Euroopan Unioni valmistelee uutta, huomattavasti aiempaa säätelyä tiukempaa tietosuoja-asetusta. Uusi sääntely vaikuttaa suureen osaan suomalaisista yrityksistä ja muista organisaatioista. Asetuksen noudattamatta jättämiselle on suunniteltu tuntuvia sanktioita, joten ei ole ihme, että aihe puhututtaa.
Koska aiheesta liikkuu paljon huhuja ja vähemmän ajantasaista tietoa, otimme asiasta selvää. Pureskelimme tulokset yhdessä yhteistyökumppanimme Trend Micron kanssa selkokielisen muotoon ja esittelimme ne maksuttomassa webinaarissa 21.9.2016 klo 9.30–10.30.
MIKÄ IHMEEN TIETOSUOJA-ASETUS?
Mitä GDPR:stä (General Data Protection Regulation) pitää tietää?
Webinaarissa kerromme:
•Millaista tietoa ja millaisia yrityksiä tietosuoja-asetus koskee?
•Missä valmistelutyö tällä hetkellä menee ja miltä aikataulu näyttää?
•Miten mikäkin tieto pitää suojata?
•Millaisia sanktioita yritykselle voi tulla, jos suojaus epäonnistuu?
•Miten ja milloin yrityksen kannattaa alkaa varautua uuteen sääntelyyn?
•Mitkä ovat asetusta silmällä pitäen keskeisimmät toimenpiteet, joista pitää huolehtia?
Webinaarin vetäjät:
Webinaarin asiantuntijavieraana toimii Trend Micron maajohtaja (Suomi ja Baltia), Kimmo Vesajoki. Isäntänä toimii Centeron asiakassuhteista vastaava Teemu Tiainen.
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...Teemu Tiainen
Keskiviikkona 19.4. klo 9.30 järjestimme webinaarin, jossa paneuduimme Sparta Consulting Oy:n Miko Eklöfin ja Heimo Hännisen kanssa tietotilinpäätökseen työkaluna EU:n tietosuoja-asetukseen valmistautumiseen.
Henkilötietojen on oltava hallussa, jotta niitä voidaan suojata ja niiden asianmukaisesta käsittelystä voidaan varmistua.
Henkilötietojen tietotilinpäätös on hyvä työkalu henkilötiedon haltuunottoon ja auttaa myös osoitusvelvollisuuden toteuttamisessa. EU:n tietosuoja-asetukseen valmistauduttaessa tietotilinpäätös on erinomainen työkalu.
Webinaarissa käsittelimme mm. seuraavia asioita:
Mitä tietotilinpäätös tarkoittaa?
Mitä hyötyjä se tarjoaa?
Miten tietotilinpäätös tehdään?
Tietotilinpäätöksessä kyse on organisaation osien ja ihmisten osaamisen yhdistämisestä ja kuvaamisesta tavalla, jota kaikki voivat hyödyntää.
Tietosuoja-asetuksen lisäksi tämä tarjoaa loistavan alustan toiminnan tehostamiseen.
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Teemu Tiainen
Keskiviikkona 23.11.2016 järjestimme webinaarin, jossa pohdimme, miten tietoturvallinen toimintakulttuuri rakennetaan EU:n tietosuoja-asetus huomioiden. Vuorossa oli siis hivenen pehmeämpiä asioita webinaarisarjan aiempiin osiin verrattuna.
Kävimme lävitse, millaisia asioita tulee huomioida mm. johtamisessa, yrityskulttuurissa ja henkilöstön osaamisessa.
Asiantuntijavieraanamme webinaarissa oli Relator Oy:n Olli Pitkänen. Olli toimii konsulttina organisaatioiden tietoturvallisuuden kehittämishankkeissa sekä vastaa Relatorin asiantuntijapalveluista.
Toukokuussa 2018 voimaan tullut EU:n uusi tietosuoja-asetus toi paljon velvoitteita myös yhdistyksille. Yksi näistä on se, että rekistereitä ylläpitävän yhdistyksen on osattava varmistaa henkilötietojen turvallinen käsittely. Moni yhdistys säilyttää tietoja erilaisissa pilvipalveluissa (esim. Google Drive, OneDrive, Dropbox, jne.). Miten turvallisia eri pilvipalvelut ovat ja mitkä asiat vaikuttavat niiden turvallisuuteen? Milloin kannattaa epäillä tietomurtoa? Miten siirtää turvallisesti tietoa toimijalta toiselle verkon välityksellä?
Miten FINCSC-kyberturvallisuussertifikaatti auttaa GDPR:n kanssa?Teemu Tiainen
Keväällä 2016 voimaan tullutta EU:n yleistä tietosuoja-asetusta ryhdytään soveltamaan käytäntöön 25. päivänä toukokuuta 2018.
