Petr Zahálka. Cílená ochrana citlivých dat s přihlédnutím k požadavkům GDPR

Podobné dokumenty
Petr Zahálka. Splnit požadavky GDPR nemusí být s DLP složité

Petr Zahálka. Hlídejte si data! Je čas začít se zabývat zabezpečením samotných dat.

Petr Zahálka. Hlídejte si data! Je čas začít se zabývat zabezpečením samotných dat.

Petr Zahálka. Hlídejte si data! Je čas začít se zabývat zabezpečením samotných dat.

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

GDPR compliance v Cloudu. Jiří Černý CELA

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

ÚVOD DO GDPR. Mgr. Jana Pattynová, LL.M

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

GDPR Projekt GDPR Compliance

Obecné nařízení o ochraně osobních údajů

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Obecné nařízení o ochraně osobních údajů (GDPR) S přihlédnutím ke Smart Cities Petr Habarta, OBPPK MV

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

Seznam vzorů, které naleznete v publikaci:

Petr Zahálka. Čte Vám někdo za zády Vaše y?

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Ochrana osobních údajů a AML obsah

Potřebujete mít vaše IS ve shodě s legislativou? Bc. Stanislava Birnerová

Nová pravidla ochrany osobních údajů

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

Jak udržet citlivé informace v bezpečí i v době cloudu a mobility. Jakub Jiříček, CISSP Praha, 27. listopadu 2012

Projekt GDPR-CZ. innogy Přístup k projektu. Agenda. 12/09/2017 Page 1. Praha 13. září Úvod a cíle projektu. Kontext GDPR.

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

ANECT & SOCA ANECT Security Day

#gdpr #gastro #hotel. 16. února Janka Brezániová

Od Czech POINTu k vnitřní integraci

Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

Microsoft a nařízení GDPR. Ladka Poláková Partner Sales Executive Cloud

Dopady GDPR a jejich vazby

Není cloud jako cloud, rozhodujte se podle bezpečnosti

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

FlowMon Vaše síť pod kontrolou

5 kroků, jak zvýšit bezpečnost uživatelů i dat ve vaší škole

GDPR Modelová Situace z pohledu IT

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Kybernetická bezpečnost ve veřejné správě. Jan Dienstbier Garant platformy KYBEZ

JAK ZAČÍT S GDPR V PODMÍNKÁCH MALÉ OBCE. konference

Případová studie: Ochrana citlivých dat v automobilovém průmyslu

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

Dopady GDPR na design IT Martin Dobiáš, Digital Advisory Services

ARBES Technologies, s.r.o. Enterprise Content Management Konference ISSS 2013

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

Řešení DocTag pro klasifikaci dokumentů. Matej Kačic

JAK SE PŘIPRAVIT NA GDPR?

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

GDPR. Požadavky na dokumentaci. Luděk Nezmar

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

SKUPINA 1. Lektor: Mgr. Ing. Bc. Jan Tomíšek ROWAN LEGAL Téma: GDPR a audit v oblasti ochrany osobních údajů

Enterprise Mobility Management & GDPR AirWatch - představení řešení

Enterprise Mobility Management AirWatch & ios v businessu

Systémová analýza a opatření v rámci GDPR

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

S GDPR nepřijde konec světa

Jak řešit zpracování osobních údajů v cloudu dle GDPR a nešlápnout vedle. Zdeněk Jiříček National Technology Officer Microsoft ČR

Nové trendy v DLP. Jan Strnad McAfee

Olga Přikrylová IT Security konzultant / ITI Seminář k GDPR. Ochrana osobních údajů

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

SPISOVÁ SLUŽBA A GDPR

Ochrana osobních údajů a bezpečnost dat - novinky v GDPR

Víte, kdo pracuje s vašimi dokumenty? Stanislava Birnerová

General Data Protection Regulation. EY přístup a řešení. SAS Business Breakfast

Petr Zahálka. Hlídejte si data! Je čas začít se zabývat zabezpečením samotných dat.

