EU s dataskyddsförordning Krav, utmaningar och möjligheter

Relevanta dokument
EU s dataskyddsförordning Krav, utmaningar och möjligheter. David Ahlén, Micro Focus Peter Olsson, Karlstads kommun Lars Nikamo, Micro Focus

EU s dataskyddsförordning Krav, utmaningar och möjligheter

Per Rasck Tjänsteansvarig. Tobias Ljunggren IAM Arkitekt

PULSENDAGARNA GDPR. EU:s dataskyddsförordning ÅRETS MÖTESPLATS FÖR INSPIRATION & INNOVATION

Identity Management i ett nätverkssäkerhetsperspektiv. Martin Fredriksson

tisdag 8 november 11

WELCOME TO. Value of IAM in Business Integrations

PhenixID & Inera referensarkitektur. Product Manager

Pulsen IAM: Del 2 Trender och teknik för morgondagens utmaningar. Tobias Ljunggren, PULSEN

PhenixID + Zappa. Livscykelhantering, Autentisering och Single Sign-On

Windows 8 och det nya arbetslivet. Magnus Holmér IT strategisk rådgivare

Erik Wahlström Product Strategist 28/01/15

SMART ARBETSPLATS. En uppfinning som ger tid till annat. Inge Hansson IT chef. Kommunschefskonferens f Stockholm

Paketerad med erfarenhet. Tillgänglig för alla.

Introduktion till molntjänster Tekniken bakom molntjänster och legala utmaningar

Acando Simplifying GDPR. ACANDO CAPABLE BUSINESS GDPR Från ord till handling

nexus Hybrid Access Gateway

Statistiska centralbyrån

Övning 1: Skapa virtuell maskin för utveckling.

Mobil åtkomst. Sören Pettersson. David Ahlén. Client Executive Identity and Security Specialist, CISSP

Freja eid. Anders Henrikson

Sectra Critical Security Services. Fel bild

Mikael Daremo, IT-chef Lars Nikamo, Novell

Hur man skyddar sig på internet

Tillgång till alla globala delar i systemet styrs av denna profil, som i sin tur kopplas till respektive användare.

Identity Management för Microsoft

Authentication Context QC Statement. Stefan Santesson, 3xA Security AB

Lösenordsportalen Hosted by UNIT4 For instructions in English, see further down in this document

Mobilt Efos och ny metod för stark autentisering

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

Single Sign-On internt och externt

Statistiska centralbyrån

Enterprise App Store. Sammi Khayer. Igor Stevstedt. Konsultchef mobila lösningar. Teknisk Lead mobila lösningar

Tekniska lösningar som stödjer GDPR

Mobila metoder för inloggning VÅRD OCH OMSORG SVENSK E-IDENTITET

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Framtiden inom geografisk IT, trender och vad som kommer påverka alla som arbetar med GIS. Lars Backhans, ESRI

GDPR. General Data Protection Regulation

GDPR ur verksamhetsperspektiv

Main headline. Affärsvärde till Perstorp AB Headline. mha appar SAPSA IMPULS

Identitet, kontroll & spårbarhet

Ta kontroll över dina loggar och gör dem användbara!

Alternativet är iwindows registret som ni hittar under regedit och Windows XP 32 bit.

Unified Communication. Martin Lidholm

Att utveckla och skapa en effektiv och dynamisk process för konsolidering och rapportering

Morgondagens arbetsplats Användarnas syn på trenderna och teknologierna som skapar den. Annsofie Petersson IDC

MONA-handledning. 1. Inloggning. Version 2 1(5) Användarhandledning - UTKAST MONA-support. 1. Inloggning 2. Användning 3.

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Tekniska lösningar som stödjer GDPR

Kerberos baserad Single Sign On, tillämpningsexempel

Översikt av GDPR och förberedelser inför 25/5-2018

Den säkra mobila arbetsplatsen Jesper Svegby Pointsec Mobile Technologies

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

FÖRETAGSKONTO PERSONKONTO MED BETALKORT

Privacy Notice Ålö Group. Customers Integritetspolicy Sverige Privacy Notice UK, North America and International

Acano cospace Solution

Intro icore Cloud Services. What about the cloud!

Trender inom Nätverkssäkerhet

VEMS ANSVAR ÄR DET ATT DATASKYDDSFÖRORDNINGEN EFTERLEVS? Copyright Forcepoint. 2

Mobilt Efos och ny metod för stark autentisering

Nya möjligheter med M3 Technology. Björn Svensson, Björn Torold

Risk, security, and legal analysis for migration to cloud. PART 3: Privacy and security management

OBS! Det är av största vikt att innan konfiguration av modulen, genomfört de inställningar som presenteras med bilagorna till denna manual.

Infrastruktur med möjligheter

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Smart Services med Cisco och våra partners

Datasäkerhet och integritet

Mobilt Efos och ny metod för stark autentisering

Designprinciper för säkerhet och Epilog. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

SÅ LYCKAS DU MED DIN MOLNSTRATEGI. Frukostseminarium 7 februari 2017

BILAGA 1 Definitioner

Förändrade förväntningar

För att kunna byta till online licens (man kan alltid byta tillbaka) så behöver man ha några saker redo innan man börjar denna guide.

