KONFERENCJA CYFRYZACJA BIZNES SAMORZĄD - FUNDUSZE EUROPEJSKIE

Transkrypt

1 KONFERENCJA CYFRYZACJA BIZNES SAMORZĄD - FUNDUSZE EUROPEJSKIE Temat: Cyfryzacja urzędu potrzeby, realizacje, możliwości Prelegent: Tomasz Stojek

2 Bezpieczeństwo danych Żyjemy w świecie gdzie: Data Security Smartfon przekazuje bliżej niewiadome informacje do różnych organizacji; 3,6 miliarda ludzi jest w Internecie ; Coraz częściej nie rozstajemy się z komórką; Internet Rzeczy (Internet of Things) jest teraz; Ściągając muzykę nawet nie wiesz, że polubiłeś jej wykonawcę na Facebooku; Możesz kupić bez problemu zastrzeżone informacje na swój temat. 96 % firm doświadczyło ponad 50 incydentów naruszenia bezpieczeństwa w ostatnim roku 46% firm pozwala pracownikom korzystać z firmowych aplikacji na prywatnych urządzeniach Najczęstszy incydent naruszenia bezpieczeństwa w firmach to atak phishingowy 4. edycja badania stanu bezpieczeństwa informacji w Polsce, 2017, pwc.pl/stanbezpieczenstwa 2

3 Co musisz wiedzieć o RODO/GDPR? UWAGA : Zmiana prawa w zakresie przetwarzania danych osobowych! Do 25 maja 2018 roku każdy urząd, który kontaktuje się z mieszkańcem i pozyskuje jego dane, powinien: Nie tylko potrzeba, ale wymóg od 25 maja 2018 r. 50 % dużych firm nie zdąży przygotować się do zmian - Prognoza Gartner 20 mln euro kary za naruszenie przepisów RODO lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego 72 godziny na zgłoszenie cyberataku do organu regulacyjnego wykonać analizę celu istniejących procesów przetwarzania danych; zastanowić się, jak wykorzystuje własne systemy informatyczne; przemyśleć wymagane zmiany w zakresie organizacyjnym i technicznym; zastanowić się, na ile te systemy są zgodne z zasadą privacy by default ; 69% mieszkańców UE chce świadomie przekazywać swoje dane osobowe. 05 przemyśleć kolejne kroki zgodnie z zasadą privacy by design. Data protection Eurobarometer Factsheet, czerwiec

4 RODO/GDPR wpływa na całą firmę Wymogi RODO/GDPR będą musiały zostać uwzględnione między innymi w: Pozyskiwanie danych Przepływ danych Wsparcie Back office podczas pozyskiwania danych klientów i zgody na wykorzystanie danych i wykorzystania wielokanałowości relacji, do relacji z mieszkańcem w przepływach danych mieszkańców wewnątrz urzędów, do bieżącej obsługi kontraktu, reklamacji, windykacji, fakturowania, rozliczenia oraz przepływach danych do partnerów zewnętrznych (outsourcing usług, wymogi prawne np. BIK, UFG); w trakcie przetwarzania danych w systemach IT, analizy danych klientów do oceny ryzyka, tworzenia nowych produktów (Big Data), profilowania mieszkańców, przygotowania dedykowanych akcji marketingowych (Marketing) czy pozyskania nowych partnerów/dostawców w procesie zakupowym; podczas oceny ryzyka operacyjnego (Ryzyko), zapewnienia zgodności działania organizacji z RODO (Compliance), audytu wewnętrznych procesów, mitygacji ryzyka wycieku danych z systemów (Bezpieczeństwo systemów), detekcji wycieku danych (HR i Bezpieczeństwo), bezpieczeństwa danych HR własnych pracowników i współpracowników. 4

5 Bezpieczeństwo danych Jak zarządzać bezpieczeństwem systemów IT zgodnie z RODO/GDPR? Kompleksowe rozwiązanie dla kadry zarządzającej z sektora prywatnego i publicznego, administratorów bezpieczeństwa informacji, administratorów systemów informatycznych. JAK DZIAŁAMY? JAKIE ROZWIĄZANIA? 5

