GDPR a poskytovatelé cloudových služeb

Podobné dokumenty
Uchopitelná cesta k řešení GDPR

Jak cloudové technologie mohou usnadnit život DPO?

Jak může pomoci poskytovatel cloudových služeb

5 kroků, jak zvýšit bezpečnost uživatelů i dat ve vaší škole

Dopady GDPR na design IT Martin Dobiáš, Digital Advisory Services

Jak urychlit soulad s GDPR využitím cloudových služeb

Regulace, cloud a egovernment mohou jít ruku v ruce. Zdeněk Jiříček, National Technology Officer Microsoft CZ/SK

Jak urychlit soulad s GDPR s cloudovými službami Microsoft

GDPR Tipy a triky v cloudu. Zdeněk Jiříček National Technology Officer Microsoft CZ & SK

Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

Jak urychlit soulad s GDPR za pomoci využití cloudových služeb

Jak řešit zpracování osobních údajů v cloudu dle GDPR a nešlápnout vedle. Zdeněk Jiříček National Technology Officer Microsoft ČR

Cloudové inovace a bezpečné služby ve veřejné správě

Microsoft a nařízení GDPR. Ladka Poláková Partner Sales Executive Cloud

GDPR compliance v Cloudu. Jiří Černý CELA

Cloud a povinné osoby ze ZKB. Zdeněk Jiříček, Microsoft s.r.o. Aleš Špidla, PwC Czech s.r.o.

Komentáře CISO týkající se ochrany dat

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Petr Vlk KPCS CZ. WUG Days října 2016

Zuzana Sobotková, DAQUAS Petr Vlk, KPCS CZ

Digital Dao, Jeffrey Carr

... abych mohl pracovat tak, jak mi to vyhovuje

Zabezpečení infrastruktury

Sběr logů jako predikce bezpečnostních hrozeb v Operations Management Suite

DIGITÁLNÍ TRANSFORMACE SE STÁVÁ OTÁZKOU PRO CEO

Hybridní licencování Microsoft. Martin Albrecht & Jana Chrenová

Není cloud jako cloud, rozhodujte se podle bezpečnosti

GDPR & Cloud. Mgr. Jana Pattynová, LL.M


BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Jak se poprat nejen s.. GDPR a egovernmentem

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

ANECT & SOCA ANECT Security Day

Licencování a přehled Cloud Suites

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Petr Vlk KPCS CZ. WUG Days října 2016

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Digitální. transformace. Lubica Kršková, Partner Sales Executive - Disti. René Klčo, Cloud Sales Specialist. Microsoft

Daniela Lišková Solution Specialist Windows Client.

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Petr Vlk KPCS CZ. WUG Days října 2016

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

Seznam vzorů, které naleznete v publikaci:

Windows 10 & nové prvky zabezpečení proti novým hrozbám v IT

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Moderní IT - jak na Windows a zabezpečení PC. Petr Klement, divize Windows, Microsoft

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Microsoft 365. Petr Vlk

O365 GDPR v praxi. Pavel Salava, Conectio Dan Hejda, KPCS

GDPR Projekt GDPR Compliance

Představení služeb Konica Minolta GDPR

Enterprise Mobility Management & GDPR AirWatch - představení řešení

Intune a možnosti správy koncových zařízení online

Bezpečnostní monitoring v praxi. Watson solution market

Stav podnikové bezpečnosti, Globální zpráva Jakub Jiříček, Symantec ČR a SR

Jak ůže stát e trál ě za ezpečit sdíle é služ pro veřej ou správu? Vá lav Koudele & )de ěk Jiříček - Microsoft

2012 (červen) Microsoft Sharepoint Portal Server. Microsoft Live Communications Server 2003 Řešení pro online komunikaci. Microsoft Exchange

Možnosti využití cloudových služeb pro provoz IT

Garantované uložení dat a GDPR nejčastější normativní požadavky dneška

edice Windows 10 je pro vás nejvhodnější? Firemní prostředí Kancelářské a uživatelské prostředí Správa a nasazení Home Pro Enterprise Education

