IKT-Norge 10. oktober Teknologihuset Eirik Gulbrandsen, Arrow ECS Norway

Transkript

1 IKT-Norge 0. oktober 07 - Teknologihuset Eirik Gulbrandsen, Arrow ECS Norway

2 Globalt 06: 80 milliarder NOK

3 Arrow Enterprise Computing Solutions Norway Norge 06:, milliarder NOK Norway Forretningsutvikler Security Evangelist «Securely Enabling Business»

4 noen bedrifters forberedelser til GDPR er bortkastet

5 overdrevent fokus på sjekklister

6 manglende fokus på risiko

7 umoden datasikkerhet

8 bort i hampen forgjeves formålsløst fyre for kråkene fåfengt håpløs ineffektivt irrasjonelt hensiktsløst nytteløst sjekklister risiko datasikkerhet virkningsløst på lykke og fromme til ingen nytte tåpelig unyttig unødig unødvendig uproduktivt verdiløst meningssløst

9

10 den underliggende driveren for GDPR er frykten for teknologi er også en vesentlig suksessfaktor for å reellt tilfredstille kravene

11 KAPITTEL I - Alminnelige bestemmelser; -4 KAPITTEL II - Prinsipper; 5- KAPITTEL III - Den registrertes rettigheter; - KAPITTEL IV - Behandlingsansvarlig og databehandler; 4-4 KAPITTEL V - Overføring av personopplysninger til tredjestater eller internasjonale organisasjoner; KAPITTEL VI - Uavhengige tilsynsmyndigheter; 5-59 KAPITTEL VII - Samarbeid og ensartet anvendelse; KAPITTEL VIII - Rettsmidler, ansvar og sanksjoner; KAPITTEL IX - Bestemmelser om særlige behandlingssituasjoner; 85-9 KAPITTEL X - Delegerte rettsakter og gjennomføringsrettsakter; 9-9 KAPITTEL XI - Sluttbestemmelser; Oppheving av direktiv 95/46/EF. Direktiv 95/46/EF oppheves med virkning fra 5. mai 08

12 . Personopplysninger skal a) behandles på en lovlig, rettferdig og gjennomsiktig måte med hensyn til den registrerte («lovlighet, rettferdighet og gjennomsiktighet»), b) samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene; viderebehandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal i samsvar med artikkel 89 nr. ikke anses som uforenlige med de opprinnelige formålene («formålsbegrensning»), c) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»), d) være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller korrigeres («riktighet»), e) lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for; personopplysninger kan lagres i lengre perioder dersom de utelukkende vil bli behandlet for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr., forutsatt at det gjennomføres egnede tekniske og organisatoriske tiltak som kreves i henhold til denne forordning for å sikre de registrertes rettigheter og friheter («lagringsbegrensning»), f) behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak («integritet og fortrolighet»).. Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at nr. overholdes («ansvar»).

13 Gebyrets størrelse skal hensynta: (c) Tiltak iverksatt for å redusere skadevirkning ihht art 5 (d) Proaktive tekniske og organisatoriske tiltak ihht art 5 og 5 Data Protection Impact Assessment (DPIA) Security of processing 5 Data protection by design and by default

14 . Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures. Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene, behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter som behandlingen medfører, skal den behandlingsansvarlige, både på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen, og på tidspunktet for selve behandlingen, gjennomføre egnede tekniske og organisatoriske tiltak

15 KORT OPPSUMMERT IT-SPØRSMÅL RUNDT PERSONVERN Hvilke personopplysninger har vi der ute, og hvor er de? Hvem kan få tilgang til personopplysninger og hvem har benyttet tilgangen? Kan vi kontrollere hvilke personopplysninger som er tilgjengelige og hvem som kan få tilgang til de? Kan vi kontrollere hvor data ligger? (Fysisk, sky, hybrid) Kan vi oppdage uautorisert tilgang eller brudd på personopplysninger? Kan vi raskt og grundig varsle i tilfelle brudd/lekkasje?