Järjestimme 17.5.2018 webinaarin, jossa kerroimme viimehetken vinkit henkilötietojen käsittelyyn.
Asiantuntijoina webinaarissamme olivat Tuukka Laava kyberturvallisuuden tutkimus-, kehitys- ja koulutuskeskus JYVSECTEC:istä sekä Centeron Tuukka Tiainen, joka kertoi TOP 3 -haasteet Centeron asiakkailleen tekemien tietoturvakartoitusten pohjalta.
Webinaarissa kerroimme mm.:
- Mitä henkilötietojen käsittelyn asianmukainen suojaaminen tarkoittaa?
- Miten suojaamismenetelmien asianmukaisuutta voidaan arvioida?
- Kuinka FINCSC-sertifiointi edesauttaa suojaamistoimien toteutuksessa?
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Tuomas Tonteri
Kalajoen yrityspalveluiden järjestämässä turvallisuuspainotteisessa tietoiskuseminaarissa 16.2.2017 pitämäni esitys kyberturvallisuudesta, organisaatioiden ja tietojärjestelmien suojaamisesta sekä EU:n uuden tietosuoja-asetuksen mukanaan tuomista vaatimuksista.
Esitys sisältää myös yleistä tietoa elfGROUP Kyberturvallisuuspalvelut Oy:stä ja elfGROUP:n tarjoamista pilvi- ja kyberturvallisuuspalveluista.
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Eetu Uotinen
Kaikkien henkilötietoja käsittelevien organisaatioiden on toimittava EU:n tietosuoja-asetuksen vaatimusten mukaisesti 25.5.2018 jälkeen.
Webinaarissa käsitellään seuraavat aiheet:
- EU:n tietosuoja-asetus velvoittaa 25.5.2018 alkaen täysimääräisesti. Mitä se tarkoittaa?
- Miten tietosuoja-asetukseen pitää valmistautua?
- Onko olemassa valmiita ratkaisuja, joilla voi helpottaa omaa valmistautumistaan?
Webinaarin tallenne: https://youtu.be/bPhtPLk8UBQ
https://www.documenthouse.fi/otayhteytta
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassaLoihde Advisory
Esitys on osa joulukuussa 2015 pidettyä Talent Base Aamiaistilaisuutta: Data. Prosessit. Innovaatiot. Aiheesta luennoi Erkka Pälä, Legentum Oy.
Esityksen sisältö:
Tietosuojan käsitteet ja tietosuoja innovointiin liittyvissä vastuissa, prosesseissa ja tietojärjestelmissä. Uudistuva henkilötietolainsäädäntö ja henkilötietojen hyödyntäminen innovaatioissa.
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...Teemu Tiainen
Keskiviikkona 19.4. klo 9.30 järjestimme webinaarin, jossa paneuduimme Sparta Consulting Oy:n Miko Eklöfin ja Heimo Hännisen kanssa tietotilinpäätökseen työkaluna EU:n tietosuoja-asetukseen valmistautumiseen.
Henkilötietojen on oltava hallussa, jotta niitä voidaan suojata ja niiden asianmukaisesta käsittelystä voidaan varmistua.
Henkilötietojen tietotilinpäätös on hyvä työkalu henkilötiedon haltuunottoon ja auttaa myös osoitusvelvollisuuden toteuttamisessa. EU:n tietosuoja-asetukseen valmistauduttaessa tietotilinpäätös on erinomainen työkalu.
Webinaarissa käsittelimme mm. seuraavia asioita:
Mitä tietotilinpäätös tarkoittaa?
Mitä hyötyjä se tarjoaa?
Miten tietotilinpäätös tehdään?
Tietotilinpäätöksessä kyse on organisaation osien ja ihmisten osaamisen yhdistämisestä ja kuvaamisesta tavalla, jota kaikki voivat hyödyntää.
Tietosuoja-asetuksen lisäksi tämä tarjoaa loistavan alustan toiminnan tehostamiseen.
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Teemu Tiainen
Keskiviikkona 23.11.2016 järjestimme webinaarin, jossa pohdimme, miten tietoturvallinen toimintakulttuuri rakennetaan EU:n tietosuoja-asetus huomioiden. Vuorossa oli siis hivenen pehmeämpiä asioita webinaarisarjan aiempiin osiin verrattuna.
Kävimme lävitse, millaisia asioita tulee huomioida mm. johtamisessa, yrityskulttuurissa ja henkilöstön osaamisessa.
Asiantuntijavieraanamme webinaarissa oli Relator Oy:n Olli Pitkänen. Olli toimii konsulttina organisaatioiden tietoturvallisuuden kehittämishankkeissa sekä vastaa Relatorin asiantuntijapalveluista.
