View
881
Download
2
Category
Preview:
Citation preview
1
Sophos Encryption Roadshow 2016
Deel je bevindingen via Linkedin of Twitter met #Sophos of #SophosBenelux
2
Agenda
• Achtergrond
• De meldplicht datalekken
○ Hoe ben je in overeenstemming met de verordening, en hoe minimaliseer je boetes in geval van een datalek
• Hoe kan Sophos helpen?
• Hoe kan Sophos & encryptie helpen?
○ Next Generation Data Protection
○ Sophos.com
1102 -
3
QuizEen inbraak bij een bedrijf. De server wordt meegenomen en de data op de server is versleuteld. Een backupvan de server staat fysiek 80km verder op. Alle data kan teruggehaald worden.
De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden.
Een journalistiek programma confronteert een bedrijf met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van werknemers op de server van het bedrijf door onbevoegden zijn ingezien.
Iemand laat een koffer met daarin USB key met een e-mailadressenbestand achter in de trein. De koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend na 2 dagen terug bij de rechtmatige eigenaar.
44
Achtergrond
5
Amendments from European Parliament21 November 2013(1102 paginas)
Project of RegulationEuropean Commission 25 January 2012(118 paginas)
Press pack from the European Commission22 October 2013
Bronnen
Handboek EuropeseGegevensbeschermingswetgevingRaad van Europa December 2013
Interinstitutional File Presidency11 June 2015(201 paginas)
1102 -
6
Te zorgen voor een enkele Europese wet
om het huidige inconsistente raamwerk
van nationale wetten te vervangen.
Moderniseer de principes, heilig verklaard in de
EU Data Beschermingsrichtlijn van 1995
Doel
7
Voordelen van de nieuwe verordening
Voordelen voor organisaties
1. Éen EU markt, éen wet
2. One-stop-shop – een enkele toezichtsautoriteit
3. Dezelfde regels voor alle bedrijven
Voordelen voor EU-burgers
1. Betere databescherming
2. Geeft mensen de controle
88
De meldplichtdatalekken
9
Nederland
22 januari 201510 februari 2015
4 juni 2015
26 mei 2015
1 januari 2016 – ingang meldplicht Half 2017 evaluatie
10
Meldplicht Datalekken
Bron: beleidsregels meldplicht datalekken
11
Persoonsgegevens
Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp Het gaat hierbij om persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging en om strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
• Gegevens over de financiële of economische situatie van de betrokkene Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden, salarissen betalingsgegevens.
• (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school of werk of relatieproblemen.
• Gebruikersnamen, wachtwoorden en andere inloggegevens De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen.
• Gegevens die kunnen worden misbruikt voor (identiteits)fraude Het gaat hierbij onder meer om biometrische gegevens, kopieën van identiteitsbewijzen en om het Burgerservicenummer (bsn).
12
Focus op Databescherming in WBP3 sleutelartikelen over databescherming:
1. Beveiliging van de verwerking (Artikel 13)A. voorkom onrechtmatige toegang tot persoonsgegevensB. Onder onrechtmatige vormen van verwerking vallen de aantasting van de
gegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan.
2. Melding van een inbreuk in verband met persoonsgegevens aande toezichthoudende autoriteit (Artikel 34a, lid1)
De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
3. Melding van een inbreuk in verband met persoonsgegevens aan de betrokkene (Artikel 34a, lid2)
De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkeneonverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. (Geschatte € 16,60 nalevingskosten.)
13
Wat moet je weten
• Organisaties moeten:○ passende beveiligingsmaatregelen nemen om persoonsgegevens te
beschermen
○ een duidelijk databeschermingsbeleid hebben voor persoonsgegevens
○ Bewerkersovereenkomst met klanten en/of derden
○ een functionaris voor gegevensbescherming aanwijzen (behalve MKB)
• Boetes voor onbeschermde datalekken kunnen oplopen tot€820.000
• Als door de cryptografische bewerkingen die u heeft toegepast de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden, dan kunt u de melding aan de betrokkene achterwege laten.
