BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Podobné dokumenty
BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

ANECT, SOCA a bezpečnost aplikací

ANECT & SOCA ANECT Security Day

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

ANECT & SOCA. Informační a kybernetická bezpečnost. Víte, co Vám hrozí? Ivan Svoboda Business Development Manager, ANECT

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Povinnosti obce nebo města jako správce podle GDPR. Jarní celostátní odborný seminář STMOÚ Valeč Přednášející JUDr.

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

Security Expert Center (SEC)

O2 a jeho komplexní řešení pro nařízení GDPR

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

ANECT, SOCA a CISCO Cognitive Threat Analytics Breach Detection v praxi

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

POVĚŘENEC OCHRANY OSOBNÍCH ÚDAJŮ, HROZBY A RIZIKA VE ŠKOLSTVÍ V PROBLEMATICE GDPR

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

GDPR. Požadavky na dokumentaci. Luděk Nezmar

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

& GDPR & ŘÍZENÍ PŘÍSTUPU

Posuzování na základě rizika

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Kľúčové pohľady. na kybernetickú bezpečnosť. Tomáš Hlavsa, Atos IT Solutions and Services

Kybernetická bezpečnost ve státní správě

GDPR. Zbyněk Malý. Pro zveřejnění

Zákon o kybernetické bezpečnosti: kdo je připraven?

Dopady Průmyslu 4.0 na kybernetickou bezpečnost. Ing. Tomáš Přibyl Ing. Michal Kohút

GDPR Modelová Situace z pohledu IT

Security. v českých firmách

Bezpečnostní monitoring v praxi. Watson solution market

Agenda DPO po implementaci GDPR Československá obchodní banka, a.s Interní

Security. v českých firmách

OBSAH Seznam zkratek...17 Kapitola 1 Ú vod... 21

Představení služeb Konica Minolta GDPR

PREZENTACE ŘEŠENÍ CSX

BEZPEČNOST IT A OT SYSTÉMŮ V ENERGETICE

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

Kybernetická bezpečnost od A do Z

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Cyber Security GINIS. Ing. Igor Štverka GORDIC spol. s r. o.

GDPR - příklad z praxe

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Systémová analýza a opatření v rámci GDPR

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Řízení privilegovaný účtů

Bezpečnost aktivně. štěstí přeje připraveným

GDPR a veřejná správa

Cena za inovaci v interním auditu. Dynamické řízení rizik skrze integrovaný systém kontrolního prostředí 1

Sdělení ÚOOÚ k přístupu založenému na riziku

Tra Multidisciplinární bezpečnost Kybernetická bezpečnost IV, Policejní akademie Praha Adrian Demeter, Deloitte,

Technická opatření pro plnění požadavků GDPR

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Řízení kybernetické a informační bezpečnosti

V Brně dne a

GORDIC a GDPR? Připraveno!

Změny v ochraně osobních údajů v souvislosti s novým nařízením GDPR. Mgr. Kristýna Delmar Barcamp Brno 2017

Zkušenosti z nasazení a provozu systémů SIEM

Shoda s GDPR do 4-6 měsíců! Sen či utopie?

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

IXPERTA BEZPEČNÝ INTERNET

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

End User Experience Monitoring Měření kvality IT služeb , Brno Jiří Vozňák. information technology

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Olga Přikrylová IT Security konzultant / ITI Seminář k GDPR. Ochrana osobních údajů

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

Informační bezpečnost. Dana Pochmanová, Boris Šimák

ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013

Kybernetická bezpečnost ve veřejné správě

Konvergovaná bezpečnost v infrastrukturních systémech

Státní pokladna. Centrum sdílených služeb

GDPR z pohledu ICT sekce MV. Ing.Robert Piffl

Závěrečná zpráva. Účast: 77 posluchačů (bez zástupců partnerských firem) Vyhodnocení dotazníků:

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Obecné nařízení o ochraně osobních údajů

Cloud Security. Dušan Mondek. Security Specialist IBM Security Office IBM Corporation

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Ochrana dat ve farmacii aneb připravte se na nové nařízení EU - GDPR

Seznam vzorů, které naleznete v publikaci:

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

AEC, spol. s r. o. Jak bezpečnost IT nastavit v souladu s business požadavky společnosti. Tomáš Strýček Internet & Komunikace Modrá 4.6.

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

Ochrana před následky kybernetických rizik

General Data Protection Regulation (GDPR) Jak na to?

