De nieuwe verplichte regelgeving rond gegevensbeveiliging : bent u er klaar voor? Jo De Vylder Manager Security Specialists 12 May 2017 Sensitivity: Unrestricted 1
Groeiende uitdagingen en cyberdreigingen Spelers Phishing Cyberterroristen Cloud Spoofing Aanvallen Regelgevingen Trends Confidentialiteit? Malware Cybercriminelen Mobiel Data leakage Privacy Insiders Social Uw Integriteit? organisatie Beschikbaarheid? Andere naties Safe harbour Internet der (alle) Dingen Script kiddies Hactivisten Geavanceerde aanhoudende bedreigingen (Distributed) Denial of Service Werknemers 12.05.17 Sensitivity: Unrestricted 2
Voelt u zich veilig? 12 May 2017 Sensitivity: Unrestricted 3
Het gebeurt overal, met iedereen Russian hacker group used phony Google login page to hack Clinton campaign Oct. 2016 85 million accounts exposed in Dailymotion hack Dec. 2016 Confidentialiteit? Integriteit? Beschikbaarheid? Cyberaanval verstoort stemming Mijn Popuprestaurant Jun. 2016 Twitter-account Didier Reynders gehackt Oct. 2016 Openbaar vervoer San Francisco slachtoffer van ransomware Nov. 2016 Penthouse, Adult FriendFinder databases leak, at least 100 million accounts impacted Oct. 2016 12 May 2017 Sensitivity: Unrestricted 4
Maar waarom? En waarom ik? Persoonlijke gegevens: het nieuwe Eldorado Gegevens zijn het nieuwe doelwit van hackers Objectief: het verkopen van deze gegevens Sinds 2015 is deze markt groter geworden dan de drugsmarkt (http://fortune.com/2015/05/01/how-cyber-attacks-became-more-profitable-than-the-drug-trade/) 12.05.17 Sensitivity: Unrestricted 5
Het risico: het gevoel niet over de gegevens te beschikken interessant voor hackers Medische gegevens zijn 20x meer waard dan kredietkaartgegevens. Encryptie van uw gegevens en eis voor losgeld voor de ontsleuteling (=Ransomware) Zelfs de database van Domino s Pizza werd geschat op 30(0)K Euro! 12.05.17 Sensitivity: Unrestricted 6
Voelt u zich nog steeds veilig? 12 May 2017 Sensitivity: Unrestricted 7
De Algemene verordening gegevensbescherming in het kort De AVGB beoogt de bescherming van persoonlijke gegevens berhandeld door de publieke en private sector. Zal worden toegepast vanaf 25 mei 2018. Vervangt de lokale EU privacywetgevingen en geeft iedereen die persoonlijke gegevens van EU-inwoners verzamelt, bezit of verwerkt een unieke juridische werkomgeving. Het betreft ook de zekerheid dat organisaties de noodzakelijke organisatorische en technologische maatregelen hebben ingevoerd om met privacy om te gaan. Afwijking mogelijk voor organisaties tot 250 werknemers*, met betrekking tot verzameling van bewijzen. Beschreven in een meer dan 200 paginatellend document. Volledig tekst kan hier teruggevonden worden. 12 May 2017 Sensitivity: Unrestricted 8
Wat zijn (gevoelige) persoonsgegevens? Familiale en demografische gegevens, religieuze overtuigingen, raciale & etnische afkomst, RRN Thuis en werk gerelateerde gegevens, seksuele geaardheid Medische gegevens, gezondheids-informatie Online gedrag, gebruikte toestellen, IP adres Financiële gegevens, vakbondslidmaatschap Reishistoriek en locatiegegevens Gedrag en interesses Vrijetijdsactiviteiten en hobby's, Politieke overtuigingen en lidmaatschap Vingerafdruk of alle andere biometrische gegevens, Genetische gegevens 12 May 2017 Sensitivity: Unrestricted 9
AVGB: De stappen naar conformiteit Asses your company s compliancy and check existing Inventariseer processes & procedures Evalueer Realiseer Beheer 12.05.17 Sensitivity: Unrestricted 10
Proximus Information Security Consultancy Services STAP 1: STAP 2: Eén dag AVGB conformiteitsbeoordeling gebaseerd op een vragenlijst STAP 3: Vijf dagen kwaliteitscontrole van bestaande processen & procedures Geschreven rapport met aanbevelingen hoe nietconforme zaken aan te pakken Ontwikkeling van een actieplan op maat Hoe de leemtes op te lossen Hoe het gewenste niveau van compliancy te bereiken 12.05.17 Sensitivity: Unrestricted 11
