Samorząd jutra, czyli rozwiązania IT wspierające pracę...

Samorząd jutra, czyli rozwiązania IT wspierające pracę urzędu – dobre praktyki

1SANSEC Poland SA | 2017

UWAGA: Zmiana prawa w zakresie zasad dotyczących przechowywaniai przetwarzania danych osobowych w firmach!

BezpieczeństwoAnaliza Ryzyka

RODO/GDPRAudyt/Testy

JAKIE ROZWIĄZANIA ? JAKIE ZMIANY ?

Czy wiesz, czego się spodziewać i jak się przygotować na nowe przepisy?


Smartfon przekazuje bliżej niewiadome informacje do różnych organizacji;

3,6 miliarda ludzi „jest w Internecie”;

Coraz częściej nie rozstajemy się z komórką;

Internet Rzeczy (Internet of Things) jest teraz;

Ściągając muzykę nawet nie wiesz, że polubiłeś jej wykonawcę na Facebooku;

Możesz kupić bez problemu zastrzeżone informacje na swój temat.

Żyjemy w świecie gdzie:

Bezpieczeństwo danych

Data Security

46% firm pozwala pracownikom korzystać z firmowych aplikacji na prywatnych urządzeniach

4. edycja badania stanu bezpieczeństwa informacji w Polsce, 2017, pwc.pl/stanbezpieczenstwa

96 % firm doświadczyło ponad 50 incydentów naruszenia bezpieczeństwa w ostatnim roku

Najczęstszy incydent naruszenia bezpieczeństwa w firmach to atak phishingowy


Co musisz wiedzieć o RODO/GDPR?

wykonać analizę celu istniejących procesów przetwarzania danych;

UWAGA : Zmiana prawa w zakresie przetwarzania danych osobowych!

50 % dużych firm nie zdąży przygotować się do zmian - Prognoza Gartner

20 mln euro kary za naruszenie przepisów RODOlub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego

72 godziny na zgłoszenie cyberataku do organu regulacyjnego

Nie tylko potrzeba, ale wymóg od 25 maja 2018 r.

Do 25 maja 2018 roku każdy urząd, który kontaktuje się z mieszkańcem i pozyskuje jego dane, powinien:

Data protection Eurobarometer – Factsheet, czerwiec 2015

69% mieszkańców UE chce świadomie przekazywać swoje dane osobowe.

01

02

03

04

05

zastanowić się, jak wykorzystuje własne systemy informatyczne;

przemyśleć kolejne kroki zgodnie z zasadą „privacyby design”.

przemyśleć wymagane zmiany w zakresie organizacyjnym i technicznym;

zastanowić się, na ile te systemy są zgodne z zasadą „privacy by default”;


RODO/GDPR wpływa na całą firmę

Wymogi RODO/GDPR będą musiały zostać uwzględnione między innymi w:

podczas pozyskiwania danych klientów i zgody na wykorzystanie

danychi wykorzystania wielokanałowości relacji, do relacji z mieszkańcem

Pozyskiwaniedanych

w przepływach danych mieszkańców wewnątrz

urzędów, do bieżącej obsługi kontraktu, reklamacji,

windykacji, fakturowania, rozliczenia oraz

przepływach danych do partnerów zewnętrznych

(outsourcing usług, wymogi prawne np. BIK,

UFG);

Przepływ danych

w trakcie przetwarzania danych w systemach IT, analizy danych

klientów do oceny ryzyka, tworzenia nowych produktów

(Big Data), profilowania mieszkańców,

przygotowania dedykowanych akcji marketingowych

(Marketing) czy pozyskania nowych

partnerów/dostawców w procesie zakupowym;

Wsparcie

podczas oceny ryzyka operacyjnego (Ryzyko),

zapewnienia zgodności działaniaorganizacji z RODO (Compliance), audytu wewnętrznych procesów,

mitygacji ryzyka wyciekudanych z systemów

(Bezpieczeństwo systemów), detekcji wycieku danych (HR i

Bezpieczeństwo), bezpieczeństwa danych HR własnych pracowników

i współpracowników.

Back office

Jak zarządzać bezpieczeństwem systemów IT zgodnie z RODO/GDPR?


Kompleksowe rozwiązanie dla kadry zarządzającej z sektora prywatnegoi publicznego, administratorów bezpieczeństwa informacji, administratorówsystemów informatycznych.

JAKIE ROZWIĄZANIA ? JAK DZIAŁAMY ?


KROK 1


Jak chronisz cenne dane?Wykonaj audyt bezpieczeństwa i oceń skalę ryzyka

Audyt to pierwszy etap procesu dostosowywania poziomubezpieczeństwa do wartości chronionych aktywów organizacji.

Jest niezbędny do wdrożenia właściwych technologii i procedurokreślających stałe, cykliczne czynności związane z zarządzaniembezpieczeństwem.




Oceń skalę ryzykai wykonaj audyt bezpieczeństwa

Analiza ryzyka w praktyce

01 – Obszar organizacyjny:analiza zależności służbowych i ich wpływ na bezpieczeństwo, brak zastępcy w przypadku nieobecności itd.

02 – Obszar IT:narzędzia do obrony i ochrony aktywnej, backup ochrona pasywna, itd.

03 – Obszar fizyczny:Jak brak krat w oknach, systemu kontroli dostępu, monitoringu wizyjnego CCTV, systemy przeciwpożarowe.

Systemy bezpieczeństwa –

firewall - AzureSystemy autoryzacji

– Active DirectorySystem backupu –

Azure BackupSystemy

równoważenia obciążenia –

Mechanizmy Azure

Zgodność z ISO27001

Audyt sieci SANi WIFI

Weryfikacja backupuReagowanie na

incydenty bezpieczeństwa

Powdrożeniowy audyt

bezpieczeństwaUtrzymanie i monitoring systemów

Dedykowane szkolenia

MONITORUJANALIZUJ

UDOSKONALAJI UTRZYMUJ

Audyt bezpieczeństwaAnaliza ryzyka

Projekt zabezpieczeń

WPROWADŹZAPLANUJ


KROK 2Opracuj Politykę Bezpieczeństwa dla Twojej firmy

Polityka bezpieczeństwa jest dokumentem, który oprócz procedurużytkowania i zarządzania systemami informatycznymi, powiniendefiniować wymagania prawne i biznesowe, analizę ryzyka i kosztów.




Opracuj Politykę Bezpieczeństwa dla Twojej firmy

Najważniejsze zagadnienia organizacyjne

Zagadnienie: Brak planów potencjalnych zagrożeń

Podpowiedź: Planowanie oraz opracowanie scenariuszów ataku i obrony

Zagadnienie: Brak trafnych kryteriów identyfikujących dane wrażliwe

Podpowiedź 1: Należy ustalić jeden cel nadrzędny, który będzie stanowił trzon

dla mapowania procesów umożliwiających skuteczną analizę danych

Podpowiedź 2: Przemyśleć, w jakim obszarze i jaki system należy chronić,

ustalić priorytety wdrażania ochrony

Zagadnienie: Brak zaangażowania ze strony Użytkowników

Podpowiedź: Przyporządkowanie osób odpowiedzialnych za bezpieczeństwo

przetwarzania informacji w konkretnych systemach i lokalizacjach fizycznych

79% incydentów w firmach powodują aktualni pracownicy



Opracuj Politykę Bezpieczeństwa dla Twojej firmy

Najważniejsze zagadnienia techniczne

Zagadnienie: Dług technologiczny względem istniejącej infrastruktury,Podpowiedź: Redukcja przestarzałego sprzętu poprzez zwiększenieefektywności nowszego (wirtualizacja), skalowanie, Chmura Azure i patrzeniena 2 kroki do przodu dokonując zakupów sprzętu lub usług,

