipaatko apua GDPR:n kanssa? PK-pakettimme auttaa!

PK-yritys, kaipaatko apua GDPR:n kanssa? PK-pakettimme auttaa!

GDPR:n, eli EU:n tietosuoja-asetus, astuu pian kovennettuna voimaan. Onko yrityksessäsi tietosuoja-asiat jo työn alla? Tiedämme, että GDPR-projektin aloittaminen saattaa tuntua vaivalloiselta. Siksi olemmekin helpottaneet arkeasi PK-paketillamme, joka auttaa sinut nopeasti vauhtiin GDPR:ään valmistautumisessa!

Tietosuoja-asetuksen piirissähän ovat kaikki organisaatiot ja yritykset, jotka käsittelevät EU:n kansalaisten henkilötietoja tai henkilötietoja EU:n alueella. Tämä tarkoittaa siis jokaista yritystä, jolla on asiakkaita tai työntekijöitä – erittäin todennäköisesti myös siis sinun yritystäsi.

PK-paketissamme käydään läpi yrityksesi nykytila, luodaan toimenpidekartta sekä tehdään tiedon kartoitus. GDPR koskee myös olemassa olevan tiedon käsittelyä sekä tallennusta, ei siis pelkästään uutta digitaalista aineistoa. Siksi onkin erityisen tärkeää pitää huolta myös vanhasta datasta.

Pakettiimme kuuluu myös henkilöstön koulutusta sekä viestintäsuunnitelma ongelmatilanteiden varalta.

Paketin tarkempi esite löytyy täältä!

Sujuuko jo GDPR:n teoria – mutta toteutus uupuu?

Sujuuko jo GDPR:n teoria – mutta toteutus uupuu?

Siirtymäaika GDPR:ään, eli EU:n tietosuoja-asetukseen, on loppumaisillaan. Monissa organisaatioissa valmistautuminen onkin jo kovassa vauhdissa. Samaan aikaan keskustelu GDPR:n ympärillä on alkuvuoden aikana vain kiihtynyt ja tietoa asetuksen vaatimuksista on jo eri kielilläkin runsaasti saatavilla. Usein GDPR:ää käsittelevät artikkelit kuitenkin kuvaavat vain vaatimukset – käytännön toteutus jää uupumaan. Montaa mielipidettä ja konsulttia löytyy eri viesteillä; odotellaan valmiita ratkaisuja, päivitetään vain rekisteriselosteet eikä muuta tarvita jne. Kumpikin näistä väitteistä on riittämätön eikä ratkaise GDPR:n kokonaisuutta.

Onko sinun yrityksessäsi törmätty tähän ongelmaan? Tietoa on, mutta on vaikea edes hahmottaa mistä aloittaa tai mitkä olisivat tärkeimmät toimenpiteet. Olemme huomanneet monien organisaatioiden tuskailevan tämän ongelman kanssa. Siksi päätimmekin järjestää Wakarun kanssa GDPR-projektien toteuttamiseen keskittyneen GDPR-päivän!

Tapahtuma esittelee GDPR:ää eri näkökulmista ja ohjelma on painottunut käytännön esimerkkeihin; miten muut organisaatiot ovat valmistautuneet ja miksi. Kokemuksia saadaan niin kotimaasta kuin ulkomailta sekä suuryrityksiltä että julkishallinnon puolelta.

Tapahtumassa on esillä myös useita näytteilleasettajia, jotka esittelevät GDPR-palveluita ja -ratkaisujaan. Taukojen aikana on mahdollisuus myös verkostoitua ja vaihtaa kokemuksia muiden GDPR:n parissa työskentelevien kanssa.

Muuten – huomaathan, etteivät työt ja valmistautuminen lopu 25.5. IDC:n kypsyystila-arvion mukaan GDPR-valmius voidaan jakaa viiteen tasoon. Todella moni yritys on vielä vaiheessa yksi – missä kohdassa organisaatiosi on?

Lähde: IDC ja Symantec / go.symantec.com/gdpr

GDPR-päivästä on tulossa tiivis paketti ratkaisuja sekä kokemuksia GDPR:n parista. Tervetuloa mukaan kuulemaan kiinnostavat puheenvuorot ja tutustumaan GDPR-ratkaisuihin GDPR-päivään 20.3.2018!