SlideShare une entreprise Scribd logo

In t trust_implementing_gdpr_ms_event_2019_09_27

Télécharger en tant que PPTX, PDF
InTTrust S.A.
InTTrust S.A.

H παρουσίαση του κ Κώστα Σφέτσου σχετικά με την εφαρμογή GDPR.

Technologie
1  sur  19
Hands-on Security Implementing GDPR Kostas Sfetsos – ksfet@inttrust.gr IT Auditor, Certified DPO Executive InTTrust S.A.
Λίγα . . . slides για τον ΓΚΠΔ (GDPR) ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΚΑΤΟΙΚΩΝ ΤΗΣ Ε.Ε. (Υποκείμενα των δεδομένων) Ο GDPR και ο - από 29.8.2019 νόμος 4624 - παρέχει στους κατοίκους της ΕΕ τον έλεγχο των προσωπικών τους δεδομένων μέσω ενός συνόλου δικαιωμάτων. Ενδεικτικά : • Πρόσβαση σε πληροφορίες σχετικά με τον τρόπο χρήσης των προσωπικών δεδομένων • Πρόσβαση στα προσωπικά δεδομένα που διατηρεί ένας οργανισμός • Διαγραφή ή διόρθωση των λανθασμένων προσωπικών δεδομένων • Οριστική διαγραφή ή διόρθωση των προσωπικών δεδομένων υπό ορισμένες συνθήκες (“right to be forgotten”) • Να ζητήσει περιορισμό ή να αντιταχθεί στην αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων • Να λάβει αντίγραφο των προσωπικών δεδομένων
Υποχρεώσεις των οργανισμών (υπεύθυνοι ή/και εκτελούντες την επεξεργασία) Ο GDPR επιβάλλει ευρύ φάσμα απαιτήσεων σε οργανισμούς που συλλέγουν ή επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, συμπεριλαμβανομένης της απαίτησης συμμόρφωσης με έξι βασικές αρχές. 1. Διαφάνεια, δικαιοσύνη και νομιμότητα στο χειρισμό και τη χρήση προσωπικών δεδομένων 2. Περιορισμό της επεξεργασίας των προσωπικών δεδομένων σε καθορισμένους, σαφείς και νόμιμους σκοπούς 3. Ελαχιστοποίηση της συλλογής και της αποθήκευσης δεδομένων προσωπικού χαρακτήρα σε εκείνη που είναι επαρκής και σχετική για τον επιδιωκόμενο σκοπό 4. Εξασφάλιση της ακρίβειας των προσωπικών δεδομένων και δικαίωμα για την διαγραφή ή την διόρθωσή τους 5. Περιορισμό του χρόνου αποθήκευσης προσωπικών δεδομένων 6. Κατοχύρωση της ασφάλειας, της ακεραιότητας και της εμπιστευτικότητας των προσωπικών δεδομένων
• Ενημέρωση • Συναντήσεις – Συνεντεύξεις - Ερωτηματολόγιο • Διαδικασία Αξιολόγησης • Αξιοποίηση του Microsoft Assessment Tool – Αποτελέσματα (PowerBI Results) • Συμπεράσματα – Προτάσεις • Ψηφιακά Δεδομένα - Φυσικά Δεδομένα • Επόμενα Βήματα : Προτεινόμενες Φάσεις Υλοποίησης Έργου Η Λύση της InTTrust : “Implementing GDPR”
Ενημέρωση • Ενημέρωση της Διοίκησης της επιχείρησης σχετικά με την ασφάλεια των δεδομένων και για τον ΓΚΠΔ (GDPR) • Παρουσίαση της μεθοδολογίας συμμόρφωσης • Εντοπισμός των εμπλεκομένων τμημάτων της επιχείρησης • Καθορισμός των αρμοδίων στελεχών για την περεταίρω επικοινωνία • Ενημέρωση των επικεφαλής των εμπλεκομένων τμημάτων σχετικά με την ασφάλεια των δεδομένων, την επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα (ΔΠΧ) και για τον GDPR
Συναντήσεις – Συνεντεύξεις • Επί μέρους συνεντεύξεις με τους επικεφαλής των τμημάτων και τεκμηρίωση της επεξεργασίας των δεδομένων ενδιαφέροντος GDPR • Επίσκεψη στούς χώρους φυσικής αποθήκευσης μή μηχανογραφικών δεδομένων (αρχείο), στους χώρους επεξεργασίας και στους χώρους εγκατάστασης και λειτουργίας μηχανογραφικών υποδομών • Συμπλήρωση επί μέρους ερωτηματολογίων – καταγραφή παρατηρήσεων • Διαδικασία συμπλήρωσης του Microsoft Assessment Tool (συνήθως σε συνεργασία με τον IT Manager)
Διαδικασία Αξιολόγησης Προσδιορίστε ποια προσωπικά δεδομένα έχετε και που βρίσκονταιDiscover1 Προσδιορίστε τον τρόπο χρήσης και την πρόσβαση των προσωπικών δεδομένωνManage2 Καθιερώστε ελέγχους ασφάλειας για την πρόληψη, ανίχνευση και αντιμετώπιση των ευπαθειών και των παραβιάσεων δεδομένων Protect3 Εκτέλεση αιτημάτων παροχής δεδομένων, αναφορές παραβίασης δεδομένων και διατήρηση της απαιτούμενης τεκμηρίωσης Report4 Evaluate-Improve
MS Assessment Tool - Power BI Results
MS Assessment Tool - Power BI Results
Προτάσεις – Discover (digital data) • Συγκέντρωση των αρχείων των χρηστών σε κεντρικές τοποθεσίες (Windows Server 2016 File server / SharePoint Online) όπου υπάρχει η δυνατότητα να ελεγχθούν και να κρυπτογραφηθούν. • Κατηγοριοποίηση των αρχείων (personal data, classification categories) των χρηστών για την κρυπτογράφηση αυτών μέσω Azure RMS. • Ενημέρωση των χρηστών για την διαδικασία διατήρησης των αρχείων τους και τις δυνατότητες που παρέχει ο οργανισμός.
Προτάσεις - Discover (physical data) • Καθιέρωση διαδικασίας με αντικείμενο τον εντοπισμό και την καταγραφή όλων των φυσικών μέσων στα οποία περιέχονται προσωπικά δεδομένα. • Αναζήτηση και καταγραφή των πληροφοριών που αφορούν την κτήση των προσωπικών δεδομένων , συσχέτιση των ευρημάτων με τα σχετικά νομικά θέματα. • Αναγνώριση και τεκμηρίωση (καταγραφή) όλων των διαδικασιών της εταιρίας στις οποίες εμπλέκονται προσωπικά δεδομένα. • Οι διαδικασίες παραγωγής της εταιρίας πρέπει να ελεγθούν για τυχόν απρόσμενη επίδραση (επεξεργασία) σε προσωπικά δεδομένα εκ μέρους των εργαζομένων και να καθιερωθούν πολιτικές αντιμετώπισης κατά περίπτωση. Οι πολιτικές αυτές πρέπει να επικοινωνηθούν σε όλο το προσωπικό. • Όλα τα δεδομένα της εταιρίας πρέπει να κατηγοριοποιηθούν και να καταγραφούν σε σχέση με την ανάγκη προστασίας τους με ειδική μέριμνα για επιχειρηματικά μυστικά και τα προσωπικά δεδομένα. Πρέπει να καθιερωθούν σχετικοί κανόνες προστασίας, συντήρησης, επεξεργασίας και διαγραφής τους. Υψηλή προτεραιότητα Μέτρια προτεραιότητα Χαμηλή προτεραιότητα
Προτάσεις – Manage (digital data) • Ανάθεση υπεύθυνων ανά ρόλο για τον έλεγχο την επεξεργασία και την διαχείριση των αρχείων με προσωπικά δεδομένα (O365 roles). • Ενημέρωση των χρηστών μέσω των εφαρμογών (Intune, SharePoint Online, Dynamics) για την διατήρηση και την επεξεργασία των προσωπικών τους δεδομένων. • Δημιουργία συστημάτων (SharePoint, Intune, Dynamics, SQL) για την διατήρηση της συγκατάθεσης, της αποθήκευσης και της επεξεργασίας των προσωπικών δεδομένων των χρηστών. • Αναζήτηση και διαγραφή, όταν χρειαστεί, των προσωπικών δεδομένων των χρηστών (O365 Advanced Εdiscovery, Windows 2016, Dynamics). • Εκμετάλλευση των εργαλείων του O365 (Advanced eDiscovery) για την αναζήτηση και εμφάνιση προσωπικών δεδομένων.