Obecné nařízení o ochraně osobních údajů

Využití identity managementu v prostředí veřejné správy

Dopady GDPR a jejich vazby

Petr Vlk Project Manager KPCS CZ

Novinky v oblasti ochrany aktiv Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Případové studie a kulatý stůl. Dalibor Kačmář, Microsoft

Enterprise Mobility Management AirWatch & ios v businessu

Řídíme mobilní produktivitu s Enterprise Mobility Suite. Dalibor Kačmář

SOA a Cloud Computing

Cloudové služby kancelářského softwaru hostované společností Microsoft Kvalitní nástroje pro firemní nasazení za přijatelnou cenu Vždy aktuální verze

Ako hybridný cloud pomáha v praxi poskytovať spoľahlivé a bezpečné služby

Dalibor Kačmář Ředitel serverové divize, Microsoft. Unicorn College Open,

Enterprise Mobility Management AirWatch - představení řešení. Ondřej Kubeček březen 2017

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

Cloudové služby kancelářského softwaru hostované společností Microsoft Kvalitní nástroje pro firemní nasazení za přijatelnou cenu Vždy aktuální verze

Rizika výběru cloudového poskytovatele, využití Cloud Control Matrix

Základní popis

IBM SmartCloud Enterprise Igor Hegner ITS Sales

Firemní strategie pro správu mobilních zařízení, bezpečný přístup a ochranu informací. Praha 15. dubna 2015

Microsoft Day Dačice - Rok informatiky

Management System. Information Security Management System - Governance. Testy a audity

300B user authentications each month 1B Windows devices updated. 200B s analyzed for spam and malware. 18B web pages scanned by Bing each month

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

Dalibor Kačmář

egc snadno a rychle Ing. Zdeněk Jiříček, Ing. Václav Koudele

ANECT, SOCA a bezpečnost aplikací

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Zkušenosti z nasazení a provozu systémů SIEM

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Název prezentace 1. Poskytovatel garantovaných služeb NDC včetně kybernetické bezpečnosti ve státní správě

Vyberte takový SIEM, který Vám skutečně pomůže. Robert Šefr

Virtualizace jako nástroj snížení nákladů. Periodické opakování nákladů nové verze Licence na pevný počet klientů

& GDPR & ŘÍZENÍ PŘÍSTUPU

O2 a jeho komplexní řešení pro nařízení GDPR

Tomáš Kantůrek. IT Evangelist, Microsoft

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Cloudové služby kancelářského softwaru hostované společností Microsoft Kvalitní nástroje pro firemní nasazení za přijatelnou cenu Vždy aktuální verze

Transkript:

GDPR a poskytovatelé cloudových služeb Jiří Černý, Ředitel pro právní záležitosti ČR/SK Vlastimil Tesař, Partner Technology Strategist Microsoft s.r.o. This presentation is intended to provide an overview of GDPR and is not a definitive statement of the law.

Vymezení role poskytovatele Cloudu Prevádzkovateľ: osoba, nebo orgán veřejné moci, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů (zákazník poskytovatele cloudové služby) Sprostredkovateľ: osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce (poskytovatel cloudové služby) Dotknutá osoba: fyzická osoba, která je identifikovaná, resp. identifikovatelná s použitím osobních údajů (zákazník nebo zaměstnanec Prevádzkovateľa) GDPR mimo Cloud MS nemá roli sprostredkovateľa

MS nemá roli zpracovatele Viz Product Terms quotation: Shared Responsibilities for Cloud Computing 3

