Vær i kontrol! Compliantkan du være ved et tilfælde!

Transkript

1 Vær i kontrol! Compliantkan du være ved et tilfælde!

2 ETABLERET I 1993 SPECIALISERET I IT SIKKERHED MED DANSKE OG INTERNATIONALE SAMARBEJDSPARTNERE OG IT SIKKERHEDSPECIALISTER KONSULENTYDELSER, SIKKERHEDSTJENESTER OG LØSNINGER AWARENESS -TEST OG -UNDERVISNING MEDLEM AF; DANSK INDUSTRI (DI) DI SIKKERHEDSUDVALGET DI S DIGITALE MENTORKORPS ADVISORY BOARDET HOS POLITIETS NC3 SKYT

3 INTEGRITET OG FORTROLIGHED MINIMER UDFORDRINGEN -STIL SPØRGSMÅL SÅSOM ; HVILKE DATA ER PERSONHENFØRBARE OG HVILKE ER DECIDERET PERSONFØLSOMME? BEHANDLES OG OPBEVARES DER DATA, SOM I IKKE BEHØVER HVOR ER DATA OPBEVARET OG HVORDAN? HVEM KAN TILGÅ DATA? HVEM SENDER DATA OG HVORDAN? FÅ STYR PÅ SAMTYKKER F.EKS. MED DIGITALE SIGNATURER KONTROLLER IDENTITETER OG TILGANGE UDARBEJD EN PRIVACY IMPACT ASESSMENT

4 INTEGRITET OG FORTROLIGHED UDFØR EN DATA PROTECTION IMPACT ASSESMENT -INDDRAG JERES DPO, HVIS I HAR EN OG BRUG EVT. EN EKSTERN RÅDGIVER. BESKRIV BEHANDLINGER, FORMÅL, INTERESSE OG SIKKERHED VURDÉR NØDVENDIGHED, PROPORTIONALITET OG RISICI CHECK OM JERES DATABEHANDLERE OG DERES EVENTUELLE UNDERBEHANDLERE HAR DOKUMENTATIONEN PÅ PLADS OG FÅ DEN UDLEVERET LAV RECOVERY PLAN OGSÅ SELVOM DET OMFATTER HOSTING OG SERVICEPARTNERE.

5 DATASUBJEKTETS RETTIGHEDER Retten til at få indsigt, muligheden for at trække samtykke tilbage, berigtige eller slette personoplysninger, begrænse behandling, gøre indsigelse mod behandling og retten til dataportabilitet. FÅ STYR PÅ BACK-UP PROCESSER OG DATALAGRING,-KAN DATA I ALLE SYSTEMLED GENSKABES, SLETTES, RETTES ELLER VERIFICERES?

6 INTEGRITET OG FORTROLIGHED MINIMER ANONYMISER KRYPTER PSEUDONYMISER

7 DATAANSVARLIGES PLIGT GENNEMLÆS OG START FORHANDLING AF JERES DATABEHANDLERAFTALER FÅ I FORORDNINGENS PESPEKTIV EFTERPRØVET OM JERES KRAV OG RECOVERYPLAN OGSÅ FOR DATABEHANDLERE KAN EFTERLEVES I PRAKSIS

8 PHD x 2 PRIVACY BY DESIGN OG PRIVACY BY DEFAULT TÆNK SIKKERHED IND FRA STARTEN I ALLE; SYSTEMER PROCESSER PRODUKTER PROJEKTER

9 VÆRKTØJER ISO OG ISO27002 KAN ANVENDES SOM GUIDELINE OG KONTROLLER FOR AT SE OM VIRKSOMHEDENS SIKKERHEDSMÅL OG FORORDNINGEN EFTERLEVES DI HAR UDARBEJDET VEJLEDNINGER OG CHECKLISTER DER NEMT OG PÆDAGOGISK HJÆLPER TIL AT GENNEMGÅ LOVEN,STILLE DE RIGTIGE SPØRGSMÅL OG SKABE OVERBLIK.

10 BEREDSKABSPLAN DOKUMENTER PROCEDURER FOR HVORDAN I VIL FORETAGE EN DATA BREACH NOTIFICATION UDVÆLG OG ETABLER KONTAKT TIL FORENSIC OG INCIDENT RESPONS SPECIALISTER -FØR I FÅR BRUG FOR DEM! I computer forensicsog efterforskning af hændelser i et IT miljø, er det vigtigt at bevissikre, på den rigtige måde, bl.a. ved at følge Chain of custody. Politiet og særlige IT sikkerhedsfirmaer vil kunne være behjælpelige med at bevissikre efter ubestridelige metoder, der kan bruges i en retssag.

