Pro zveřejnění
ANECT & SOCA GDPR & DLP Ivan Svoboda / ANECT / SOCA Lenka Suchánková / PIERSTONE Petr Zahálka / AVNET / SYMANTEC
INCIDENT MANAGEMENT Management rizik
Typy citlivých dat
01
KNOW-HOW
OBCHODNÍ TAJEMSTVÍ
PROVOZNÍ DATA
INTERNÍ ÚDAJE
OSOBNÍ ÚDAJE
09.12.2016
Pro zveřejnění
Řízení rizik
01
HROZBY
ZRANITELNOSTI
AKTIVA
09.12.2016
TOP RIZIKA
Pro zveřejnění
Řízení souladu a rizik
01
Váš přístup k řízení souladu ?
1
2
3
4
5
Vůbec neřešíme
Počkáme na prvního auditora
Chceme splnit formálně
Chceme splnit doopravdy
Chceme být nejlepší
Stihnete to ?
09.12.2016
Pro zveřejnění
Řízení souladu a rizik
01
Váš přístup k řízení rizik ?
1
2
3
4
Vůbec neřešíme
Počkáme, až vyhoříme 2x
Tušíme, co hrozí
Máme hasicí přístroje
Jaké je Vaše aktuální riziko ?
09.12.2016
Pro zveřejnění
5 Všechno máme kryto 3x
Rizika Hrozby
Dopady Váš byznys
Ztráta dat
Podvody
Viry Finanční ztráty
Únik dat
Ztráta byznysu
Malware
Poškození značky Fraud
DoS / DDoS
Narušení služeb
Spam
Chyby
Phishing
Procesy
Exploity
Narušení výroby
Trestní postih
Lidé Technologie
Havárie
Výroba / Služby Prodej
Pokuty
Provoz
Ztráta produktivity
XY Výpalné
Zneužití identity Pro zveřejnění
Social Eng.
Principy a fáze ochrany osobních údajů Posuzovat
PREDIKCE
(citlivost, kontext, rizika) Chránit
PREDIKCE PREVENCE PREVENCE
(zajistit neustálou ochranu) Odhalovat
DETEKCE REAKCE DETEKCE
(detekovat odchylky a porušení) Hlásit (analyzovat a ohlásit)
09.12.2016
REAKCE
Pro zveřejnění
SOCA služby: 4 fáze
02
SOCA Scany
Analýzy rizik
Karanténa
Konfigurace PREDIKCE
PREVENCE
Blokace
REAKCE
DETEKCE
Analýza incidentů
Náprava
09.12.2016
Monitoring
Pro zveřejnění
INCIDENT MANAGEMENT Projekt GDPR
GDPR – čím začít?
01
Zahájení projektu GDPR
Analýza stavu, souladu a nedostatků
Implementace
09.12.2016
Pro zveřejnění
GDPR – FÁZE PROJEKTU: ANALÝZA Analýza stavu, souladu a nedostatků
Umíte přesně identifikovat všechna osobní data, která zpracováváte?
Můžete s jistotou uvést, jak a proč zpracováváte uvedená data?
Můžete s jistotou uvést, kde ukládáte tato osobní data a kdo k nim přistupuje?
Jakou máte jistotu, že splňujete všechny požadavky? 09.12.2016
Pro zveřejnění
01
GDPR – FÁZE PROJEKTU: ANALÝZA
01
Analýza stavu, souladu a nedostatků
HR
Další procesy? Další procesy? Další procesy?
CRM
Audit souladu
Procesní inventura
Audit souladu
Právní oblasti Zákonnost zpracování Souhlasy subjektů Smlouvy a subdodavatelé Dodržování práv subjektů Ostatní
stav 60% 75% 75% 50% 50% 50%
Komentáře xxx xxx xxx xxx xxx xxx
Právní oblasti Zákonnost zpracování Souhlasy subjektů Smlouvy a subdodavatelé Dodržování práv subjektů Ostatní
50% 60% 60% 50% 25% 50%
Komentáře xxx xxx xxx xxx xxx xxx
IT a bezpečnost dat Organizační bezpečnost a procesy Lidé Technická opatření Pořádek v datech Stav bezpečnosti
60% 75% 50% 50% 75% 50%
xxx xxx xxx xxx xxx xxx
IT a bezpečnost dat Organizační bezpečnost a procesy Lidé Technická opatření Pořádek v datech Stav bezpečnosti
35% 50% 25% 25% 50% 25%
xxx xxx xxx xxx xxx xxx
09.12.2016
stav
Pro zveřejnění
Další data? Další data? Další data? Datová inventura
GDPR – FÁZE PROJEKTU: ANALÝZA Inventura dat
Analýza stavu, souladu a nedostatků
-
Jaká data vlastně zpracováváme?
-
Kde jsou uložena?
-
Co s nimi děláme? (uživatelé, procesy, toky dat)
Procesní inventura -
Podle jakých pravidel je zpracováváme?
Byznysová analýza -
Byznys důvody zpracování?
-
(vlastník, přínosy, rizika, …)
Gap analýza (stav souladu) -
Souhlasy, smlouvy, účelnost, přiměřenost, uživatelé, procesy, rizika …
Návrh opatření (roadmapa) -
09.12.2016
Pro zveřejnění
Seznam opatření, harmonogram, priority
01
GDPR – FÁZE PROJEKTU
01
Procesní a smluvní opatření:
Implementace
- Zrušit sběr/zpracování, - Získat souhlasy, - Změnit procesy, směrnice, - Upravit smlouvy (zavést nové).
ADAPTIVE SECURITY ARCHITECTURE
PROCESSES
Technická a organizační opatření, vč. např.: TECHNOLOGIES
Security Intelligence PREDIKCE
REAKCE
PREVENCE USERS
DATA
APPS
Perimeter
Data Center
Endpoint
DETEKCE High Availability Physical Security
09.12.2016
-
šifrování a/nebo pseudonymizace dat,
-
zálohování
-
školení, analýzy rizik, testy, …
-
kontrola pomocí DLP,
-
řízení přístupu,
-
monitoring a detekce incidentů
PEOPLE
Pro zveřejnění
GDPR – čím začít?
01
Zahájení projektu GDPR
Analýza stavu, souladu a nedostatků
Implementace
09.12.2016
Pro zveřejnění
Potřebujete pomoc s GDPR? Chcete zjistit, co vám chybí ?
Potřebujete technologie, procesy, role, lidi ?
Chcete trvale vidět, rozumět a reagovat ?
?
Pro zveřejnění