JARNÍ ŠKOLA Zdravých měst

Systém detekce a pokročilé analýzy KBU napříč státní správou

Účinná ochrana sítí. Roman K. Onderka

Jarní setkání

Transkript:

BEZ LIDÍ TO NEPŮJDE Ivan Svoboda, ANECT & SOCA

ANECT Adaptive Security Architecture 17 PROCESSES TECHNOLOGIES PEOPLE PREDIKC E PREVENC E Security Intelligence USERS DATA APPS REAKCE DETEKCE Perimeter Data Center Endpoint High Availability Physical Security

PROCESY LIDÉ JSOU NEJSLABŠÍM ČLÁNKEM Nedostatek expertů Slabiny zaměstnanců Nefunguje strategie a procesy TECHNOLOGIE LIDÉ

PROCESY TECHNOLOGIE LIDÉ

Statistiky

Statistiky Data Breach Report: rychlost útoků 16 http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2016

Statistiky Data Breach Report: rychlost 16 http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2016

Statistiky Data Breach Report: vektor útoku 16 http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2016

Statistiky CSO / IDG: State of Cybercrime Phishing: 36% Ransomware: 17% Financial Fraud: 12% Cyber loss / damage: 70% IT Sec Budget: 11 M $ TTD (Time to Discover): 92 days CSO / IDG: The 2017 State of Cybercrime Survey

Typické scénáře

Problémy a rizika (A ŘEŠENÍ) Nové kybernetické hrozby a rizika Neznáte je? Neumíte je změřit? Neumíte je prioritizovat a řídit? SCAN ANALÝZA RIZIK RISK MANAGEMENT

Problémy a rizika (A ŘEŠENÍ) Nové kybernetické hrozby a rizika Security technologie nepřináší efekt Chybí strategie? Nejasná rizika? Chybí procesy a strategie MDAR Chybí lidé? SCAN START MDAR / SIEM SOC / CSIRT RISK MANAGEMENT

Problémy a rizika (A ŘEŠENÍ) Nové kybernetické hrozby a rizika Security technologie nepřináší efekt Lidé jsou nejslabším článkem Chybí experti? SOC DPO ARCH KB Zaměstnanci jsou zranitelní? ACADEMY SCAN

Problémy a rizika (A ŘEŠENÍ) Nové kybernetické hrozby a rizika Security technologie nepřináší efekt Lidé jsou nejslabším článkem Chybí vám technologie? Neumíte prokázat jejich přínos? Nemáte investice? SCAN MSP / TaaS

Problémy a rizika (A ŘEŠENÍ) Nové kybernetické hrozby a rizika Security technologie nepřináší efekt Lidé jsou nejslabším článkem Chybí vám technologie? Legislativa a standardy? (ZoKB, GDPR, ISO) Neznáte stav souladu? Neznáte hrozby, aktiva, rizika, data? Chybí vám incident management? Chybí vám role? Chybí vám řízení rizik? SCAN SCAN SOC DPO ARCH KB RISK MANAGEMENT

Problémy a rizika (A ŘEŠENÍ) Nové kybernetické hrozby a rizika Security technologie nepřináší efekt Lidé jsou nejslabším článkem Chybí vám technologie? Legislativa a standardy? (ZoKB, GDPR, ISO) Bojíte se nových technologií? cloud, mobily, SDDC,?? SCAN RISK MANAGEMENT

Problémy a rizika (A ŘEŠENÍ) Nové kybernetické hrozby a rizika Security technologie nepřináší efekt Lidé jsou nejslabším článkem Chybí vám technologie? Legislativa a standardy? (ZoKB, GDPR, ISO) Bojíte se nových technologií? Chcete mít jistotu pro případ požáru? Jen vyjímka Trvalá ochrana INCIDENT RESPONSE SOC / CSIRT

Problémy a rizika (A ŘEŠENÍ) Nové kybernetické hrozby a rizika SCAN Security technologie nepřináší efekt Lidé jsou nejslabším článkem Chybí vám technologie? Legislativa a standardy? (ZoKB, GDPR, ISO) RISK MANAGEMENT DPO ARCH KB Bojíte se nových technologií? Chcete mít jistotu pro případ požáru? ACADEMY SOC / CSIRT

SCANY

SCAN & ASSESSMENT 30 Změříme COKOLIV AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE?

