Petr Zahálka. Splnit požadavky GDPR nemusí být s DLP složité

Podobné dokumenty
Petr Zahálka. Cílená ochrana citlivých dat s přihlédnutím k požadavkům GDPR

Petr Zahálka. Hlídejte si data! Je čas začít se zabývat zabezpečením samotných dat.

Petr Zahálka. Hlídejte si data! Je čas začít se zabývat zabezpečením samotných dat.

Petr Zahálka. Hlídejte si data! Je čas začít se zabývat zabezpečením samotných dat.

Petr Zahálka. Čte Vám někdo za zády Vaše y?

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Není cloud jako cloud, rozhodujte se podle bezpečnosti

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Potřebujete mít vaše IS ve shodě s legislativou? Bc. Stanislava Birnerová

Jak udržet citlivé informace v bezpečí i v době cloudu a mobility. Jakub Jiříček, CISSP Praha, 27. listopadu 2012

FlowMon Vaše síť pod kontrolou

Od Czech POINTu k vnitřní integraci

Seznam vzorů, které naleznete v publikaci:

Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí

Řešení DocTag pro klasifikaci dokumentů. Matej Kačic

Případová studie: Ochrana citlivých dat v automobilovém průmyslu

Petr Zahálka. Hlídejte si data! Je čas začít se zabývat zabezpečením samotných dat.

Tzv. životní cyklus dokumentů u původce (Tematický blok č. 4) 1. Správa podnikového obsahu 2. Spisová služba

5 kroků, jak zvýšit bezpečnost uživatelů i dat ve vaší škole

8.2 Používání a tvorba databází

ARBES Technologies, s.r.o. Enterprise Content Management Konference ISSS 2013

Monitorování datových sítí: Dnes

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Projekt GDPR-CZ. innogy Přístup k projektu. Agenda. 12/09/2017 Page 1. Praha 13. září Úvod a cíle projektu. Kontext GDPR.

GDPR v aplikaci Nabídky Plus

Zkušenosti z nasazení a provozu systémů SIEM

Dopady GDPR na design IT Martin Dobiáš, Digital Advisory Services

Kybernetické hrozby - existuje komplexní řešení?

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

Marketingová komunikace. 2. soustředění. Mgr. Pavel Vávra Kombinované studium Skupina N9KMK1aPH/N9KMK1bPH (um1a1ph/um1b1ph)

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

ABBYY Automatizované zpracování dokumentů

Nové trendy v DLP. Jan Strnad McAfee

Víte, kdo pracuje s vašimi dokumenty? Stanislava Birnerová

ANECT & SOCA ANECT Security Day

Kybernetické hrozby jak detekovat?

DATABÁZOVÉ SYSTÉMY. Metodický list č. 1

GDPR Projekt GDPR Compliance

Enterprise Mobility Management & GDPR AirWatch - představení řešení

Zabezpečení infrastruktury

Marketingová komunikace. 2. a 3. soustředění. Mgr. Pavel Vávra 9103@mail.vsfs.cz. Kombinované studium Skupina N9KMK3PH (vm3aph)

ANECT & SOCA. Informační a kybernetická bezpečnost. Víte, co Vám hrozí? Ivan Svoboda Business Development Manager, ANECT

Tovek Tools. Tovek Tools jsou standardně dodávány ve dvou variantách: Tovek Tools Search Pack Tovek Tools Analyst Pack. Připojené informační zdroje

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Využití identity managementu v prostředí veřejné správy

Kurz Databáze. Obsah. Návrh databáze E-R model. Datová analýza, tabulky a vazby. Doc. Ing. Radim Farana, CSc.

ANECT, SOCA a bezpečnost aplikací

Enterprise Mobility Management AirWatch & ios v businessu

a konverze na úřadech Martin Řehořek

Garantované uložení dat a GDPR nejčastější normativní požadavky dneška

General Data Protection Regulation. EY přístup a řešení. SAS Business Breakfast

SAFETICA DATA LOSS PREVENTION

Word Lekce III. a IV.

Komentáře CISO týkající se ochrany dat

GDPR compliance v Cloudu. Jiří Černý CELA

1 Tabulky Příklad 3 Access 2010

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o.