Toukokuussa 2018 voimaan tullut EU:n uusi tietosuoja-asetus toi paljon velvoitteita myös yhdistyksille. Yksi näistä on se, että rekistereitä ylläpitävän yhdistyksen on osattava varmistaa henkilötietojen turvallinen käsittely. Moni yhdistys säilyttää tietoja erilaisissa pilvipalveluissa (esim. Google Drive, OneDrive, Dropbox, jne.). Miten turvallisia eri pilvipalvelut ovat ja mitkä asiat vaikuttavat niiden turvallisuuteen? Milloin kannattaa epäillä tietomurtoa? Miten siirtää turvallisesti tietoa toimijalta toiselle verkon välityksellä?
Miten FINCSC-kyberturvallisuussertifikaatti auttaa GDPR:n kanssa?Teemu Tiainen
Keväällä 2016 voimaan tullutta EU:n yleistä tietosuoja-asetusta ryhdytään soveltamaan käytäntöön 25. päivänä toukokuuta 2018.
Järjestimme 17.5.2018 webinaarin, jossa kerroimme viimehetken vinkit henkilötietojen käsittelyyn.
Asiantuntijoina webinaarissamme olivat Tuukka Laava kyberturvallisuuden tutkimus-, kehitys- ja koulutuskeskus JYVSECTEC:istä sekä Centeron Tuukka Tiainen, joka kertoi TOP 3 -haasteet Centeron asiakkailleen tekemien tietoturvakartoitusten pohjalta.
Webinaarissa kerroimme mm.:
- Mitä henkilötietojen käsittelyn asianmukainen suojaaminen tarkoittaa?
- Miten suojaamismenetelmien asianmukaisuutta voidaan arvioida?
- Kuinka FINCSC-sertifiointi edesauttaa suojaamistoimien toteutuksessa?
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Tuomas Tonteri
Kalajoen yrityspalveluiden järjestämässä turvallisuuspainotteisessa tietoiskuseminaarissa 16.2.2017 pitämäni esitys kyberturvallisuudesta, organisaatioiden ja tietojärjestelmien suojaamisesta sekä EU:n uuden tietosuoja-asetuksen mukanaan tuomista vaatimuksista.
Esitys sisältää myös yleistä tietoa elfGROUP Kyberturvallisuuspalvelut Oy:stä ja elfGROUP:n tarjoamista pilvi- ja kyberturvallisuuspalveluista.
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Eetu Uotinen
Kaikkien henkilötietoja käsittelevien organisaatioiden on toimittava EU:n tietosuoja-asetuksen vaatimusten mukaisesti 25.5.2018 jälkeen.
Webinaarissa käsitellään seuraavat aiheet:
- EU:n tietosuoja-asetus velvoittaa 25.5.2018 alkaen täysimääräisesti. Mitä se tarkoittaa?
- Miten tietosuoja-asetukseen pitää valmistautua?
- Onko olemassa valmiita ratkaisuja, joilla voi helpottaa omaa valmistautumistaan?
Webinaarin tallenne: https://youtu.be/bPhtPLk8UBQ
https://www.documenthouse.fi/otayhteytta
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassaLoihde Advisory
Esitys on osa joulukuussa 2015 pidettyä Talent Base Aamiaistilaisuutta: Data. Prosessit. Innovaatiot. Aiheesta luennoi Erkka Pälä, Legentum Oy.
Esityksen sisältö:
Tietosuojan käsitteet ja tietosuoja innovointiin liittyvissä vastuissa, prosesseissa ja tietojärjestelmissä. Uudistuva henkilötietolainsäädäntö ja henkilötietojen hyödyntäminen innovaatioissa.
Millaisia muutoksia EU:n tietosuoja-asetus tuo henkilötietojen käsittelyyn ja henkilörekisterien ylläpitäjille? Miten se vaikuttaa kansalaisen tai yrityksen elämään? FK:n lakimies Outi Aalon esitys.
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Jan Lindberg
Käsiteltävät kysymykset: Milloin esimerkiksi markkinoinnissa käytetyt evästeet (cookiet) ovat henkilötietoja & miten GDPR vaikuttaa evästeisiin? Yrityksen oman markkinointirekisteridatan rikastuttaminen - milloin mahdollista? Milloin sovelluksien sisäinen ns. "in-app" mainonta on sallittua? Digitaalinen markkinointi ja ePrivacy-asetuksen viimeiset linjaukset - mitä GDPR:n jälkeen odotettavissa ja mitä avoimia kysymyksiä ePrivacyyn liittyy?
Uusi EU henkilötietosuoja-asetus tullee voimaan 2016 alkupuolella ja velvoittaa kaikkia organisaatioita, joissa ylläpidetään henkilötietoa sisältäviä rekistereitä. Varautuminen ajoissa kannattaa.
www.tieto.fi/euhenkilotieto
Millaisia muutoksia EU:n tietosuoja-asetus tuo henkilötietojen käsittelyyn ja henkilörekisterien ylläpitäjille? Miten se vaikuttaa kansalaisen tai yrityksen elämään? FK:n lakimies Outi Aalon esitys.