SCAN & ASSESSMENT 30 Změříme COKOLIV KDEKOLIV AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE?

SCAN & ASSESSMENT 30 Změříme COKOLIV KDEKOLIV RŮZNÝMI METODAMI AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? ANALÝZA AUDIT / POSOUZENÍ SCAN / TECHNICKÁ INVENTURA PENETRAČNÍ TEST SOULAD? DETEKCE & REAKCE?

Znáte stav Vašich sítí a systémů? ODHALÍME, CO VÁS OHROŽUJE HROZBY A RIZIKA, KTERÁ NEZNÁTE / NEVIDÍTE, VÁS MOHOU VÁŽNĚ POŠKODIT ZMĚŘÍME STAV RIZIK A BEZPEČNOSTI ZNÁTE VŠECHNY ZÁVAŽNÉ HROZBY A RIZIKA? ZMĚŘÍME PŘÍNOSY NÁSTROJŮ JAKOU MÁTE JISTOTU, ŽE JSTE V BEZPEČÍ?

DPO

Kdo potřebuje DPO službu? Kdo musí zřídit DPO: - orgán veřejné moci / veřejný subjekt - rozsáhlé pravidelné a systematické monitorování - rozsáhlé zpracování zvláštních kategorií údajů Kdo chce zřídit DPO - někdo ty činnosti vykonávat musí Článek 37 Jmenování pověřence pro ochranu osobních údajů 1.Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy: a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí; b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10 Nedostatek lidských zdrojů - Znalosti, zkušenosti, kvalifikace - Dostupnost a spolehlivost Pouze interní

DPO: varianty služby DPO Mandatory DPO Options DPO Support Činnost pověřence v rámci služby Ombudsman pro subjekty údajů Poradenství v rámci organizace Konzultace v případě porušení zabezpečení Prověřování právního souladu zpracování Zvyšování povědomí zaměstnanců Posudek k posouzení vlivu Komunikace s dozorovým úřadem Pravidelný audit souladu se zákonnými požadavky Reporting činností Činnost pověřence v rámci služby Vedení záznamů o činnostech zpracování včetně SW Příprava posouzení vlivu Konzultace záměrné a standardní ochrany Komunikace v případě porušení zabezpečení Konzultace k obsluze subjektů údajů Konzultace k souhlasům se zpracováním osobních údajů Konzultace ke komunikaci se subjekty údajů Revize smluv se zpracovateli Konzultace k předávání do třetích zemí Konzultace k ustanovení společných správců Vytvoření a údržba závazných podnikových pravidel Vzdělávání zaměstnanců Jiné činnosti v oblasti GDPR a bezpečnosti Pouze interní

RISK MANAGEMENT

RISK MANAGEMENT Co to je? - komplexní služba řízení rizik zahrnující všechny potřebné metodiky, nástroje i lidské zdroje Kdo potřebuje řídit rizika? - GDPR - ZoKB - ISO 27000 (ISMS) - Další typy rizik Přínosy - Řada metodik podle účelu - Nejen služba, ale i zavedení procesu - Sofistikovaný nástroj v ceně - Průběžně aktualizovaný pohled Pouze interní

SOC / CSIRT

Úrovně služeb SOCA 29 Monitoring (7x24) Analýza (7x24) Povolení zásahu Rychlý zásah (7x24) Alerty Incident Management (Service Desk) Analýza (5x8) Návrh opatření (5x8) Nástroje: FW / IDS / SIEM Reporty Analýza Návrh system. opatření

SOCA: portfolio služeb

Typy služeb SOCA 30 ONE-TIME CONTINUOUS 01.09.2017

Typy služeb SOCA: jednorázové 30 ASSESSMENTS & CONSULTING ONE-TIME INCIDENT RESPONSE 01.09.2017

Typy služeb SOCA: průběžné 30 ROLES & OPERATIONS CONTINUOUS MONITORING, DETECTION & RESPONSE 01.09.2017

Typy služeb SOCA 30 SCAN DPO ASSESSMENTS & CONSULTING ROLES & OPERATIONS RISK MANAGEMENT ONE-TIME CONTINUOUS ACADEMY INCIDENT RESPONSE MONITORING, DETECTION & RESPONSE SOC 01.09.2017

? Potřebujete pomoc se zákony a standardy? Chcete zjistit, co vám konkrétně hrozí? Potřebujete technologie, procesy, role, lidi? Chcete trvale vidět, rozumět a reagovat?