Προτάσεις - Manage (physical data) • Με στόχο τη συντήρηση και την προστασία παντός είδους δεδομένων της εταιρίας, πρέπει να γινει κατηγοριοποίηση και καταγραφή τους. • Δημιουργία και εφαρμογή κανόνων και διαδικασιών μεταφοράς δεδομένων εντός και εκτός εταιρίας, με γνώμονα τη συμμόρφωση με τον GDPR. • Αναθεώρηση του συστήματος διαχείρισης κινδύνου της εταιρίας, συμπεριλαμβάνοντας τα στοιχεία που προκύπτουν από την επίδραση των προσωπικών δεδομένων, στην ανάλυση κινδύνου της εταιρίας. • Δημιουργία πολιτικής προστασίας δεδομένων της εταιρίας και καθιέρωση διαδικασίας ενημέρωσης του προσωπικού για την πολιτική αυτή ανά τακτά χρονικά διαστήματα. • Δημιουργία (περιγραφή) και ανάθεση καθηκόντων Υπεύθυνου Προστασίας Δεδομένων (DPO). Δημιουργία (περιγραφή) καθηκόντων και ορισμός Υπεύθυνου Επεξεργασίας Δεδομένων (DPM) και Εκτελούντος(ων) την Επεξεργασία (ΡΟ). Υψηλή προτεραιότητα Μέτρια προτεραιότητα Χαμηλή προτεραιότητα
Προτάσεις – Protect (digital data) • Δημιουργία πολιτικών ασφαλείας (Group Policies, Intune, LOG Analytics) για τον έλεγχο, την προστασία και την παρακολούθηση των τερματικών σταθμών των χρηστών. • Προστασία της ταυτότητας εισόδου των χρηστών στα εταιρικά δεδομένα (Group Policies, MFA) • Εφαρμογή συστημάτων προστασίας των δεδομένων των χρηστών (Bitlocker, O365, Intune) στους τερματικούς σταθμούς και τις συσκευές τους. • Κρυπτογράφηση των προσωπικών δεδομένων των χρηστών (Azure Information Protection) • Ενημέρωση και εκπαίδευση των χρηστών για τις δυνατότητες που παρέχει ο οργανισμός για την κρυπτογράφηση των προσωπικών δεδομένων. • Δημιουργία συστήματος (O365 DLP, EMS) ειδοποίησης και ενημέρωσης των διαχειριστών των συστημάτων για την διαρροή προσωπικών δεδομένων. • Δημιουργία διαδικασίας συνεχούς εκτίμησης των πληροφοριακών συστημάτων του οργανισμού (Azure LOG Analytics)
Προτάσεις - Protect (physical data) • Δημιουργία καθηκόντων και δικαιωμάτων πρόσβασης σε δεδομένα και επεξεργασίες για τους εργαζόμενους με γνώμονα την χρήση, συντήρηση, προστασία και αποθήκευση των προσωπικών δεδομένων. • Με στόχο τη συντήρηση και την προστασία παντός είδους δεδομένων της εταιρίας, πρέπει να γινει κατηγοριοποίηση και καταγραφή τους. • Όλα τα δεδομένα της εταιρίας πρέπει να κατηγοριοποιηθούν και να καταγραφούν σε σχέση με την ανάγκη προστασίας τους με ειδική μέριμνα για επιχειρηματικά μυστικά και τα προσωπικά δεδομένα. Πρέπει να καθιερωθούν σχετικοί κανόνες προστασίας, συντήρησης, επεξεργασίας και διαγραφής τους. • Δημιουργία και εφαρμογή κανόνων και διαδικασιών μεταφοράς δεδομένων εντός και εκτός εταιρίας, με γνώμονα τη συμμόρφωση με τον GDPR. • Οι διαδικασίες παραγωγής της εταιρίας πρέπει να ελεγθούν για τυχόν απρόσμενη επίδραση (επεξεργασία) σε προσωπικά δεδομένα εκ μέρους των εργαζομένων και να καθιερωθούν πολιτικές αντιμετώπισης κατά περίπτωση. Οι πολιτικές αυτές πρέπει να επικοινωνηθούν σε όλο το προσωπικό. Υψηλή προτεραιότητα Μέτρια προτεραιότητα Χαμηλή προτεραιότητα
Προτάσεις – Report (digital data) • Δημιουργία διαδικασίας για την συνεχή ενημέρωση (Ο365 Compliance) των διαχειριστών του οργανισμού για το πλαίσιο ελέγχου, διατήρησης και επεξεργασίας προσωπικών δεδομένων. • Αναζήτηση και διατήρηση στοιχείων (Azure Log Analytics, O365 Unified Audit log, Windows Server 2016 Advanced Audit Policy Configuration) επεξεργασίας προσωπικών δεδομένων των χρηστών. • Δημιουργία συστήματος παρακολούθησης (Azure RMS) και ενημέρωσης των διαχειριστών των αρχείων με προσωπικά δεδομένα. • Εφαρμογή πρότυπου συστήματος συνεχούς συλλογής και εκτίμησης (Azure Monitor) των πληροφοριακών συστημάτων του οργανισμού σχετικά με την εφαρμογή των κανονισμών προσωπικών δεδομένων.
Προτάσεις - Report (physical data) • Καθιέρωση διαδικασίας με αντικείμενο τον εντοπισμό και την καταγραφή όλων των φυσικών μέσων στα οποία περιέχονται προσωπικά δεδομένα. • Αναζήτηση και καταγραφή των πληροφοριών που αφορούν την κτήση των προσωπικών δεδομένων και συσχέτιση των ευρημάτων με τα σχετικά νομικά θέματα. • Αναγνώριση και τεκμηρίωση (καταγραφή) όλων των διαδικασιών της εταιρίας στις οποίες εμπλέκονται προσωπικά δεδομένα. • Με στόχο τη συντήρηση και την προστασία παντός είδους δεδομένων της εταιρίας, πρέπει να γίνει κατηγοριοποίηση και καταγραφή τους. • Αναθεώρηση του συστήματος διαχείρισης κινδύνου της εταιρίας, συμπεριλαμβάνοντας τα στοιχεία που προκύπτουν από επίδραση προσωπικών δεδομένων, στην ανάλυση κινδύνου της εταιρίας. • Τα δεδομένα της εταιρίας θα κατηγοριοποιηθούν σε σχέση με την ανάγκη προστασίας τους με ειδική μέριμνα για επιχειρηματικά μυστικά και τα προσωπικά δεδομένα. Θα καθιερωθούν σχετικοί κανόνες προστασίας, συντήρησης, επεξεργασίας και διαγραφής τους. • Δημιουργία και εφαρμογή κανόνων και διαδικασιών μεταφοράς δεδομένων εντός και εκτός εταιρίας, με γνώμονα τη συμμόρφωση με τον GDPR. • Οι διαδικασίες παραγωγής της εταιρίας θα ελεγθούν για τυχόν απρόσμενη επίδραση (επεξεργασία) σε προσωπικά δεδομένα εκ μέρους των εργαζομένων. Θα καθιερωθούν πολιτικές αντιμετώπισης κατά περίπτωση. Οι πολιτικές αυτές θα επικοινωνηθούν σε όλο το προσωπικό. Υψηλή προτεραιότητα Μέτρια προτεραιότητα Χαμηλή προτεραιότητα
Σημαντική Παρατήρηση: Ολοκληρώνοντας πρέπει να τονίσουμε στις ενδιαφερόμενες για συμμόρφωση επιχειρήσεις, ότι ένας μεγάλος αριθμός των ανωτέρω προτεινόμενων – μηχανογραφικών και μη – ενεργειών, καλύπτεται με αυτοματοποιημένο τρόπο, με την προμήθεια και την αξιοποίηση εργαλείων της Microsoft όπως τα Μicrosoft365, Office365 με EMS (Enterprise Mobility & Security) και Windows 10. Δεδομένου δε του γεγονότος ότι η συμμόρφωση οφείλει να είναι μια διαρκής και εξελισσόμενη κατάσταση, η χρήση κατάλληλων εργαλείων σε συνδυασμό με τις διαδικασίες εξασφαλίζει τη διάρκεια της νομιμότητας.
• http://www.inttrust.gr/gdpr-implementation-services • https://resources.office.com/en-landing-ondemand-CE-M365-AWR-WBNR-FY19-09Sep-04-InTTrust-SA-MCW0008846.html info@inttrust.gr +30 210 6513040 2, Ipeirou Str., 15341, Ag. Paraskevi, Athens, Greece More info : Hands-on Security Implementing GDPR Microsoft has the products, InTTrust delivers the Solution

