ANECT & SOCA GDPR & DLP Ivan Svoboda / ANECT / SOCA Lenka Suchánková / PIERSTONE Petr Zahálka / AVNET / SYMANTEC
INCIDENT MANAGEMENT Management rizik
Typy citlivých dat KNOW-HOW OBCHODNÍ TAJEMSTVÍ PROVOZNÍ DATA INTERNÍ ÚDAJE OSOBNÍ ÚDAJE
Řízení rizik HROZBY ZRANITELNOSTI AKTIVA TOP RIZIKA
Řízení souladu a rizik Váš přístup k řízení souladu? 1 2 3 4 5 Vůbec neřešíme Počkáme na prvního auditora Chceme splnit formálně Chceme splnit doopravdy Chceme být nejlepší Stihnete to?
Řízení souladu a rizik Váš přístup k řízení rizik? 1 2 3 4 5 Vůbec neřešíme Počkáme, až vyhoříme 2x Tušíme, co hrozí Máme hasicí přístroje Všechno máme kryto 3x Jaké je Vaše aktuální riziko?
Rizika Hrozby Dopady Váš byznys Ztráta dat Viry Podvody Finanční ztráty Únik dat Malware Ztráta byznysu Fraud DoS / DDoS Procesy Poškození značky Výroba / Služby Narušení výroby Narušení služeb Spam Lidé Trestní postih Prodej Pokuty Chyby Havárie Phishing Exploity Technologie XY Provoz Ztráta produktivity Výpalné Zneužití identity Social Eng.
Principy a fáze ochrany osobních údajů Posuzovat (citlivost, kontext, rizika) Chránit (zajistit neustálou ochranu) Odhalovat (detekovat odchylky a porušení) PREDIKCE PREDIKCE PREVENCE PREVENCE DETEKCE REAKCE DETEKCE Hlásit (analyzovat a ohlásit) REAKCE
SOCA služby: 4 fáze 02 SOCA Scany Konfigurace Analýzy rizik PREDIKCE PREVENCE Blokace Karanténa REAKCE DETEKCE Monitoring Náprava Analýza incidentů
INCIDENT MANAGEMENT Projekt GDPR
GDPR čím začít? Zahájení projektu GDPR Analýza stavu, souladu a nedostatků Implementace
GDPR FÁZE PROJEKTU: ANALÝZA Analýza stavu, souladu a nedostatků Umíte přesně identifikovat všechna osobní data, která zpracováváte? Můžete s jistotou uvést, jak a proč zpracováváte uvedená data? Můžete s jistotou uvést, kde ukládáte tato osobní data a kdo k nim přistupuje? Jakou máte jistotu, že splňujete všechny požadavky?
GDPR FÁZE PROJEKTU: ANALÝZA Analýza stavu, souladu a nedostatků HR CRM Další Další procesy? Další procesy? procesy? Další Další data? Další data? data? Audit souladu Audit souladu Procesní inventura Datová inventura Právní oblasti Zákonnost zpracování Souhlasy subjektů Smlouvy a subdodavatelé Dodržování práv subjektů Ostatní stav Komentáře 60% xxx 75% xxx 75% xxx Právní oblasti Zákonnost zpracování Souhlasy subjektů Smlouvy a subdodavatelé Dodržování práv subjektů Ostatní stav Komentáře 60% xxx 60% xxx 25% xxx IT a bezpečnost dat Organizační bezpečnost a procesy Lidé Technická opatření Pořádek v datech Stav bezpečnosti 60% xxx 75% xxx 75% xxx IT a bezpečnost dat Organizační bezpečnost a procesy Lidé Technická opatření Pořádek v datech Stav bezpečnosti 35% xxx 25% xxx 25% xxx 25% xxx
GDPR FÁZE PROJEKTU: ANALÝZA Analýza stavu, souladu a nedostatků Inventura dat - Jaká data vlastně zpracováváme? - Kde jsou uložena? - Co s nimi děláme? (uživatelé, procesy, toky dat) Procesní inventura - Podle jakých pravidel je zpracováváme? Byznysová analýza - Byznys důvody zpracování? - (vlastník, přínosy, rizika, ) Gap analýza (stav souladu) - Souhlasy, smlouvy, účelnost, přiměřenost, uživatelé, procesy, rizika Návrh opatření (roadmapa) - Seznam opatření, harmonogram, priority
GDPR FÁZE PROJEKTU Implementace ADAPTIVE SECURITY ARCHITECTURE Procesní a smluvní opatření: - Zrušit sběr/zpracování, - Získat souhlasy, - Změnit procesy, směrnice, - Upravit smlouvy (zavést nové). PROCESSES Technická a organizační opatření, vč. např.: TECHNOLOGIES PEOPLE - šifrování a/nebo pseudonymizace dat, - zálohování PREDIKCE REAKCE PREVENCE DETEKCE USERS Security Intelligence DATA APPS Perimeter Data Center Endpoint High Availability - školení, analýzy rizik, testy, - kontrola pomocí DLP, - řízení přístupu, - monitoring a detekce incidentů Physical Security
GDPR čím začít? Zahájení projektu GDPR Analýza stavu, souladu a nedostatků Implementace
Potřebujete pomoc s GDPR?? Chcete zjistit, co vám chybí? Potřebujete technologie, procesy, role, lidi? Chcete trvale vidět, rozumět a reagovat?