16 Overvåke Kartlegge Persondata Beskytte Gjenfinne Minimere

17 GDPR KAP II, II, IV Artikkel 5, 5, 6, 7, 8, 0, 4, 5 Sikre kontinuerlig oppfølging av GDPR-krav Aggregert analyse av metadata for å sikre etterforskning av mulige hendelser GDPR Workshops GDPR tilstandsvurdering Finne filtyper, eierskap, alder og plassering GDPR KAP IV Artikkel 5, 0 Avdekke persondata og gjøre den transparent for kontroll Analyse av brukeroppførsel identifiserer avvikende bruksmønstre og sikrer mottiltak GDPR dataklassifisering GDPR overholdelse av krav Se et løpende bilde av miljøet med kontinuerlig overvåking Automatisk ivaretagelse av hendelseslogger ved risikohendelser Grunnlag for opprydding basert på definerte kriterier Kryptert sikkerhetskopiering av persondata uten å forstyrre forretningsdrift Regler integrert mot HR for å sikre tilgangskontroll til persondatapesifikke systemer Overvåke Beskytte Persondata Kartlegge Gjenfinne Indeksering avdekker eksplisitte og implisitte persondata attributter Avdekke relevant informasjon og synliggjøre dataobjekter for nærmere gjennomgang Integrasjon mot skybaserte tjenester sikrer beskyttelse for hybride miljøer Minimere Integrere arbeidsflyt med internkontrollrutiner, sikre innsyn og dataportabilitet GDPR KAP II, IV Artikkel 5, 5,,, 4, 5 Beskytte persondata fra tap, ødeleggelse eller brudd Full innholds- ogkontekstklassifisering legger grunnlaget for å etterleve GDPR retningslinjer Regler for bevaring ogsletting basert på sammensatte attributer for å sikre dataminimering Strukturert arbeidsflyt gir saksbehandlere og administratorer mulighet til å autorativt håndtere sletting av data GDPR KAP III, IV Artikkel 5, 7, Minimere og håndtere kontroll rundt persondata GDPR KAP III Artikkel 5, 6, 7, 8, 0 Gjør persondata søkbar / gjennfinnbar

18 GDPR KAP II, II, IV Artikkel 5, 5, 6, 7, 8, 0, 4, 5 Sikre kontinuerlig oppfølging av GDPR-krav Aggregert analyse av metadata for å sikre etterforskning av mulige hendelser GDPR Workshops GDPR tilstandsvurdering Finne filtyper, eierskap, alder og plassering GDPR KAP IV Artikkel 5, 0 Avdekke persondata og gjøre den transparent for kontroll Analyse av brukeroppførsel identifiserer avvikende bruksmønstre og sikrer mottiltak GDPR dataklassifisering GDPR overholdelse av krav Se et løpende bilde av miljøet med kontinuerlig overvåking Automatisk ivaretagelse av hendelseslogger ved risikohendelser Grunnlag for opprydding basert på definerte kriterier Kryptert sikkerhetskopiering av persondata uten å forstyrre forretningsdrift Regler integrert mot HR for å sikre tilgangskontroll til persondatapesifikke systemer Overvåke Beskytte Persondata Kartlegge Gjenfinne Indeksering avdekker eksplisitte og implisitte persondata attributter Avdekke relevant informasjon og synliggjøre dataobjekter for nærmere gjennomgang Integrasjon mot skybaserte tjenester sikrer beskyttelse for hybride miljøer Minimere Integrere arbeidsflyt med internkontrollrutiner, sikre innsyn og dataportabilitet GDPR KAP II, IV Artikkel 5, 5,,, 4, 5 Beskytte persondata fra tap, ødeleggelse eller brudd Full innholds- ogkontekstklassifisering legger grunnlaget for å etterleve GDPR retningslinjer Regler for bevaring ogsletting basert på sammensatte attributer for å sikre dataminimering Strukturert arbeidsflyt gir saksbehandlere og administratorer mulighet til å autorativt håndtere sletting av data GDPR KAP III, IV Artikkel 5, 7, Minimere og håndtere kontroll rundt persondata GDPR KAP III Artikkel 5, 6, 7, 8, 0 Gjør persondata søkbar / gjennfinnbar

19 Persondatakartlegging, klassifisering, sårbarhetsskanning, rettighetskontroll Data- og fil-overvåking Kryptering, maskering, sletting Dynamisk blokkering, varsling og karantene Automatisering av regulatoriske krav og revisjonsrapporting ANALYSE Gebyrets størrelse skal hensynta: (c) Tiltak iverksatt for å redusere skadevirkning ihht art 5 (d) Proaktive tekniske og organisatoriske tiltak ihht art 5 og Security of processing 5 Data Protection Impact Assessment (DPIA)