Zagadnienie: Heterogeniczność środowiska informatycznegoPodpowiedź: Określenie zagrożenia generowanego przez elementyśrodowiska pozostające w mniejszości, wybór obszarów środowiska, któremoże być monitorowane niezależnie od jego charakterystyki

Zagadnienie: Duża ilość „słabych punktów” do ochronyPodpowiedź: Wdrożenie scenariusza „od ogółu do szczegółu” – w pierwszejkolejności monitoring Data-in-Motion sieci, bo jest najszybszy do wdrożenia

68 % incydentów OT to nieautoryzowany dostęp

Zagadnienie: Pojawianie się w środowisku nowych urządzeńPodpowiedź 1: Stały monitoring online, z priorytetem dla nowych urządzeńPodpowiedź 2: BYOD –VDI, zalecane by nie dopuszczać do użytkowania



KROK 3Wybierz narzędzia, które pomogą Ci spełnićwymagania RODO/GDPR

Będziesz wiedział, gdzie zlokalizowane są dane osobowe, wyszukaszdowolne informacje i zidentyfikujesz każdą osobę w każdym zbiorze,zminimalizujesz miejsca przetwarzania tych danych i będziesz mógłje w pełni kontrolować, ochronisz dane osobowe „by design” przedutratą, zniszczeniem lub wyciekiem, zapewniając zgodność zwymogami RODO/GDPR.




Który artykuł w RODO/GDPR? Jakie rozwiązanie?

W odróżnieniu od innych firm, mapujemy artykuły z ustawyo RODO/GDPR na konkretne rozwiązania chroniące przednaruszeniami ustawy i wyciekiem danych.

Co również ważne są to nie tylko rozwiązania z zakresu IT, ale takżeinnych obszarów, takich jak np. CCTV, KD, itd.

ZLOKALIZUJ SZUKAJ MINIMALIZUJ CHROŃ MONITORUJ

Jakie zlecenia?

Jakie rozwiązanie?

Jakie zlecenia?

Który artykuł?

Jakie rozwiązanie?


Jak przetwarzać dane osobowe w firmie – zgodnie z RODO/GDPR?

Wiedz gdzie są dane osobowe i rejestruj

czynności

29, 30, 31, 32

Wyszukaj dowolne dane, identyfikuj każdą

osobę w każdym zbiorze

15, 16, 17, 18, 20

DLPECM

Veeam

Minimalizuj miejsca przetwarzania danych

osobowych i kontroluj je

5, 17, 32, 33, 34

Security DLPECM

Stały nadzór

Chroń dane osobowe „by design” przed

utratą, zniszczeniem lub wyciekiem

5, 25, 32, 33, 34, 35

Security DLPECM CRM, Sytsemy

DydykowaneMDM (Microsoft, Intune,)

VeeamSIEM NAC

Zapewnij zgodność z RODO/GDPR

5, 15, 16, 17, 18, 20, 24, 35, 42, 44, 45

Analiza ryzykaRejestry danych

zgodnych z RODOTesty penetracyjne -

raportAudyt bezpieczeństwa

ZLOKALIZUJ SZUKAJ MINIMALIZUJ CHROŃ MONITORUJ

CRM Microsoft, AD,

Jakie zlecenia?

Jakie rozwiązanie?

Jakie zlecenia?

Który artykuł?

Jakie rozwiązanie?


Narzędzia, które pomogą Ci spełnić wymagania RODO/GDPR

Systemy DLP, jako narzędzie chroniące przed wyciekiem danych

Centralny punkt wymiany informacji, z szyfrowaniem danych i pełną identyfikowalnością

Backup z możliwością analizy danych Sharepoint, Ms SQL, Exchange, Outlook.

