GDPR mullistaa henkilötietojen hallinnan

GDPR mullistaa henkilötietojen hallinnan.

EU-laajuinen tietosuojalainsäädäntö (GDPR, general data protection regulation) astuu voimaan 25.5.2018. Se asettaa melkoisia vaatimuksia henkilörekistereiden haltioille. Tietoturvan pitää olla kunnossa ja raportointi ajan tasalla.  Maaliskuun 6. päivän aamuna kokoontui monikymmenpäinen joukko asiantuntijoita kuulemaan, miten tietojärjestelmien vaatimusten mukainen päivitys tehdään ajoissa ja asianmukaisesti.

Kovat velvoitteet

Santa Monica Networksin tietoturva-asiantuntijatiimin vetäjä Ilari Karinen aloitti tilaisuuden perehdyttämällä kuulijat uuden säätelyn saloihin sekä siihen, miten se vaikuttaa konkreettisesti asiakas-, henkilöstö- ja muiden henkilötietojen hallintaan tietojärjestelmissä.

– Henkilötietojen hallinta on tullut jatkuvasti tärkeämmäksi muun muassa digitaalisen kaupan räjähdysmäisen kasvun myötä. Kansalaisista kerätään tietoa ja sitä käsitellään yhä useammissa paikoissa. EU on halunnut tälle toiminnalle selkeät säännöt alueellaan, Karinen sanoi.

Karinen kertoi, miten rekistereistä on tehtävä läpinäkyvät niin, että kansalaiset näkevät aina omat tietonsa. Organisaatioille tulee ilmoitusvelvoitus, jos se tulee tietoiseksi tietosuojaloukkauksista ja niillä on oltava nimetty tietosuojasta vastaava henkilö. Rekisterinpitäjien on pystyttävä osoittamaan, että he toimivat asetuksen mukaan.

– Organisaatioiden on kehitettävä havainnointikykyä, mitä verkon eri laitteissa tapahtuu. Niillä on oltava näkyvyys päätelaitteisiin ja yksitäisiin palveluihin saakka, Karinen painotti.

Tilannekuva kuntoon

Kalle Salminen Arrow ECS Finlandilta avasi, miten SIEM-ratkaisuilla (Security Information and Event Management) täytetään GDPR:n vaatimukset sekä ennakoidaan ja reagoidaan nopeasti tietoturvaloukkauksiin.

Juniperin ratkaisu kerää, suodattaa ja analysoi valtavat määrät dataa it-infran kaikilta tasoilta palomuureista ja palvelimista aina yksittäisiin asiakaskohtaisiin sovelluksiin saakka. Se etsii poikkeavia käyttäytymismalleja ja poimii hälyttävät tiedot esille. Järjestelmään voidaan liittää toimintoja, joilla havainnoidaan tarkasti yrityksen infrassa olevia haavoittuvuuksia.

­ – Saamme reaaliaikaisesti tietoa mahdollisista tietoturvauhista, pystymme analysoimaan niitä jälkikäteen ja raportoimaan viranomaisille tietoturvan tasosta. Tietoturvan tasoa voidaan myös jatkuvasti parantaa kertyneen tiedon perusteella. Myös organisaation sisäisiä uhkia voidaan ehkäistä, kun käyttäjätietoja analysoidaan jatkuvan lokiseurannan avulla ja siitä havainnoidaan mahdolliset poikkeamat, Salminen sanoo.

Kunnollinen suunnittelu

Santa Monica Networksin konsultti Jari Artes kertoi lopuksi mihin asioihin on syytä kiinnittää huomiota, kun SIEM-järjestelmä otetaan käyttöön. Kolme asiaa pitää tehdä kunnolla: suunnitella, suunnitella ja suunnitella.

Ensiksi päätetään, mistä kaikista lokilähteistä tietoa kerätään ja miten ne priorisoidaan. Selvitetään, onko tärkeimmillä lokilähteillä tuki ja miten lisensointi ottaa kantaa lokijärjestelmien määrään.

– Lokilähteiden määrä vaikuttaa järjestelmän mitoitukseen eli tarvittavaan prosessointikykyyn ja levykapasiteettiin. Usein aliarvioidaan se, miten paljon eri järjestelmät tuottavat lokeja, Artes sanoi.

Lokien keruun suunnittelu sisältää päätökset siitä, missä ja miten lokit kerätään eli tarvitaanko maantieteellistä hajautusta. Tässä vaiheessa tehdään päätökset lisensointimalleista, joilla on suora vaikutus SIEM-järjestelmän ylläpitokustannuksiin.

– Juniperin ratkaisussa on laaja sisäänrakennettu tuki ja mahdollisuus integroida erilaisia sovelluksia järjestelmään. Tämä helpottaa huomattavasti SIEM-järjestelmän hallintaa, Artes tiivisti.

Ota yhteyttä

Juuso Ihalainen
Juuso Ihalainen Head of Sales 044 757 4000 Tämä sähköpostiosoite on suojattu spamboteilta. Tarvitset JavaScript-tuen nähdäksesi sen.

Lue myös