• 1000

Tietoturvaan liittyvien riskien tunnistaminen ja hallitseminen on tukeva perusta, jolle yritys voi rakentaa asemaa innovatiivisena ja rohkeana markkinoiden edelläkävijänä. Edelläkävijät eivät tyydy riskien hallitsemiseen, vaan käyttävät tietoturvaa kilpailuedun ja kasvun lähteenä. Yritykset, jotka osoittavat arvostavansa asiakkaidensa ja sidosryhmiensä tietojen säilymistä turvassa, ovat luomassa luotettua digitaalista maailmaa.

Autamme yrityksiä luomaan turvallisemman ja vikasietoisemman digitaalisen ekosysteemin, johon voi luottaa kasvavien uhkien edessä. Kokeneissa asiantuntijoissamme yhdistyy timantinkova teknologinen ja tietoturvaosaaminen syvälliseen näkemykseen liiketoiminnan ominaispiirteistä eri toimialoilla.

  

Palvelumme

Monitahoinen toimintaympäristö lisää liiketoimintaan kohdistuvia digitaalisia uhkia. Digitaalinen toimintaympäristö edellyttää tietoturvan hallinnalta toimivia prosesseja sekä erityisesti identiteetin ja tietoturvan hallintaan liittyviä toimintamalleja. Tietoturvan kehittämisellä organisaatio vastaa nykyaikaisen toimintaympäristön haasteisiin sekä lisää reagointinopeuttaan häiriötilanteissa ja uskottavuuttaan markkinoilla luotettavana toimijana. 

Autamme tietoturvastrategian, liiketoiminnan jatkuvuuden ja tietoturvatietoisuuden kehittämisessä.

Ratkaisumme

Tietoturvastrategia ja tietoisuuden lisääminen. Autamme määrittämään kehityskohteet, rakentamaan toimintamallin tietoturvan ohjaamiseen sekä varautumaan digitaalisen toimintaympäristön häiriötilanteiden vaikutuksiin liiketoiminnalle. Olemme tukeneet erilaisia organisaatioita perheyhtiöistä kriittisen infrastruktuurin toimijoihin suojaamaan toimintaansa ennakoivasti ja kehittämään reagointikykyään uhkien ja riskien realisoituessa.

Tietoturvan hallintamallin rakentaminen. Autamme suunnittelemaan tietoturvallisuuden hallintamallin esimerkiksi ISO 27001 -standardin mukaisesti. Hallintamalli  tukee organisaation strategisten tavoitteiden saavuttamista. Hyvä hallintamalli on systemaattinen tapa lähestyä tietoturvallisuutta kokonaisuutena, joka kattaa tietoturvan tavoitteet, kontrollit tietoturvan ylläpitämiseksi, menettelytavat sekä ihmisten johtamisen toimivan tietoturvakulttuurin rakentamiseksi.

Tietoturvatiimi palveluna. Organisaation tarvitseman tietoturvaosaamisen voi hankkia myös palveluna. Tällöin organisaation käytettävissä on aina kansainvälisen verkoston asiantuntemus ja näkemys tietoturva-alan keskeisistä kehityssuunnista.

Jatkuvuudenhallinnalla organisaatio luo toimintamallit toimintaympäristön muutoksiin ja häiriötilanteisiin. Varautumisella häiriöihin organisaatio varmistaa nopean reagointikyvyn sekä mahdollisen kilpailuedun markkinassaan. Esimerkiksi vaihtoehtoiset toimittajat tai raaka-aineet ja rahoituksen turvaaminen takaavat kyvyn vastata asiakkaiden tarpeisiin häiriöiden aikana.

Regulaatio, kuten NIS2 ja CER, kiinnittää enenevässä määrin huomiota varautumiseen ja yhdessä muuttuneen globaalin toimintaympäristön kanssa asettaa pitkän aikavälin vaatimuksia organisaatioille.

Tuemme organisaatioiden harjoitteluvalmiuksia liiketoiminnan jatkuvuuden varmistamiseen. Varautumisen tulee olla pitkäjänteistä toimintaa, jonka tulee tukea organisaation strategisia tavoitteita erityisesti toiminnan suunnittelun ja henkilöstön osaamisen kehittämisen osalta. 

Ratkaisumme

Jatkuvuus- ja varautumissuunnittelu. Olemme tukeneet lukuisia organisaatioita sekä Suomessa että maailmalla liiketoiminnan varautumisessa. Tyypillisesti varautumisessa keskitytään liiketoiminnan tarpeisiin ja esimerkiksi tietojärjestelmien kykyyn palautua edellytetyssä palautumisajassa. Toimintatapamme sisältää riskien vaikutusten arvioinnin, vaihtoehtoisten toimintatapojen sekä palautumisaikatavoitteiden määrittelyn. Hyödynnämme tunnettuja viitekehyksiä kuten ISO22301, ISO27001 sekä ISO31000. Voimme myös sertifioida ISO22301-standardin mukaisen toiminnan.

Varautumisen harjoittelu. Olemme toteuttaneet lukuisia työpöytäharjoituksia erityyppisille organisaatioille sekä laatineet ohjeita ja oppaita harjoitustoiminnan toteuttamiseksi. Kansainvälinen asiantuntijatiimimme rakentaa organisaatiolle yksilöllisen harjoituskokemuksen sekä ammattitaitoisen analyysin toiminnasta harjoituksen aikana. Sovellamme harjoitustoiminnassamme Digi- ja väestötietoviraston julkaisemaa opasta harjoitustoiminnasta.

Tietoturvan arviointien ja tietoturvariskien hallinnan tavoitteena on suojata organisaatiota ja sen sidosryhmiä toimintaympäristön uhkilta.

Erilaiset analyysit auttavat kohdistamaan tietoturvan kehittämistä kohteisiin, joista on merkittävin hyöty organisaation liiketoiminnalle. Keskeisten tietoturvariskien tunnistaminen ja arviointi auttaa kohdistamaan hallintatoimenpiteet kustannustehokkaasti sekä vahvistamaan organisaation kykyä suojautua tulevaisuuden uhkakuvilta.

Varautumisella häiriöihin organisaatio varmistaa nopean reagointikyvyn ja palautumisen häiriötilanteista, mahdollistaen kilpailuedun markkinassaan.

Ratkaisumme

Olemme kehittäneet asiakkaillemme sekä Suomessa että maailmalla kehittyneitä ratkaisuja tietoturvan mittaamiseen ja hallintaan. Olemme virallinen arviointilaitos ja auditoimme viranomaisten puolesta muun muassa globaaleja datakeskuksia.

Tietoturvariskien hallinta. Riskien tunnistamisella ja arvioimisella tuotetaan organisaation johdolle ajantasaista kuvaa tietoturvan, tietosuojan, kyberturvallisuuden sekä varautumisen riskitilanteesta ja uhka-arvioista.  Riskienhallinnan prosessit kannattaa rakentaa teknisen ratkaisun, kuten ServiceNow'n päälle, jotta toiminnan ylläpito on vaivatonta. 

Tietoturvan arviointi. Autamme asiakkaitamme toteuttamalla virallisia tietoturvallisuuden arviointeja, jotka perustuvat kansalliseen turvallisuusauditoinnin KATAKRI-kriteeristöön ja valtionhallinnon VAHTI-vaatimuksiin.

Varautuminen. Jatkuvuudenhallinnalla organisaatio luo toimintamallit toimintaympäristön muutoksiin ja häiriötilanteisiin. Tuemme organisaatioiden harjoitteluvalmiuksia liiketoiminnan jatkuvuuden varmistamiseen.

Autamme organisaatiota suojaamaan tietoja niin teknologisin ratkaisuin kuin parantamalla ihmisen ja organisaation prosessien turvallisuutta sekä reagointikykyä poikkeamatilanteissa. Tietoturvatestauspalveluidemme avulla varmistetaan organisaation teknisten kontrollien ja ohjeistusten toimivuutta sekä tuotteiden ja palvelujen turvallisuutta.

Olemme tukenasi myös kun kaikki ei mennytkään niin kuin piti. Uhka oli ehkä ennestään tuntematon tai siihen ei ehditty tai voitu jostain syystä reagoida. Tällaisissa tilanteissa on tärkeää olla kumppani, joka auttaa vastaamaan vahinkoon vaadittavalla ja mahdollisimman riippumattomalla tavalla. Poikkeamahallintapalvelumme ulottuu myös pilvipalveluihin ja globaalisti tarvittaessa paikallisilla resursseilla.

Ratkaisumme

Varmistamme tietojärjestelmien, erilaisten laitteiden, organisaatioiden ja ihmisten toimintaan liittyvän tietoturvallisuuden.

Menetelmiimme kuuluvat:

  • järjestelmä- ja sovellustestaukset
  • penetraatiotestaus
  • red- ja purple teaming
  • laite- ja tuoteturvallisuus
  • pilvipalveluiden turvallisuus
  • due diligence -selvitykset

Konsultoimme myös toteutusten suunnittelussa, korjauksissa ja arkkitehtuurimuutoksissa. Autamme välttämään tyypilliset sudenkuopat. Henkilömme ovat sertifioituja testaajia ja ammattitaitoisia analyytikoita. He hallitsevat syvällisesti eri kriteeristöjen tekniset vaatimukset.

Liiketoimintaympäristöt digitalisoituvat ja automatisoituvat, jolloin datan hyödyntäminen on monelle organisaatioille liiketoiminnan perusedellytys. Samanaikaisesti organisaatioihin kohdistuu paineita vastata ei pelkästään sääntelyn vaan myös asiakkaiden, työntekijöiden ja laajemminkin yhteiskunnan asettamiin vastuullisuusvaatimuksiin mm. yksityisyyden ja ihmisoikeuksien kunnioittamista. 

Tietosuojalla on keskeinen rooli vastuullisen ja kestävän liiketoiminnan rakentamisessa ja ylläpitämisessä.

Oikein mitoitetuilla tietosuojakäytännöillä ja -prosesseilla organisaatio pystyy hallitsemaan keskeisimpiä tietosuojaan liittyviä riskejään ja varmistamaan, että se noudattaa tietosuojasääntelyn vaatimuksia kaikissa henkilötietojen käsittelyä sisältävissä toiminnoissa. Samanaikaisesti organisaatio vastaa myös siihen kohdistuviin odotuksiin ja vaatimuksiin vastuullisen osalta.

Ratkaisumme

Tuemme kokonaisvaltaisesti tietosuojakysymyksissä. 

Olemme luoneet laaja-alaiseen kokemukseemme perustuen erilaisia toiminta-, prosessi- ja dokumentaatiomalleja, joiden avulla autamme asiakkaitamme arvioimaan liiketoimintaympäristön ja oman toiminnan keskeisimmät tietosuojariskit. Räätälöimme organisaatioille oikein mitoitetut työvälineet, dokumentit ja prosessit tietosuojan kehittämiseksi kokonaisvaltaisesti ja vaatimustenmukaisuuden saavuttamiseksi.

Asiakkaiden tarpeisiin räätälöityjen palveluiden kautta tuemme tietosuojatyön seurannassa, kehittämisessä ja henkilöstön kouluttamisessa joko tapauskohtaisesti tai jatkuvana palveluna. Voimme myös toimia tietosuojasääntelyn tarkoittaman tietosuojavastaavan roolissa ulkoistussopimuksen nojalla.

Vahvuutenamme on laaja-alainen ja monipuolinen osaaminen ei pelkästään tietosuojasta ja vaan myös tietosuojaan kytketyistä muista asioista kuten esim. tietoturvasta, tiedonhallinnasta, palvelumuotoilusta, järjestelmäarkkitehtuurista, teknologiasta ja juridiikan muista osa-alueista.

Toimintaympäristön muutokset, teknologiatrendit ja sääntely asettavat vaatimuksia kaikkien organisaatioiden identiteettitiedon käsittelyyn ja hyödyntämiseen. KPMG:llä on pitkä kokemus identiteetin ja pääsynhallintaan liittyvien asiantuntijapalveluiden tuottamisesta huomioiden sekä tietoturva-, tehokkuus-, käytettävyys- että vaatimustenmukaisuusnäkökulmat. Autamme myös teitä mielellämme näissä osa-alueiden kehittämisessä ja niihin liittyvien haasteiden ratkaisemisessa.

Ratkaisumme

  • IAM-nykytilaselvitykset, tiekartat ja kehityssuunnitelmat
  • Identiteettien elinkaariprosessien suunnittelu ja automatisointi
  • Arkkitehtuurisuunnittelu
  • Ylläpitäjien ja muiden korkeita oikeuksia omaavien tunnusten turvallinen hallinnointi
  • Kertakirjautumisratkaisut- ja salasanaton tunnistautuminen
  • Käyttöoikeuksiin liittyvien raportointikyvykkyyksien kehitys ja vaatimustenmukaisuuden toteutus
  • IAM-teknologioiden käyttöönottoprojektit ja käyttöönotettujen teknologioiden jatkuvat ylläpito- ja kehityspalvelut
  • Itsehallittaviin identiteetteihin ja digitaalisiin identiteettilompakkoihin liittyviä kysymyksiä koskeva neuvonanto

Pilvipalveluilla tavoitellaan parempaa käyttäjäkokemusta ja joustavuutta uusien digitaalisten palvelujen ja ratkaisujen rakentamiseen. Hyvin suunnitellut pilvipalvelut tukevat liiketoiminnan kehittämistä tehokkaasti ja turvallisesti.

Autamme asiakkaitamme suojaamaan ja turvaamaan käytössä olevat pilvipalvelut kontrollien suunnittelusta palvelujen tekniseen käyttöönottoon, on sitten kyse yksittäisistä SaaS-sovelluksista tai kokonaisista pilvialustoista.

Ratkaisumme

  • Konfiguraatioiden turvallisuuden varmistaminen
  • Tietoturvatestaukset ja -arvioinnit
  • Identiteetin- ja pääsynhallinnan toteutus Zero Trust -periaatteiden mukaisesti
  • Tiedon luokittelu ja tietovuodoilta suojautuminen hybridiympäristöissä
  • Päätelaitteita ja sovelluksia koskevan tietoturvavalvontakyvyn toteuttaminen keskitetysti pilvestä 
  • Tekoäly- ja pilvipohjaisten avustajien käyttöönottoon liittyvien tietoturvakontrollien suunnittelu ja toteutus

Lasse Dittmer

Cyber Advisory 
KPMG Suomi

Tommi Heinisaari

Cyber Advisory
KPMG Suomi            

Pitkä kokemus tietoturvakysymyksistä tekee asiantuntijoistamme uskottavia neuvontantajia tietoturvan kaikilla tasoilla. Neuvomme strategisissa tietoturvakysymyksissä johtoryhmä- ja hallitustasolla, mutta tuemme organisaatioita myös konkreettisessa riskienhallinnassa, kuten esimerkiksi datakeskuksen turvallisuuden ja verkon suojaamisen suunnittelussa. Riippumatta siitä, mikä organisaatiosi kypsyystaso tietoturvallisuuden suhteen on, pystymme luomaan organisaatiollesi tien tietoturvalliseen tulevaisuuteen.

Innovatiivinen ja itseään kehittävä lähestymistapa tuottaa parhaat ratkaisut

Asemamme virallisena tietoturvallisuuden arviointilaitoksena on osoitus sekä menetelmiemme että osaamisemme korkeasta laadusta. Kehitämme jatkuvasti menetelmiämme ja työkalujamme osana arviointilaitostyötä – samalla vastaten yritysmaailman alati muuttuviin tarpeisiin.

Asiantuntijoidemme osaaminen tietoturvallisuudesta, teknologioista ja eri toimialojen erityispiirteistä ja haasteista varmistaa sen, että löydämme aina parhaat mahdolliset liiketoimintaanne tukevat ratkaisut. Tuemme tietoturvan arviointi- ja kehitystyössä, tietoturvatietoisuuden kehittämisessä, organisaation muutosprosesseissa ja turvallisen digitaalisen tulevaisuuden rakentamisessa. 

  

Luodaan yhdessä luotettu digitaalinen maailma

Yrityksesi voi olla laajenemassa uusille markkinoille tai luomassa asiakkaille uusia palveluita tai tuotteita. Mahdollistamme tavoitteidesi saavuttamisen avustamalla markkinoiden vaatimusten täyttämisessä (esimerkiksi USA:n markkinoiden SOC2-vaatimukset) tai uuden tuotteenne tietoturvasertifioinnilla. Autamme kehittämään sisäisiä prosesseja ja tuotteiden tietoturvallisuutta jo suunnitteluvaiheen aikana, jotta tuote tai palvelu vastaa asiakkaiden ja markkinoiden odotuksia. Asiantuntijoidemme laaja osaaminen eri toimialoista ja yritysten liiketoiminnasta yhdistettynä syväosaamiseen tietoturvan eri osa-alueilla auttaa organisaatiotasi pääsemään tavoitteisiinsa ja ylittämään ne. 

Cyber security options - Venn diagram

  


Asiantuntijamme apunasi

Ota yhteyttä