Az adatvédelem informatikai támogatása. Biró Ferenc, Partner EY Felelős Üzleti Működés Szolgáltatások

Hasonló dokumentumok
Gyakorlati lépések, megoldási javaslatok. - Módszertan - Gyakorlati tapasztalatok - Felkészülési útmutató

Az IT biztonság üzleti vetülete, avagy kiberbiztonság Mádi-Nátor Anett, vezérigazgató h., stratégiai üzletfejlesztés Cyber Services Zrt.

1 IdMatrix Identity Governance Válaszok a GDPR kihívásaira

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

Bárányfelhő vagy viharfelhő? A felhő alapú megoldások biztonsági kérdései. Császár Rudolf Műszaki fejlesztési vezető Digital Kft.

Az IBM megközelítése a végpont védelemhez

Slamovits Tibor Államigazgatásiüzletág-vezető EMC Magyarország

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

IT-Shield Mss. Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva!

Cloud Security. Homo mensura november Sallai Gyorgy

Vállalati mobilitás. Jellemzők és trendek

Információbiztonság irányítása

A mobilitás biztonsági kihívásai

Egyre növekvő anyagi károk és stagnálás jellemzi a hazai adatbiztonság helyzetét

Általános Adatvédelmi Rendelet (GDPR) Változó szabályozás, új kihívások

A szoftverszolgáltatások kockázatai üzleti szemmel - DRAFT. Horváth Csaba PwC Magyarország

Az adathalászat trendjei

Az IT biztonság szerepe a könyvvizsgálatban

NAGY SÁV, NAGY VÉDELEM A KIBERBIZTONSÁG MODERN FAKTORAI. Keleti Arthur Kecskemét,

Védelmi Vonalak - Compliance

Bevezetés az Informatikai biztonsághoz

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

Végpont védelem könnyen és praktikusan

Hetyei József. Certified Management Consultant MBA for IT szakvezető

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Hetet egy csapásra. Máriás Zoltán TMSI Kft. CISA, CSM, CNE, CASE antidotum 2015

Keleti Arthur T-Systems Magyarország Pénzvédelem a virtualitásban: Hogyan lett az egyszerű hackerből kiberbűnöző, és miért vannak nála ügyféladatok?

SeaLog digitális nyomelemző rendszer

Vállalati adatvédelem

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

A Nemzeti Elektronikus Információbiztonsági Hatóság

A hibrid DB cloud biztonsági eszköztára. Kóródi Ferenc Budapest,

Integritás és korrupciós kockázatok a magyar vállalati szektorban január 26.

David Chitty programgazda prezentációja

Dr. FEHÉR PÉTER Magyarországi szervezetek digitális transzformációja számokban - Tények és 1trendek

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Új megközelítés az európai IT biztonságitudatosság növelésben

Nem jeleníthető meg a kép. Lehet, hogy nincs elegendő memória a megnyitásához, de az sem kizárt, hogy sérült a kép. Indítsa újra a számítógépet, és

Copyright 2013, Oracle and/or its affiliates. All rights reserved.

Oracle adatbázis biztonság a gyakorlatban és 12c újdonságok

Az információbiztonság-tudatosság vizsgálata az osztrák és a magyar vállalkozások körében

A GDPR Kaspersky szemüvegen át

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

GLOBÁLIS KIHÍVÁS, REGIONÁLIS VÁLASZOK

Vállalati WIFI használata az OTP Banknál

I. MAGYAR VERSENYJOGI FÓRUM

Máté István Zsolt Pécsi Tudományegyetem Állam- és Jogtudományi Kar Doktori Iskola

IT trendek és lehetőségek. Puskás Norbert

Az ITIL hazai alkalmazhatóságának kérdései

BYOD. Bring Your Own Device

Adótudatosság a versenyképesség érdekében

EMLÉKEZTETŐ. 1. Novemberi rendezvény értékelése

MLBKT XIII. kongresszusa

GDPR bevezetés tapasztalatai. a Társaság intézeteiben

Csizmazia-Darab István Sicontact Kft. az ESET magyarországi képviselete

Mobil nyomtatás működési elv és megoldás választási kritériumok

Szőr Péter ( )

Újdonságok. Jancsich Ernő Ferenc

Képzés > Hatékonyság > Versenyelőny!

Nemzetközi jogszabályi háttér I.