Ochrana osobních údajů

Zabezpečení osobních údajů

VARONIS. Obecné nařízení EU o ochraně osobních údajů. Co musíte vědět, abyste ho dodrželi

Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí

GDPR Aneb co se nedá stihnout včas

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

ANECT, SOCA a bezpečnost aplikací

GDPR. (General Data Protection Regulation) Nařízení EU č. 679/2016 k ochraně osobních údajů. Mgr. Josef Botek tajemník

Tzv. životní cyklus dokumentů u původce (Tematický blok č. 4) 1. Správa podnikového obsahu 2. Spisová služba

KAPITOLA IV SPRÁVCE A ZPRACOVATEL

NOVÉ PŘÍSTUPY A NÁSTROJE OCHRANY OSOBNÍCH ÚDAJŮ V OBECNÉM NAŘÍZENÍ A PRÁVA SUBJEKTU ÚDAJŮ

Digitální. transformace. Lubica Kršková, Partner Sales Executive - Disti. René Klčo, Cloud Sales Specialist. Microsoft

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

O2 a jeho komplexní řešení pro nařízení GDPR

GDPR Obecný metodický pokyn pro školství

Jak bojovat s GDPR? Martin 9. března 2017

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

GDPR RYCHLE A ZBĚSILE

Produktové portfolio

Záznam o činnostech zpracování dle článku 30 nařízení GDPR

GDPR a veřejná správa

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

GDPR A KRAJSKÉ ÚŘADY. Mgr. Jana Pattynová, LL.M

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

Transkript:

Petr Zahálka Cílená ochrana citlivých dat s přihlédnutím k požadavkům GDPR 1 13.7.2016

Mobile Workforce + BYOD = Riziko Credit Suisse : Data ukradl VP 58% zaměstnanců ukládá citlivá firemní data na SOUKROMÁ ZAŘÍZENÍ 40% zaměstnanců používá citlivá firemní data, která si odnesli při změně zaměstnání Více než 50% zaměstnanců si posílá obchodní korespondenci na jejich soukromý email a po jeho použití ho již nesmažou Třetina zaměstnanců používá aplikace na sdílení pro pracovní data Sources: What s Yours Is Mine: How Employees are Putting Your Intellectual Property at Risk, Symantec & Ponemon Institute Security Awareness Training: It's Not Just for Compliance, Enterprise Management Associates http://www.t-press.cz/cs/novinky/t-mobile-vyjadreni-k-uniku-dat.html 2 13.7.2016 2

Zaměstnanci jako hrozba pro firmy 64% ztrát dat bylo způsobeno loajálními zaměstnanci 50% zaměstnanců odchází s informacemi Cena značky některých firem sa odhaduje v miliónech Ztráta Důvěryhodnosti Reputace Kredibility Přímá finanční ztráta 3 3 13.7.2016

Tváře Prevence ztráty dat Je to o lidech loajální zaměstnanec Zlomyslný zaměstnanec Nespokojený zaměstnanec 4 4 13.7.2016

Netransparentní řešení Potřebujeme víc než jen technologické řešení. Kde jsou citlivé informace? Jak jsou používané? Jak je nejlépe chránit před zneužitím? ZJISTI SLEDUJ OCHRAŇ 5 5 13.7.2016

Ochrana dat je o lidech Jana G. Loajální zaměstnanec Asistent HR Manažera SITUACE: Posílá citlivé údaje přes email personální agentuře. Detekce a odpověď Problém Jana sa snaží odeslat e-mail s citlivými osobními údaji bez toho aby si to uvědomovala DLP Odpověď DLP kontroluje obsah a kontext na shodu a ponechá e-mail na serveru Akce Server: Monitoruje, notifikuje užívatele, šifruje anebo blokuje Užívatel: Zobrazí se mu upozornění, zdůvodnění, blokuje se e-mail, odstraní se citlivé informace Výsledek Pomůže užívateli porozumět a zdůvodnit transparentně rizika Blokuje anebo šifruje v určitých případech. 6 6 13.7.2016

Ochrana dat je o lidech Igor V. Loajální zaměstnanec Asistent Compliance SITUACE: Kopíruje citlivé údaje na USB klíč Detekce a odpověď Problém Igor kopíruje neveřejnou finanční zprávu na USB klíč DLP Odpověď Analýza je vykonaná na jeho počítači na základě politik Akce Monitoruje, vytvoří záznam a upozorňuje Automaticky šifruje soubory na USB. Výsledek Automaticky zabezpečí citlivé informace Zvyšuje viditelnost kde sa citlivé informace pohybují. Změna chování užívatelů 7 7 13.7.2016

Novinky v GDPR Povinnost oznámit neoprávněný přístup k osobním údajům Širší teritoriální a věcný dopad Vyšší pokuty (až 4% celosvětového obratu celého podniku) Pověřenec pro ochranu osobních údajů Privacy by design and by default Vedoucí dozorový úřad jako one-stopshop Zrušení systému registrací u ÚOOÚ Povinnost správce provést posouzení vlivu na ochranu osobních údajů 8 13.7.2016

