Security & Risk Management Summit 2016

Transkript

1 & Risk Management Summit 2016 DGI Byen, den 3. november 2016 Premium partner: Partnere:

2 Køreplan ift. EU-persondataforordningen - processer og kontroller Klaus Kongsted, Dubex A/S 3. November 2016

3 Agenda Hvilke artikler kræver tekniske foranstaltninger? Er der rammeværktøjer at tage udgangspunkt i? Hvad er relationen til den generelle it-sikkerhedsproces? Brugbare værktøjer

4 Hvilke artikler kræver tekniske foranstaltninger?

5 Krav til sikkerhedsforanstaltninger Artikel 5, stk. 1, litra f) (Principper for behandling af personoplysninger): behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger ("integritet og fortrolighed") Artikel 24, stk. 1 (Den dataansvarliges ansvar): Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres

6 Krav til sikkerhedsforanstaltninger - 2 Artikel 25, stk. 2 (Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger): Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer Artikel 32, stk. 1 (Behandlingssikkerhed): Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant: a) pseudonymisering og kryptering af personoplysninger b) evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c) evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d) en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

7 Krav til sikkerhedsforanstaltninger - 3 Artikel 33, stk. 3 (Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden): Den i stk. 1 omhandlede anmeldelse skal mindst: a) beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger b) angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes c) beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden d) beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger. Artikel 39, stk. 1, litra b (Databeskyttelsesrådgiverens opgaver ): b) herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner

8 Rammeværktøjer Er ISO svaret?

9 Rammeværktøjer Uddrag af relevante ISO kontroller: Gennemgang af politikker for informationssikkerhed Brugeradgang + A Adgangsbegrænsning IAM-systemer, autentificering Dokumenterede driftsprocedurer Systemsikkerhedstest Rapportering af informationssikkerhedssvagheder Audit, pentest, SIEM, ISMS (Information security management systems) Planlægning af informationssikkerhedskontinuitet Implementering af informationssikkerhedskontinuitet APT-beskyttelse, firewalls/av, High Availabiliy, beredskabsplaner, incident response Compliance med privatlivets fred og beskyttelse af personoplysninger Data Loss Prevention mm Gennemgang af informationssikkerhed Audit, pentest, SIEM

10 Understøttelse af sikkerhedsprocessen Pointen er, at alle er blevet hacket Sikkerhed drejer sig i dag om vores proces og tilgang til at Risikostyre vores aktiver (Predict & Identify) Implementere passende afvejede kontroller (Prevent & protect) Opdage når vi bliver kompromitteret (Detect) Reagere hurtigt på en kompromittering (Respond & recover) Understøttelse med værktøjer og processer (Capabilities) Predict & Identify Prevent & Protect Detect Respond & Recover capabilities Risk Management Vulnerability Management Fundamental Monitoring Incident Handling Disaster Recovery Visibility Analytics Advanced Threat Intelligence Containment Forensic

11 Anvendelige værktøjer Predict & Identify Prevent & Protect Detect Respond & Recover Capabilities Risk Management Visibility Vulnerability Management Analytics Fundamental Advanced Monitoring Threat Intelligence Incident Handling Containment Disaster Recovery Forensics Lean Forward DLP/DAM Awareness APT/Threat Intelligence Sandboxing Incident Response Advanced Network Access control Next generation firewall Mobile App W/B listing SIEM Fundamental Vulnerability scan Antivirus IAM Patch Firewall/IPS WWW Wireless Network segmentation End Point Protection Professionals Governance Risk Compliance Penetration test Service Design Program Management SOC Support & Operations Service Management SAC & Threat Intelligence Centre DIRT

12 Logopsamling - modenhed Værdi Næsten realtidsmonitorering af sikkerhedsinformationer Intelligence Logs indsamles og gennemlæses dagligt (forsinket monitorering) Logs indsamles og rapporter gennemlæses hver måned Logs indsamles og læses i tilfælde af hændelser Logs indsamles og gemmes, men bliver aldrig brugt Logs bliver ikke indsamlet eller genoprettet Modenhed

13 Normalisering Kategorisering Rapportering Korrelering Alarmer SIEM A.12.4, A.16 og A Indsamler logs fra alle systemer Server and Desktop OS Firewalls/ VPN SIM ( Information Management) Korrelerer på tværs Finder nålen i høstakken Directory Services Physical Infrastructure IPS/IDS Identity Management SEM ( Event Management) Muliggør relevant rapportering System Health Information Network Equipment Vulnerability Assessment Anti-Virus Databases Hundredevis af korrelerede events Tusinder af sikkerhedsrelevante events Applications Millioner af rå events