20 GDPR KAP II, II, IV Artikkel 5, 5, 6, 7, 8, 0, 4, 5 Sikre kontinuerlig oppfølging av GDPR-krav Aggregert analyse av metadata for å sikre etterforskning av mulige hendelser GDPR Workshops GDPR tilstandsvurdering Finne filtyper, eierskap, alder og plassering GDPR KAP IV Artikkel 5, 0 Avdekke persondata og gjøre den transparent for kontroll Analyse av brukeroppførsel identifiserer avvikende bruksmønstre og sikrer mottiltak GDPR dataklassifisering GDPR overholdelse av krav Se et løpende bilde av miljøet med kontinuerlig overvåking Automatisk ivaretagelse av hendelseslogger ved risikohendelser Grunnlag for opprydding basert på definerte kriterier Kryptert sikkerhetskopiering av persondata uten å forstyrre forretningsdrift Regler integrert mot HR for å sikre tilgangskontroll til persondatapesifikke systemer Overvåke Beskytte Persondata Kartlegge Gjenfinne Indeksering avdekker eksplisitte og implisitte persondata attributter Avdekke relevant informasjon og synliggjøre dataobjekter for nærmere gjennomgang Integrasjon mot skybaserte tjenester sikrer beskyttelse for hybride miljøer Minimere Integrere arbeidsflyt med internkontrollrutiner, sikre innsyn og dataportabilitet GDPR KAP II, IV Artikkel 5, 5,,, 4, 5 Beskytte persondata fra tap, ødeleggelse eller brudd Full innholds- ogkontekstklassifisering legger grunnlaget for å etterleve GDPR retningslinjer Regler for bevaring ogsletting basert på sammensatte attributer for å sikre dataminimering Strukturert arbeidsflyt gir saksbehandlere og administratorer mulighet til å autorativt håndtere sletting av data GDPR KAP III, IV Artikkel 5, 7, Minimere og håndtere kontroll rundt persondata GDPR KAP III Artikkel 5, 6, 7, 8, 0 Gjør persondata søkbar / gjennfinnbar

21 Informasjonssikkerhetssiloer logglinjer = -4 hendelser 99,99% = logglinjer millioner logglinjer pr dag..

22 SIEM: Styringssystem for IT-sikkerhet Extensive Data Sources Security devices Servers and mainframes 0-40 millioner logglinjer > -4 daglige hendelser Redusert arbeidsbelastning Forbedret responstid (7 t) Mistenkelige hendelser Network and virtual activity Data activity Application activity Configuration information Maskinlæring = automatisert analyse av logger Reelle hendelser Vulnerabilities and threats Users and identities Global threat intelligence Security Information and Event Management

23 Overvåke overholdelse av IT-krav til GDPR Skape forretningsmessig handlingsrom! Styringsplattform Effektivisering, synlighet og automasjon av sikkerhet Synliggjøre kalkulert forretningsmessig risiko

24 KORT OPPSUMMERT - SPØRSMÅL RUNDT PERSONVERN Hvilke personopplysninger har vi der ute, og hvor er de? StoredIQ Guardium Hvem kan få tilgang til personopplysninger og hvem har benyttet tilgangen? Kan vi kontrollere hvilke personopplysninger som er tilgjengelige og hvem som kan få tilgang til de? IAM QRadar Guardium IAM QRadar Guardium Kan vi kontrollere hvor data ligger? (Fysisk, sky, hybrid) StoredIQ Guardium Kan vi oppdage uautorisert tilgang eller brudd på personopplysninger? QRadar Guardium Kan vi raskt og grundig varsle i tilfelle brudd/lekkasje? QRadar

25 KORT OPPSUMMERT - SPØRSMÅL RUNDT INFORMASJONSSIKKERHET Hvilke bedriftssensitive opplysninger har vi der ute, og hvor er de? StoredIQ Guardium Hvem kan få tilgang til bedriftssensitive opplysninger og hvem har benyttet tilgangen? IAM QRadar Guardium Kan vi kontrollere hvilke bedriftssensitive opplysninger som er tilgjengelige og hvem som kan få tilgang til de? IAM QRadar Guardium Kan vi kontrollere hvor data ligger? (Fysisk, sky, hybrid) StoredIQ Guardium Kan vi oppdage uautorisert tilgang eller brudd på bedriftssensitive opplysninger? Kan vi raskt og grundig varsle i tilfelle brudd/lekkasje? QRadar QRadar Guardium

26 Strategi Sjekklister Teknologi "Du kan ha informasjonssikkerhet uten personvernet, men du kan ikke ha personvernet uten informasjonssikkerhet" Strategier Persondata Avtaler Personvern "Hva" av personlig data som skal beskyttes Strategi og sjekklister Datasikkerhet "Hvordan" personlig data skal beskyttelse Teknologi

27 Mist ikke hodet når det gjelder GDPR Fredag. oktober bit.ly/xzf8l8 no.linkedin.com/in/eirikgulbrandsen