Online Services Terms (OST) Podmínky pro služby online Podmínky ochrany osobních údajů a zabezpečení od str. 7 Závazek užití dat pouze pro poskytování služeb (ne pro reklamní nebo jiné komerční účely) Závazek neposkytnutí dat třetím stranám kromě vyjmenovaných situací a procesů Oznámení incidentu zákazníkovi; poskytnutí podrobných informací o incidentu Použití dodavatelů (pouze za účelem poskytování služeb, odpovědnost Microsoftu) Umístění pro uchování dat a jurisdikce smlouvy EU; zpracování dat možné WW Ochrana osobních údajů vrácení / smazání dat, pracovníci, subdodavatelé Vyjmenovaná bezpečnostní opatření (v členění ISO 27001) a certifikace (závazek pokračovat) Příloha 3: Standardní smluvní doložky dle Rozhodnutí Komise 2010/87/EU Příloha 4: Obecné nařízení GDPR Evropské unie platí pro všechny zákazníky Splnění povinností zpracovatele dle článků 28, 32 a 33 plus některé další závazky OST: http://www.microsoftvolumelicensing.com/documentsearch.aspx?mode=3&documenttypeid=46 SLA: http://www.microsoftvolumelicensing.com/documentsearch.aspx?mode=3&documenttypeid=37 4

Jak může zpracování v cloudu pomoci? Některé funkce spojené s výkonem práv subjektů dat (čl. 12 až 20) Nalezení osobních údajů, přístup, omezení, protokolární výmaz, přenositelnost Reflektovat smluvní požadavky na zpracovatele (čl. 28) Pořizování záznamů o činnostech zpracování (čl. 30 bod 2.) Zabezpečení technických a organizačních opatření (čl. 32) Implementace pseudonymizace a šifrování dat (čl. 25, 32) Pomoc při šetření a ohlašování bezpečnostních incidentů (čl. 33, 34) Modelové posouzení vlivu na ochranu os. údajů DPIA (čl. 35) Kodexy chování zpracovatelů a certifikace služeb (čl. 40 až 43)

Kde najdeme Security & Privacy controls OST Podmínky pro služby Online seznam bezp. opatření: OST str. 12 14: seznam bezp. opatření ve struktuře ISO 27001:2013 OST str. 14: závazek pokračovat s průmyslovými certifikacemi Trust Center: www.microsoft.com/trust Podklady - členění podle: Rolí Risk / Compliance / Security / BDM Principů Security / Transparency / Privacy Cloud. služeb Azure, O365, D365 Odtud More reports. : Service Trust Platform https://servicetrust.microsoft.com/ (vyžaduje user credentials) také aka.ms/stp Repository podkladů k certifikacím: Compliance Reports (ISO 27k a SOC reports) Trust documents (security whitepapers) O365 Service Assurance https://protection.office.com

Jak uchopit GDPR 1 Mapujte Zjistěte, jaké osobní údaje máte a kde se nacházejí 2 Spravujte Rozhodujte o způsobech využití a udělení přístupu k osobním údajům 3 Chraňte Zaveďte bezpečnostní opatření k předcházení, detekování a zvládání bezpečnostních incidentů 4 Dokumentujte Uchovávejte požadovanou dokumentaci, vč. žádostí týkajících se správy osobních údajů či případů porušení zabezpečení

1 Mapujte: Příklady řešení Co všechno hledat: Inventarizace: Microsoft Azure Microsoft Azure Data Catalog Enterprise Mobility + Security (EMS) Microsoft Cloud App Security Dynamics 365 Audit Data & User Activity Reporting & Analytics Office & Office 365 Data Loss Prevention Advanced Data Governance Office 365 ediscovery SQL Server and Azure SQL Database SQL Query Language Windows & Windows Server Windows Search, Windows PowerShell

2 Spravujte: Příklady řešení Správa dat: Kategorizace dat: Microsoft Azure Azure Active Directory Rights Management Services Azure Role-Based Access Control (RBAC) Enterprise Mobility + Security (EMS) Azure Information Protection Dynamics 365 Security Concepts Office & Office 365 Advanced Data Governance Journaling (Exchange Online) Windows & Windows Server Microsoft Data Classification Toolkit

3 Chraňte: Příklady řešení Microsoft Azure Azure Key Vault, Azure Security Center Azure Storage Service Encryption Prevence proti hrozbám: Detekce a zvládání bezpečnostních incidentů: Enterprise Mobility + Security (EMS) Azure Active Directory Premium Microsoft Intune Office & Office 365 Advanced Threat Protection Threat Intelligence SQL Server and Azure SQL Database Transparent data encryption Always Encrypted Windows & Windows Server Windows Defender Advanced Threat Protection Windows Hello Device Guard / Credential Guard