EU általános adatvédelmi rendelet Fábián Péter

Dr. Tényi Géza Dr. Polefkó Patrik: Bizalmas információk kezelése és. adatvédelem a felhőszolgáltatásban

Headline Verdana Bold

Kategóriák szerinti web-szűrés, állományok titkosítása és NAC. Mindez mobilon. - Sophos Mobile Control 4.0

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

IT Biztonsági és Adatvédelmi Incidenskezelési Szabályzat. Hatályos: május 25-től visszavonásig

NÉGY EGYSZERŰ MÓD, AMELLYEL AZ ALKALMAZOTTAK RUGALMASABBAN DOLGOZHATNAK

Feltérképezés. Kezelés. Védelem. Riportolás. Azonosítani a kezelt személyes adatokat és hogy hol tárolódnak

Versenyelőny vagy nyűg a minőségirányítás?

Üzleti architektúra menedzsment, a digitális integrált irányítási rendszer

IT Szolgáltatás Menedzsment az oktatási szektorban - 90 nap alatt költséghatékonyan

Áttekintés. OECD Kommunikációs Szemle évi kiadás

Globális trendek lokális stratégiák. Kovács András

A GDPR megfelelés a jogászok munkáját követően

30 MB INFORMATIKAI PROJEKTELLENŐR

Információbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia

AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI. Hungarian Cyber Security Package

AZ INFORMÁCIÓS TÁRSADALOM INFORMÁCIÓ- BIZTONSÁGA

Az Internet elavult. Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft.

A JÖVİ IT SZERVEZETE. Technológia által vezérelt változó környezet, dr.antal Erzsébet managing partner Nobel Management Consulting

VigilancePro. All Rights Reserved, Copyright 2005 Hitachi Europe Ltd.

Mobil eszközökön tárolt adatok biztonsága

Adatkezelési Tájékoztató. ZOLL-PLATZ Vámügynökség Korlátolt Felelősségű Társaság által kezelt személyes adatokról

HCRMS Új motivációs rendszereken alapuló vállalati humán erőforrás menedzsment modell és szolgáltatás

A kockázatkezelő feladatai az AEGON gyakorlatában Zombor Zsolt május 30.

Milyen változásokat hoz a GDPR a szervezetek és vállalkozások életébe? A JOGÁSZ MEGKÖZELÍTÉSÉBEN

Kritikus infrastruktúrák, alapvető szolgáltatások az NISD tükrében

A kiberbiztonság kihívásai és lehetőségei

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

2015 Cisco Éves Biztonsági Jelentés

MOBILITÁS VÁLLALATI KÖRNYEZETBEN MEGOLDÁS KONCEPCIÓ

bizalom építőkövei Kiberbiztonság és a Magyarország, június 7.

Capsys Kft. bemutatása. Outsource-ról általánosságban. Folyamatjavítási lehetőségek. Kulcs üzenetek. Bemutatkozás

PSZÁF - IT kockázatkezelési konferencia IT szolgáltatások megfelelőségének biztosítása Mátyás Sándor Belső Ellenőrzés

2/2017-es vélemény a munkahelyi adatkezelésről (részlet)

Átírás:

Az adatvédelem informatikai támogatása Biró Ferenc, Partner EY Felelős Üzleti Működés Szolgáltatások

Az adatvédelmi incidensek mindennaposak Taobao (2016) A népszerű kínai apróhirdetési oldal 20 millió felhasználóját sikerült kompromittálni egy korábban megszerzett 100 milliós adatlopásból származó adathalmaz segítségével. Anthem (2015) 80 millió ügyfél és munkavállaló személyes adatait lopták el. A cég több mint 100 millió dollárt költött csupán az ügyfelek értesítésére, míg a teljes kár összegét 8-16 milliárd dollárra becsülik. ebay (2014) 145 millió felhasználói fiókhoz tartozó személyes adatot loptak el. A vállalatnak 200 millió dollárjába került ez az adatszivárgás. JPMorgan Chase (2014) 76 millió háztartás és 7 millió kisvállalkozás pénzügyi és személyes adataihoz jutottak illetéktelenek. A támadás egymilliárd dolláros kárt okozott, annak ellenére, hogy a bankcsoport 250 millió dollárt költött kiberbiztonságra. G20 találkozó Brisbane (2014) Az egyik rendezvényszervező alkalmazottjának figyelmetlensége miatt nyilvánosságra került a G20-on részt vevő országok vezetőinek születési ideje, útlevélszáma és egyéb személyes adataik. Page 2

Új fajta támadási formák Specifikus, célzott malware-ek Az egy adott szolgáltatás típusra, cégcsoportra, vagy akár cégre vagy személyre specializált malware-ek alkalmazása napjainkban már egyáltalán nem elképzelhetetlenül költséges. Vannak olyan bűnözői csoportok, akik kész elemekből az adott célpontra testreszabott kártékony kódokat "fillérekért" állítanak elő. Ransomware fenyegetettség Várható a zsarolóvírusok olyan fajtájának megjelenése, amely nem csak lekövethetetlen kifizetéseket követel az áldozattól, hanem azonosítók kiadását, például olyan azonosító adatokét, amelyek nem megmásíthatók, ellenben a jövőben is hozzáférést biztosíthatnak bizonyos ügyfél specifikus információkhoz. (Ellenőrző kérdések, családi/születési adatok, egyéb, megszemélyesítésre alkalmas információk.) "Sokadik Vadnyugat" A kiberfenyegetések a világ bármely tájáról érkezhetnek, a jogi szabályozás ellenben koránt sem egyenszilárdságú a világ minden táján. A gyengébben szabályozott országokban komoly iparággá növi ki magát a szervezett bűnözés ezen formája. Page 3

Újabb kihívások az adatvédelem területén Feltörekvő új csatornák nyíltak meg, melyek biztonságába vetett hit legtöbbször megalapozatlan Applikáció biztonsága az eszközre vetítve A Bring Your Own Device A kibertámadások ötöde a kis- és középvállalatokat célozza, tanulmányok szerint ezen megtámadott vállalatok 60 százaléka az incidens elszenvedése után fél éven belül tönkremegy A kis- és középvállalkozások 87 százalékának nincs internet biztonsági szabályzata Ötödük elismeri, hogy nem tudnák megmondani, ha a hálózatuk támadás áldozatává válna 60 százalékuknak nincs előre definiált eljárásrendje arra az esetre, ha valamely kritikus tulajdonukat (legyen az informatikai eszköz, vagy adat) eltulajdonítják Mindennek ellenére a válaszadók csaknem fele úgy gondolja, nem lenne jelentős hatással az üzletmenetre egy adatvédelmi incidens Internet of Things (IoT) rohamos terjedése Rengeteg gyorsan formálódó ipari szabvány, ahol az interoperábilitás fontosabb minden másnál Az IoT-hullámot meglovagolva nagyon sok ipari kontroll rendszer kezd ezen szabványok alapján működni, vagy ezen eszközökkel is együttműködni, így akár beléptető- vagy fizikai hozzáférést ellenőrző rendszerek is Page 4

Szervezeti és szabályozási nehézségek Kisméretű szervezetek Az országon belüli szervezetek jó részénél az informatikai gárda mérete kisebb a nyugat európai országokban találhatóakhoz képest. A világméretű cégek legjobb gyakorlatai (best practices) közvetlenül nem átültethetőek Ezen nagyvállalatok bizonyos irányelvei, például a felelősségi körök elhatárolása (segregation of duties) átvétele nem megoldható, mivel egy adott szerepkör ebben a méretben nem tölti ki egy ember egész napi munkáját. A szabályozások egy része külföldi nyomásra érkezik A nemzetközi irányelveket értelemszerűen a jóval nagyobb vállalatok igényei alapján készítik, ellenben ezek az irányelvek később EU szinten is elfogadásra kerülnek. A jogszabályi nyomás gyakran ütközik a való élet által nyújtott lehetőségekkel Az előzőek miatt folyamatos feszültség tapasztalható, ami megnehezíti a szabályozások alkalmazását. Emiatt különféle kényszermegoldások születnek (külső adatvédelmi felelősök, stb.). Page 5

Gyors áttekintés A munkáltatót védő biztonsági és menedzsment folyamatok tekintetében egyértelmű kapcsolat van az adatszivárgás és a kihasználható vállalati gyengeségek között: Nem megfelelő menedzsment gyakorlat és vállalatirányítás Az auditfunkciók nem megfelelő kihasználása Védelmi kontrollok hiánya és gyenge biztonsági kultúra A foglalkoztatást megelőző szűrések hiánya Az üzleti ágazatok közötti nem megfelelő kommunikáció A humán kockázatot érintő tudatosság hiánya vezetői szinteken Page 6

