Miesiąc: kwiecień 2017

Security & Compliance w usługach Office 365
W ramach Office 365, dostępne są rozwiązania pozwalające na:

pełną kontrolę dostępu do danych za pomocą usługi Azure RMS oraz zaawansowanej konfiguracji OneDrive for Business,
zabezpieczenie poczty i dokumentów za pomocą Compliance Center na wypadek incydentalnego lub celowego usunięcia danych (In place hold),
kontrolę dostępu administracyjnego oraz rozszerzone opcje dostępu użytkowników do usług, za pomocą uwierzytelniania wieloskładnikowego – multi-factor authentication (MFA),
zabezpieczenie się przed atakami zero-day oraz fałszywymi linkami (pełna ochrona przed ransomware) -Advanced Threat Protection (ATP)?

Jeśli interesują Państwa te zagadnienia to zapraszamy serdecznie na śniadanie biznesowe do centrum Warszawy, poświęcone tematyce rozwiązań Microsoft, pt.:
„Security & Compliance w usługach Office 365”
18 maja 2017r. w godzinach 09:00 –11:45
N31 Restaurant, ul. Nowogrodzka 31, Warszawa
Szczegóły wydarzenia zawarte są w zaproszeniu:
Prosimy o potwierdzenie obecności do dnia 11 maja 2017r.

General Data Protection Regulation GDPR wprowadza nowe zasady ochrony danych osobowych w organizacjach, które oferują towary i usługi dla obywateli Unii Europejskiej (UE) lub dla takich, które zbierają i analizują dane powiązane z obywatelami UE – nieważne gdzie te organizacje się znajdują.
ang. GDPR = pol. RODO lub r.o.d.o.

Zapewnienie przejrzystości i spójności w zakresie ochrony danych osobowych w UE
GDPR wzmacnia i ujednolica prawa obywateli Unii Europejskiej; mają oni prawo wglądu w dane, poprawiania, usunięcia, sprzeciwu wobec przetwarzania, przeniesienia. Administratorzy danych z kolei mają szereg obowiązków ochrony danych.
To między innymi:

Rozszerzenie praw dotyczących prywatności
Rozszerzone obowiązki ochrony danych
Obowiązkowe zgłaszanie naruszeń
Znaczące kary za nieprzestrzeganie przepisów

Jakie są główne zmiany związane z wejściem GDPR?
Prywatność
Osoby prywatne mają prawo do:

Dostępu do swoich danych osobowych
Poprawy błędów w danych osobowych
Usunięcia danych osobowych
Sprzeciwu w kontekście przetwarzania danych osobowych
Przeniesienia danych osobowych

Kontrole i powiadomienia

Rygorystyczne wymogi bezpieczeństwa
Obowiązek powiadamiania o naruszeniu
Odpowiednie sformułowanie zgody na przetwarzanie danych osobowych
Poufność
Ewidencjonowanie

Przejrzyste zasady
Przejrzyste i łatwo dostępne strategie dotyczące:

Zawiadomienia o zbieraniu danych
Zawiadomienia o przetwarzaniu
Szczegółów przetwarzania
Przechowywania / usuwania danych

Technologia i szkolenia
Konieczność inwestycji:

Szkolenia pracowników i osób związanych z ochroną danych
Wdrożenie polityk przetwarzania danych
Inspektor Ochrony Danych
Umowy z procesorami danych / dostawcami usług

Zobowiązanie Microsoft w stosunku do swoich Klientów

Współpraca z Klientami w przygotowaniach do wdrożenia zasad GDPR
Celem jest usprawnienie wdrożenia zgodności naszych Klientów z wymogami GDPR dzięki inteligentnym technologiom, innowacjom oraz obopólnej współpracy. Wspólnie zbudujemy bezpieczniejsze środowisko, uprościmy wdrożenie zgodności z GDPR oraz damy narzędzia i środki potrzebne, by odnieść sukces.

 
Zasady przetwarzania danych – art. 5 RODO

Zasada zgodności z prawem, rzetelności i przejrzystości
Zgodnie z nią dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą
a) dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane

b) wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych mają być łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem,
c) osoby których dane dotyczą należy informować o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do nich,

d) osobom których dane dotyczą należy zapewnić możliwość uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących,
e) osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem,
f) konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania,

Zasada ograniczenia celu
Zgodnie z nią dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami
a) dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami, wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych mają być łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem,
b) dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami

Zasada minimalizacji danych
Zgodnie z nią dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,

Zasada prawidłowości
Zgodnie z nią dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane,

Zasada ograniczenia przechowywania
Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane:
a) dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą,
b) aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu,

Zasada integralności i poufności
Dane osobowe muszą być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i poufność, w tym ochronę przed:
a) niedozwolonym lub niezgodnym z prawem przetwarzaniem – czyli nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu,
b) przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych,

Zasada rozliczalności
Administrator jest odpowiedzialny za przestrzeganie powyższych zasad. Musi on być także w stanie wykazać ich przestrzeganie (to po stronie ADO leży ciężar dowodu, że przestrzega zasad rozporządzenia GDPR)- wynika stąd, że administrator musi być w stanie udowodnić przestrzeganie, opisanego w art. 25 GDPR, obowiązku uwzględniania ochrony danych w fazie projektowania oraz zapewnienia domyślnej ochrony danych.

WNIOSKI

 
Co możesz zrobić już dzisiaj z GDPR/RODO?
Zdefiniuj
Określ, jakie posiadasz dane osobowe i gdzie one się znajdują.
Kontroluj
Zarządzaj sposobem wykorzystania i dostępnością danych osobowych.
Chroń
Określ, jakie stosujesz kontrole bezpieczeństwa w celu zapobiegania, wykrywania i reagowania na naruszenia bezpieczeństwa danych.
Raportuj
W jaki sposób można otrzymać dostęp do danych i jaką dokumentację powinno się posiadać.
Analizuj
Analizuj posiadane dane i systemy, żeby zachować zgodność i zredukować ryzyko.

SAM dla bezpieczeństwa cybernetycznego
 

Wraz z nieodłącznym uzależnieniem od technologii w coraz bardziej połączonym świecie wzrastają zagrożenia związane z bezpieczeństwem cybernetycznym. Organizacje mają trudności z minimalizowaniem naruszeń bezpieczeństwa – czy to z powodu błędu ludzkiego lub systemowego, czy też złośliwej cyberprzestępczości – a przeciętne oddziaływanie finansowe każdego naruszenia stale rośnie. Aby program zabezpieczeń cybernetycznych był skuteczny, konieczne jest zrozumienie infrastruktury informatycznej i sposobu jej połączenia z organizacjami, takimi jak partnerzy finansowi, dostawcy, sprzedawcy i klienci.
Nie można chronić tego, czego się nie zna. Zarządzanie zasobami oprogramowania (Software Asset Management, SAM) w zakresie cyberbezpieczeństwa oferowane przez firmę Microsoft koncentruje się na dostarczaniu oceny oprogramowania wykorzystywanego w danym środowisku w celu określenia obszarów potencjalnego zagrożenia oraz na zapewnianiu ogólnych wytycznych dotyczących programów i polityk w zakresie bezpieczeństwa cybernetycznego. W ramach współpracy z partnerem SAM, usługi te pomagają we właściwym zarządzaniu zasobami informatycznymi i zapewniają firmie spokój ducha. Usługi te stanowią punkt wyjścia, który może zostać wykorzystany jako podstawa do bardziej dogłębnej oceny bezpieczeństwa organizacji.

Cyberataki na całym świecie kosztują firmy ponad 400 mld dolarów rocznie.1 Badania przewidują, że liczba ta może wzrosnąć do 2,1 biliona do 2019 r.2

1http://www.cyberinsurance.co.uk/cybernews/lloyds-ceo-cyber-crime-cost-businesses-up-to-400-billion-a-year/
2Juniper Research, Cyberprzestępczość i internet zagrożeń, maj 2015 r.
Zrozumienie wyzwań związanych z cyberbezpieczeństwem
Dla ochrony danych ważna jest świadomość potencjalnych zagrożeń w zakresie cyberbezpieczeństwa oraz możliwość oceny, które zagrożenia mogą mieć wpływ na zdolność organizacji do prowadzenia codziennej działalności. Zagrożenia w dziedzinie cyberbezpieczeństwa mogą ponadto narażać dane osobowe klientów, partnerów i pracowników oraz własność intelektualną firmy, utrudniając osiągnięcie celów biznesowych. Działalność może być zagrożona, jeśli:

Zainstalowane jest starsze oprogramowanie z poprawkami, które nie jest już obsługiwane.
Pracownicy nieświadomie lub świadomie pobierają złośliwe oprogramowanie poprzez pobieranie nieoryginalnych materiałów cyfrowych lub dokonywanie zakupów online u nieznanych dostawców.
Wymienne nośniki, takie jak dyski typu flash, wykorzystywane są do instalowania nieodpowiedniego oprogramowania.
Nieautoryzowane urządzenia osobiste podłączane są do sieci firmowej.
Byli dostawcy lub pracownicy nadal mają dostęp do systemów informatycznych.

Korzyści wynikające ze stosowania SAM w dziedzinie cyberbezpieczeństwa
Decyzja o współpracy z partnerem SAM w celu wdrożenia SAM oraz najlepszych praktyk i procedur w zakresie cyberbezpieczeństwa umożliwia:

Bezpieczne zarządzanie zasobami oprogramowania oraz promowanie właściwych praktyk w zakresie cyberbezpieczeństwa.
Zbudowanie elastycznej i adaptacyjnej infrastruktury informatycznej, która szybko reaguje na zagrożenia.
Upewnienie się, że posiadana infrastruktura informatyczna jest bezpieczna i zapewnia skuteczną obronę przed atakami.
Zminimalizowanie utraty danych oraz kosztów lokalizowania i ponownego instalowania utraconych danych, oszustw związanych z kradzieżami, czasu przestoju pracowników oraz negatywnej reputacji, skutkujące obniżeniem kosztów i zwiększeniem efektywności.

Definiowanie długoterminowej mapy drogowej w zakresie bezpieczeństwa cybernetycznego
Przy ocenie strategii bezpieczeństwa cybernetycznego firmy kluczowe znaczenie dla znalezienia się na właściwej drodze ma zrozumienie aktualnego środowiska i przyszłej mapy drogowej danej działalności. Mapa drogowa powinna uwzględniać protokoły regulujące cyberbezpieczeństwo oraz sposoby zarządzania nim na poziomie działu i poziomie zadaniowym w stosunku do rozmiaru ryzyka, które organizacja może swobodnie podejmować. Najlepsze praktyki SAM mogą uwydatnić systemy, procesy i struktury zarządzania konieczne do podejmowania najlepszych decyzji w celu realizacji celów długoterminowych. Mapa drogowa powinna zawierać informacje na temat sposobów udoskonalenia bezpieczeństwa infrastruktury, aplikacji, operacji i osób w celu zapewnienia ochrony danych, płatności, wierzytelności oraz własność intelektualnej i innych elementów.

Budowanie bezpieczniejszej infrastruktury
Istnieją podstawowe działania, które można podjąć, aby zmniejszyć ryzyko w zakresie cyberbezpieczeństwa. Do najbardziej oczywistych należy częste instalowanie aktualizacji zabezpieczeń, posiadanie działającego i zaktualizowanego oprogramowania antywirusowego oraz częste skanowanie stanu bezpieczeństwa. Nowsze wersje oprogramowania zazwyczaj mają silniejsze zabezpieczenia, a zatem im starsze oprogramowanie, tym większe ryzyko występuje. Regularnie należy monitorować oprogramowanie, które pracownicy wykorzystują w miejscu pracy, a także urządzenia osobiste używane do łączenia się z siecią. Są to niektóre z obszarów, które może przeanalizować partner SAM.

Względy cyberbezpieczeństwa i licencjonowanie
Używanie oryginalnego i właściwie licencjonowanego oprogramowania ma istotne znaczenie dla ochrony infrastruktury, zmniejszania zagrożeń związanych z podrabianym oprogramowaniem i optymalizacji ochrony przed atakami wirusów i złośliwego oprogramowania. Według organizacji BSA, około 49 procent kierowników działów informatycznych wskazało zagrożenia dla bezpieczeństwa ze strony złośliwego oprogramowania jako główne zagrożenie stwarzane przez nielicencjonowane oprogramowanie. Licencjonowane oprogramowanie zapewnia dostęp do niezbędnych aktualizacji w celu zapewnienia bezpieczeństwa organizacji przed zagrożeniami cybernetycznymi.

Polityki SAM w zakresie cyberbezpieczeństwa
Gdy został już określony plan i ogólna strategia technologiczna w zakresie cyberbezpieczeństwa, następnym krokiem jest przeprowadzenie weryfikacji polityk i procedur w celu właściwego zarządzania zasobami oprogramowania dla zapewnienia optymalnej ochrony danych. Współpraca z partnerem SAM ma na celu opracowanie lub udoskonalenie polityk w zakresie bieżącego bezpieczeństwa cybernetycznego w oparciu o potrzeby biznesowe i najlepsze praktyki branżowe.

Kluczowe kwestie dotyczące usług SAM w dziedzinie cyberbezpieczeństwa
Rozważając skorzystanie z usług SAM w zakresie cyberbezpieczeństwa, należy rozważyć kilka kwestii, np. współpracę z właściwym doradcą, wykorzystanie właściwych narzędzi inwentaryzacyjnych oraz wdrożenie nowych polityk. Decyzje te mogą mieć wpływ na skuteczność zaangażowanych usług oraz zapewnienie powodzenia działalności w zakresie zarządzania środowiskiem w chmurze.

Kwestie, które należy rozważyć przy angażowaniu partnera SAM
Podczas dokonywania oceny partnera SAM należy zadawać pytania. Czy partner:

Zapewnia wartościowe doświadczenie i wiedzę na temat SAM?
Posiada pogłębioną wiedzę na temat licencjonowania oprogramowania, a także specjalistyczną wiedzę na temat oryginalnego oprogramowania?
Oferuje podstawową ocenę bezpieczeństwa cybernetycznego lub współpracuje z firmą specjalizującą się w cyberbezpieczeństwie w celu zapewnienia pełnej weryfikacji bezpieczeństwa cybernetycznego?
Posiada rzetelne przygotowanie informatyczne umożliwiające mu ocenę zalet i wad różnych narzędzi SAM i rozwiązań w zakresie cyberbezpieczeństwa?
Świadczy inne usługi, takie jak migracja i wdrażanie? Jeśli nie, czy posiada relacje z innymi partnerami, którzy mogą zaoferować takie usługi?

Wybór właściwego narzędzia
Aby zapewnić uzyskanie pełnego obrazu danego środowiska, konieczne jest zebranie danych z różnych źródeł, potencjalnie przy użyciu wielu narzędzi. W przypadku usług związanych z cyberbezpieczeństwem należy zinwentaryzować całe oprogramowanie i cały sprzęt, aby zidentyfikować przestarzałe oprogramowanie, oprogramowanie ze zbliżającym się końcem usług wsparcia, nieautoryzowane oprogramowanie oraz urządzenia, porty sieciowe i routery. Narzędzie powinno również przechwytywać informacje o serwerach publicznych i serwerach zlokalizowanych na zewnątrz zapory.

Określenie właściwych polityk
Ostatnim krokiem w zakresie stosowania SAM jest weryfikacja i ocena polityk i procedur w celu zapewnienia bieżącego prawidłowego zarządzania zasobami oprogramowania (SAM) w firmie. Dla potrzeb zapewnienia bezpiecznego środowiska należy dokonać oceny i weryfikacji polityk SAM w celu ustosunkowania się do kwestii:

Wykorzystywania oryginalnego oprogramowania i ograniczeń w pobieraniu nieautoryzowanego oprogramowania.
Praktyk zarządzania poprawkami.
Dostosowania usługi Active Directory do aktualnego środowiska zagrożeń.
Stworzenie biblioteki autoryzowanych nośników oprogramowania i zarządzania tą biblioteką.
Wprowadzenia protokołów w celu zabezpieczenia urządzeń i właściwego zarządzania uprawnieniami.
Uświadamiania i szkolenia pracowników oraz zapewniania im wytycznych.

Proces SAM
Dowiedz się więcej, czego możesz oczekiwać w trakcie korzystania z usług SAM firmy Microsoft

Bardzo dziękujemy wszystkim, którzy odwiedzili nasze stoisko na X Forum Bezpieczeństwa i Audytu IT SEMAFOR w dniach 30-31 marca 2017r.
Prawdziwą przyjemnością było spotkanie się z Państwem i przedstawienie naszego unikalnego portfolio z obszaru Cyber Security, które zawiera:

GDPR Compliance Suite – unikalny zestaw narzędzi i systemów do zarządzania ryzykiem i GDPR.
Privileged Access Management – Zarządzanie tożsamością uprzywilejowaną.
Hybrid Cloud Security – Bezpieczeństwo chmury hybrydowej.
User Protection – Ochrona użytkowników.
Secure Content and Collaboration – Zabezpieczenie danych i utrzymanie produktywności użytkowników.
Security Operations Centre – Centrum zarządzania bezpieczeństwem.

Mamy nadzieję, że liczne, ciekawe rozmowy będą miały ciąg dalszy 🙂 W przypadku dodatkowych pytań prosimy oczywiście o kontakt z zespołem security.

Do zobaczenia 26 kwietnia na IDC Security Roadshow 2017 !

W dniu 26 kwietnia 2017 wraz z naszym Partnerem Biznesowym firmą Accellion serdecznie zapraszamy na nasze stoisko i wysłuchanie prelekcji podczas 15 edycji konferencji IDC Security Roadshow 2017.
Podczas naszego wystąpienia skupimy się na zagadnieniu:
Czy Twoi pracownicy bezpiecznie wymieniają poufne dane ?
Istotnym ryzykiem wielu organizacji jest niekontrolowana wymiana wrażliwych informacji przez pracowników i kontraktorów. Dodatkowym problem jest konieczność zapewnienia mobilności i stałego dostępu do aktualnych dokumentów przedsiębiorstwa. Zaprezentujemy Państwu platformę współdzielenia danych, przy zachowaniu najwyższego poziomu bezpieczeństwa dla istniejących metod wymiany informacji w szczególności: Microsoft Office 365, Microsoft SharePoint, SharePoint Online, Google Drive for work, Drop Box.
Konferencja IDC IT Security Roadshow już od 14 lat gromadzi profesjonalistów w zakresie infrastruktury i bezpieczeństwa IT, niezależnych ekspertów oraz liderów branży. Tegoroczne IDC Security Roadshow jest poświęcone wyzwaniom bezpieczeństwa IT w nowej erze Big Data, m.in.:

osiągnięcie optimum działania w warunkach dwoistości celów,
racjonalizacja podejścia do spraw bezpieczeństwa przy jednoczesnym efektywnym wykorzystaniu istniejącej infrastruktury (sens dalszego utrzymywania posiadanych systemów kosztem wprowadzania nowych technologii w bezpieczeństwie IT)
granice zakresu odpowiedzialności w dziedzinie bezpieczeństwa między organizacją i dostawcą usług IT
wpływ nowych przepisów i rozporządzeń na bezpieczeństwo IT w organizacji

Oprócz ciekawej merytorycznej rozmowy przygotowaliśmy niespodzianki 🙂
Serdecznie zapraszamy!
Zespół CyberSecurity Integrity Partners i Accellion

Integrity Partners wraz z Partnerem Biznesowym CEEDO mają przyjemność zaprosić Państwa na webinarium pt.:

SECURE BROWSING jako nowa grupa rozwiązań Cyber Security. Jak ochronić środowisko pracy użytkownika?

Termin:
12 KWIETNIA 2017, godz. 14:00 – 15:00
Rozwiązanie, wykorzystując wirtualizację na poziomie jądra systemu operacyjnego (Kernel Firewall), tworzy wyizolowane środowisko pracy (bezpieczny kontener) na urządzaniu użytkownika końcowego.
Środowisko to, tworząc dodatkową warstwę ochrony izoluje:

Strony internetowe
Dokumenty
E-maile
Aplikacje

powstrzymując tym samym działanie złośliwego oprogramowania i chroniąc wrażliwe dane organizacji.
W celu wzięcia udziału w webinarium proszę o kontakt z
monika.bakura@integritypartners.pl
Webinarium prowadzone będzie w j.angielskim.
Dodatkowe informacje nt. rozwiązania: www.ceedo.com