4 Dokumentujte: Příklady řešení Microsoft Trust Center Service Trust Portal Provozní záznamy Dokumentace Microsoft Azure Azure Auditing & Logging Microsoft Azure Monitor Enterprise Mobility + Security (EMS) Azure Information Protection Dynamics 365 Reporting & Analytics Office & Office 365 Service Assurance Office 365 Audit Logs Customer Lockbox Windows & Windows Server Windows Defender Advanced Threat Protection

Beginning your General Data Protection Regulation (GDPR) journey Whitepaper 31 stran Metodika 4 kroků + nástroje i v češtině www.aka.ms/gdprwhitepapercz

Modelové analýzy rizik a scénáře pro DPIA GDPR prezentace a zdroje v CZ: www.aka.ms/jaknagdpr k dispozici modelové analýzy rizik pro zákazníky (v češtině): Analýza rizik: Zdravotnická dokumentace v cloudu Azure (ICZ a.s.) Znalecký posudek ústavu CETAG: adekvátní úroveň zabezpečení dle GDPR Analýza rizik: Spisová služba Gordic GINIS v cloudu Azure (RAC s.r.o.) Formát DPIA pro zpracování osobních údajů v Office 365 (ICZ a.s.) Osobní údaje v Exchange Online Citlivé osobní údaje v SharePoint Online Telemedicína / citlivé osobní údaje přes a upload přes Skype for Business Soulad s požadavky GDPR ověřen právní kanceláří Pierstone s.r.o.

Modelové analýzy rizik a scénáře pro DPIA Stránky GDPR konference z 04/2017: www.aka.ms/jaknagdpr k dispozici modelové analýzy rizik pro zákazníky (v češtině): 1) Analýza rizik: Zdravotnická dokumentace v cloudu Azure (ICZ a.s.) Znalecký posudek ústavu CETAG: adekvátní úroveň zabezpečení dle GDPR 2) Analýza rizik: Spisová služba Gordic GINIS v cloudu Azure (RAC s.r.o.) 3) Formát DPIA pro zpracování osobních údajů v Office 365 (ICZ a.s.) Osobní údaje v Exchange Online Citlivé osobní údaje v SharePoint Online Telemedicína / citlivé osobní údaje přes a upload přes Skype for Business Soulad s požadavky GDPR ověřen právní kanceláří Pierstone s.r.o.

REGIONAL INDUSTRY US GOV GLOBAL Certifikace a podklady: Microsoft Trust Center www.microsoft.com/trust; Repository: www.aka.ms/stp ISO 27001 ISO 27018 ISO 27017 ISO 22301 ISO 9001 SOC 1 Type 2 SOC 2 Type 2 SOC 3 CSA STAR Self-Assessment CSA STAR Certification CSA STAR Attestation Moderate JAB P-ATO High JAB P-ATO DoD DISA SRG Level 2 DoD DISA SRG Level 4 DoD DISA SRG Level 5 SP 800-171 FIPS 140-2 Section 508 VPAT ITAR CJIS IRS 1075 PCI DSS Level 1 CDSA MPAA FACT UK Shared Assessments FISC Japan HIPAA / HITECH Act HITRUST GxP 21 CFR Part 11 MARS-E IG Toolkit UK FERPA GLBA FFIEC Argentina PDPA EU Model Clauses UK G-Cloud China DJCP China GB 18030 China TRUCS Singapore MTCS Australia IRAP/CCSL New Zealand GCIO Japan My Number Act ENISA IAF Japan CS Mark Gold Spain ENS Spain DPA India MeitY Canada Privacy Laws Privacy Shield Germany IT Grundschutz workbook

GDPR Compliance Zjednodušení cesty k souladu Posouzení rizik a realizace opatření Využití expertních znalostí

Zdroje k GDPR: Microsoft Corp hlavní stránka: microsoft.com/gdpr Prezentace a zdroje v češtině: aka.ms/jaknagdpr Microsoft Trust Center microsoft.com/trust Service Trust Platform podklady k certifikacím, auditní zprávy: aka.ms/stp (vyžaduje log-in, NDA level)

VYUŽITÍ CLOUDOVÝCH SLUŽEB MICROSOFT A UKÁZKY ŘEŠENÍ This presentation is intended to provide an overview of GDPR and is not a definitive statement of the law.