O2 a jeho komplexní řešení pro nařízení GDPR

Produktové portfolio

aktuality, novinky Ing. Martin Řehořek

Oracle Database Security

Veritas Information Governance získejte zpět kontrolu nad vašimi daty

ECM. Enterprise Content Management. čt 9:15 Petr Bouška (xboup00) Zbyněk Hostaš Lukáš Maršíček Martin Nikl (xnikm00)

Marketingová komunikace. 3. soustředění. Mgr. Pavel Vávra Kombinované studium Skupina N9KMK3PH (vm3bph)

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

Digitalizace a oběh dokumentů VUMS LEGEND, spol. s.r.o.

MIS. Manažerský informační systém. pro. Ekonomický informační systém EIS JASU CS. Dodavatel: MÚZO Praha s.r.o. Politických vězňů Praha 1

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Text Mining: SAS Enterprise Miner versus Teragram. Petr Berka, Tomáš Kliegr VŠE Praha

Metadata. MI-DSP 2013/14 RNDr. Ondřej Zýka,

TRAPS PRVNÍ SKUTEČNĚ FUNGUJÍCÍ OCHRANA PRO DESKTOPY A SERVERY

Tovek Server. Tovek Server nabízí následující základní a servisní funkce: Bezpečnost Statistiky Locale

Bezpečnostní monitoring v praxi. Watson solution market

Nová pravidla ochrany osobních údajů

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Obecné nařízení o ochraně osobních údajů

Oddělení interního auditu směřují k vyšší produktivitě pomocí moderních technologií

Vybraná zajímavá Lotus Notes řešení použitelná i ve vašich aplikacích. David Marko TCL DigiTrade

Zákon o kybernetické bezpečnosti: kdo je připraven?

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

VYHLÁŠKA ze dne 23. června 2009 o stanovení podrobností užívání a provozování informačního systému datových schránek

Commvault + Azure = Data Management budoucnosti. Antonín Moravec, Territory Manager CZ/SK Miroslav Dvořák, Systems Engineer CZ/SK

OptimiDoc dokáže takové dokumenty zpracovat a distribuovat napříč firmou.

Ochrana osobních údajů a AML obsah

DATABÁZE MS ACCESS 2010

Inteligentní analýza obrazu. Ing. Robert Šimčík

Úvod do databázových systémů

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

Flow monitoring a NBA

Daniela Lišková Solution Specialist Windows Client.

Informační systémy 2008/2009. Radim Farana. Obsah. Dotazy přes více tabulek

& GDPR & ŘÍZENÍ PŘÍSTUPU

Analýza staročeské morfologie v Excelu

Řízení privilegovaný účtů

PRODUKTY Tovek Server 6

IntraVUE Co je nového

2. Nízké systémové nároky

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

Copyright 2012 EMC Corporation. All rights reserved. Nové strategie pro zálohu a archiv kritických aplikací

Transkript:

Petr Zahálka Splnit požadavky GDPR nemusí být s DLP složité 1 5.10.2016

DLP - Data Loss Prevention Cílená ochrana citlivých dat Cílená ochrana osobních údajů Nasazení bývá často oddalováno Nejsem schopen identifikovat citlivá data Nejsem schopen měnit procesy Nejsem schopen najít prostředky lidské i finanční Rizika si neuvědomuji Neznám reálnou hodnotu svých informačních aktiv 2 5.10.2016

GDPR mění důležitost Soulad s GDPR je nutností Jsou jasná data co musím chránit Jsou jasné způsoby ochrany Jsou definovaná technická opatření Jsou jasné sankce za únik dat 3 5.10.2016

Zaměstnanci jako hrozba pro firmy 64% ztrát dat bylo způsobeno loajálními zaměstnanci 50% zaměstnanců odchází s informacemi Cena značky některých firem sa odhaduje v miliónech Ztráta Důvěryhodnosti Reputace Kredibility Přímá finanční ztráta 4 4 5.10.2016

Tváře Prevence ztráty dat Je to o lidech loajální zaměstnanec Zlomyslný zaměstnanec Nespokojený zaměstnanec 5 5 5.10.2016

Netransparentní řešení Potřebujeme víc než jen technologické řešení. Kde jsou citlivé informace? Jak jsou používané? Jak je nejlépe chránit před zneužitím? ZJISTI SLEDUJ OCHRAŇ 6 6 5.10.2016