14 Normalisering Kategorisering Rapportering Enheder Sårbarheder Korrelering Baseline Troværdighed Lokation Threats Geo Alarmer SIEM kombineret til Intelligence Server and Desktop OS Firewalls/ VPN Directory Services Physical Infrastructure Intelligence Information Vulnerabilities Geo-location Threats IPS/IDS Identity Management System Health Information Network Equipment Few suspicious events for manual handling Vulnerability Assessment Anti-Virus Databases Applications Analysis and Big Data Inventory Users Configuration Netflow

15 IDM/IAM - modenhed Value ISO 27002: A.8.2, A.9.2 og A Efficient solution with large amount of automation and system integration Large set of connected systems Fully developed Request platform. Role Based Access Control (and ABAC) Extensive Compliance and Policies IAM System with basic Life-cycle management Formal processes defined. Business policies in place and followed Processes are largely manual Some audit reports defined Some connected systems Permissions assigned through organization structures, basic roles Automated Processes & Self-Service Ownership Some compliance Mostly Manual Processes Uncontrolled & coincidental No Processes established Audits are manual tasks Mix of manual processes and scripts Some processes in place No formal description Audits are still largely manual tasks IAM is a journey not a destination Gartner Maturity

16 Awareness ISO 27002: A.7.2.2, samt A.6.1.1, A Vores brugere udgør en risiko "Many of the most damaging security penetrations are, and will continue to be, due to Social Engineering, not electronic hacking or cracking... Social Engineering is the single greatest security risk in the decade ahead." Gartner 91% of data breaches start with a spear-phishing * *research from security software firm Trend Micro Ansatte spiller en rolle i 9 ud af 10 sikkerhedshændelser DATA BREACH INVESTIGATIONS REPORT - VERIZON 79 procent af folk, der arbejder med informationssikkerhed i Danmark, oplever, at brugerne i deres organisationer er den største udfordring for sikkerheden! DK CERT Hvordan løses dette problem?

17 Awareness Vores brugere skal forstå HVORFOR?

18 Awareness hvordan skal det gribes an? Afklar virksomhedens behov for awareness

19 Awareness hvordan skal det gribes an? Identificer de største trusler Sørg for at HELE organisationen er involveret Husk de interne processer Glem ikke den fysiske sikkerhed

20 Analytics Center (SAC) ISO 27002: A.16, samt A.12.4 og A SAC IRT Predict & Identify Prevent & Protect Detect Respond & Recover Risk Management Vulnerability Management Fundamental Monitoring Incident Handling Disaster Recovery Visibility Analytics Advanced Threat Intelligence Containment Forensics capabilities

21 SAC hvad er det? SAC ens opgave er at overvåge og efterforske sikkerheds-hændelser i virksomhedens it-systemer. verificere og klassificere hændelser alarmere, informere og rapportere omkring kritiske hændelser indsamle og sikre bevismateriale initiere og koordinere Incident Response Team SAC-faciliteter Opbevaring af data geografisk lokation Håndtering af følsomme og fortrolige data Fysisk sikkerhed

22 SAC hvad består det af? Personer Beredskabsanalytiker Hændelsesansvarlig Ekspert inden for emnet SAC-ledelse Proces Hændelseshåndtering Normalt gennem udgangspunktet Optrapning af hændelse Teknologi Opdateret viden Sårbarheder Styring og udvikling af tekniske redskaber SIEM/IDS/IPS/APT DNS Firewall / Bot Detection Opdagelse af hændelsen Teknisk Teknologi Trusselefter retning Logindsa mling Netværkso vervågning Intern træning Person er Formel træning Redskabs-og produkttræning Træning på jobbet Hvad lærte vi Proces Forberedels e Incident Respond Identifikatio n Inspiration:SANS SOC Whitepaper

23 Incident Response ISO 27002: A Incident Response Team s opgaver Danne sig et overblik over omfanget af hændelsen Planlægge, prioritere og udføre mitigering af hændelsen Genskabe normaltilstand Finde og dokumentere Root cause Løbende kommunikere omkring om fremdrift og omfang til: SAC Manager Ledelsen Myndigheder og pressen

24 Hvad skal du gøre, når du kommer hjem? I morgen Få overblik over (person)data hvad har I, hvor behandles det? Næste uge Find ud af hvad I mangler i forhold til compliance få lavet en gap-analyse Næste måned Formulér, implementér og dokumentér processer. Tag udgangspunkt i ISO 27000

25 Tak! Læs mere om Dubex på