Testy penetracyjne – jako metoda na wskazanie luk

w zabezpieczeniach i podatności na ataki

Testy socjotechniczne – jako metoda na edukację ludzi

w zakresie bezpieczeństwa

Szkolenia w zakresie technicznego zabezpieczania środowiska oraz

edukowanie pracowników firm


Centralny punkt wymiany informacji z szyfrowaniem danych i pełną identyfikowalnością

CRM i systemy ECM to system do elektronicznej archiwizacji iobiegu dokumentów w przedsiębiorstwie.

Rozwiązania muszą spełniać wszelkie wymogi wydajnościowe,funkcjonalne oraz bezpieczeństwa danych.

Pomagać w zaawansowanym zarządzaniu treścią dokumentówskanowanych, pism, umów, plików elektronicznych, poczty elektronicznej.

Wspomaga mapowanie procesów i ścieżek akceptacji w organizacji.

Struktura systemu pozwalać powinna na kontrolę dostępu do danych.

System powinien wykorzystywać szyfrowane połączenia, aautomatyczne tworzenie kopii zapasowych..30%

wzrost wydajności pracy personelu osiągnięty po zastosowaniu wydajnego systemu wyszukiwania dokumentów w całej wewnętrznej sieci firmy


Backup z możliwością analizy danych

Backup z możliwością analizy danych Sharepoint, Ms SQL,

Exchange, Outlook.

Profesjonalne systemy backupu gwarantujące krótsze niż 15 minutowe

wskaźniki przywracania usług (Service Level Objective,) dla wszystkich

aplikacji i danych, pozwalając na koordynację usuwania skutków awarii

w czasie rzeczywistym.

Narzędzie to pozwala w taki sposób zarządzać zadaniami, aby poprzez

prewencyjne monitorowanie (24x7), raportowanie, testowanie

i dokumentowanie, spełniać wymogi biznesowe oraz prawne.firm w Polsce zamierza zwiększyć wydatki na bezpieczeństwo IT do 2018 roku

50%


Testy socjotechniczne – jako metoda na edukację ludzi w zakresie bezpieczeństwa

Socjotechnika bazuje na wykorzystywaniu mechanizmów manipulacji

odpowiednimi osobami, do wykradania poufnych danych.

W przygotowaniu ataków wykorzystywane są badania psychologiczne oraz

analizy wzorców zachowań.

Przeprowadzane testy mają na celu sprawdzenie podatności pracowników

na najczęściej stosowane metody.

Nieodłącznym elementem testu jest szkolenie pokazujące, jakie sztuczki

socjotechniczne wykorzystywane są przez przestępców.to średni koszt okupu żądanego w zamian za zdjęcie blokady z jednego komputera, na którym wszystkie dane zostały zaszyfrowane przez oprogramowanie typu Ransomware

800zł

To ilość wiadomości phishingowychwysyłanych każdego dnia100


Szkolenia z zakresu bezpieczeństwa

Szkolenia w zakresie technicznego zabezpieczania środowiska oraz

edukowanie pracowników firm – zakres formalno-prawny poparty żywymi

przykładami.

Naszym celem jest edukacja w zakresie dostępnych na rynku rozwiązań

informatycznych, kreowanie świadomych potrzeb związanych

z nowoczesną i bezpieczną infrastrukturą IT.

Dokładamy wszelkich starań, aby tematyka organizowanych przez nas

warsztatów i szkoleń, była odpowiedzią na kluczowe zagadnienia biznesu

w obszarze bezpieczeństwa, sieci, wirtualizacji, centrów danych oraz

systemów komunikacji i pracy grupowej.79% incydentów w firmach powodują aktualni pracownicy


www.sansec.com

KROK 4Skontaktuj się z nami!

Tomasz Stojek

Business Development [email protected] 260 748

Cyber Data Security

Samorząd jutra, czyli rozwiązania IT wspierające pracę...

Documents

Transcript of Samorząd jutra, czyli rozwiązania IT wspierające pracę...