Proboha, co s tím??? A proč?

Cesta, jak se stát a zůstat GDPR compliant OPERATIVA OCHRANA AKTUALIZACE DATA - APLIKACE TECHONLOGIE ZABEZPEČENÍ PROCESY ŠKOLENÍ ROZDÍLOVÁ ANALÝZA POSOUZENÍ VLIVU DPIA 25. květnem 2018 to nekončí. Naopak začíná. Ujistěte se, že máte pokryty všechny potřebné procesy, aby vás v budoucnu nic nepřekvapilo.

Servery a úložiště Notebooky, stanice Mobil / tablet Cloudové služby Jinde v IT Mimo IT Aplikace Databáze Složky E-maily Kontakty Logy Dokumenty Zálohy Archivy Virtuály Weby Dokumenty E-maily Kontakty Aplikace Cookies Windows 10 E-maily Dokumenty Cookies Aplikace Aplikace E-maily Dokumenty Webshopy Sociální sítě Zálohy Archivy Externí disky Síťové prvky Kamery ky Kartotéky Spisy Archivy Diáře Office 365 Enterprise Mobility & Security Microsoft 365 Azure Azure

Migrace do Office 365, infrastruktura do Azure Iaas Využití vlastností Office 365 E3

Funkce Azure OMS, O365 E5, Win 10, EMS, M365 E5 Nové aplikace v Azure PaaS, Dynamics 365 Partnerské aplikace pro GDPR (KPCS Atom, Xeelo )

Threat Intelligence Audit Logs ediscovery Partneři pro procesy Intune Active Directory Partneři Azure pro Security Center procesy Log Analytics Data Loss Prevention SAMSUNG ATOM Data Log Partneri Pro školení Partneri Safetica Pro školení Nina Cloud App Security Partneri Pro služby Data Classification Key Vault Partn Pr služ XEELO Threat Detection Windows Hello Credential Guard Bitlocker Partneri pro implement ace Partneri pro implem entace Information Protection Transparent Data Encryption Always Encrypted

Don t complain. Just comply _ XEELO GDPR SOLUTION

Cesta, jak se stát a zůstat GDPR compliant OPERATIVA OCHRANA AKTUALIZACE PROCESY ŠKOLENÍ ROZDÍLOVÁ ANALÝZA POSOUZENÍ VLIVU DPIA

Podpora DPIA ZAMĚSTNANCI REPORTY DATOVÝ AUDIT V XEELO GDPR RIZIKA DATOVÁ MAPA

Podpora žádosti subjektu údajů SLA REPORT EXTERNÍ ŽÁDOST VYŘEŠENÍ ZÁKAZNÍK DATOVÁ MAPA

Co je sbaleno v Xeelo GDPR 99 GDPR ČLÁNKŮ 38 RELEVANTNÍCH PRO FIRMY 28 POKRÝVÁ XEELO GDPR Ostatní je organizace PLNĚ POKRYTO 21 ČÁSTEČNĚ POKRYTO 7 ZBYTEK JE např. nominace DPO, závazná podniková pravidla, odpovědnost za škodu, konzultace s dozorovým úřadem apod. NEPOKRYTO 10