Recommandé

Gdpr checklist-pofee-may2018
Gdpr checklist-pofee-may2018Gdpr checklist-pofee-may2018
Gdpr checklist-pofee-may2018Panayotis Sofianopoulos
 
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...Evangelia Vagena
 
Ασφάλεια ΤΠΕ - 03. GDPR
Ασφάλεια ΤΠΕ - 03. GDPRΑσφάλεια ΤΠΕ - 03. GDPR
Ασφάλεια ΤΠΕ - 03. GDPRMarina Gavrilaki
 
Legal issues of cloud computing, Evangelia Vagena
Legal issues of cloud computing, Evangelia VagenaLegal issues of cloud computing, Evangelia Vagena
Legal issues of cloud computing, Evangelia VagenaEvangelia Vagena
 
Εισαγωγή στο Γενικό Κανονισμο προστασίας Δεδομένων
Εισαγωγή στο Γενικό Κανονισμο προστασίας ΔεδομένωνΕισαγωγή στο Γενικό Κανονισμο προστασίας Δεδομένων
Εισαγωγή στο Γενικό Κανονισμο προστασίας ΔεδομένωνNikos Mpalatsoukas
 
ασφαλεια υπολογιστικων συστηματων
ασφαλεια υπολογιστικων συστηματωνασφαλεια υπολογιστικων συστηματων
ασφαλεια υπολογιστικων συστηματωνStratosDimi
 
GDPR GAP Analysis
GDPR GAP AnalysisGDPR GAP Analysis
GDPR GAP AnalysisNikos Mpalatsoukas
 
GDPR
GDPRGDPR
GDPRAthanasios Polydoros
 

Recommandé

Gdpr checklist-pofee-may2018
Gdpr checklist-pofee-may2018Gdpr checklist-pofee-may2018
Gdpr checklist-pofee-may2018Panayotis Sofianopoulos
 
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...Evangelia Vagena
 
Ασφάλεια ΤΠΕ - 03. GDPR
Ασφάλεια ΤΠΕ - 03. GDPRΑσφάλεια ΤΠΕ - 03. GDPR
Ασφάλεια ΤΠΕ - 03. GDPRMarina Gavrilaki
 
Legal issues of cloud computing, Evangelia Vagena
Legal issues of cloud computing, Evangelia VagenaLegal issues of cloud computing, Evangelia Vagena
Legal issues of cloud computing, Evangelia VagenaEvangelia Vagena
 
Εισαγωγή στο Γενικό Κανονισμο προστασίας Δεδομένων
Εισαγωγή στο Γενικό Κανονισμο προστασίας ΔεδομένωνΕισαγωγή στο Γενικό Κανονισμο προστασίας Δεδομένων
Εισαγωγή στο Γενικό Κανονισμο προστασίας ΔεδομένωνNikos Mpalatsoukas
 
ασφαλεια υπολογιστικων συστηματων
ασφαλεια υπολογιστικων συστηματωνασφαλεια υπολογιστικων συστηματων
ασφαλεια υπολογιστικων συστηματωνStratosDimi
 
GDPR GAP Analysis
GDPR GAP AnalysisGDPR GAP Analysis
GDPR GAP AnalysisNikos Mpalatsoukas
 
GDPR
GDPRGDPR
GDPRAthanasios Polydoros
 
Practical aspects of gdpr compliance
Practical aspects of gdpr compliancePractical aspects of gdpr compliance
Practical aspects of gdpr complianceLefteris Barbatsalos
 