14
De sleutel is versleuteling
Technische en organisatorische maatregelen dienen cumulatief te worden getroffen. Software is een belangrijk instrument tot beveiliging. Dit wetsvoorstel geeft de normen die mede met behulp van software dienen te worden gehandhaafd. Klassieke technische beveiligingsmaatregelen omvatten mede de fysieke afscherming van de randapparatuur die toegang geeft tot de te beveiligen gegevens. Daarnaast zijn er de modernere informatietechnologische maatregelen zoals beveiliging met een «password» en door middel van encryptie. Grotere bedrijven zullen een eigen beveiligingsafdeling hebben. Kleinere bedrijven zullen beveiligingsexpertise van buitenaf inhuren. Wat betreft encryptie zijn de initiatieven vermeldenswaard van de Europese Commissie om te komen tot een min of meer uniform systeem van vertrouwenstussenpersonen (trusted third parties) binnen de Europese Unie.
(Bron: Richtsnoeren AP: beveiliging persoonsgegevens)
15
Maatregelen
Next Gen FirewallHTTP/ HTTPS scanningATP
IDS / IPSSandBoxingEndpoint SecurityReporting
EncryptionData Leakage PreventionSPX email
BackUp & Restore
16
Datalekken actueler dan ooit tevoren
17
Meldingsdocument datalekken
18
Nederlandse organisaties nauwelijks op de hoogte
Source: Sophos BNL Public Sector Survey November 2015
Niet op de hoogte per branche
19
Organisaties ondernemen geen actie
Source: Sophos BNL Public Sector Survey November 2015
2121
Hoe kan Sophos helpen?
22
Complete Security
AT HOME AND ON THE MOVE
Mobile Control Endpoint SecuritySafeGuard Encryption
HEADQUARTERS
Endpoint SecuritySafeGuard Encryption
REMOTE OFFICE 1
NextGen Firewall
Secure Wi-Fi
Endpoint SecuritySafeGuard Encryption
Secure Wi-Fi
Secure VPN Client
Mobile Control
Reputation Data • Active Protection SophosLabs Correlated intelligence • Content Classification
Administration
CLOUDSTRATEGY
Web Application Firewall
Secure Email Gateway
Secure Web Gateway
Mobile Control
Network Storage AntivirusServer Security
Guest Wi-Fi
UTMNextGen Firewall
Secure Web GatewaySecure Email Gateway
Web Application Firewall
REMOTE OFFICE 2
Secure Wi-Fi
Endpoint SecuritySafeGuard Encryption
Mobile Control
Secure VPN RED
1. Management2. Security Service3. Infrastructure4. Data5. Threat Intelligence
23
5 stappen om datalekken te voorkomen
1. Zorg dat je patches up-to-date zijnData-stelende malware maakt vaak gebruik van bekende kwetsbaarheden.
2. Gebruik meerlaagse beschermingMalware komt binnen via Web en Mail, hou het daar tegen waar het de organisatie binnenkomt
3. Kies voor Advanced Threat ProtectionGebruik een next-generation firewall die aanvallen op het netwerkdetecteert en tegenhoudt, maar ook data exfiltratie tegenhoudt.
4. Gebruik Selective SandboxingTegen malware die zich in het begin “netjes” gedraagt.
5. Limiteer verspreiding van gevoelige dataMaak gebruik van Application Control en Data Control
24
Een solide databeschermingsstrategie
Data is waar het om gaat
1. Hoe gaat data je organisatiein en uit?
2. Wat doen de gebruikers met de data?
3. Wie heeft er toegang tot data?
25
Beleid maken:
2626
Hoe kan Sophos & encryptie helpen?
27
Mythe: Encryptie is verwarrend en complex
28
Verloren of Gestolen Apparaat
Onversleuteld Versleuteld
• Verlies of diefstal van een apparaat kan iedereenoverkomen, en overkomt dus ook velen van ons.