Ochrana dat je o lidech Jana G. Loajální zaměstnanec Asistent HR Manažera SITUACE: Posílá citlivé údaje přes email personální agentuře. Detekce a odpověď Problém Jana sa snaží odeslat e-mail s citlivými osobními údaji bez toho aby si to uvědomovala DLP Odpověď DLP kontroluje obsah a kontext na shodu a ponechá e-mail na serveru Akce Server: Monitoruje, notifikuje užívatele, šifruje anebo blokuje Užívatel: Zobrazí se mu upozornění, zdůvodnění, blokuje se e-mail, odstraní se citlivé informace Výsledek Pomůže užívateli porozumět a zdůvodnit transparentně rizika Blokuje anebo šifruje v určitých případech. 7 7 5.10.2016

Ochrana dat je o lidech Igor V. Loajální zaměstnanec Asistent Compliance SITUACE: Kopíruje citlivé údaje na USB klíč Detekce a odpověď Problém Igor kopíruje neveřejnou finanční zprávu na USB klíč DLP Odpověď Analýza je vykonaná na jeho počítači na základě politik Akce Monitoruje, vytvoří záznam a upozorňuje Automaticky šifruje soubory na USB. Výsledek Automaticky zabezpečí citlivé informace Zvyšuje viditelnost kde sa citlivé informace pohybují. Změna chování užívatelů 8 8 5.10.2016

Co je a co není Data Loss Prevention DLP není standardní bezpečnostní nástroj Je to Enterprisová aplikace, která vám umožní vidět konkrétní rizika, dovolí zachytit citlivá data a tím: Zjistit a odstranit špatné procesy Vyškolit zaměstance a změnit jejich chování Snížit rizika a tím ochránit organizaci Umožní ochranu dat měřit 9 5.10.2016

Požadavky GDPR na šifrování a anonimizaci Mohu splnit jednoduše nasazením DLP Mohu šifrovat pouze určená data Mohu pracovat bezpečně s anonimizovanými daty 10 5.10.2016

Defense-In-Depth: Encryption + Data Loss Prevention Network DLP / Email Gateway Encryption Automaticky šifruje emaily obsahující citlivá data Upozorní zaměstnance v reálném čase o šifrování obsahu policies and tools Storage DLP / Shared Storage Encryption Nalezne kde jsou citlivá data uložena a automaticky je zašifruje Jednoduše, bez nutné účasti zaměstnance, nebo IT Endpoint DLP / Endpoint Encryption Zaměřeno na rizikové uživatele, kde nalezne citlivá data na jejich počítačích Ochrání a umožní práci tím že šifruje cíleně pouze citlivá data například kopírovaná USB zařízení 11 5.10.2016 1 1

90% of DLP is Incident Response Right Automation Resolution, Enforcement, Notification Right Person Route Incidents to Right Responder Right Order High Severity of Incidents First Right Information 5 Second Test Right Action 1 Click Response Right Metrics Prove Results to Execs and Auditors 12 5.10.2016 1

Universal Reporting Across All Threats 13 13 5.10.2016

Multi-Level Summarization Reporting 14 In this Report, Accounting has the most Incidents, SSN s related 14 5.10.2016

Měřitelnost 15 5.10.2016

Shrnutí Ochrana dat musí být cílená Potřebuji vědět kde data leží a jak se s nimi pracuje Potřebuji pokrýt všechna rizika, všechny vektory úniku Lepší je mít jedno řešení, které mi zajistí kompletní ochranu, než mít více oddělených Pozor na právní důsledky podrobného monitorování korespondence a činnosti uživatelů Pokud potřebujete pomoci s analýzou stávajícího stavu a navrhnout optimální řešení obraťte se na nás! 16 5.10.2016

Seminář na téma Ochrana osobních údajů v souladu s GDPR 8.11. Avnet Obecný úvod do bezpečnosti a ochrany dat Ochrana dat Stávající povinnosti v ochraně osobních údajů Ochrana osobních údajů a bezpečnost dat - srovnání stávající právní úpravy a GDPR Základní principy zpracování osobních údajů Smlouva o zpracování osobních údajů Zabezpečení údajů Nahlašování Data breaches Práva subjektů údajů Předávání osobních údajů do zahraničí Postih za porušení předpisů na ochranu osobních údajů Sektorová regulace cloudu Cílená ochrana osobních ůdajů a citlivých dat Data Loss Prevention princip Možnosti Úskalí Zkušenosti 17 5.10.2016

Děkuji za pozornost S případnými dotazy se na mně neváhejte obrátit Ing. Petr Zahálka Avnet s.r.o. 602354836 petr.zahalka@avnet.com 18 5.10.2016