11 CLOUD, HOSTING OG SERVICEAFTALER KAN OUTSOURCING BETALE SIG FOR JER UD FRA; BEHOV FOR DOKUMENTATION? KAN I FÅ OVERBLIK OG KONTROL OVER DATA? KAN I VÆRE SIKRE NOK? KAN TIDEN DER SKAL BRUGES MED FORHANDLING, LØBENDE KONTROLLER MED EKSTERNE PARTER BETALE SIG, VERSUS AT HAVE LØSNINGEN ON PREMISE? IT IS NOT ONLY FOR WHAT WE DO THAT WE ARE HELD RESPONSIBLE, BUT ALSO FOR WHAT WE DO NOT DO / Moliere

12 ORGANISATORISKE ANBEFALINGER LEDELSEN SKAL GÅ FOREST - Vær rollemodeller for at skabe en sikkerhedskultur MARKEDSDIFFERENTIERING -Virksomheder vil markedsføringsmæssigt fremover kunne differentiere sig stærkt på privacyi kommunikation LYT TIL ORGANISATIONEN -Særligt de sikkerhedsansvarlige, men også øvrige medarbejdere og skab tættere dialog med eksterne parter UDVÆLG EKSTERNE RÅDGIVERE og lad ikke de samme rådgivere revidere sig selv

13 AWARENESS ARBEJD MED VIRKSOMHEDENS SIKKERHEDSKULTUR- loyalitet og forståelse SKAB SECURITY AWARENESS Gør det attraktivt at være sikkerhedsvidende. Brug jeres interne markedsføringsmuskel til at markedsføre motivationer, holdninger og regler Test viden om IT sikkerhed, politikker og processer på alle niveauer i virksomheden Foretag stikprøver

14 TEKNISKE LØSNINGER PASSWORD POLITIKKER ENDPOINTSIKKERHED - OGSÅ PÅ MOBILE ENHEDER ER F.EKS: Antimalware Personlig firewall (IDS og IPS) Browsersikkerhed Applikationssikkerhed Authentificering Patching Undgå lokale administratorrettigheder Registrering af systemændringer Password management Kryptering- filer, diske og devices

15 TEKNISKE LØSNINGER BACK-UP TEKNOLOGI-kan man søge i back-up en, foretage delvis back up m.m. PATCH MANAGEMENT,- på netværksniveau NEXT GENERATION FIREWALLS -Med IntrusionPreventionSystem og Advanced Persistent Threat. WEBFILTRERING (følger med i nogle firewalls) SIKRE DNS OPSLAG (følger med i nogle firewalls) DATA DISCOVERY- afdækker f.eks. persondata på virksomhedens netværk DATA LOSS PREVENTION-kan typisk på gatewayniveau hindre at uønskede data mailes ud eller at de i hvert fald forinden som minimum krypteres automatisk

16 TEKNISKE LØSNINGER MULTI FAKTOR AUTHENTIFICERING, for at sikre at den korrekte person får adgang -også via VPN PRIVILEGED ACCESS MANAGEMENT OG IDENTITY MANAGEMENTntityManagement, til styring af rettigheder, tilgange og identiteter på systemniveau SIKKER FILDELING- hvem holder nøglerne? APPLIKATION WHITELISTING-kan sikre, at kun de ønskede applikationer og versionsnumre afvikles i virksomheden. LOG OG NETVÆRKS MONITORERING-både til overvågning og til evt. bevisførelse i retssager SHADOW IT DISCOVERY- Til afdækning af enheder og services i netværket.

17 TEKNISKE LØSNINGER ANONYMISERING hvilket sikrer at data ikke falder under under EU Persondataforordningen OBFUSCERING / PSEUDONYMISERING for at mindske risiko for identitetsgenkendelse KRYPTERING for separtion of duties og konfidentialitet SIKKER FYSISK ELLER LOGISK DATA DESTRUKTION OG DATA REDACTION, hindrer adgang til personhenførbare, personfølsomme eller generelt konfidentielle data FYSISK ADGANGSBEGRÆNSNING TIL DATA OG UDSTYR, hindrer adgang til personhenførbare-, personfølsomme eller generelt konfidentielle -data.

18 FIND LØSNINGER, YDELSER FORKLARINGER PÅ OG INSPIRATION TIL AWARENESSKAMPAGNER OG TESTS PÅ i METTE NIKANDER [email protected] SUPPORT: [email protected] Tlf