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένωνΕκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένωνNikos Mpalatsoukas
 
diaBEATes app: Building Relationships, Providing Safety
diaBEATes app: Building Relationships, Providing SafetydiaBEATes app: Building Relationships, Providing Safety
diaBEATes app: Building Relationships, Providing Safetytechnology_forum
 
Biz miz o1 m4_u4.1_r3_cy
Biz miz o1 m4_u4.1_r3_cyBiz miz o1 m4_u4.1_r3_cy
Biz miz o1 m4_u4.1_r3_cyKATHLEENBULTEEL
 
General Data Protection Regulation - AQS
General Data Protection Regulation - AQSGeneral Data Protection Regulation - AQS
General Data Protection Regulation - AQSPanagiotis Stathopoulos
 
«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...
«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...
«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...OTS SA
 
Χαρτογράφηση ροής δεδομένων Data Flow Mapping
Χαρτογράφηση ροής δεδομένων Data Flow MappingΧαρτογράφηση ροής δεδομένων Data Flow Mapping
Χαρτογράφηση ροής δεδομένων Data Flow MappingNikos Mpalatsoukas
 
Η λίστα ελέγχου συμβατότητας με το Γενικό Κανονισμο προστασίας Δεδομένων
Η λίστα ελέγχου συμβατότητας με το Γενικό Κανονισμο προστασίας ΔεδομένωνΗ λίστα ελέγχου συμβατότητας με το Γενικό Κανονισμο προστασίας Δεδομένων
Η λίστα ελέγχου συμβατότητας με το Γενικό Κανονισμο προστασίας ΔεδομένωνNikos Mpalatsoukas
 
«Αξιοποίηση του πληροφοριακού κεφαλαίου των οργανισμών»
«Αξιοποίηση του πληροφοριακού κεφαλαίου των οργανισμών» «Αξιοποίηση του πληροφοριακού κεφαλαίου των οργανισμών»
«Αξιοποίηση του πληροφοριακού κεφαλαίου των οργανισμών» OTS SA
 
τεχνολογιες & ασφαλεια πληροφοριων
τεχνολογιες & ασφαλεια πληροφοριωντεχνολογιες & ασφαλεια πληροφοριων
τεχνολογιες & ασφαλεια πληροφοριωνioannis iglezakis
 
DIGITAL TRANSFORMATION AND STRATEGY_final el.pptx
DIGITAL TRANSFORMATION AND STRATEGY_final el.pptxDIGITAL TRANSFORMATION AND STRATEGY_final el.pptx
DIGITAL TRANSFORMATION AND STRATEGY_final el.pptxGeorgeDiamandis11
 
Technolocical trends for the next years
Technolocical trends for the next yearsTechnolocical trends for the next years
Technolocical trends for the next yearsPanos Fitsilis
 
σύμβουλοι επιχειρήσεων συστήματα διαχείρισης
σύμβουλοι επιχειρήσεων συστήματα διαχείρισηςσύμβουλοι επιχειρήσεων συστήματα διαχείρισης
σύμβουλοι επιχειρήσεων συστήματα διαχείρισηςmoke_uth
 
Adoption - Cloud Computing
Adoption - Cloud ComputingAdoption - Cloud Computing
Adoption - Cloud ComputingConstantinos Athanasiou
 
Special report 14 3_2018
Special report 14 3_2018Special report 14 3_2018
Special report 14 3_2018Panayotis Sofianopoulos
 
Sales forecasting 2013 Vergoulas Vaggelis
Sales forecasting 2013 Vergoulas VaggelisSales forecasting 2013 Vergoulas Vaggelis
Sales forecasting 2013 Vergoulas VaggelisVaggelis Vergoulas
 
Ασφάλεια ΤΠΕ - 02. Τεχνικά Θέματα Ασφάλειας
Ασφάλεια ΤΠΕ - 02. Τεχνικά Θέματα ΑσφάλειαςΑσφάλεια ΤΠΕ - 02. Τεχνικά Θέματα Ασφάλειας
Ασφάλεια ΤΠΕ - 02. Τεχνικά Θέματα ΑσφάλειαςMarina Gavrilaki
 
Information Systems Governance
Information Systems GovernanceInformation Systems Governance
Information Systems GovernanceDimitris Angelis
 
Ψηφιακή διαχείριση & Διακίνηση εγγράφων
Ψηφιακή διαχείριση & Διακίνηση εγγράφωνΨηφιακή διαχείριση & Διακίνηση εγγράφων
Ψηφιακή διαχείριση & Διακίνηση εγγράφωνModus AE
 
Digicom's New Information System
Digicom's New Information SystemDigicom's New Information System
Digicom's New Information SystemΧρήστος Κέκος
 
Marketing 2019
Marketing 2019Marketing 2019
Marketing 2019InTTrust S.A.
 
InTech Event | Red Hat OpenShift Container Platform
InTech Event | Red Hat OpenShift Container PlatformInTech Event | Red Hat OpenShift Container Platform
InTech Event | Red Hat OpenShift Container PlatformInTTrust S.A.
 

Contenu connexe

Similaire à In t trust_implementing_gdpr_ms_event_2019_09_27

Practical aspects of gdpr compliance
Practical aspects of gdpr compliancePractical aspects of gdpr compliance
Practical aspects of gdpr complianceLefteris Barbatsalos
 
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένωνΕκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένωνNikos Mpalatsoukas
 
diaBEATes app: Building Relationships, Providing Safety
diaBEATes app: Building Relationships, Providing SafetydiaBEATes app: Building Relationships, Providing Safety
diaBEATes app: Building Relationships, Providing Safetytechnology_forum
 
Biz miz o1 m4_u4.1_r3_cy
Biz miz o1 m4_u4.1_r3_cyBiz miz o1 m4_u4.1_r3_cy
Biz miz o1 m4_u4.1_r3_cyKATHLEENBULTEEL
 
General Data Protection Regulation - AQS
General Data Protection Regulation - AQSGeneral Data Protection Regulation - AQS
General Data Protection Regulation - AQSPanagiotis Stathopoulos
 
«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...
«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...
«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...OTS SA
 
Χαρτογράφηση ροής δεδομένων Data Flow Mapping
Χαρτογράφηση ροής δεδομένων Data Flow MappingΧαρτογράφηση ροής δεδομένων Data Flow Mapping
Χαρτογράφηση ροής δεδομένων Data Flow MappingNikos Mpalatsoukas
 
Η λίστα ελέγχου συμβατότητας με το Γενικό Κανονισμο προστασίας Δεδομένων
Η λίστα ελέγχου συμβατότητας με το Γενικό Κανονισμο προστασίας ΔεδομένωνΗ λίστα ελέγχου συμβατότητας με το Γενικό Κανονισμο προστασίας Δεδομένων
Η λίστα ελέγχου συμβατότητας με το Γενικό Κανονισμο προστασίας ΔεδομένωνNikos Mpalatsoukas
 
«Αξιοποίηση του πληροφοριακού κεφαλαίου των οργανισμών»
«Αξιοποίηση του πληροφοριακού κεφαλαίου των οργανισμών» «Αξιοποίηση του πληροφοριακού κεφαλαίου των οργανισμών»
«Αξιοποίηση του πληροφοριακού κεφαλαίου των οργανισμών» OTS SA
 
τεχνολογιες & ασφαλεια πληροφοριων
τεχνολογιες & ασφαλεια πληροφοριωντεχνολογιες & ασφαλεια πληροφοριων
τεχνολογιες & ασφαλεια πληροφοριωνioannis iglezakis
 
DIGITAL TRANSFORMATION AND STRATEGY_final el.pptx
DIGITAL TRANSFORMATION AND STRATEGY_final el.pptxDIGITAL TRANSFORMATION AND STRATEGY_final el.pptx
DIGITAL TRANSFORMATION AND STRATEGY_final el.pptxGeorgeDiamandis11
 
Technolocical trends for the next years
Technolocical trends for the next yearsTechnolocical trends for the next years
Technolocical trends for the next yearsPanos Fitsilis
 
σύμβουλοι επιχειρήσεων συστήματα διαχείρισης
σύμβουλοι επιχειρήσεων συστήματα διαχείρισηςσύμβουλοι επιχειρήσεων συστήματα διαχείρισης
σύμβουλοι επιχειρήσεων συστήματα διαχείρισηςmoke_uth
 
Sales forecasting 2013 Vergoulas Vaggelis
Sales forecasting 2013 Vergoulas VaggelisSales forecasting 2013 Vergoulas Vaggelis
Sales forecasting 2013 Vergoulas VaggelisVaggelis Vergoulas
 
Ασφάλεια ΤΠΕ - 02. Τεχνικά Θέματα Ασφάλειας
Ασφάλεια ΤΠΕ - 02. Τεχνικά Θέματα ΑσφάλειαςΑσφάλεια ΤΠΕ - 02. Τεχνικά Θέματα Ασφάλειας
Ασφάλεια ΤΠΕ - 02. Τεχνικά Θέματα ΑσφάλειαςMarina Gavrilaki
 
Information Systems Governance
Information Systems GovernanceInformation Systems Governance
Information Systems GovernanceDimitris Angelis
 
Ψηφιακή διαχείριση & Διακίνηση εγγράφων
Ψηφιακή διαχείριση & Διακίνηση εγγράφωνΨηφιακή διαχείριση & Διακίνηση εγγράφων
Ψηφιακή διαχείριση & Διακίνηση εγγράφωνModus AE
 

Similaire à In t trust_implementing_gdpr_ms_event_2019_09_27 (20)

Practical aspects of gdpr compliance
Practical aspects of gdpr compliancePractical aspects of gdpr compliance
Practical aspects of gdpr compliance
 
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένωνΕκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων
 
diaBEATes app: Building Relationships, Providing Safety
diaBEATes app: Building Relationships, Providing SafetydiaBEATes app: Building Relationships, Providing Safety
diaBEATes app: Building Relationships, Providing Safety
 
Biz miz o1 m4_u4.1_r3_cy
Biz miz o1 m4_u4.1_r3_cyBiz miz o1 m4_u4.1_r3_cy
Biz miz o1 m4_u4.1_r3_cy
 
General Data Protection Regulation - AQS
General Data Protection Regulation - AQSGeneral Data Protection Regulation - AQS
General Data Protection Regulation - AQS
 
«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...
«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...
«GDPR-Η νέα πρόσκληση της προστασίας των προσωπικών δεδομένων», Μαριλένα Σιδη...
 
Χαρτογράφηση ροής δεδομένων Data Flow Mapping
Χαρτογράφηση ροής δεδομένων Data Flow MappingΧαρτογράφηση ροής δεδομένων Data Flow Mapping
Χαρτογράφηση ροής δεδομένων Data Flow Mapping
 
Η λίστα ελέγχου συμβατότητας με το Γενικό Κανονισμο προστασίας Δεδομένων
Η λίστα ελέγχου συμβατότητας με το Γενικό Κανονισμο προστασίας ΔεδομένωνΗ λίστα ελέγχου συμβατότητας με το Γενικό Κανονισμο προστασίας Δεδομένων
Η λίστα ελέγχου συμβατότητας με το Γενικό Κανονισμο προστασίας Δεδομένων
 
«Αξιοποίηση του πληροφοριακού κεφαλαίου των οργανισμών»
«Αξιοποίηση του πληροφοριακού κεφαλαίου των οργανισμών» «Αξιοποίηση του πληροφοριακού κεφαλαίου των οργανισμών»
«Αξιοποίηση του πληροφοριακού κεφαλαίου των οργανισμών»
 
τεχνολογιες & ασφαλεια πληροφοριων
τεχνολογιες & ασφαλεια πληροφοριωντεχνολογιες & ασφαλεια πληροφοριων
τεχνολογιες & ασφαλεια πληροφοριων
 
DIGITAL TRANSFORMATION AND STRATEGY_final el.pptx
DIGITAL TRANSFORMATION AND STRATEGY_final el.pptxDIGITAL TRANSFORMATION AND STRATEGY_final el.pptx
DIGITAL TRANSFORMATION AND STRATEGY_final el.pptx
 
Technolocical trends for the next years
Technolocical trends for the next yearsTechnolocical trends for the next years
Technolocical trends for the next years
 
σύμβουλοι επιχειρήσεων συστήματα διαχείρισης
σύμβουλοι επιχειρήσεων συστήματα διαχείρισηςσύμβουλοι επιχειρήσεων συστήματα διαχείρισης
σύμβουλοι επιχειρήσεων συστήματα διαχείρισης
 
Adoption - Cloud Computing
Adoption - Cloud ComputingAdoption - Cloud Computing
Adoption - Cloud Computing
 
Special report 14 3_2018
Special report 14 3_2018Special report 14 3_2018
Special report 14 3_2018
 
Sales forecasting 2013 Vergoulas Vaggelis
Sales forecasting 2013 Vergoulas VaggelisSales forecasting 2013 Vergoulas Vaggelis
Sales forecasting 2013 Vergoulas Vaggelis
 
Ασφάλεια ΤΠΕ - 02. Τεχνικά Θέματα Ασφάλειας
Ασφάλεια ΤΠΕ - 02. Τεχνικά Θέματα ΑσφάλειαςΑσφάλεια ΤΠΕ - 02. Τεχνικά Θέματα Ασφάλειας
Ασφάλεια ΤΠΕ - 02. Τεχνικά Θέματα Ασφάλειας
 
Information Systems Governance
Information Systems GovernanceInformation Systems Governance
Information Systems Governance
 
Ψηφιακή διαχείριση & Διακίνηση εγγράφων
Ψηφιακή διαχείριση & Διακίνηση εγγράφωνΨηφιακή διαχείριση & Διακίνηση εγγράφων
Ψηφιακή διαχείριση & Διακίνηση εγγράφων
 
Digicom's New Information System
Digicom's New Information SystemDigicom's New Information System
Digicom's New Information System
 

Plus de InTTrust S.A.

InTech Event | Red Hat OpenShift Container Platform
InTech Event | Red Hat OpenShift Container PlatformInTech Event | Red Hat OpenShift Container Platform
InTech Event | Red Hat OpenShift Container PlatformInTTrust S.A.
 
InTech Event | Cognitive Infrastructure for Enterprise AI
InTech Event | Cognitive Infrastructure for Enterprise AIInTech Event | Cognitive Infrastructure for Enterprise AI
InTech Event | Cognitive Infrastructure for Enterprise AIInTTrust S.A.
 
Modern Workplace - Shift to Cloud
Modern Workplace - Shift to CloudModern Workplace - Shift to Cloud
Modern Workplace - Shift to CloudInTTrust S.A.
 
In t trust information protection ms-security-event
In t trust information protection ms-security-eventIn t trust information protection ms-security-event
In t trust information protection ms-security-eventInTTrust S.A.
 
Modern workplace g sari-ms
Modern workplace g sari-msModern workplace g sari-ms
Modern workplace g sari-msInTTrust S.A.
 
In t trustm365ems_v3
In t trustm365ems_v3In t trustm365ems_v3
In t trustm365ems_v3InTTrust S.A.
 
InTTrust_intro_ai_2019
InTTrust_intro_ai_2019InTTrust_intro_ai_2019
InTTrust_intro_ai_2019InTTrust S.A.
 
Master the art of Data Science
Master the art of Data ScienceMaster the art of Data Science
Master the art of Data ScienceInTTrust S.A.
 

Plus de InTTrust S.A. (9)

Marketing 2019
Marketing 2019Marketing 2019
Marketing 2019
 
InTech Event | Red Hat OpenShift Container Platform
InTech Event | Red Hat OpenShift Container PlatformInTech Event | Red Hat OpenShift Container Platform
InTech Event | Red Hat OpenShift Container Platform
 
InTech Event | Cognitive Infrastructure for Enterprise AI
InTech Event | Cognitive Infrastructure for Enterprise AIInTech Event | Cognitive Infrastructure for Enterprise AI
InTech Event | Cognitive Infrastructure for Enterprise AI
 
Modern Workplace - Shift to Cloud
Modern Workplace - Shift to CloudModern Workplace - Shift to Cloud
Modern Workplace - Shift to Cloud
 
In t trust information protection ms-security-event
In t trust information protection ms-security-eventIn t trust information protection ms-security-event
In t trust information protection ms-security-event
 
Modern workplace g sari-ms
Modern workplace g sari-msModern workplace g sari-ms
Modern workplace g sari-ms
 
In t trustm365ems_v3
In t trustm365ems_v3In t trustm365ems_v3
In t trustm365ems_v3
 
InTTrust_intro_ai_2019
InTTrust_intro_ai_2019InTTrust_intro_ai_2019
InTTrust_intro_ai_2019
 
Master the art of Data Science
Master the art of Data ScienceMaster the art of Data Science
Master the art of Data Science
 

In t trust_implementing_gdpr_ms_event_2019_09_27

  • 1. Hands-on Security Implementing GDPR Kostas Sfetsos – ksfet@inttrust.gr IT Auditor, Certified DPO Executive InTTrust S.A.
  • 2. Λίγα . . . slides για τον ΓΚΠΔ (GDPR) ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΚΑΤΟΙΚΩΝ ΤΗΣ Ε.Ε. (Υποκείμενα των δεδομένων) Ο GDPR και ο - από 29.8.2019 νόμος 4624 - παρέχει στους κατοίκους της ΕΕ τον έλεγχο των προσωπικών τους δεδομένων μέσω ενός συνόλου δικαιωμάτων. Ενδεικτικά : • Πρόσβαση σε πληροφορίες σχετικά με τον τρόπο χρήσης των προσωπικών δεδομένων • Πρόσβαση στα προσωπικά δεδομένα που διατηρεί ένας οργανισμός • Διαγραφή ή διόρθωση των λανθασμένων προσωπικών δεδομένων • Οριστική διαγραφή ή διόρθωση των προσωπικών δεδομένων υπό ορισμένες συνθήκες (“right to be forgotten”) • Να ζητήσει περιορισμό ή να αντιταχθεί στην αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων • Να λάβει αντίγραφο των προσωπικών δεδομένων
  • 3. Υποχρεώσεις των οργανισμών (υπεύθυνοι ή/και εκτελούντες την επεξεργασία) Ο GDPR επιβάλλει ευρύ φάσμα απαιτήσεων σε οργανισμούς που συλλέγουν ή επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, συμπεριλαμβανομένης της απαίτησης συμμόρφωσης με έξι βασικές αρχές. 1. Διαφάνεια, δικαιοσύνη και νομιμότητα στο χειρισμό και τη χρήση προσωπικών δεδομένων 2. Περιορισμό της επεξεργασίας των προσωπικών δεδομένων σε καθορισμένους, σαφείς και νόμιμους σκοπούς 3. Ελαχιστοποίηση της συλλογής και της αποθήκευσης δεδομένων προσωπικού χαρακτήρα σε εκείνη που είναι επαρκής και σχετική για τον επιδιωκόμενο σκοπό 4. Εξασφάλιση της ακρίβειας των προσωπικών δεδομένων και δικαίωμα για την διαγραφή ή την διόρθωσή τους 5. Περιορισμό του χρόνου αποθήκευσης προσωπικών δεδομένων 6. Κατοχύρωση της ασφάλειας, της ακεραιότητας και της εμπιστευτικότητας των προσωπικών δεδομένων
  • 4. • Ενημέρωση • Συναντήσεις – Συνεντεύξεις - Ερωτηματολόγιο • Διαδικασία Αξιολόγησης • Αξιοποίηση του Microsoft Assessment Tool – Αποτελέσματα (PowerBI Results) • Συμπεράσματα – Προτάσεις • Ψηφιακά Δεδομένα - Φυσικά Δεδομένα • Επόμενα Βήματα : Προτεινόμενες Φάσεις Υλοποίησης Έργου Η Λύση της InTTrust : “Implementing GDPR”
  • 5. Ενημέρωση • Ενημέρωση της Διοίκησης της επιχείρησης σχετικά με την ασφάλεια των δεδομένων και για τον ΓΚΠΔ (GDPR) • Παρουσίαση της μεθοδολογίας συμμόρφωσης • Εντοπισμός των εμπλεκομένων τμημάτων της επιχείρησης • Καθορισμός των αρμοδίων στελεχών για την περεταίρω επικοινωνία • Ενημέρωση των επικεφαλής των εμπλεκομένων τμημάτων σχετικά με την ασφάλεια των δεδομένων, την επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα (ΔΠΧ) και για τον GDPR
  • 6. Συναντήσεις – Συνεντεύξεις • Επί μέρους συνεντεύξεις με τους επικεφαλής των τμημάτων και τεκμηρίωση της επεξεργασίας των δεδομένων ενδιαφέροντος GDPR • Επίσκεψη στούς χώρους φυσικής αποθήκευσης μή μηχανογραφικών δεδομένων (αρχείο), στους χώρους επεξεργασίας και στους χώρους εγκατάστασης και λειτουργίας μηχανογραφικών υποδομών • Συμπλήρωση επί μέρους ερωτηματολογίων – καταγραφή παρατηρήσεων • Διαδικασία συμπλήρωσης του Microsoft Assessment Tool (συνήθως σε συνεργασία με τον IT Manager)
  • 7. Διαδικασία Αξιολόγησης Προσδιορίστε ποια προσωπικά δεδομένα έχετε και που βρίσκονταιDiscover1 Προσδιορίστε τον τρόπο χρήσης και την πρόσβαση των προσωπικών δεδομένωνManage2 Καθιερώστε ελέγχους ασφάλειας για την πρόληψη, ανίχνευση και αντιμετώπιση των ευπαθειών και των παραβιάσεων δεδομένων Protect3 Εκτέλεση αιτημάτων παροχής δεδομένων, αναφορές παραβίασης δεδομένων και διατήρηση της απαιτούμενης τεκμηρίωσης Report4 Evaluate-Improve
  • 8. MS Assessment Tool - Power BI Results
  • 9. MS Assessment Tool - Power BI Results
  • 10. Προτάσεις – Discover (digital data) • Συγκέντρωση των αρχείων των χρηστών σε κεντρικές τοποθεσίες (Windows Server 2016 File server / SharePoint Online) όπου υπάρχει η δυνατότητα να ελεγχθούν και να κρυπτογραφηθούν. • Κατηγοριοποίηση των αρχείων (personal data, classification categories) των χρηστών για την κρυπτογράφηση αυτών μέσω Azure RMS. • Ενημέρωση των χρηστών για την διαδικασία διατήρησης των αρχείων τους και τις δυνατότητες που παρέχει ο οργανισμός.
  • 11. Προτάσεις - Discover (physical data) • Καθιέρωση διαδικασίας με αντικείμενο τον εντοπισμό και την καταγραφή όλων των φυσικών μέσων στα οποία περιέχονται προσωπικά δεδομένα. • Αναζήτηση και καταγραφή των πληροφοριών που αφορούν την κτήση των προσωπικών δεδομένων , συσχέτιση των ευρημάτων με τα σχετικά νομικά θέματα. • Αναγνώριση και τεκμηρίωση (καταγραφή) όλων των διαδικασιών της εταιρίας στις οποίες εμπλέκονται προσωπικά δεδομένα. • Οι διαδικασίες παραγωγής της εταιρίας πρέπει να ελεγθούν για τυχόν απρόσμενη επίδραση (επεξεργασία) σε προσωπικά δεδομένα εκ μέρους των εργαζομένων και να καθιερωθούν πολιτικές αντιμετώπισης κατά περίπτωση. Οι πολιτικές αυτές πρέπει να επικοινωνηθούν σε όλο το προσωπικό. • Όλα τα δεδομένα της εταιρίας πρέπει να κατηγοριοποιηθούν και να καταγραφούν σε σχέση με την ανάγκη προστασίας τους με ειδική μέριμνα για επιχειρηματικά μυστικά και τα προσωπικά δεδομένα. Πρέπει να καθιερωθούν σχετικοί κανόνες προστασίας, συντήρησης, επεξεργασίας και διαγραφής τους. Υψηλή προτεραιότητα Μέτρια προτεραιότητα Χαμηλή προτεραιότητα
  • 12. Προτάσεις – Manage (digital data) • Ανάθεση υπεύθυνων ανά ρόλο για τον έλεγχο την επεξεργασία και την διαχείριση των αρχείων με προσωπικά δεδομένα (O365 roles). • Ενημέρωση των χρηστών μέσω των εφαρμογών (Intune, SharePoint Online, Dynamics) για την διατήρηση και την επεξεργασία των προσωπικών τους δεδομένων. • Δημιουργία συστημάτων (SharePoint, Intune, Dynamics, SQL) για την διατήρηση της συγκατάθεσης, της αποθήκευσης και της επεξεργασίας των προσωπικών δεδομένων των χρηστών. • Αναζήτηση και διαγραφή, όταν χρειαστεί, των προσωπικών δεδομένων των χρηστών (O365 Advanced Εdiscovery, Windows 2016, Dynamics). • Εκμετάλλευση των εργαλείων του O365 (Advanced eDiscovery) για την αναζήτηση και εμφάνιση προσωπικών δεδομένων.