Novinky v GDPR Posílení práv subjektů údajů Výslovnost souhlasu pro všechna zpracování Širší informační povinnost Pseudonymizace dat Nové náležitosti zpracovatelské smlouvy (vč. řetězení) Kodexy a certifikáty Evropský sbor pro ochranu osobních údajů Odpovědnost zpracovatele za způsobenou újmu 9 13.7.2016

Technické zabezpečení dle GDPR BEZPEČNOST ÚDAJŮ správce a zpracovatel přijmou vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku Obnova dostupnosti osobních údajů a přístupu k nim včas v případě fyzických či technických incidentů Čl. 32 GDPR obsahuje demonstrativní výčet možných opatření Pravidelné testování, posuzování a hodnoce ní Pseudonymizace a šifrování Neustálá důvěrnost, integrita, dostupnost a odolnost systémů a služeb zpracování 10 13.7.2016

BEZPEČNOST ÚDAJŮ Technická opatření dle GDPR Kodexy chování Kodexy schvaluje ÚOOÚ nebo EDPB Pomáhají správcům a zpracovatelům prokazovat technické zabezpečení a soulad s právními předpisy Certifikace GDPR podporuje ustanovení orgánů, které budou udílet podnikům akreditace Certifikáty budou platné vždy po dobu 3 let Privacy by design Záměrná a standardní ochrana osobních údajů Organizace musí implementovat technické a organizační prostředky Zahrnuje rovněž zaměstnanecké směrnice Privacy impact assesment Posouzení vlivu na ochranu osobních údajů Slouží k identifikaci a minimalizaci rizik při zpracování údajů Nahrazuje dřívější registrace národním úřadům Možnost předchozích konzultací s dozorovým úřadem 11 13.7.2016

Co je a co není Data Loss Prevention DLP není standardní bezpečnostní nástroj Je to Enerprisová aplikace, která vám umožní vidět konkrétní rizika, dovolí zachytit citlivá data a tím: Zjistit a odstranit špatné procesy Vyškolit zaměstance a změnit jejich chování Snížit rizika a tím ochránit organizaci Umožní ochranu dat měřit 12 13.7.2016

90% of DLP is Incident Response Right Automation Resolution, Enforcement, Notification Right Person Route Incidents to Right Responder Right Order High Severity of Incidents First Right Information 5 Second Test Right Action 1 Click Response Right Metrics Prove Results to Execs and Auditors 13 13.7.2016 1

Universal Reporting Across All Threats 14 14 13.7.2016

Multi-Level Summarization Reporting 15 In this Report, Accounting has the most Incidents, SSN s related 15 13.7.2016

Měřitelnost 16 13.7.2016

Defense-In-Depth: Encryption + Data Loss Prevention Network DLP / Email Gateway Encryption Automaticky šifruje emaily obsahující citlivá data Upozorní zaměstnance v reálném čase o šifrování obsahu policies and tools Storage DLP / Shared Storage Encryption Nalezne kde jsou citlivá data uložena a automaticky je zašifruje Jednoduše, bez nutné účasti zaměstnance, nebo IT Endpoint DLP / Endpoint Encryption Zaměřeno na rizikové uživatele, kde nalezne citlivá data na jejich počítačích Ochrání a umožní práci tím že šifruje cíleně pouze citlivá data například kopírovaná USB zařízení 17 13.7.2016 1 7

Shrnutí Ochrana dat musí být cílená Potřebuji vědět kde data leží a jak se s nimi pracuje Potřebuji pokrýt všechna rizika, všechny vektory úniku Lepší je mít jedno řešení, které mi zajistí kompletní ochranu, než mít více oddělených Pozor na právní důsledky podrobného monitorování korespondence a činnosti uživatelů Pokud potřebujete pomoci s analýzou stávajícího stavu a navrhnout optimální řešení obraťte se na nás! 18 13.7.2016

Seminář na téma Ochrana osobních údajů v souladu s GDPR 8.11. Avnet Obecný úvod do bezpečnosti a ochrany dat Ochrana dat Stávající povinnosti v ochraně osobních údajů Ochrana osobních údajů a bezpečnost dat - srovnání stávající právní úpravy a GDPR Základní principy zpracování osobních údajů Smlouva o zpracování osobních údajů Zabezpečení údajů Nahlašování Data breaches Práva subjektů údajů Předávání osobních údajů do zahraničí Postih za porušení předpisů na ochranu osobních údajů Sektorová regulace cloudu Cílená ochrana osobních ůdajů a citlivých dat Data Loss Prevention princip Možnosti Úskalí Zkušenosti 19 13.7.2016

Děkuji za pozornost S případnými dotazy se na mně neváhejte obrátit Ing. Petr Zahálka Avnet s.r.o. 602354836 petr.zahalka@avnet.com 20 13.7.2016