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Jan Lindberg
Käsiteltävät kysymykset: Milloin esimerkiksi markkinoinnissa käytetyt evästeet (cookiet) ovat henkilötietoja & miten GDPR vaikuttaa evästeisiin? Yrityksen oman markkinointirekisteridatan rikastuttaminen - milloin mahdollista? Milloin sovelluksien sisäinen ns. "in-app" mainonta on sallittua? Digitaalinen markkinointi ja ePrivacy-asetuksen viimeiset linjaukset - mitä GDPR:n jälkeen odotettavissa ja mitä avoimia kysymyksiä ePrivacyyn liittyy?
Uusi EU henkilötietosuoja-asetus tullee voimaan 2016 alkupuolella ja velvoittaa kaikkia organisaatioita, joissa ylläpidetään henkilötietoa sisältäviä rekistereitä. Varautuminen ajoissa kannattaa.
www.tieto.fi/euhenkilotieto
Esitys lainsäädännön ja tiedon ja sen arvon yhteyksistä ja riippuvuuksista seminaarissa, jossa pohdittiin, tarvitaanko 2020-luvun suomessa tietopolitiikkaa.
SOME 2013: Legal Issues in Social Media and Data ProtectionJan Lindberg
Social media has not created a need to implement new legislation, but it is more or less application of existing legislation from a wide variety of sources, e.g., marketing, privacy, intellectual property, employment law, contract law and similar. Digital freedom from lawyers perspective does not mean that everyone could do whatever he or she likes, but I claim that digital freedom and social media just creates a new task for the management to channel employees' and organisations' messages into an agreed form and format in order to ensure business results. This also creates a need to establish clear policies for communication and especially what not to communicate (confidential information, insider questions) which will be eventually tested in employee relationship termination situations.
Zero Trust And Best Practices for Securing Endpoint Apps on May 24th 2021Teemu Tiainen
The great cyber security expert Sami Laiho returned as a keynote speaker with the theme of Zero Trust, but this time from the point of view of securing endpoint applications.
Sami Laiho is an internationally renowned and recognized specialist in access rights and endpoint security. In this webinar, Laiho and Centero's Juha Haapsaari discussed the Zero Trust model and securing endpoint applications – even in environments of over 100,000 workstations.
These are some of the themes we covered:
• How to ease your workload with allow-listing.
• Is allow-listing difficult? (A hint: it is not.)
• Implementing AppLocker to trim down your application portfolio.
• Restricting admin rights to control your IT environment.
• Managing and updating applications after allow-listing operations.
Zero Trust is a new paradigm for cyber security in organizations. Modern IT environments are complex by nature, and both users and devices are constantly on the move. Traditional methods are not sufficient to properly secure this kind of environment, and that’s where Zero Trust comes in.
Taistelu mobiililaitteiden uhkia vastaan alkakoonTeemu Tiainen
Pidimme 22.11.2018 webinaariin, jossa pohdimme, miksi mobiilin tietoturvaan tulisi suhtautua jopa vakavammin, kuin lukittujen ympäristöjen päätelaitteiden suojaukseen.
Yrityksen arkaluonteisia tietoja sisältäviä mobiililaitteita on määrällisesti enemmän liikenteessä kuin firman läppäreitä. Kännykkä on äärimmäisen helppo saalis pitkäkyntisille ja suojaamattomana se suorastaan tyrkyttää itseään tietovuodon välineeksi.
Monen ammattilaisen taskussa kulkevat työsähköpostien ja liitetiedostojen ohessa yrityksen CRM-järjestelmät ja muut tietosuojan alaiset informaatiosisällöt. Suojaamaton mobiililaite on varmasti helpoin saatavilla oleva väline tietomurtoon ja yrityksen maineen tahraamiseen.
Mobiililaitteita koskevat nykypäivänä aivan saman kalliiksi tulevien tietomurtojen uhat kuin työasemiakin.
Mobiililaitteiden tietoturva on helposti ratkaistavissa oleva tietoturvariski. Usein ratkaisuksi riittää hallintajärjestelmä, jolla kadonnut laite voidaan tarvittaessa tyhjentää. Käsittelimme webinaarissa mobiilin tietoturva-aukkoja sekä kustannustehokkaita ratkaisuja suojauksen toteuttamiseen. Asiantuntijamme esittelivät ilmaiset sekä maksulliset työvälineet mobiilin turvaksi.
Webinaarissa kerroimme, kuinka organisaatiossa voidaan hoitaa mobiililaitteiden suojaus aukottomasti, kustannustehokkaasti ja keskitetysti.
Ravintolavaunuun unohtunut läppäri tarjoaa vapaan temmellyskentän ja keppostelun mahdollisuuden pahiksille! Salaamattomien laitteiden päätyessä vääriin käsiin, tieto on naurettavan helppo lukea ja tietovuotokatastrofin merkit leijuvat vahvana ilmassa.
