gdpr: 4 claves sobre seguridad para afrontar un ...€¦ · plataformas big data descubrimiento,...
Post on 04-Oct-2018
218 Views
Preview:
TRANSCRIPT
GDPR: 4 claves sobre Seguridad para afrontar un cumplimiento efectivo
Zulayka VeraLíder de Consultoría de Seguridad, IBMzulaykavera@es.ibm.com
Ya no es
suficiente con
“no incumplir”
Prevención
Responsabilidad
proactiva
Desde el
diseño
Por defecto
GuardiumTécnicas
Organizativas
Garantizar
Demostrar
Guardium
Evaluación de impacto-riesgo que determine las medidas
¿Medidas de
Responsabilidad
proactiva?
¿Riesgo
Alto?
NO
Medidas de
Protección de Datos
desde el Diseño
Medidas de
seguridad
Evaluación de
Impacto
(sobre protección
de los derechos)
¡Previo al
tratamiento!
SÍMedidas, garantías,
mecanismos para:
Mitigar riesgos
Garantizar protección datos
Demostrar conformidad
Evaluación
de Riesgos
de los ttos de datos
¿Se tratan datos sensibles? ¿Se incluyen datos de una gran cantidad
de personas? ¿Incluye el tratamiento la elaboración de perfiles? ¿Se
cruzan los datos obtenidos de los interesados con otros disponibles en
otras fuentes? ¿Se están tratando grandes cantidades de datos,
incluido con técnicas de análisis masivo (big data)? ¿Se pretende
utilizar los datos obtenidos para una finalidad para otro tipo de
finalidades? ¿Se utilizan tecnologías especialmente invasivas
para la privacidad, como las relativas a geolocalización,
videovigilancia a gran escala o ciertas
aplicaciones del IoT?
Security Review Services
Security Review Services
Security Review Services
Security Review Services
Seguridad del tratamiento
Medidas técnicas y
organizativas de seguridad
Seudonimización
Cifrado datos
Confidencialidad integridad,
disponibilidad y resiliencia de SSII
y servicios de tratamiento.
Restauración rápida de
disponibilidad y el acceso
Verificación, evaluación y valoración
regulares de la eficacia de las
medidas
Otras…
Guardium
Resilient Incident Response Platform
Guardium
Guardium
Notificación de la violación de la seguridad de los datos
¿Notificar
violación de la
seguridad de
los datos?
Improbable
Demostrar
Notificación no
requerida
Informe detallado Resilient Incident Response Platform
SÍ Notificar AEPD < 72h
Si alto Notificar
afectados asap
Informe detallado
Evaluación de
Riesgos de
la violación
¿Posible discriminación de los afectados?
¿Usurpación de identidad?
¿Perjuicios económicos?
¿Exposición pública de datos confidenciales?
(p. ej., en casos en que se desvele información
confidencial, como contraseñas o participación en
determinadas actividades, se difundan de forma
masiva datos sensibles, …)
Security Review Services
¿Riesgo
para
afectados?
SOLUCIONES Y SERVICIOS
EFICACES Y EFICIENTES
IBM Security Review Services
Evaluación de Riesgos de los Tratamientos
Datos
• Tipo:
Sensibles
(biométricos,…)
Especiales
• Titularidad
• Dimensionamiento
Evaluación de Impacto sobre la protección
¡¡Previo al tratamiento!!
Proyecto
[Toma de Requisitos]
• Tratamientos
• Datos
Desde el
diseño
Por
defecto
Cumplimiento Continuo
Proyecto
[Toma de Requisitos]
• Tratamientos
• Datos
Desde el
diseño
Por
defecto
Proyecto
[Toma de Requisitos]
• Tratamientos
• Datos
Desde el
diseño
Por
defecto
Iniciativa XXXX[Diseño y Toma de Requisitos]
• Tratamientos
• Datos
Desde el
diseño
Por
defecto
Security Review Services
Medidas a aplicar
Tratamientos
• Datos en tránsito
• Transferencias
internacionales
• Capturas
• Tipo de
almacenamiento
• Uso
• Borrado/dcho
olvido
• Portabilidad
IBM Security Guardium
Bases de Datosy Data
Warehouses
Sistemas de Ficheros
Aplicaciones
Plataformas Big Data
Entornos cloudDescubrimiento, clasificación, evaluación de vulnerabilidades, informes de accesos y permisos
Cifrado, enmascaramiento.
Monitorización de la actividad de los datos y los ficheros (incl. usuariosprivilegiados)
Bloqueo dinámico de accesos y enmascaramiento, alertas y cuarentena
Automatización del cumplimiento legal/normativo y auditoría
ANALYTICS
• Arquitectura no-invasiva
Fuera de la Base de Datos
Impacto mínimo en rendimiento
Sin cambios al DBMS o
aplicativos
• Solución multi-plataforma (host z/OS,
Wintel, Hadoop, Teradata,…)
• 100% visibilidad: accesos locales y
remotos
• Refuerza segregación de funciones
• No depende de los logs nativos del
DBMS
• Granular, políticas y auditoría en
tiempo real: Quién, dónde, cuándo,
cómo.
IBM Resilient Incident Response Platform
Unifica la operación de seguridad y la respuesta a incidentes
Resilient Systems extiende las capacidades de IBM para crear una de las
soluciones más completas de la industria para prevenir, detectar y responder.
Integra personas, tecnología y procesos.
Automatiza y proporciona un orquestador para la gestión
de la respuesta
Resilient Systems permitirá a los equipos de seguridad orquestar los
procesos de respuesta, y resolver incidentes más rápido, más
eficazmente y de forma más inteligente
Se integra a la perfección con productos IBM y de terceros
Resilient Systems se integra con productos IBM (ej: SIEM Qradar, Guardium)
y otras soluciones de terceros para que la organización pueda solucionar los
incidentes con garantías de éxito
Resilient Incident Response Platform
top related