• Alleen geauthoriseerde gebruikers zouden iets met deze apparaten moeten kunnen.
• Hoeveel apparaten heb jij verloren?
29
Zet bestanden op Removable Media
• Op deze kleine apparaatjes past heel veel data, maar je bent ze zo kwijt
• Blokkeer je ze of bescherm je de data erop?
• Waar is je eerste USB stick en wat staat erop?
30
Zet bestanden in E-Mail
• We emailen allemaal & we maken allemaal wel eens eenfoutje (het gebeurt)
• Wat kan het gevolg zijn van het verkeerde bijvoegsel aande verkeerde persoon sturen?
• Versleutel je bestanden, of inspecteer je op de Gateway?
31
Zet bestanden op een Network Share
• De huidige Operating Systems maken het delen van data op het Network zeer eenvoudig.
• Bescherm tegen interne dreigingen.
• Wie is bevoegd voor bedrijfs- of persoonsgegevens?
32
Zet bestanden in de Cloud
• Cloud Storage heeft de manier waarop data tussengebruikers een apparaten wordt gedeeldgerevolutioneerd.
• Wat heb jij in de Cloud staan, en wat gebeurt er alsiemand het steelt?
• Versleutel de data voordat je het in de Cloud zet.
33
SafeGuard Enterprise Encryption
• Versleutelt data op allerlei apparaten en operating systems
• Vertraagt niet – en zit niet in de weg van de workflow enprocessen van de organisatie
• Inclusief centraal beheer van Microsoft’s BitLocker en Apple’s FileVault
• Voorziet in uitgebreide rapporten om naleving aan te kunnentonen
SafeGuard verzekert dat persoonsgegevens beschermd zijn in gevalvan een datalek
34
Continue Productiviteit
Werk op diverse apparaten○ Windows, OS X, iOS & Android
○ Integratie met Sophos Secure Workspace en Mobile Control
Gebruikers blijven productief○ Op kantoor, onderweg, met ieder
apparaat
Nog steeds beveiligd○ Device integrity bepaalt toegang tot
data. Een apparaat met risico? Werkmet een ander apparaat
35
Transparant, niet opdringerig
Beveiliging tegendatalekken, met minimaleimpact op het dagelijkse
werk van je collega’s
…tot dat wel nodig is
Synchronized Security
Gesynchroniseerd met:Trusted system,
Trusted userTrusted process
Altijd aan. Standaard.
Overal
Data-centric protection die altijd aanstaat, het
beveiligt je data doorheen zijn hele
lifecycle waar het maar wordt gedeeld (over alle
apparaten en in de cloud)
Sophos is de enige vendor die next generation encryption levert, een data centric protection die is opgebouwd op basis van hoe men werkt en data gebruikt. Het versleutelt standaard alle
data , staat altijd aan en beveiligt je data waar het ook gaat. Het bouwt verder op de Synchronized Security visie waarbij data proactief wordt beveiligd en wordt opgetreden tegen
alle vormen van bedreiging.
Sophos SafeGuard 8Encryption as a Threat Protection Technology
36
SPX Email Encryption
• E-mailversleuteling en DLP oplossing die privacy,vertrouwelijkheid en integriteit van gevoelige e-mails beschermt.
• Detecteert automatisch wanneergevoelige informatie de organisatieverlaat, en blokkeert of versleutelt..
• Neemt beveiliging uit de handenvan uw medewerkers en regelt het voor hen.
• Beschikbaar in:○ Sophos UTM
○ Sophos Firewall
○ Sophos Email Appliance
37
Om je gratis verder te helpen
• EU Data Security Compliance Check in 60 seconden
• Whitepaper over EU Data Protection Regulation
• Probeer gratis: Sophos SafeGuard Enterprise, SPX email encryptie, XG Firewall en Endpoint
• Sophos Home voor thuis
Te vinden op www.sophos.com/public-sector-benelux
38© Sophos Ltd. All rights reserved.
#Sophos of #SophosBenelux
Recommended