Technologie detekce dat a dokumentů Described Content Matching (DCM) Symantec Data Loss Prevention Porovnání popsaného obsahu dat, zpráv a vztahů Exact Data Matching (EDM) Přesné porovnání strukturovaných a nestrukturovaných dat Indexed Document Matching (IDM) Detailní porovnání nestrukturovaných dat Vector Machine Learning (VML) Porovnání podobnosti nestrukturovaných dat Directory Group Matching Porovnání identit uživatelů podle databáze, adresáře serveru 19 5.10.2016 1 9

Vstupní data: Datové identifikátory DCM Opisné Data Opisné Data Regulární výraz - speciální řetězec znaků, který představuje určitý vzor (masku) pro textové řetězce Rodná čísla, čísla jednací, Čísla kreditních karet - plus jejich verifikace Vlastní číselné řady - plus jejich verifikace Klíčové slova (klíčové fráze, slovníky) Metadata souboru, klasifikace dokumentů Metoda DCM je velmi často používána v kombinaci s jinými metodami odhalování citlivých dat, čímž se dosáhne minimalizace false positive. 20 5.10.2016

Vstupní data: Strukturované data EDM Strukturované Data Strukturované Data Excel *.xls Strukturovaný seznam *.txt, *.dat, Strukturovaný seznam Jako vstupní formát Excel *.xls, Textový soubor *.txt, Datový soubor *.dat, 200 000 řádků, 2GB pro jeden import 300 mil záznamu/protect server Symantec Data Loss Prevention 21 5.10.2016 2 1

Vstupní data: Nestrukturované data IDM Nestrukturované Data Nestrukturované Data Word *.doc, Adobe *.pdf Visio *.vsd, Power Point *.pst AutoCad, Zdrojový kód Finanční reporty, Obchodní smlouvy Word *.doc Adobe *.pdf Visio *.vsd Power Point *.pst AutoCad Zdrojový kód Finanční reporty, Obchodní smlouvy, 22 5.10.2016 2 2

Detekce obrázku s OCR rozšířením Email with an invoice attached as a scan (TIFF file format) Symantec DLP OCR plug-in MODI (Microsoft Office Document Imaging) Text extracted from the image Používá MS Office 2007 OCR Screenshots Obrázky s citlivými daty Skenované dokumenty 23 5.10.2016 2 3

Příklad detekce s OCR [Tax ID#] 9512345994 [Keyword] Symantec Poland [Bank Account#] 90 1440 1390 0000 0000 1361 4229 [Tax ID#] 1080000094 invoice.tiff extracted text that can trigger incident 24 5.10.2016 2 4

Příklad detekce s OCR 25 5.10.2016 2 5

Kombinace AND/OR a dalších technologií pro minimalizaci false positive incidentů Ke snížení počtu false positive incidentů se doporučuje kombinace pravidel pomocí logických operátorů AND/OR a kombinace různých detekčních technologií. Příklad: kombinace technologií EDM a DCM. EDM - Jména, Příjmení, Seznam obcí a měst DCM Datové identifikátory (RČ) 26 5.10.2016 2 6

Řešení: DLP + Vector Machine Learning Symantec Data Loss Prevention Učení Popis Otisky dat Automatizace hledání klíčových slov, snazší ladění pravidel Vyšší přesnost detekce, méně falešných poplachů Nalezení nových dat bez nutnosti předchozí tvorby otisků Funguje všude: koncový bod, síť i úložiště 27 5.10.2016 2 Symantec Proprietary & Confidential - This information is not a commitment, promise or legal obligation to deliver any material, code or functionality 7

Jak to funguje: Vector Machine Learning Symantec Data Loss Prevention Přínosy Jednodušší tvorba přesných pravidel nic se nemusí popisovat Vystačí s menším množstvím vzorků než datové otisky Nižší náklady na správu a vylepšená přesnost 28 5.10.2016 2 8

Directory Group Matching (DGM) Pomocí této metody jsme schopni odhalit přesnou identitu uživatelů dat, odesílatelů a příjemců emailů a tím dále zpřesnit pravidla pro vyhledávání citlivých dat nebo pro udělení výjimky. Skupiny uživatelů, odesílatelů a příjemců mohou být porovnávány se seznamy emailových adres, IP adres, IM jmen nebo s LDAP skupinami. Příklad: Výjimky - Nebudou se monitorovat zaměstnanci pracující ve společnosti Deloitte jako příjemci citlivých dat podle určité politiky. 29 5.10.2016 2 9

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář