<raikasta digitaalista ajattelua> Citrus on digitaalisten palveluiden rakentaja. Työtämme ohjaavat luova itsenäinen ajattelu ja vankka teknologiaosaaminen. Työmme tuloksena syntyy helppokäyttöisiä ja älykkäitä palveluja.
Citrus Solutions Oy Toimistot Helsingissä (2002) ja Turussa (2015) Työntekijöitä 43, liikevaihto (2016) 6 M + Atrain-kumppanuusverkosto 75 suomalaista IT-yritystä =
Ilpo Mäntykangas Security Lead on toiminut lähes kaikissa mahdollisissa tietoturvaan liittyvässä rooleissa viimeisten 33 vuoden aikana ja viime vuodet lähinnä tietoturvallisuuden arkkitehtina. Aihealueita: mm. mikroverkot, tietoliikenne, hakemistot, metahakemistot, ICT-palvelujen hallinta, infrakehitys, IAM, tietoturva, keskitetty lokihallinta, tietoturvapalvelut, julkiset, eriytetyt ja pilvipalvelut.
GDPR:n kehitysaskeleet EU:n Tietosuojadirektiivi Henkilötietolaki (Suomi; 523/1999) Tietoyhteiskunta -kaari: ilmoitusvelvollisuus GDPR: Siirtymäaika loppuu, EU-alueella organisaatioissa henkilötietojen käsittely oltava vaaditulla tasolla 1995 1999 9/2011 2015 5/2016 05/2018 Yksittäisten jäsenvaltioiden lainsäädännöt perustuen tietosuojadirektiiviin 95/46 / EY GDPR Tietosuojaasetus voimaan
<mygdpr> Palvelu, joka auttaa alkuun EU:n tietosuojan vaatimusten täyttämisessä.
mygdpr-palvelu Lakipaketti (209 + 500 sivua) on purettu kuuteen osa-alueeseen. Jokaiseen kokonaisuuteen liittyvät vaatimukset ja tehtävät on identifioitu ja niitä varten on kehitetty valmiita dokumenttipohjia. Työkalu ohjaa prosessia ja kerää dokumentaation yhteen. Ensimmäinen tehtävä on lähtötilaselvitys, joka tehdään vastaamalla organisaatiota koskeviin kysymyksiin. Kysymysten perusteella luodaan organisaatiota koskevat osa-alueet ja niihin liittyvät tehtävät. Tehtäviä voi osoittaa eri tekijöille. Kokonaisprosessin ja eri osa-alueiden valmiusaste esitetään väripalkilla.
<sotegdpr> Palvelukokonaisuus myös sosiaali- ja terveydenhuollon toimijoille
sotegdpr-palvelu Sote-laajennus mygdpr-palveluun. Kansallinen sote-tietosuojalainsäädäntö tietosuoja-asetuksen mukaisesti sovellettuna. Kohteena sosiaalihuollon asukas/asiakastiedot ja terveydenhuollon potilastiedot. Työkalu lähtötilanteen selvittämiseen ja kehitystehtävien tunnistamiseen. Valmiit lomakepohjat oman organisaation tarpeisiin sovitettavaksi. Työkalu pidetään ajan tasalla lainsäädännön kehittymisen myötä.
Mitkä asiat auttavat selviytymään 72 h ilmoitusvelvollisuudesta? Valmis dokumentaatio tietoisuus valmiusasteesta Automaatio pääsynhallinta ja käyttäjätietojen hallinta Todistusaineisto lokitiedot Organisaation prosessit vastuut, ryhmä ja tehtävät
Mitkä asiat auttavat selviytymään 72 h ilmoitusvelvollisuudesta? Käyttäjän identifiointi Mihin tietoihin/tiloihin pääsyä tehtävän hoitaminen edellyttää? Kuka tarvitsee mitäkin tietoa? Käyttäjien luotettavuus ja koulutus. Tunnusten hallinta Yksilölliset tunnukset jaetaan vain erikseen määritetyille toimijoille, tilanteen ja perustellun tarpeen, koulutustason ja salassapitoluokan mukaisesti. Tunnusten hallinta tulee kyetä toteuttamaan integroidusti ja välittömästi. Esim. työsuhteen päättyessä oikeuksien poistaminen kaikista laitteista, tiloista, ohjelmista, järjestelmistä yms.
Mitkä asiat auttavat selviytymään 72 h ilmoitusvelvollisuudesta? Käyttövaltuushallinta Vain sallitut henkilöt voivat käyttää tietoja ja päästä tiettyihin tiloihin, joissa tietoja säilytetään. Esimerkiksi laitteen kadotessa käyttöoikeudet voidaan poistaa. Pääsynhallinta Ainoastaan sallittujen henkilöiden pääsy heille sallittuihin tietoihin ja tiloihin määrättynä ajankohtana. Oikeutta kyettävä muuttamaan välittömästi. Lokien hallinta Käyttäjätunnuksen kautta toimintojen jäljittäminen ja tarvepohjainen arviointi. Tarvittaessa epäkohtiin voidaan puuttua jälkikäteen, jos toimija on tehnyt epätoivottavia muutoksia järjestelmässä.
IAM: Identity & Access Management IAM: IDM+AM (Tunnus- ja pääsynhallinta IT-järjestelmiin) IDM: Identity Management Sisältää käyttäjä-attribuuttien arvojen synkronointipalvelun ja yleensä lisänä on myös käyttövaltuushallinta. Automaatio: tunnukset ilmestyvät, päivittyvät ja poistuvat lähdetietojärjestelmien mukaisesti. Master Data -järjestelmä (CSI Datamaster) ja IGA (Identity Governance & Administration Mikä tunnus? Mikä oikeus? Kuka käyttää? Mistä oikeus tuli? Jos et tiedä käyttäjiäsi, millä rajaat käyttöoikeuksia tai pääsyä?
IAM: Identity & Access Management IAM: IDM+AM (Tunnus- ja pääsynhallinta IT-järjestelmiin) AM: Access Management Sisältää federaatiot, SSO:n ja vahvan tunnistamisen. Käyttäjän sisäänkirjautumisen tapahtumat. Lisänä voi olla Citrus IAM-Broker
1-tasoinen perinteinen palvelun käyttö User Repositories with Services Users
2-tasoinen palvelun käyttö federaatiolla tai asiakaskohtaisella IAM:illa Applications IAM:s
3-tasoinen palvelun käyttö Services Broker IAM:s
SIEM: Security information & event management SIEM: Log Management + Alerts + Realtime View + Workflow + Store Keskitetty ja kiistämätön lokienhallinta kaikista lähteistä Hälytykset Sääntöautomaatio Kuka teki ja mitä Luotettavalla tiedolla Millä todistat, jos lokitiedot puuttuvat?
Kokonaisvaltainen tiedon turvaaminen Kulunvalvonta Pääsynhallinta Käyttövaltuushallinta Lokienhallinta Sote-spesifinen tietosuoja Yleinen tietosuoja
<kiitos> ilpo.mantykangas@citrus.fi