IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK Secure by design
IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK Secure by design Oplossingen voor betere AVG compliance Herco van Brug,
Maart 2014 December 2015 Januari 2016 Mei 2016 Mei 2018 Eerste GDPR door Europees Parlement Europese Commissie akkoord over GDPR Nederlandse WBP GDPR wordt Europese wet GDPR compliancy gehandhaafd
AVG Algemene Verordening Gegevensbescherming
AVG
Verantwoordelijke Persoon Grondslag op basis waarvan je gegevens mag verzamelen Zorgvuldigheid inbouwen en aantonen Verwerker Verplichting omtrent maatregelen Rechten van betrokken
Rechten van de Persoon Recht om In te zien Te wijzigen Vergeten te worden Gegevens over te dragen (portabiliteit) Geïnformeerd te worden
Verantwoordelijke Persoon Grondslag op basis waarvan je gegevens mag verzamelen Zorgvuldigheid inbouwen en aantonen Verwerker Verplichting omtrent maatregelen Rechten van betrokken
Verplichtingen van Verantwoordelijke én Verwerker Scope is wereldwijd Privacy by design & Privacy by Default Meldingsplicht datalekken Bewijs van risicobeperking Data Protection Officer
Wat zijn handelingen op persoonsgegevens? verzamelen vastleggen ordenen bewaren bijwerken wijzigen beschikbaar stellen verspreiden doorzenden gebruiken raadplegen opvragen samenbrengen met elkaar in verband brengen afschermen uitwissen vernietigen porteren
Wat moet u dus doen? Weet welke persoonsgegevens u bezit en waar die staan Weet waar de gegevens voor gebruikt worden Privacy-by-design en privacy-by-default Verwerkingslogboek Beveiligingsmaatregelen Verwerkersovereenkomst Informatieplicht Inwilligen van verzoeken
Privacy by design Al bij het ontwerp wordt voorzien in technische en organisatorische maatregelen om de privacyrisico's voor mensen zo klein mogelijk te maken. Privacy by default Het nemen van technische en organisatorische maatregelen om ervoor te zorgen dat u de instellingen en functies van de producten of diensten standaard op de meest privacyvriendelijke stand zet.
Maatregelen Encryptie Accountbeheer (2FA) Auditable toegang en verwerkingen Pseudonimiseren Updateprocessen inrichten Segmenteren Processen voor gegevensbewerking en vernietiging Dataportabiliteit
PQR de Secure Specialist
Incidenten Verlies Vertrouwe lijkheid Wet- en regelgeving Techniek Ransomware Informatie Compliancy Hacks Beschik baarheid Integriteit Bedrijfsvisie
Prevent Query Respond
PQR de Secure Specialist Prevent Query Respond Identificeren Identiteit Multifactor Segmentering Data classificatie Encryptie Antivirus / antimalware Monitoring Auditing Logging Analytics Policies Beheersen Uitroeien Herstellen Aanpassen
Security audits & Compliancy reports Externe securityscan Interne securityscan Kwetsbaarheidsscan Pentesten Ethical hacking Phishing Compliancy scan Trends
Scanner dashboard
Technisch dashboard
PQR de Secure Specialist Prevent Query Respond Identificeren Identiteit Multifactor Segmentering Data classificatie Encryptie Antivirus / antimalware Monitoring Auditing Logging Analytics Policies Beheersen Uitroeien Herstellen Aanpassen
Zones High secure Medium secure Low secure LAN Fire wall DMZ Fire wall Applicatiezone Applicatiezone Applicatiezone Internet High secure Backend Medium secure Backend Low secure Backend
Zones High secure Medium secure Low secure Firewall LAN Fire wall DMZ Fire wall Applicatiezone Applicatiezone Applicatiezone Internet Firewall Firewall High secure Backend Medium secure Backend Low secure Backend
Audit Management Zones High secure Medium secure Low secure LAN Fire wall DMZ Firewall Fire wall Applicatiezone Applicatiezone Applicatiezone Internet Firewall Firewall High secure Backend Medium secure Backend Low secure Backend Sub zone1 Sub zone2 Sub zone3
PQR de Secure Specialist Prevent Query Respond Identificeren Identiteit Multifactor Segmentering Data classificatie Encryptie Antivirus / antimalware Monitoring Auditing Logging Analytics Policies Beheersen Uitroeien Herstellen Aanpassen
SIEM
Security Information & Event Management Compliancy Certificering (ISO, NEN,..) Log management en retentie Realtime monitoring en incident detectie Beleidvalidatie en afwijking
Wat doet SIEM? Logs verzamelen, normaliseren en indexeren Analyseren van logs SIM Trend analyse Anomalie detectie Real-time monitoring SEM Thread intelligence (anticiperen)
Wat maakt SIEM zo complex Baselines samenstellen en aanpassen Scenario definities en maatregelen Voortdurend blijven bijwerken aan business behoeften Te eenvoudig of juist te uitgebreid
Bijvoorbeeld Scenario: Informatie uit de applicatie mag niet gestolen worden Verboden acties Brute force of dictionary - aanvallen Andere toegang dan http(s) Toegang uit niet-vertrouwde locaties Webserver Verboden acties Toegang van andere dan de webserver Applicatie manipulatie Uitgaande connecties anders dan weben database Applicatieserver Verboden acties Toegang van andere dan applicatieserver Onverwacht grote datatransporten Uitgaande connecties anders dan applicatieserver Databaseserver
SIEM is een proces Begin met de juiste prioriteiten Start met de Dienstencatalogus (PDC) Voortdurend aanpassen Wetgeving, processen, bedreigingen, personeel, applicaties, etc... False positives Incidenten afhandelen en verbeteren Improve Prevent Respond Query
Stand van zaken
AVG quick scan Korte vragenlijst Geeft rating over compliancy maatregelen Rapportage over bevindingen Geeft voorzet voor oplossingen
Impact 100 90 HRM systeem 80 Back up GDPR IMPACT SURVEY 70 Archief GDPR Persoonsgegevens? IMPACT 60 50 40 30 20 10 Impact? WORKSHOP Waarschijnlijkheid? Inkoop programma Focus! Website Facturatiesysteem Betaalsysteem klanten CRM 0 0 10 20 30 40 50 60 70 80 90 100 Waarschijnlijkheid
Klaar voor AVG? Secure by Design Data classificatie (BIV & PIA) Maatregelen Accountbeheer Encryptie in opslag en onderweg Segmentatie Logging en analytics tooling (SIEM) Recurring securityscans Quickscan naar de stand van zaken Compliancy workshop voor C-level