Tietokoneiden lisäksi raakalaismaisille tunkeutujille helppoja saaliita ovat massamuistit, kuten kadulle pudonneet USB-tikut ja hyllyn reunalla köllöttelevät Flash-levyt.
Centeron asiakkailleen tekemissä tietoturvakartoituksissa paljastui huolestuttava perustavaa laatua oleva puute. Liikkuvien työasemien osalta, 73 % kartoitetuista organisaatioista ei ollut käytössä minkään tasoista päätelaitteiden tallennustilan salausta!
Nykyisin laitteiden salaus on vaivaton toteuttaa eikä loppukäyttäjää kuormiteta erillisillä salasanakirjautumisilla. 1.11.2018 järjestetyssä webinaarissa kävimme läpi esimerkkejä kiintolevyjen ja massamuistien tehokkaaseen salaukseen.
19.10.2016 klo 9.30 järjestimme webinaarin, jossa kävimme teknisen tietoturvan keskeiset osa-alueet lävitse ja kerromme, mitkä ovat kunkin osa-alueen asiat, jotka vähintään pitää olla kunnossa, jotta voi yöllä nukkua rauhallisin mielin. Asiantuntijavieraana webinaarissa on Microsoftin Partner Technology Strategist, Ari Auvinen, joka osaltaan kertoi, millaisia teknisiä ratkaisuja tietoturva-asioiden kunnostamiseen on olemassa.
Keskiviikkona 14.12. klo 9.30 järjestimme webinaarin, jossa paneuduimme Canon Oy:n Business Development Manager, Juuso Enjalan, kanssa tulostamisen ja fyysisten dokumenttien säilyttämisen käytäntöihin.
Tulostaminen ja fyysisten dokumenttien säilyttäminen on yllättävän suuri tietoturvariski niin pienissä kuin suurissakin yrityksissä. Pikainen vilkaisu asiantuntijan salkkuun, tulostimen vieressä olevaan roskakoriin ja pöydillä lojuviin papereihin paljastaa monesti tilanteen karulla tavalla.
Luonnollisesti EU:n tietosuoja-asetuksella (GDPR) on vaikutuksensa myös fyysisesti säilytettäviin dokumentteihin ja niiden tietoturvaan.
Oletko koskaan ajatellut, että tietoturvan huomioiminen tulostamisessa voisikin yllättäen säästää rahaa? Katso nauhoitteesta, mitä tämä tarkoittaa.
Webinaarissa käsittelimme mm. seuraavia asioita:
Mitä meillä tulostetaan tai saadaan tulostaa?
Miten varmistetaan, että tulosteet päätyvät oikealle henkilölle?
Parhaat käytännöt fyysisten dokumenttien tietoturvan kannalta?
Tulosteiden ja fyysisten dokumenttien tietoturva tietosuoja-asetuksen valossa?
Miten käyttäjäkokemus virtualisoidaan Microsoft UE-V:n avulla?Teemu Tiainen
Torstaina 21.1. klo 9.30 järjestämme webinaarin monelle ehkä tuntemattomastakin aiheesta eli käyttäjäkokemuksen virtualisoinnista (User Experience Virtualization). Tuotteena teknologian taustalla on Microsoft UE-V.
Käyttäjäkokemuksen virtualisoinnin avulla voidaan esimerkiksi tehostaa ylläpitoa ja helpottaa käyttäjien elämää. Tule kuuntelemaan, miten se tapahtuu! Et tarvitse aiempaa kokemusta aiheesta.
Tässä tehokkaassa kolmen vartin webinaarissa Centero Oy:n Aku Suonpää kertoo, mistä ihmeestä on ylipäätään kysymys. Webinaarissa myös demotaan UE-V-tuotteen mahdollisuuksia käytännössä sekä käydään lävitse erilaisia skenaarioita, joissa käyttäjäkokemuksen virtualisoinnista saadaan ulosmitattua selkeitä hyötyjä.
Akulla on vuosikymmenen kokemus sovellusvirtualisoinnista ja hän on toiminut asiantuntijana niin Suomen suurimpien yliopistojen, kuin globaalisti toimivien pörssiyhtiöidenkin sovellusvirtualisointiprojekteissa.
Webinaarin jälkeen olemme varanneet riittävästi aikaa kysymyksille ja muulle jatkokeskustelulle.
Agenda:
• Mitä käyttäjäkokemuksen virtualisointi on?
• Demo (Microsoft UE-V)
• Millaisiin ympäristöihin ja tilanteisiin käyttäjäkokemuksen virtualisointi sopii?
Sovellusvirtualisointi - Mitä missä milloin 2015Teemu Tiainen
Materiaali on Centeron Aku Suonpään webinaarista 17.12.2015.
• Millainen on virtuaalinen sovellus ja mitä se yrittää olla?
o Kuinka virtuaalisovellus toimii?
o Vaikutukset käyttäjäkokemukseen
o Milloin kannattaa ja milloin ei?
• Virtuaalisovellusten jakelu
o Erot perinteisellä tavalla asennettujen sovellusten jakeluun nähden
• Sovellusten virtualisointi
o Erot MSI paketointiin
o Milloin helppoa ja milloin vaikeaa?
2. Copyright 2016 Trend Micro Inc.2
Trend Micro
27 years focused on security software, largest independent vendor
Consistent – A World Safe for Exchanging Digital Information
Headquartered in Japan, Tokyo Exchange Nikkei Index (4704)
8 consecutive years on Dow Jones Sustainability Indexes
Customers include 48 of top 50 global corporations
5300+ employees, 50 countries worldwide
500k commercial customers &
155M endpoints protected
Small
Business
Midsize
Business
Enterprise
ConsumerConsumers
4. Copyright 2016 Trend Micro Inc.4
Euroopan Unionin tietosuoja-asetus
1 artikla
Kohde ja tavoitteet
1. Tällä asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka
koskevat henkilötietojen vapaata liikkuvuutta.
2. Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan
henkilötietojen suojaan.
3. Henkilötietojen vapaata liikkuvuutta unionin sisällä ei saa rajoittaa eikä kieltää syistä, jotka liittyvät luonnollisten henkilöiden
suojeluun henkilötietojen käsittelyssä.
2 artikla
Aineellinen soveltamisala
1. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten
henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus
muodostaa rekisterin osa.
http://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=EN
5. Copyright 2016 Trend Micro Inc.5
Käsitteet
Henkilötieto
Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot (esim. nimi, henkilötunnus, kuva,
biometrinen tai geneettinen tieto). Henkilötietojen käsittely Kaikki henkilötietoihin kohdistuvat toimet (tiedon elinkaari;
suunnittelusta → hävittämiseen).
Henkilötietojen erityiset tietoryhmät, ”arkaluonteiset henkilötiedot”
Tiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus, ammattiliiton
jäsenyys, geneettisiä tietoja, terveyttä koskevia tietoja, tai seksuaaliseen käyttäytymiseen liittyviä tietoja. Erityisiä tietoryhmiä
koskeva käsittely on erikseen säänneltyä.
Henkilötietojen käsittelijä
Luonnollinen tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän
toimeksiannosta.
Rekisterinpitäjä
Luonnollinen tai oikeushenkilö, julkinen viranomainen, virasto tai muu elin, joka yksin tai yhteistyössä muiden kanssa
määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
Rekisteröity
Henkilö, jonka henkilötietoja käsitellään.
http://www.gdpr.fi/sanasto/
6. Copyright 2016 Trend Micro Inc.6
Velvoitteet
”...rekisterinpitäjän on toteutettava tarvittavat tekniset ja
organisatoriset toimenpiteet, joilla voidaan varmistaa ja
osoittaa, että käsittelyssä noudatetaan tätä asetusta.”
24 artikla
1. Tilivelvollisuus
2. Tietosuojavastaavan nimitys
3. Ilmoitusvelvollisuus tietoturvaloukkauksesta
4. Henkilötietojen käsittely, poisto, luovutus, siirto...
7. Copyright 2016 Trend Micro Inc.7
Käsittelyn turvallisuus
32 artikla
Käsittelyn turvallisuus
1. Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä
luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit
rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi
asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten
a) henkilötietojen pseudonymisointi ja salaus;
b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta
tietojenkäsittelyn turvallisuuden varmistamiseksi.
2. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti
siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen,
häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.
8. Copyright 2016 Trend Micro Inc.8
Ilmoitusvelvollisuus henkilötietojen
tietoturvaloukkauksesta 1/2
33 artikla
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle
1. Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja
mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle...
2. Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta
viivytystä saatuaan sen tietoonsa.
3. Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään
a) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen
ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
b) ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;
c) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;
d) kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen
tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
9. Copyright 2016 Trend Micro Inc.9
Ilmoitusvelvollisuus henkilötietojen
tietoturvaloukkauksesta 2/2
33 artikla
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle
5. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen
tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän
dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.
10. Copyright 2016 Trend Micro Inc.10
Milloin tietosuojavastaava pitää nimittää?
Tietosuojavastaava on asetuksen määrittelemä rooli, jonka rekisterinpitäjän
ja henkilötiedon käsittelijän on nimettävä määritellyissä tilanteissa:
a) jos tietojenkäsittelyä suorittaa viranomainen tai julkishallinnon elin (muu kuin
tuomioistuin),
b) ydintehtävät muodostuvat käsittelytoimista, jotka edellyttävät rekisteröityjen
säännöllistä ja järjestelmällistä seurantaa laajassa mitassa, tai
c) ydintehtävät muodostuvat käsittelytoimista, jotka kohdistuvat henkilötietojen
erityisiin tietoryhmiin, rikostuomioihin tai rikoksia koskeviin tietoihin.
Asetus määrittelee myös tietosuojavastaavan aseman ja toimenkuvan. Konserni voi
nimittää yhden ainoan tietosuojavastaavan samoin kuin yksi tietosuojavastaava
voidaan nimittää useampaa viranomaista tai julkishallinnon elintä varten.
http://www.elinakoivumaki.com/2016/06/vaatiiko-uusi-laki-yritykseenne-tietosuojavastaavan/
11. Copyright 2016 Trend Micro Inc.11
Hallinnolliset seuraamukset
• Valvontaviranomainen voi määrätä rekisterinpitäjälle tai
henkilötietojen käsittelijälle sakon tietosuoja-asetuksen
vaatimusten laiminlyönnistä.
• Sakon suuruus määräytyy rikkomuksen luonteen perusteella.
• Sakon enimmäismäärä on 20 milj. € tai 4% yrityksen
edeltävän tilikauden vuotuisesta maailmanlaajuisesta
kokonaisliikevaihdosta.
12. Copyright 2016 Trend Micro Inc.12
Miten kannattaa valmistautua?
1. Tutustu uuteen asetukseen
2. Selvitä missä organisaatiosi palvelimet ja data sijaitsevat.
3. Ota uusi asetus huomioon koko järjestelmäarkkitehtuurissa.
4. Varmista kokonaisuuden tietoturvataso ja miten sitä seurataan.
5. Pohdi kuinka asiakastiedot voidaan toimittaa pyynnöstä rekisteröidylle.
6. Mieti, miten todennat, että alaikäisellä on vanhempien lupa
verkkopalvelun käyttöön.
7. Selvitä, miten varmistua siitä, että rekisteröidyn tiedot on poistettu
asiakkaan pyynnöstä järjestelmästä ja kuinka tämä vahvistetaan.
http://blog.planeetta.net/7-tapaa-miten-eun-tietosuoja-asetus-vaikuttaa-ohjelmistoyrityksiin
13. Copyright 2016 Trend Micro Inc.13
VM:n suosituksia muutosvaiheeseen
• Valtiovarainministeriön asettama valtionhallinnon tieto- ja
kyberturvallisuuden johtoryhmä (VAHTI) on 2.6.2016 julkaissut raportin,
jonka tarkoitus on helpottaa organisaatioiden valmistautumista sen
edellyttämiin muutoksiin
• Raportti antaa käytännön suosituksia muutokseen valmistautumiseen, siinä
esitellään uudistuksen ydinasioita: rekisteröityjen oikeuksia,
rekisterinpitäjien ja käsittelijöiden velvollisuuksia sekä sen keskeiset termit
• Jokaisen henkilötietoja käsittelevän organisaation pitää täyttää
toiminnassaan EU-tietosuoja-asetuksen vaatimukset 25.5.2018, jolloin
siirtymäaika päättyy
• Myös muut kuin julkishallinnon organisaatiot voivat hyödyntää suosituksia
kehittäessään henkilötietojen käsittelyä uusien vaatimusten mukaisiksi
http://vm.fi/artikkeli/-/asset_publisher/lakiuudistus-parantaa-tietosuojaa-eu-
ssa-tuore-raportti-uudistuksesta-antaa-suosituksia-muutosvaiheeseen
14. Copyright 2016 Trend Micro Inc.14
Miten Trend Micro voi auttaa?
Asetuksen perusteluteksti, resitaali nro 49 :
”On asianomaisen rekisterinpitäjän oikeutetun edun mukaista rajoittaa henkilötietojen käsittely siihen, mikä
on ehdottoman välttämätöntä ja oikeasuhteista, jotta viranomaiset, (...), sähköisten viestintäverkkojen ja -
palvelujen tarjoajat sekä turvallisuusteknologian ja -palvelujen tarjoajat voivat varmistaa verkko- ja
tietoturvallisuuden eli verkon tai tietojärjestelmän kyvyn suojautua tietyllä suojatasolla onnettomuuksilta
tai laittomilta taikka ilkivaltaisilta toimilta, jotka vaarantavat tallennettujen tai siirrettävien henkilötietojen
saatavuuden, aitouden, eheyden ja luottamuksellisuuden ja niihin liittyvien, verkoissa ja tietojärjestelmissä
tarjottujen tai välitettävien palvelujen turvallisuuden. ”
”Tähän voisi kuulua esimerkiksi luvattoman sähköisiin viestintäverkkoihin pääsyn ja vahingollisen koodin
jakamisen ehkäiseminen sekä palvelunestohyökkäysten ja tietokoneille ja sähköisille
viestintäjärjestelmille koituvien vahinkojen estäminen.”
15. Switch
Proxy
Router
Private & Public Cloud
Smart Protection
Network
File
Reputation
Service
Email
Reputation
Services
Web
Reputation
Service
WRS
FRS
ERS
Datacenter
Endpoints
Endpoint Security
Network Security
System Security
Firewall
Verkko- ja tietoturvallisuuden varmistus
Trend Micro ratkaisuilla
Central management
Onpremise & Cloud
Physical servers & VMs
Workstations & mobiles
Automated provisioning
Policy based security
Workstations &
Mobile devices
16. Gartner Magic Quadrant for
Endpoint Protection Platforms
Leader for
14 straight years!
Trend Micro: Parasta suojaa nykyaikaisia uhkia vastaan
17. Copyright 2016 Trend Micro Inc.17
Pilven tietoturvan jaettu vastuu
• Palveluntarjoaja vastaa:
Facilities
Physical Security
Physical Infrastructure
• Asiakas vastaa:
Operating Systems
Application
Data
Network Firewall
Configuration
Asiakas on edelleen vastuussa käyttöjärjestelmä- ja
sovellustason tietoturvasta sekä datasta.
18. Switch
Proxy
Router
Private & Public Cloud
Smart Protection
Network
File
Reputation
Service
Email
Reputation
Services
Web
Reputation
Service
WRS
FRS
ERS
Datacenter
Endpoint Sensor
Firewall
Network Content Inspection
Advanced Threat Detection
Custom SandboxingBreach Detection
System
Tietoturvaloukkauksien havainta, esto ja
ilmoitusvelvollisuus
Endpoints
Endpoint Sensor
19. Copyright 2016 Trend Micro Inc.19
Riskien hallinta edellyttää kerroksellista suojaa
Servers
Protect server
workloads wherever
they may be -- physical,
virtual or cloud
20. Copyright 2016 Trend Micro Inc.20
Networks
Riskien hallinta edellyttää kerroksellista suojaa
Servers
Detect and block threats
hitting the data center and
user environments,
maximizing efficiency
21. Copyright 2016 Trend Micro Inc.21
Users
Networks
Riskien hallinta edellyttää kerroksellista suojaa
Protect user activities
anywhere on any
device reducing initial
point of infection Need for connected
threat defense and
centralized visibility
increases
Servers
23. Copyright 2016 Trend Micro Inc.24
Copyright 2015 Trend Micro Inc. 24
Prioritized view of
alerts across the
environment
24. Security for SaaS-based applications
Advanced Threat
Detection
• Finds zero-day and
hidden threats
• Sandbox file analysis
in the cloud
DLP
• Discovery and
visibility into
confidential data
usage
• 240 customizable
templatesDirect cloud-to-cloud integration
Trend Micro
Cloud App Security
25. Copyright 2016 Trend Micro Inc.26
Defend against network & application attacks
with Intrusion Detection & Prevention
• Prevent vulnerability exploits
(Shellshock, Heartbleed)
• Reduce the need for emergency
patching
• Accelerate compliance with key
regulations like GDPR
Patch
Available
Patch applied,
Protected
Test Begin
Deployment
Zero day
Vulnerability
Disclosed
Traditional Patch management time line
Deep Security patch available in <24 hours
Protected against attack
28. 29
Hallinnollinen tietoturva
• Tietoturvan johtaminen ja hallinnointi
• Organisaation tietoturvapolitiikka ja -ohjeistus
Fyysinen tietoturva • Toimitilojen ja laitteiden fyysinen suojaaminen
Laitteistoturvallisuus
• Esimerkiksi tietokoneiden yleinen suojaaminen
• Centero / Trend Micro
Ohjelmistoturvallisuus
• Ohjelmistojen tietoturvaan liittyvät asiat
• Centero / Trend Micro
Tietoaineiston turvallisuus
• Sähköisten ja paperisten dokumenttien käsittely ja suojaaminen
• Centero / Trend Micro
Tietoliikenneturvallisuus
• Esimerkiksi tiedonsiirtoon liittyvät tietoturvamekanismit
• Centero / Trend Micro
Henkilöstöturvallisuus
• Rooleihin, vastuihin ja tietoturvaohjeistuksiin liittyvät asiat
• Organisaation tietoturvapolitiikka ja -ohjeistus
Käyttöturvallisuus
• Esimerkiksi salasanoihin liittyvät asiat.
• Organisaation tietoturvapolitiikka ja -ohjeistus
Tietoturvan osa-alueet
29. 30
• Keskiviikkona 19.10. jatkamme aiheen työstämistä. Silloin aiheena
tekniseen tietoturvaan liittyvien osa-alueiden palastelu käytännön
toimenpiteisiin.
• Tule mukaan tai ohjaa sopiva muu taho organisaatiostanne
osallistumaan!
Webinaari #2 - Tekninen tietoturva