Technologie detekce dat a dokumentů Described Content Matching (DCM) Symantec Data Loss Prevention Porovnání popsaného obsahu dat, zpráv a vztahů Exact Data Matching (EDM) Přesné porovnání strukturovaných a nestrukturovaných dat Indexed Document Matching (IDM) Detailní porovnání nestrukturovaných dat Vector Machine Learning (VML) Porovnání podobnosti nestrukturovaných dat Directory Group Matching Porovnání identit uživatelů podle databáze, adresáře serveru 21 13.7.2016 2 1

Vstupní data: Datové identifikátory DCM Opisné Data Opisné Data Regulární výraz - speciální řetězec znaků, který představuje určitý vzor (masku) pro textové řetězce Rodná čísla, čísla jednací, Čísla kreditních karet - plus jejich verifikace Vlastní číselné řady - plus jejich verifikace Klíčové slova (klíčové fráze, slovníky) Metadata souboru, klasifikace dokumentů Metoda DCM je velmi často používána v kombinaci s jinými metodami odhalování citlivých dat, čímž se dosáhne minimalizace false positive. 22 13.7.2016

Vstupní data: Strukturované data EDM Strukturované Data Strukturované Data Excel *.xls Strukturovaný seznam *.txt, *.dat, Strukturovaný seznam Jako vstupní formát Excel *.xls, Textový soubor *.txt, Datový soubor *.dat, 200 000 řádků, 2GB pro jeden import 300 mil záznamu/protect server Symantec Data Loss Prevention 23 13.7.2016 2 3

Vstupní data: Nestrukturované data IDM Nestrukturované Data Nestrukturované Data Word *.doc, Adobe *.pdf Visio *.vsd, Power Point *.pst AutoCad, Zdrojový kód Finanční reporty, Obchodní smlouvy Word *.doc Adobe *.pdf Visio *.vsd Power Point *.pst AutoCad Zdrojový kód Finanční reporty, Obchodní smlouvy, 24 13.7.2016 2 4

Detekce obrázku s OCR rozšířením Email with an invoice attached as a scan (TIFF file format) Symantec DLP OCR plug-in MODI (Microsoft Office Document Imaging) Text extracted from the image Používá MS Office 2007 OCR Screenshots Obrázky s citlivými daty Skenované dokumenty 25 13.7.2016 2 5

Příklad detekce s OCR [Tax ID#] 9512345994 [Keyword] Symantec Poland [Bank Account#] 90 1440 1390 0000 0000 1361 4229 [Tax ID#] 1080000094 invoice.tiff extracted text that can trigger incident 26 13.7.2016 2 6

Příklad detekce s OCR 27 13.7.2016 2 7

Kombinace AND/OR a dalších technologií pro minimalizaci false positive incidentů Ke snížení počtu false positive incidentů se doporučuje kombinace pravidel pomocí logických operátorů AND/OR a kombinace různých detekčních technologií. Příklad: kombinace technologií EDM a DCM. EDM - Jména, Příjmení, Seznam obcí a měst DCM Datové identifikátory (RČ) 28 13.7.2016 2 8

Řešení: DLP + Vector Machine Learning Symantec Data Loss Prevention Učení Popis Otisky dat Automatizace hledání klíčových slov, snazší ladění pravidel Vyšší přesnost detekce, méně falešných poplachů Nalezení nových dat bez nutnosti předchozí tvorby otisků Funguje všude: koncový bod, síť i úložiště 29 13.7.2016 2 Symantec Proprietary & Confidential - This information is not a commitment, promise or legal obligation to deliver any material, code or functionality 9

Jak to funguje: Vector Machine Learning Symantec Data Loss Prevention Přínosy Jednodušší tvorba přesných pravidel nic se nemusí popisovat Vystačí s menším množstvím vzorků než datové otisky Nižší náklady na správu a vylepšená přesnost 30 13.7.2016 3 0

Directory Group Matching (DGM) Pomocí této metody jsme schopni odhalit přesnou identitu uživatelů dat, odesílatelů a příjemců emailů a tím dále zpřesnit pravidla pro vyhledávání citlivých dat nebo pro udělení výjimky. Skupiny uživatelů, odesílatelů a příjemců mohou být porovnávány se seznamy emailových adres, IP adres, IM jmen nebo s LDAP skupinami. Příklad: Výjimky - Nebudou se monitorovat zaměstnanci pracující ve společnosti Deloitte jako příjemci citlivých dat podle určité politiky. 31 13.7.2016 3 1

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář