Samorząd jutra, czyli rozwiązania IT wspierające pracę urzędu – dobre praktyki
1SANSEC Poland SA | 2017
UWAGA: Zmiana prawa w zakresie zasad dotyczących przechowywaniai przetwarzania danych osobowych w firmach!
BezpieczeństwoAnaliza Ryzyka
RODO/GDPRAudyt/Testy
JAKIE ROZWIĄZANIA ? JAKIE ZMIANY ?
Czy wiesz, czego się spodziewać i jak się przygotować na nowe przepisy?
2SANSEC Poland SA | 2017
Smartfon przekazuje bliżej niewiadome informacje do różnych organizacji;
3,6 miliarda ludzi „jest w Internecie”;
Coraz częściej nie rozstajemy się z komórką;
Internet Rzeczy (Internet of Things) jest teraz;
Ściągając muzykę nawet nie wiesz, że polubiłeś jej wykonawcę na Facebooku;
Możesz kupić bez problemu zastrzeżone informacje na swój temat.
Żyjemy w świecie gdzie:
Bezpieczeństwo danych
Data Security
46% firm pozwala pracownikom korzystać z firmowych aplikacji na prywatnych urządzeniach
4. edycja badania stanu bezpieczeństwa informacji w Polsce, 2017, pwc.pl/stanbezpieczenstwa
96 % firm doświadczyło ponad 50 incydentów naruszenia bezpieczeństwa w ostatnim roku
Najczęstszy incydent naruszenia bezpieczeństwa w firmach to atak phishingowy
3SANSEC Poland SA | 2017
Co musisz wiedzieć o RODO/GDPR?
wykonać analizę celu istniejących procesów przetwarzania danych;
UWAGA : Zmiana prawa w zakresie przetwarzania danych osobowych!
50 % dużych firm nie zdąży przygotować się do zmian - Prognoza Gartner
20 mln euro kary za naruszenie przepisów RODOlub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego
72 godziny na zgłoszenie cyberataku do organu regulacyjnego
Nie tylko potrzeba, ale wymóg od 25 maja 2018 r.
Do 25 maja 2018 roku każdy urząd, który kontaktuje się z mieszkańcem i pozyskuje jego dane, powinien:
Data protection Eurobarometer – Factsheet, czerwiec 2015
69% mieszkańców UE chce świadomie przekazywać swoje dane osobowe.
01
02
03
04
05
zastanowić się, jak wykorzystuje własne systemy informatyczne;
przemyśleć kolejne kroki zgodnie z zasadą „privacyby design”.
przemyśleć wymagane zmiany w zakresie organizacyjnym i technicznym;
zastanowić się, na ile te systemy są zgodne z zasadą „privacy by default”;
4SANSEC Poland SA | 2017
RODO/GDPR wpływa na całą firmę
Wymogi RODO/GDPR będą musiały zostać uwzględnione między innymi w:
podczas pozyskiwania danych klientów i zgody na wykorzystanie
danychi wykorzystania wielokanałowości relacji, do relacji z mieszkańcem
Pozyskiwaniedanych
w przepływach danych mieszkańców wewnątrz
urzędów, do bieżącej obsługi kontraktu, reklamacji,
windykacji, fakturowania, rozliczenia oraz
przepływach danych do partnerów zewnętrznych
(outsourcing usług, wymogi prawne np. BIK,
UFG);
Przepływ danych
w trakcie przetwarzania danych w systemach IT, analizy danych
klientów do oceny ryzyka, tworzenia nowych produktów
(Big Data), profilowania mieszkańców,
przygotowania dedykowanych akcji marketingowych
(Marketing) czy pozyskania nowych
partnerów/dostawców w procesie zakupowym;
Wsparcie
podczas oceny ryzyka operacyjnego (Ryzyko),
zapewnienia zgodności działaniaorganizacji z RODO (Compliance), audytu wewnętrznych procesów,
mitygacji ryzyka wyciekudanych z systemów
(Bezpieczeństwo systemów), detekcji wycieku danych (HR i
Bezpieczeństwo), bezpieczeństwa danych HR własnych pracowników
i współpracowników.
Back office
Jak zarządzać bezpieczeństwem systemów IT zgodnie z RODO/GDPR?
5SANSEC Poland SA | 2017
Kompleksowe rozwiązanie dla kadry zarządzającej z sektora prywatnegoi publicznego, administratorów bezpieczeństwa informacji, administratorówsystemów informatycznych.
JAKIE ROZWIĄZANIA ? JAK DZIAŁAMY ?
Bezpieczeństwo danych
KROK 1
6SANSEC Poland SA | 2017
Jak chronisz cenne dane?Wykonaj audyt bezpieczeństwa i oceń skalę ryzyka
Audyt to pierwszy etap procesu dostosowywania poziomubezpieczeństwa do wartości chronionych aktywów organizacji.
Jest niezbędny do wdrożenia właściwych technologii i procedurokreślających stałe, cykliczne czynności związane z zarządzaniembezpieczeństwem.
JAKIE ROZWIĄZANIA ? JAK DZIAŁAMY ?
Bezpieczeństwo danych
7SANSEC Poland SA | 2017
Oceń skalę ryzykai wykonaj audyt bezpieczeństwa
Analiza ryzyka w praktyce
01 – Obszar organizacyjny:analiza zależności służbowych i ich wpływ na bezpieczeństwo, brak zastępcy w przypadku nieobecności itd.
02 – Obszar IT:narzędzia do obrony i ochrony aktywnej, backup ochrona pasywna, itd.
03 – Obszar fizyczny:Jak brak krat w oknach, systemu kontroli dostępu, monitoringu wizyjnego CCTV, systemy przeciwpożarowe.
Systemy bezpieczeństwa –
firewall - AzureSystemy autoryzacji
– Active DirectorySystem backupu –
Azure BackupSystemy
równoważenia obciążenia –
Mechanizmy Azure
Zgodność z ISO27001
Audyt sieci SANi WIFI
Weryfikacja backupuReagowanie na
incydenty bezpieczeństwa
Powdrożeniowy audyt
bezpieczeństwaUtrzymanie i monitoring systemów
Dedykowane szkolenia
MONITORUJANALIZUJ
UDOSKONALAJI UTRZYMUJ
Audyt bezpieczeństwaAnaliza ryzyka
Projekt zabezpieczeń
WPROWADŹZAPLANUJ
8SANSEC Poland SA | 2017
KROK 2Opracuj Politykę Bezpieczeństwa dla Twojej firmy
Polityka bezpieczeństwa jest dokumentem, który oprócz procedurużytkowania i zarządzania systemami informatycznymi, powiniendefiniować wymagania prawne i biznesowe, analizę ryzyka i kosztów.
JAKIE ROZWIĄZANIA ? JAK DZIAŁAMY ?
Bezpieczeństwo danych
9SANSEC Poland SA | 2017
Opracuj Politykę Bezpieczeństwa dla Twojej firmy
Najważniejsze zagadnienia organizacyjne
Zagadnienie: Brak planów potencjalnych zagrożeń
Podpowiedź: Planowanie oraz opracowanie scenariuszów ataku i obrony
Zagadnienie: Brak trafnych kryteriów identyfikujących dane wrażliwe
Podpowiedź 1: Należy ustalić jeden cel nadrzędny, który będzie stanowił trzon
dla mapowania procesów umożliwiających skuteczną analizę danych
Podpowiedź 2: Przemyśleć, w jakim obszarze i jaki system należy chronić,
ustalić priorytety wdrażania ochrony
Zagadnienie: Brak zaangażowania ze strony Użytkowników
Podpowiedź: Przyporządkowanie osób odpowiedzialnych za bezpieczeństwo
przetwarzania informacji w konkretnych systemach i lokalizacjach fizycznych
79% incydentów w firmach powodują aktualni pracownicy
4. edycja badania stanu bezpieczeństwa informacji w Polsce, 2017, pwc.pl/stanbezpieczenstwa
10SANSEC Poland SA | 2017
Opracuj Politykę Bezpieczeństwa dla Twojej firmy
Najważniejsze zagadnienia techniczne
Zagadnienie: Dług technologiczny względem istniejącej infrastruktury,Podpowiedź: Redukcja przestarzałego sprzętu poprzez zwiększenieefektywności nowszego (wirtualizacja), skalowanie, Chmura Azure i patrzeniena 2 kroki do przodu dokonując zakupów sprzętu lub usług,
Zagadnienie: Heterogeniczność środowiska informatycznegoPodpowiedź: Określenie zagrożenia generowanego przez elementyśrodowiska pozostające w mniejszości, wybór obszarów środowiska, któremoże być monitorowane niezależnie od jego charakterystyki
Zagadnienie: Duża ilość „słabych punktów” do ochronyPodpowiedź: Wdrożenie scenariusza „od ogółu do szczegółu” – w pierwszejkolejności monitoring Data-in-Motion sieci, bo jest najszybszy do wdrożenia
68 % incydentów OT to nieautoryzowany dostęp
Zagadnienie: Pojawianie się w środowisku nowych urządzeńPodpowiedź 1: Stały monitoring online, z priorytetem dla nowych urządzeńPodpowiedź 2: BYOD –VDI, zalecane by nie dopuszczać do użytkowania
4. edycja badania stanu bezpieczeństwa informacji w Polsce, 2017, pwc.pl/stanbezpieczenstwa
11SANSEC Poland SA | 2017
KROK 3Wybierz narzędzia, które pomogą Ci spełnićwymagania RODO/GDPR
Będziesz wiedział, gdzie zlokalizowane są dane osobowe, wyszukaszdowolne informacje i zidentyfikujesz każdą osobę w każdym zbiorze,zminimalizujesz miejsca przetwarzania tych danych i będziesz mógłje w pełni kontrolować, ochronisz dane osobowe „by design” przedutratą, zniszczeniem lub wyciekiem, zapewniając zgodność zwymogami RODO/GDPR.
JAKIE ROZWIĄZANIA ? JAK DZIAŁAMY ?
Bezpieczeństwo danych
12SANSEC Poland SA | 2017
Który artykuł w RODO/GDPR? Jakie rozwiązanie?
W odróżnieniu od innych firm, mapujemy artykuły z ustawyo RODO/GDPR na konkretne rozwiązania chroniące przednaruszeniami ustawy i wyciekiem danych.
Co również ważne są to nie tylko rozwiązania z zakresu IT, ale takżeinnych obszarów, takich jak np. CCTV, KD, itd.
ZLOKALIZUJ SZUKAJ MINIMALIZUJ CHROŃ MONITORUJ
Jakie zlecenia?
Jakie rozwiązanie?
Jakie zlecenia?
Który artykuł?
Jakie rozwiązanie?
13SANSEC Poland SA | 2017
Jak przetwarzać dane osobowe w firmie – zgodnie z RODO/GDPR?
Wiedz gdzie są dane osobowe i rejestruj
czynności
29, 30, 31, 32
Wyszukaj dowolne dane, identyfikuj każdą
osobę w każdym zbiorze
15, 16, 17, 18, 20
DLPECM
Veeam
Minimalizuj miejsca przetwarzania danych
osobowych i kontroluj je
5, 17, 32, 33, 34
Security DLPECM
Stały nadzór
Chroń dane osobowe „by design” przed
utratą, zniszczeniem lub wyciekiem
5, 25, 32, 33, 34, 35
Security DLPECM CRM, Sytsemy
DydykowaneMDM (Microsoft, Intune,)
VeeamSIEM NAC
Zapewnij zgodność z RODO/GDPR
5, 15, 16, 17, 18, 20, 24, 35, 42, 44, 45
Analiza ryzykaRejestry danych
zgodnych z RODOTesty penetracyjne -
raportAudyt bezpieczeństwa
ZLOKALIZUJ SZUKAJ MINIMALIZUJ CHROŃ MONITORUJ
CRM Microsoft, AD,
Jakie zlecenia?
Jakie rozwiązanie?
Jakie zlecenia?
Który artykuł?
Jakie rozwiązanie?
14SANSEC Poland SA | 2017
Narzędzia, które pomogą Ci spełnić wymagania RODO/GDPR
Systemy DLP, jako narzędzie chroniące przed wyciekiem danych
Centralny punkt wymiany informacji, z szyfrowaniem danych i pełną identyfikowalnością
Backup z możliwością analizy danych Sharepoint, Ms SQL, Exchange, Outlook.
Testy penetracyjne – jako metoda na wskazanie luk
w zabezpieczeniach i podatności na ataki
Testy socjotechniczne – jako metoda na edukację ludzi
w zakresie bezpieczeństwa
Szkolenia w zakresie technicznego zabezpieczania środowiska oraz
edukowanie pracowników firm
15SANSEC Poland SA | 2017
Centralny punkt wymiany informacji z szyfrowaniem danych i pełną identyfikowalnością
CRM i systemy ECM to system do elektronicznej archiwizacji iobiegu dokumentów w przedsiębiorstwie.
Rozwiązania muszą spełniać wszelkie wymogi wydajnościowe,funkcjonalne oraz bezpieczeństwa danych.
Pomagać w zaawansowanym zarządzaniu treścią dokumentówskanowanych, pism, umów, plików elektronicznych, poczty elektronicznej.
Wspomaga mapowanie procesów i ścieżek akceptacji w organizacji.
Struktura systemu pozwalać powinna na kontrolę dostępu do danych.
System powinien wykorzystywać szyfrowane połączenia, aautomatyczne tworzenie kopii zapasowych..30%
wzrost wydajności pracy personelu osiągnięty po zastosowaniu wydajnego systemu wyszukiwania dokumentów w całej wewnętrznej sieci firmy
16SANSEC Poland SA | 2017
Backup z możliwością analizy danych
Backup z możliwością analizy danych Sharepoint, Ms SQL,
Exchange, Outlook.
Profesjonalne systemy backupu gwarantujące krótsze niż 15 minutowe
wskaźniki przywracania usług (Service Level Objective,) dla wszystkich
aplikacji i danych, pozwalając na koordynację usuwania skutków awarii
w czasie rzeczywistym.
Narzędzie to pozwala w taki sposób zarządzać zadaniami, aby poprzez
prewencyjne monitorowanie (24x7), raportowanie, testowanie
i dokumentowanie, spełniać wymogi biznesowe oraz prawne.firm w Polsce zamierza zwiększyć wydatki na bezpieczeństwo IT do 2018 roku
50%
17SANSEC Poland SA | 2017
Testy socjotechniczne – jako metoda na edukację ludzi w zakresie bezpieczeństwa
Socjotechnika bazuje na wykorzystywaniu mechanizmów manipulacji
odpowiednimi osobami, do wykradania poufnych danych.
W przygotowaniu ataków wykorzystywane są badania psychologiczne oraz
analizy wzorców zachowań.
Przeprowadzane testy mają na celu sprawdzenie podatności pracowników
na najczęściej stosowane metody.
Nieodłącznym elementem testu jest szkolenie pokazujące, jakie sztuczki
socjotechniczne wykorzystywane są przez przestępców.to średni koszt okupu żądanego w zamian za zdjęcie blokady z jednego komputera, na którym wszystkie dane zostały zaszyfrowane przez oprogramowanie typu Ransomware
800zł
To ilość wiadomości phishingowychwysyłanych każdego dnia100
18SANSEC Poland SA | 2017
Szkolenia z zakresu bezpieczeństwa
Szkolenia w zakresie technicznego zabezpieczania środowiska oraz
edukowanie pracowników firm – zakres formalno-prawny poparty żywymi
przykładami.
Naszym celem jest edukacja w zakresie dostępnych na rynku rozwiązań
informatycznych, kreowanie świadomych potrzeb związanych
z nowoczesną i bezpieczną infrastrukturą IT.
Dokładamy wszelkich starań, aby tematyka organizowanych przez nas
warsztatów i szkoleń, była odpowiedzią na kluczowe zagadnienia biznesu
w obszarze bezpieczeństwa, sieci, wirtualizacji, centrów danych oraz
systemów komunikacji i pracy grupowej.79% incydentów w firmach powodują aktualni pracownicy
19SANSEC Poland SA | 2017
www.sansec.com
KROK 4Skontaktuj się z nami!
Tomasz Stojek
Business Development [email protected] 260 748
Cyber Data Security
Recommended