IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK. Secure by design #PQRITG18 #PQRITG18

Transcriptie

1 IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK Secure by design

2 IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK Secure by design Oplossingen voor betere AVG compliance Herco van Brug,

3

4

5 Maart 2014 December 2015 Januari 2016 Mei 2016 Mei 2018 Eerste GDPR door Europees Parlement Europese Commissie akkoord over GDPR Nederlandse WBP GDPR wordt Europese wet GDPR compliancy gehandhaafd

6 AVG Algemene Verordening Gegevensbescherming

7 AVG

8 Verantwoordelijke Persoon Grondslag op basis waarvan je gegevens mag verzamelen Zorgvuldigheid inbouwen en aantonen Verwerker Verplichting omtrent maatregelen Rechten van betrokken

9 Rechten van de Persoon Recht om In te zien Te wijzigen Vergeten te worden Gegevens over te dragen (portabiliteit) Geïnformeerd te worden

10 Verantwoordelijke Persoon Grondslag op basis waarvan je gegevens mag verzamelen Zorgvuldigheid inbouwen en aantonen Verwerker Verplichting omtrent maatregelen Rechten van betrokken

11 Verplichtingen van Verantwoordelijke én Verwerker Scope is wereldwijd Privacy by design & Privacy by Default Meldingsplicht datalekken Bewijs van risicobeperking Data Protection Officer

12 Wat zijn handelingen op persoonsgegevens? verzamelen vastleggen ordenen bewaren bijwerken wijzigen beschikbaar stellen verspreiden doorzenden gebruiken raadplegen opvragen samenbrengen met elkaar in verband brengen afschermen uitwissen vernietigen porteren

13 Wat moet u dus doen? Weet welke persoonsgegevens u bezit en waar die staan Weet waar de gegevens voor gebruikt worden Privacy-by-design en privacy-by-default Verwerkingslogboek Beveiligingsmaatregelen Verwerkersovereenkomst Informatieplicht Inwilligen van verzoeken

14 Privacy by design Al bij het ontwerp wordt voorzien in technische en organisatorische maatregelen om de privacyrisico's voor mensen zo klein mogelijk te maken. Privacy by default Het nemen van technische en organisatorische maatregelen om ervoor te zorgen dat u de instellingen en functies van de producten of diensten standaard op de meest privacyvriendelijke stand zet.

15 Maatregelen Encryptie Accountbeheer (2FA) Auditable toegang en verwerkingen Pseudonimiseren Updateprocessen inrichten Segmenteren Processen voor gegevensbewerking en vernietiging Dataportabiliteit

16 PQR de Secure Specialist

17 Incidenten Verlies Vertrouwe lijkheid Wet- en regelgeving Techniek Ransomware Informatie Compliancy Hacks Beschik baarheid Integriteit Bedrijfsvisie

18 Prevent Query Respond

19 PQR de Secure Specialist Prevent Query Respond Identificeren Identiteit Multifactor Segmentering Data classificatie Encryptie Antivirus / antimalware Monitoring Auditing Logging Analytics Policies Beheersen Uitroeien Herstellen Aanpassen

20 Security audits & Compliancy reports Externe securityscan Interne securityscan Kwetsbaarheidsscan Pentesten Ethical hacking Phishing Compliancy scan Trends

21 Scanner dashboard

22 Technisch dashboard

23 PQR de Secure Specialist Prevent Query Respond Identificeren Identiteit Multifactor Segmentering Data classificatie Encryptie Antivirus / antimalware Monitoring Auditing Logging Analytics Policies Beheersen Uitroeien Herstellen Aanpassen

24 Zones High secure Medium secure Low secure LAN Fire wall DMZ Fire wall Applicatiezone Applicatiezone Applicatiezone Internet High secure Backend Medium secure Backend Low secure Backend

25 Zones High secure Medium secure Low secure Firewall LAN Fire wall DMZ Fire wall Applicatiezone Applicatiezone Applicatiezone Internet Firewall Firewall High secure Backend Medium secure Backend Low secure Backend

26 Audit Management Zones High secure Medium secure Low secure LAN Fire wall DMZ Firewall Fire wall Applicatiezone Applicatiezone Applicatiezone Internet Firewall Firewall High secure Backend Medium secure Backend Low secure Backend Sub zone1 Sub zone2 Sub zone3

27 PQR de Secure Specialist Prevent Query Respond Identificeren Identiteit Multifactor Segmentering Data classificatie Encryptie Antivirus / antimalware Monitoring Auditing Logging Analytics Policies Beheersen Uitroeien Herstellen Aanpassen

28 SIEM

29 Security Information & Event Management Compliancy Certificering (ISO, NEN,..) Log management en retentie Realtime monitoring en incident detectie Beleidvalidatie en afwijking

30 Wat doet SIEM? Logs verzamelen, normaliseren en indexeren Analyseren van logs SIM Trend analyse Anomalie detectie Real-time monitoring SEM Thread intelligence (anticiperen)

31 Wat maakt SIEM zo complex Baselines samenstellen en aanpassen Scenario definities en maatregelen Voortdurend blijven bijwerken aan business behoeften Te eenvoudig of juist te uitgebreid

32 Bijvoorbeeld Scenario: Informatie uit de applicatie mag niet gestolen worden Verboden acties Brute force of dictionary - aanvallen Andere toegang dan http(s) Toegang uit niet-vertrouwde locaties Webserver Verboden acties Toegang van andere dan de webserver Applicatie manipulatie Uitgaande connecties anders dan weben database Applicatieserver Verboden acties Toegang van andere dan applicatieserver Onverwacht grote datatransporten Uitgaande connecties anders dan applicatieserver Databaseserver

33 SIEM is een proces Begin met de juiste prioriteiten Start met de Dienstencatalogus (PDC) Voortdurend aanpassen Wetgeving, processen, bedreigingen, personeel, applicaties, etc... False positives Incidenten afhandelen en verbeteren Improve Prevent Respond Query

34 Stand van zaken

35 AVG quick scan Korte vragenlijst Geeft rating over compliancy maatregelen Rapportage over bevindingen Geeft voorzet voor oplossingen

36 Impact HRM systeem 80 Back up GDPR IMPACT SURVEY 70 Archief GDPR Persoonsgegevens? IMPACT Impact? WORKSHOP Waarschijnlijkheid? Inkoop programma Focus! Website Facturatiesysteem Betaalsysteem klanten CRM Waarschijnlijkheid

37 Klaar voor AVG? Secure by Design Data classificatie (BIV & PIA) Maatregelen Accountbeheer Encryptie in opslag en onderweg Segmentatie Logging en analytics tooling (SIEM) Recurring securityscans Quickscan naar de stand van zaken Compliancy workshop voor C-level

38