6 Bezpieczeństwo danych KROK 1 Jak chronisz cenne dane? Wykonaj audyt bezpieczeństwa i oceń skalę ryzyka Audyt to pierwszy etap procesu dostosowywania poziomu bezpieczeństwa dowartości chronionych aktywów organizacji. Jest niezbędny do wdrożenia właściwych technologii i procedur określających stałe, cykliczne czynności związane z zarządzaniem bezpieczeństwem. JAK DZIAŁAMY? JAKIE ROZWIĄZANIA? 6

7 Oceń skalę ryzyka i wykonaj audyt bezpieczeństwa Analiza ryzyka w praktyce 01 Obszar organizacyjny: analiza zależności służbowych i ich wpływ na bezpieczeństwo, brak zastępcy w przypadku nieobecności itd. ZAPLANUJ WPROWADŹ MONITORUJ ANALIZUJ UDOSKONALAJ I UTRZYMUJ 02 Obszar IT: narzędzia do obrony i ochrony aktywnej, backup ochrona pasywna, itd. 03 Obszar fizyczny: Jak brak krat w oknach, systemu kontroli dostępu, monitoringu wizyjnego CCTV, systemy przeciwpożarowe. Audyt bezpieczeństwa Analiza ryzyka Projekt zabezpieczeń Systemy bezpieczeństwa firewall - Azure Systemy autoryzacji Active Directory System backupu Azure Backup Systemy równoważenia obciążenia Mechanizmy Azure Zgodność z ISO27001 Audyt sieci SAN i WIFI Weryfikacja backupu Reagowanie na incydenty bezpieczeństwa Powdrożeniowy audyt bezpieczeństwa Utrzymanie i monitoring systemów Dedykowane szkolenia 7

8 Bezpieczeństwo danych KROK 2 Opracuj Politykę Bezpieczeństwa dla Twojej firmy Polityka bezpieczeństwa jest dokumentem, który oprócz procedur użytkowania i zarządzania systemami informatycznymi, powinien definiować wymagania prawne i biznesowe, analizę ryzyka i kosztów. JAK DZIAŁAMY? JAKIE ROZWIĄZANIA? 8

9 Bezpieczeństwo danych KROK 3 Wybierz narzędzia, które pomogą Ci spełnić wymagania RODO/GDPR Będziesz wiedział, gdzie zlokalizowane są dane osobowe, wyszukasz dowolne informacje i zidentyfikujesz każdą osobę w każdym zbiorze, zminimalizujesz miejsca przetwarzania tych danych i będziesz mógł je w pełni kontrolować, ochronisz dane osobowe by design przed utratą, zniszczeniem lub wyciekiem, zapewniając zgodność z wymogami RODO/GDPR. JAK DZIAŁAMY? JAKIE ROZWIĄZANIA? 9

10 Który artykuł w RODO/GDPR? Jakie rozwiązanie? W odróżnieniu od innych firm, mapujemy artykuły z ustawy o RODO/GDPR na konkretne rozwiązania chroniące przed naruszeniami ustawy i wyciekiem danych. Jakie zlecenia? Jakie zlecenia? Co również ważne są to nie tylko rozwiązania z zakresu IT, ale także innych obszarów, takich jak np. CCTV, KD, itd. Który artykuł? Jakie rozwiązanie? Jakie rozwiązanie? ZLOKALIZUJ SZUKAJ MINIMALIZUJ CHROŃ MONITORUJ 10

11 Jak przetwarzać dane osobowe w firmie zgodnie z RODO/GDPR? ZLOKALIZUJ SZUKAJ MINIMALIZUJ CHROŃ MONITORUJ Jakie zlecenia? Jakie zlecenia? Wiedz gdzie są dane osobowe i rejestruj czynności Wyszukaj dowolne dane, identyfikuj każdą osobę w każdym zbiorze Minimalizuj miejsca przetwarzania danych osobowych i kontroluj je Chroń dane osobowe by design przed utratą, zniszczeniem lub wyciekiem Zapewnij zgodność z RODO/GDPR Który artykuł? 29, 30, 31, 32 15, 16, 17, 18, 20 5, 17, 32, 33, 34 5, 25, 32, 33, 34, 35 5, 15, 16, 17, 18, 20, 24, 35, 42, 44, 45 Jakie rozwiązanie? Jakie rozwiązanie? CRM Microsoft, AD, DLP ECM Veeam Security DLP ECM Stały nadzór Security DLP ECM CRM, Sytsemy Dydykowane MDM (Microsoft, Intune,) Veeam SIEM NAC Analiza ryzyka Rejestry danych zgodnych z RODO Testy penetracyjne - raport Audyt bezpieczeństwa 11