Security Check Web applicaties Scan Geautomatiseerde scan Kwetsbaarheidsscan op afstand Manueel rapport over bedrijfsrisico s gerelateerd aan uw website. Webserver infrastructuur Naast deze Security Check kunnen we als volgende stap aanbevelen: Volledige penetratietest van uw website en infrastructuren Kwetsbaarheidsscans van andere domeinen zoals Wi-Fi, Intern, mobiele apps, etc. Repetitief kwetsbaarheidsonderzoek => Inbegrepen in onze volledige penetratietest diensten en Vulnerability Assessment Management (as-a-service) diensten 12.05.17 Sensitivity: Unrestricted 12
Security Awareness: communication & end user training Inform, Measure and Train Communication campaign Emails, Posters, Media screens Phishing tests End user trainings: Customized digital modules & On-Site Workshops Executives/Technical/Life Hacks GDPR, ICT Security, ISO 27001, Web Application 12 May 2017 Sensitivity: Unrestricted 13
Organisatorische vereisten: Proximus helpt u met Security by design & by default > Algemeen beveiligingsportfolio Aangifteverplichting voor beveiligingsincidenten > Cyber Security Incident Response Services Verplichting tot openbaarmaking van gegevensinbreuken > Security Incident Response Services Gegevensbeveiligingsbeleid & bewustzijn > Information Security Consultancy Services Functionaris voor gegevensbescherming (Data protection officer (DPO)) > Information Security Consultancy Services Privacyeffectbeoordeling (Data protection impact assessment (DPIA)) > Information Security Consultancy Services 12 May 2017 Sensitivity: Unrestricted 14
Technologische vereisten: Proximus helpt u met Identiteits- en toegangsbeheer bekwaamheden > Identity and Access management oplossingen Vermogen tot het detecteren van gegevensinbreuken & beveiligingsincidenten Preventie van gegevensverlies > Data Loss Protection oplossingen Beheer van mobiele apparaten > Mobile Device Protection & Management oplossingen SIEM, Beveiligingsrapportage en analyse > Managed Security Services Compromise assessment > Cyber Security Incident Response Services Vermogen tot reageren op incidenten > Cyber Security Incident Response Services Inperking van inbreuken Forensisch onderzoek Beperking van incidenten Verzameling van juridische bewijzen 12.05.17 Sensitivity: Unrestricted 15
Onze cyber security pijlers Beheer uw gegevenskwaliteit Beveilig uw netwerk Beveilig uw gegevens Beveilig uw eindpunten Reageer op incidenten Inventarisatie van de gegevensstroom Audits Privacy beleid Conformiteit Risicobeheer Beveiligingsbewustzijn Firewalls & Web beveiliging Inbreukdetectie Netwerktoegang beveiliging Veilige toegang op afstand Bescherming tegen geavanceerde bedreigingen Applicatiebeveiliging Gegevens- & e- mail beveiliging Identiteits- en toegangsbeheer Mobiele beveiliging Eindpunt beveiliging Server beveiliging Reactie-capabiliteit Forensisch onderzoek Detectie Inperking Herstel Verzameling van juridische bewijzen Geavanceerde beveiligingsdiensten Gezondheid & beschikbaarheid, Log management, Security rapportage, Beveiligingsanalyse, Incident notificatie, Executive rapportage, 12.05.17 Sensitivity: Unrestricted 16
Uw organisatie beveiligen: een 360 aanpak Voorspellen Risico prioriteitsbepaling Anticiperen op bedreigingen Basissystemen & beveiligingsstatus Reageren Forensische analyse Kwetsbaarheden patchen Incidentenrespons Beleid Mensen Technologie Processen Conformiteit Voorkomen Beveilig uw eindpunten Beveilig uw netwerk Beveilig uw gegevens Detecteren Monitoring Logcorrelatie Beveiligingsrapportage 12.05.17 Sensitivity: Unrestricted 17
Proximus: lokaal team met uitgebreid inlichtingennetwerk 100% Belgisch bedrijf 250+ Security specialisten Plaatselijke CSOC Uitgebreid inlichtingennetwerk Cyber Security Operations Center 24 x 7 x 365 monitoring, reporting & management Meer dan 10 jaar ervaring ISO 27001 & ITIL v3 compliant 3000 events geanalyseerd/ week Circa 10 gelogde incidenten / week 1500 miljoen raw events / dag 20000 gemonitorde toestellen 7500 beheerde toestellen 12.05.17 Sensitivity: Unrestricted 18
Bedankt! Meer info? cybersecurity@proximus.com 12 May 2017 Sensitivity: Unrestricted 19