Melyek a kritikus digitális vagyontárgyak? Digitális vagyontárgyak = Adat (fájlokban) + Kontextus (meta-adat formájában) forrás: computerweekly.com/blogs/cwdn/2013/09/what-is-a-digital-asset.html Kritikus digitális vagyontárgyak: Alapvető és kiemelten fontos fájlok, melyek komoly értéket képviselnek a Társaság számára bevétel generáló, üzleti működés vagy a szabályozás miatt. Általában szegmentáltak bizalmas vagy szabályzott adathalmazként Bizalmas: szellemi tulajdon, üzleti titok, üzleti stratégia, jogi ügyek, szerződések stb. Szabályzott: hitelkártya információk, személyes egészségügyi adatok, személyazonosításra alkalmas adatok stb. Massive incident of data fraud/theft, azaz az adatok nagymértékű eltulajdonítása egyike a Top 4 technológiai kockázatnak a World Economic Forum által kiadott The Global Risks Report 2016 szerint. 42% -a a válaszadóknak kulcsfontosságúnak tartja az összes vagyontárgy ismeretét az IT-biztonsági kihívások leküzdésében 56% -a a válaszadóknak kiemelten fontosnak tartja az adatszivárgás, adatvesztés megakadályozását a szervezetében Forrás: 2015 EY Global Information Security Survey Page 7

Kritikus információk védelmére szolgáló EY módszertan Az üzleti rugalmasság és folytonosság értékelése A tapasztalatok értékelése és azok megfelelő felhasználása A teljesítmény mutatók áttekintése, illetve azok eredményességének értékelése A kármentesítési és jogi végrehajtási értesítésekben, eljárásokban való közreműködés Helyreállítás Előkészítés A kulcsfontosságú érdekeltek, felelősök meghatározása A program értékelése, hatáskörének meghatározása A nagy értékkel bíró eszközök összegyűjtése Korábbi esetek áttekintése A magánéleti, jogi aggályok figyelembe vétele Szabályzatok és eljárások definiálása A tudatosság elősegítése, tréningek kidolgozása Válasz Védelem A hozzáférési jogosultságok szabályozottságának értékelése A munkatársak szűrésének elősegítése Felderítés A kulcsfontosságú teljesítmény mutatók meghatározása Válaszadási ütemterv végrehajtása Válaszadási ütemterv kialakítása A bejelentési és eszkalációs protokoll biztosítása A viselkedés elemzésére támaszkodó megelőző megfigyelések A kivizsgáláshoz szükséges bizonyítékok begyűjtése A műszaki és nem műszaki adatok befolyásolása Kárenyhítés, a kitettségi kockázat csökkentése A bennfentes tevékenységekkel kapcsolatos munkavállalói bejelentések vizsgálata Page 8

A kritikus digitális vagyontárgyak meghatározása, tárolása, értékelése Mi az ami értékes? Információ biztonság Besorolás Hozzáférés Ellenőrzés / átvilágítás Nyilvántartás Kulcs kifejezések (adatvesztés megelőzése) Kockázatok elvesztés, sérülés esetén Reputációs kockázat Pénzügyi kockázat Page 9

A kritikus digitális vagyontárgyak előfordulási helyének meghatározása Hol fordul elő ilyen adat? A szervezet tűzfalán belül? Harmadik félnél? Felhőben? Külső adathordozó eszközökön? A személyzet otthoni, saját számítógépén? Page 10

A kritikus digitális vagyontárgyak védelme Milyen adatok szorulnak védelemre? Milyen eszközök állnak rendelkezésre a szervezeten belül? Illeszkedik a vállalat stratégiájába, és kompatibilis a többi eszközzel? Miként kaphat folyamatos naprakész információkat a társaság a legértékesebb vagyontárgyairól különféle elemzések segítségével? Page 11

EY Reaktív kiberbiztonsági megoldások Cyber breach response management Impact assessment, Litigation support, Discovery Advisory Cyber investigation Cybercrime diagnostic, Fact finding, live interviews and evidence collection, Investigative planning and scope setting Cyber forensics Identification, preservation and collection, Transaction analysis and anomaly assessment, Computer forensics and compromise analysis Data recovery and remediation Data recovery, Remediation planning, Unstructured and structured data processing and hosting, Managed document review, Information governance Page 12

EY Proaktív kiberbiztonsági megoldások Security Transformation Cyber Program Assessments, Strategic planning, Managed security services Cyber Threat Management Cyber Exercise, SoC (SIEM, DLP, IDS/IPS, Firewall, Security architecture), Penetration testing Information Protection and Privacy Data loss prevention assessments, Privacy assessments (Cloud, IoT), Data protection strategy, Asset management Resilience Technology resilience, Business impact analysis Page 13

Köszönöm a figyelmet Page 14