  • 13. Προτάσεις - Manage (physical data) • Με στόχο τη συντήρηση και την προστασία παντός είδους δεδομένων της εταιρίας, πρέπει να γινει κατηγοριοποίηση και καταγραφή τους. • Δημιουργία και εφαρμογή κανόνων και διαδικασιών μεταφοράς δεδομένων εντός και εκτός εταιρίας, με γνώμονα τη συμμόρφωση με τον GDPR. • Αναθεώρηση του συστήματος διαχείρισης κινδύνου της εταιρίας, συμπεριλαμβάνοντας τα στοιχεία που προκύπτουν από την επίδραση των προσωπικών δεδομένων, στην ανάλυση κινδύνου της εταιρίας. • Δημιουργία πολιτικής προστασίας δεδομένων της εταιρίας και καθιέρωση διαδικασίας ενημέρωσης του προσωπικού για την πολιτική αυτή ανά τακτά χρονικά διαστήματα. • Δημιουργία (περιγραφή) και ανάθεση καθηκόντων Υπεύθυνου Προστασίας Δεδομένων (DPO). Δημιουργία (περιγραφή) καθηκόντων και ορισμός Υπεύθυνου Επεξεργασίας Δεδομένων (DPM) και Εκτελούντος(ων) την Επεξεργασία (ΡΟ). Υψηλή προτεραιότητα Μέτρια προτεραιότητα Χαμηλή προτεραιότητα
  • 14. Προτάσεις – Protect (digital data) • Δημιουργία πολιτικών ασφαλείας (Group Policies, Intune, LOG Analytics) για τον έλεγχο, την προστασία και την παρακολούθηση των τερματικών σταθμών των χρηστών. • Προστασία της ταυτότητας εισόδου των χρηστών στα εταιρικά δεδομένα (Group Policies, MFA) • Εφαρμογή συστημάτων προστασίας των δεδομένων των χρηστών (Bitlocker, O365, Intune) στους τερματικούς σταθμούς και τις συσκευές τους. • Κρυπτογράφηση των προσωπικών δεδομένων των χρηστών (Azure Information Protection) • Ενημέρωση και εκπαίδευση των χρηστών για τις δυνατότητες που παρέχει ο οργανισμός για την κρυπτογράφηση των προσωπικών δεδομένων. • Δημιουργία συστήματος (O365 DLP, EMS) ειδοποίησης και ενημέρωσης των διαχειριστών των συστημάτων για την διαρροή προσωπικών δεδομένων. • Δημιουργία διαδικασίας συνεχούς εκτίμησης των πληροφοριακών συστημάτων του οργανισμού (Azure LOG Analytics)
  • 15. Προτάσεις - Protect (physical data) • Δημιουργία καθηκόντων και δικαιωμάτων πρόσβασης σε δεδομένα και επεξεργασίες για τους εργαζόμενους με γνώμονα την χρήση, συντήρηση, προστασία και αποθήκευση των προσωπικών δεδομένων. • Με στόχο τη συντήρηση και την προστασία παντός είδους δεδομένων της εταιρίας, πρέπει να γινει κατηγοριοποίηση και καταγραφή τους. • Όλα τα δεδομένα της εταιρίας πρέπει να κατηγοριοποιηθούν και να καταγραφούν σε σχέση με την ανάγκη προστασίας τους με ειδική μέριμνα για επιχειρηματικά μυστικά και τα προσωπικά δεδομένα. Πρέπει να καθιερωθούν σχετικοί κανόνες προστασίας, συντήρησης, επεξεργασίας και διαγραφής τους. • Δημιουργία και εφαρμογή κανόνων και διαδικασιών μεταφοράς δεδομένων εντός και εκτός εταιρίας, με γνώμονα τη συμμόρφωση με τον GDPR. • Οι διαδικασίες παραγωγής της εταιρίας πρέπει να ελεγθούν για τυχόν απρόσμενη επίδραση (επεξεργασία) σε προσωπικά δεδομένα εκ μέρους των εργαζομένων και να καθιερωθούν πολιτικές αντιμετώπισης κατά περίπτωση. Οι πολιτικές αυτές πρέπει να επικοινωνηθούν σε όλο το προσωπικό. Υψηλή προτεραιότητα Μέτρια προτεραιότητα Χαμηλή προτεραιότητα
  • 16. Προτάσεις – Report (digital data) • Δημιουργία διαδικασίας για την συνεχή ενημέρωση (Ο365 Compliance) των διαχειριστών του οργανισμού για το πλαίσιο ελέγχου, διατήρησης και επεξεργασίας προσωπικών δεδομένων. • Αναζήτηση και διατήρηση στοιχείων (Azure Log Analytics, O365 Unified Audit log, Windows Server 2016 Advanced Audit Policy Configuration) επεξεργασίας προσωπικών δεδομένων των χρηστών. • Δημιουργία συστήματος παρακολούθησης (Azure RMS) και ενημέρωσης των διαχειριστών των αρχείων με προσωπικά δεδομένα. • Εφαρμογή πρότυπου συστήματος συνεχούς συλλογής και εκτίμησης (Azure Monitor) των πληροφοριακών συστημάτων του οργανισμού σχετικά με την εφαρμογή των κανονισμών προσωπικών δεδομένων.
  • 17. Προτάσεις - Report (physical data) • Καθιέρωση διαδικασίας με αντικείμενο τον εντοπισμό και την καταγραφή όλων των φυσικών μέσων στα οποία περιέχονται προσωπικά δεδομένα. • Αναζήτηση και καταγραφή των πληροφοριών που αφορούν την κτήση των προσωπικών δεδομένων και συσχέτιση των ευρημάτων με τα σχετικά νομικά θέματα. • Αναγνώριση και τεκμηρίωση (καταγραφή) όλων των διαδικασιών της εταιρίας στις οποίες εμπλέκονται προσωπικά δεδομένα. • Με στόχο τη συντήρηση και την προστασία παντός είδους δεδομένων της εταιρίας, πρέπει να γίνει κατηγοριοποίηση και καταγραφή τους. • Αναθεώρηση του συστήματος διαχείρισης κινδύνου της εταιρίας, συμπεριλαμβάνοντας τα στοιχεία που προκύπτουν από επίδραση προσωπικών δεδομένων, στην ανάλυση κινδύνου της εταιρίας. • Τα δεδομένα της εταιρίας θα κατηγοριοποιηθούν σε σχέση με την ανάγκη προστασίας τους με ειδική μέριμνα για επιχειρηματικά μυστικά και τα προσωπικά δεδομένα. Θα καθιερωθούν σχετικοί κανόνες προστασίας, συντήρησης, επεξεργασίας και διαγραφής τους. • Δημιουργία και εφαρμογή κανόνων και διαδικασιών μεταφοράς δεδομένων εντός και εκτός εταιρίας, με γνώμονα τη συμμόρφωση με τον GDPR. • Οι διαδικασίες παραγωγής της εταιρίας θα ελεγθούν για τυχόν απρόσμενη επίδραση (επεξεργασία) σε προσωπικά δεδομένα εκ μέρους των εργαζομένων. Θα καθιερωθούν πολιτικές αντιμετώπισης κατά περίπτωση. Οι πολιτικές αυτές θα επικοινωνηθούν σε όλο το προσωπικό. Υψηλή προτεραιότητα Μέτρια προτεραιότητα Χαμηλή προτεραιότητα
  • 18. Σημαντική Παρατήρηση: Ολοκληρώνοντας πρέπει να τονίσουμε στις ενδιαφερόμενες για συμμόρφωση επιχειρήσεις, ότι ένας μεγάλος αριθμός των ανωτέρω προτεινόμενων – μηχανογραφικών και μη – ενεργειών, καλύπτεται με αυτοματοποιημένο τρόπο, με την προμήθεια και την αξιοποίηση εργαλείων της Microsoft όπως τα Μicrosoft365, Office365 με EMS (Enterprise Mobility & Security) και Windows 10. Δεδομένου δε του γεγονότος ότι η συμμόρφωση οφείλει να είναι μια διαρκής και εξελισσόμενη κατάσταση, η χρήση κατάλληλων εργαλείων σε συνδυασμό με τις διαδικασίες εξασφαλίζει τη διάρκεια της νομιμότητας.
  • 19. • http://www.inttrust.gr/gdpr-implementation-services • https://resources.office.com/en-landing-ondemand-CE-M365-AWR-WBNR-FY19-09Sep-04-InTTrust-SA-MCW0008846.html info@inttrust.gr +30 210 6513040 2, Ipeirou Str., 15341, Ag. Paraskevi, Athens, Greece More info : Hands-on Security Implementing GDPR Microsoft has the products, InTTrust delivers the Solution