12 Narzędzia, które pomogą Ci spełnić wymagania RODO/GDPR Systemy DLP, jako narzędzie chroniące przed wyciekiem danych Testy penetracyjne jako metoda na wskazanie luk w zabezpieczeniach i podatności na ataki Centralny punkt wymiany informacji, z szyfrowaniem danych i pełną identyfikowalnością Testy socjotechniczne jako metoda na edukację ludzi w zakresie bezpieczeństwa Backup z możliwością analizy danych Sharepoint, Ms SQL, Exchange, Outlook. Szkolenia w zakresie technicznego zabezpieczania środowiska oraz edukowanie pracowników firm 12

13 Centralny punkt wymiany informacji z szyfrowaniem danych i pełną identyfikowalnością CRM i systemy ECM to system do elektronicznej archiwizacji i obiegu dokumentów w przedsiębiorstwie. Rozwiązania muszą spełniać wszelkie wymogi wydajnościowe, funkcjonalne oraz bezpieczeństwa danych. Pomagać w zaawansowanym zarządzaniu treścią dokumentów skanowanych, pism, umów, plików elektronicznych, poczty elektronicznej. Wspomaga mapowanie procesów i ścieżek akceptacji w organizacji. Struktura systemu pozwalać powinna na kontrolę dostępu do danych. 30% wzrost wydajności pracy personelu osiągnięty po zastosowaniu wydajnego systemu wyszukiwania dokumentów w całej wewnętrznej sieci firmy System powinien wykorzystywać szyfrowane połączenia, a automatyczne tworzenie kopii zapasowych.. 13

14 Backup z możliwością analizy danych Backup z możliwością analizy danych Sharepoint, Ms SQL, Exchange, Outlook. Profesjonalne systemy backupu gwarantujące krótsze niż 15 minutowe wskaźniki przywracania usług (Service Level Objective,) dla wszystkich aplikacji i danych, pozwalając na koordynację usuwania skutków awarii w czasie rzeczywistym. 50% firm w Polsce zamierza zwiększyć wydatki na bezpieczeństwo IT do 2018 roku Narzędzie to pozwala w taki sposób zarządzać zadaniami, aby poprzez prewencyjne monitorowanie (24x7), raportowanie, testowanie i dokumentowanie, spełniać wymogi biznesowe oraz prawne. 14

15 Testy socjotechniczne jako metoda na edukację ludzi w zakresie bezpieczeństwa 100 To ilość wiadomości phishingowych wysyłanych każdego dnia Socjotechnika bazuje na wykorzystywaniu mechanizmów manipulacji odpowiednimi osobami, do wykradania poufnych danych. W przygotowaniu ataków wykorzystywane są badania psychologiczne oraz analizy wzorców zachowań. Przeprowadzane testy mają na celu sprawdzenie podatności pracowników na najczęściej stosowane metody. 800 zł to średni koszt okupu żądanego w zamian za zdjęcie blokady z jednego komputera, na którym wszystkie dane zostały zaszyfrowane przez oprogramowanie typu Ransomware Nieodłącznym elementem testu jest szkolenie pokazujące, jakie sztuczki socjotechniczne wykorzystywane są przez przestępców. 15

16 Szkolenia z zakresu bezpieczeństwa Szkolenia w zakresie technicznego zabezpieczania środowiska oraz edukowanie pracowników firm zakres formalno-prawny poparty żywymi przykładami. Naszym celem jest edukacja w zakresie dostępnych na rynku rozwiązań informatycznych, kreowanie świadomych potrzeb związanych z nowoczesną i bezpieczną infrastrukturą IT. 79% incydentów w firmach powodują aktualni pracownicy Dokładamy wszelkich starań, aby tematyka organizowanych przez nas warsztatów i szkoleń, była odpowiedzią na kluczowe zagadnienia biznesu w obszarze bezpieczeństwa, sieci, wirtualizacji, centrów danych oraz systemów komunikacji i pracy grupowej. 16

17 System epapier integracja z Office 365

18 DZIĘKUJEMY ZA UWAGĘ Prelegent: Tomasz Stojek Nazwa Instytucji: Sansec Poland