Co vás čeká po 25. květnu 2018 EXTERNÍ ŽÁDOSTI Když někdo požádá o detekci dat ZÁKONNÝ RÁMEC & PRÁVNÍ SOUHLAS Abyste měli souhlas se zpracováním dat ŘÍZENÍ INCIDENTŮ Když k něčemu přece jen dojde ZMĚNOVÉ POŽADAVKY Když bude potřeba změnit IT systémy ŠKOLENÍ A EVIDENCE ÚČASTNÍKŮ Pro prokázání proběhlých školení DISTRIBUCE INTERNÍCH SMĚRNIC Pro prokázání, že informujete zaměstnance ZÁZNAMY O ZPRACOVÁNÍ Když se rozhodnete změnit to, jak fungujete MIGRACE DAT DO ZEMÍ MIMO EU Když moje data opouští EU ŘÍZENÍ RIZIK Abyste mohli řídit a vyhodnocovat rizika FAQ & SMĚRNICE Když potřebujete přesné znění

Co vás čeká po 25. květnu 2018 s XEELem ZÍSKÁTE PŘEHLED NAD SYSTÉMY V CELÉ FIRMĚ Důvod zmapovat vaše systémy a data OPATŘÍTE SI PODKLADY A ZMÍRNÍTE SANKCE Budete moct říct, že jste udělali maximum ZÍSKÁTE MOŽNOST CENTRALIZOVAT VAŠE DATA Budete mít jedno místo pravdy a zbavíte se duplicitního zadávání DOSTANETE VÍCE PROCESŮ POD KONTROLU Využijte to jako příležitost digitalizovat vaši firmu VYBUDUJTE SI JEDNOTNOU VRSTVU NA ŘÍZENÍ WORKFLOW Dejte vašim zaměstnancům jednotné prostředí pro jejich dennodenní úkoly

Vystoupejte na nejvyšší horu Vyřešte všechny procesy a zůstaňte GDPR compliant 25. květnem 2018 to nekončí. Naopak začíná. Ujistěte se, že máte pokryty všechny potřebné procesy, aby vás v budoucnu nic nepřekvapilo. BASE CAMP CAMP 1 CAMP 2 CAMP 3 PEAK

www.xeelo.com/gdpr

Advanced Threat & Operation Monitoring

Svět se již změnil

Skutečné příběhy dějství prvé Kompromitace počítače Phishing email na CEO od důvěryhodného uživatele Scan outlook a získání přístupu Legitimní žádost CFO, předání žádosti na CEO Opakování žádosti CFO, předání žádosti na CEO Platba neprovedena Zcizení hesel z prohlížeče (Chrome) Infikování zařízení CEO Zneužití chyby malware Získání privilegovaného účtu Přihlášení do Office 365 z NG Vytvoření pravidla přesměrování pošty Kontrola odeslané pošty, harvest údajů Zneužití legitimního mailu CEO potvrzuje platbu Platba provedena CEO zamítá platbu CEO má podezření Vyšetřování FBI Forenzní analýza Čas: T+0 Čas: T+0 Čas: T+3d Čas: T+4d Čas: T+7d Čas: T+8d Intune Conditional Access Windows 10 ATP ATOM detekce security log ATOM detekce app log Windows 10 ATP Process stolen Windows 10 ATP SandBox check AZURE AIP AZURE AIP ATOM detekce security log Azure MFA Conditional Access Azure MFA ATOM AAD fraud detektce AZURE AIP ATOM log trace

Skutečné příběhy dějství druhé Scan IP port AZURE: přihlášení na RDP ONPREM: Nastaveny vlastní Gpo Distribuce BitCoin harvest Spuštěn Bitcoin Harvest Odstavení služeb, Změny hesel Bruteforce RDP Nalezeno slabé heslo Na Azure VM AZURE: mimikatz, získán privilegovaný účet AZURE: scan sítě AZURE: Enumerace RDP serverů ONPREM: RDP přístup na DC ONPREM: nalezen DC 100% vytížení serverů ONPREM/AZURE DDOS Selhání služeb Uzavření portů Forenzní vyšetřování Čas: T+0 Čas: T+1d Čas: T+1,5d Čas: T+2d ATOM: detekce bruteforce Notifikace telefonem ATOM: detekce otevřeného portu ATOM: detekce použití účtu ATOM: detekce přístupu na DC Notifikace telefonem ATOM: detekce přístupu na RDP ATOM: detekce vytvoření GPo ATOM: detekce selhání ATOM: detekce vytížení ATOM: detekce nežádoucího procesu ATOM: stopa útoku

ATOM, KPCS a GDPR Article 32 section 1 lit b.gdpr Integrita Dostupnost Odolnost Důvěrnost Kontrola změn služeb Kontrola změn souborů Kontrola síťového provozu Kontrola přihlášení ke koncovému bodu Network monitoring Performance monitoring Event management Health check lite Porovnání s baseline Vyhodnocení best practice Service Map a vazby služeb, procesů a systémů Kontrola skupin AD Kontrola lokálních skupin Kontrola chování uživatele Integrace s ATA a SIEM Kontrola DNS dotazů Pre Assessment Personal Data Assessment Risk Analysis & Measures GDPR EFFECTIVE 25.5.2018 Continuous Data Privacy Management Measures Implementation Mandatory Measures

Vybudováno na Microsoft Azure Flexibilní, škálovatelné, bez geografického omezení, řada bezpečnostních certifikací Nepotřebuje žádné investice Model pay-as-you go, základní verze zdarma, rychlé nasazení Zaměřte se na důležité Expertní znalost konzultantů obsažena v produktu, upozornění na problémy ohrožující bezpečný a bezproblémový chod Detailní reporty Každý týden report na váš e-mail, dle zvolené varianty bezpečnostní doporučení Bezpečnost, podpora GDPR Využití pro GDPR, bezpečnostní audit a bezproblémový provoz IT, mobilní klient Žádná omezení, žádné limity Jakýkoliv server, jakýkoliv cloud, Windows, Linux, síťové prvky

Azure OMS základ ATOM

Vlastní dopněná řešeí ATOM

Každé řešení má detail

Nebo úplný detail audit trail

Ale nemusím být odborník ATOM report Hodnocení prostředí jako celku Klikni pro detail konzole ATOM

Bezpečnost je výzva Nedostatek zdrojů technických / lidských Spousty (nebo žádné) nástrojů na monitoring Je nutné být v souladu s GDPR ve 2018 ATOM: získává data pro reportování potenciálních průniků Správa systémů příliš komplexní Je nesnadné porozumět diagnostickým informacím z nástrojů. Nebo je informací moc Hybridní multi OS prostředí ATOM: reporty obsahují znalosti jak na to u podstatných problémů jak bezpečnost, tak operations Nechcete investovat / již monitorujete Model Pay-as-you go. Není nutná implementace, bez investic. Propojení stávajících systémů ATOM: připraven za 15min, report po prvním týdnu. Propojení SCOM, Zabbix a další

Nemáte čas na analýzu Chybí Vám znalosti Prostředí je příliš složité Každý týden report ve vašem e-mailu Obsahuje to nejdůležitější, včetně doporučení nápravy Zaměřte se na ty nejdůležitější problémy v prostředí Sledujte změny, mějte dokumentaci prostředí aktuální Nemusíte být expertem na všechny systémy, abyste zajistili jejich efektivní chod Volitelně s nápravou pomůžeme, garantované SLA (v EU) pro kritické a bezpečností problémy Dělejte správná rozhodnutí ve správný čas

Složité věci, snadno pochopitelné

www.atom.ms atom@atom.ms

Threat Intelligence Audit Logs Intune Active Directory Log Analytics ediscovery Azure Security Center Data Loss Prevention SAMSUNG ATOM Data Log Cloud App Security Key Vault Safetica Nina Data Classification XEELO Threat Detection Windows Hello Bitlocker Credential Guard Information Protection Transparent Data Encryption Always Encrypted

Zdroje k GDPR: Microsoft Corp hlavní stránka: microsoft.com/gdpr Prezentace a zdroje v češtině: aka.ms/jaknagdpr Microsoft Trust Center microsoft.com/trust Service Trust Platform podklady k certifikacím, auditní zprávy: aka.ms/stp (vyžaduje log-in, NDA level)

Děkuje Vám za pozornost Jiří Černý jiric@microsoft.com Vlastimil Tesař vlastimil.tesar@microsoft.com This presentation is intended to provide an overview of GDPR and is not a definitive statement of the law.