Arrow - Cloudification. Niklas Akerö Hosting/Cloud Sales Manager

OFFICE 365 OCH LICENSIERING. Fredrik Gotting, IT Strategy & Development Manager, Pulsen

SharePoint 2010 licensiering Wictor Wilén

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Identifierad och igenkänd, men sen då? Anne-Marie Eklund Löwinder Kvalitets- och

Configuration Management

JobOffice SQL databas på server

Aditro Our focus benefits yours Molnet -- Presentation

CIO MÖTE OSLO 17/11 INFORMATION // INTELLIGENCE // ADVICE. Radar Ecosystem Specialists

Schenker Privpak AB Telefon VAT Nr. SE Schenker ABs ansvarsbestämmelser, identiska med Box 905 Faxnr Säte: Borås

Problem som kan uppkomma vid registrering av ansökan

Hur man betalar skatten via Bahamas Government s hemsida

HUR OCH VARFÖR DIGITAL!

Checklista Säljföretag (svenska e-handelsföretag)

Aditro Our focus benefits yours Nyhetsdagar för användare av Aditros lösningar för Privat Marknad Sverige Aditro HRM Suite

Säker informationshantering

Installation/första start av DEP-ansluten ios-enhet

802.11b Wireless router w. 4 port switch. StarTech ID: BR411BWDC

Certifikatbaserad inloggning via SITHS, tillämpningsexempel

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

EVRY One Outsourcing Linköping AB. Erfaranheter av daglig drift och nyttjande av IFS Applications 8.

Policy för användande av IT

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område,

ezecontrol en webtjänst för dataloggning, styrning och larm Version _up

Information technology Open Document Format for Office Applications (OpenDocument) v1.0 (ISO/IEC 26300:2006, IDT) SWEDISH STANDARDS INSTITUTE

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

UTLYSNING AV UTBYTESPLATSER VT12 inom universitetsövergripande avtal

Transkript:

EU s dataskyddsförordning Krav, utmaningar och möjligheter David Ahlen david.ahlen@microfocus.com Lars Nikamo lars.nikamo@microfocus.com

Micro Focus 80+ Kontor 4,500+ Anställda $1.4 Miljarder Omsättning 20,000+ Kunder 5,000+ Partners TOP* 15 * IDC WORLDWIDE SOFTWARE 2012-2016 FORECAST; PROFORMA THE ATTACHMATE GROUP WORLDWIDE SYSTEM INFRASTRUCTURE SOFTWAREVENDOR

Svenska kunder 3 Ca 100 KOMMUNER

Omvärldsanalys

Analytikerna IDC Gartner 5

Identiteten är den kritiska bäraren IDC Gartner 6

Analytikerna Gartner År 2020 kommer 80% av digitala accesser vara mobiler och icke-managerade PC:s, 5% idag År 2020 kommer 60% av de digitala identiteterna som interagerar med organisationen komma från externa identitetsutställare, idag mindre än 10% År 2020 kommer 80% av alla organisationer ge fri tillgång till icke-kritisk information År 2020, kommer 70% av alla organisationer använda attributbaserad kontroll för att skyddsvärd information. År 2020, kommer 60% av identitetsinformation och intelligens skapa direkt affärsvärde, idag mindre än 5% År 2020, kommer Internet av saker omdefiniera konceptet Identitetshantering till att omfatta vad personer äger, delar och använder 2013 Gartner, Inc. and/or its affiliates. All rights reserved

Aktuella trender och utmaningar Mobilitet Öppenhet och transparens gällande information/data Molntjänster, t ex Office 365 och Google Apps Ökat säkerhetsfokus Ransomware ID-stölder Nationella initiativ som t ex: 8 e-legitimation 2.0 Skolfederation SAMBI MELKER HSA/SITHS Självservice och delegerad administration Leverera "IT-tjänster" till verksamheten Multisourcing Samverkan e-tjänster Digitala livscykler Behörigheter Attribut Internet of Things (IoT) Egen omskrivning... "The Identity of Everything"

Varför Dataskyddsförordningen?

INTEGRITET & ÖPPENHET

Så varför dessa mörka rubriker? IDG.se 28/5-2015 11

Tydligare skyldigheter och ökat ansvar Transparens och Samtyckeshantering större krav på öppenhet vad gäller behandlingen, information till enskilda ska vara klar och tydlig Privacy by design/default före och under behandlingen ( dataminimering ) Skyldighet att kunna påvisa adekvat hantering förteckning över behandling (även för biträde, lättnad för små / medelstora organisationer), personuppgiftspolicy i princip obligatoriskt Konsekvensanalyser obligatoriska vid behandling med hög risk för enskildas fri- och rättigheter

Dataintrång? Omedelbar anmälan vid bristande säkerhet Vid dataintrång ska den personuppgiftsansvarige utan dröjsmål underrätta den nationella tillsynsmyndigheten (senast inom 72 timmar) Om det inte är osannolikt att intrånget resulterar i en risk för individers fri- och rättigheter Dataintrånget ska även kommuniceras till den enskilde om det är sannolikt att intrånget påverkar t.ex. skyddet för personuppgifter eller den enskildes integritet Personal data breach means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored or otherwise processed

Cyberbrott There are two types of companies: those that have been hacked, and those who don't know they have been hacked John Chamber CEO, Cisco 1995-2015 14

15

16

Cyberbrott Topp 3 branscherna är som tidigare offentlig-, information och finanssektorn 17

Cyberbrott Hur investerar vi i IT-säkerhet i relation till detta? 18 Källa: Verizon DIBR 2015 - Variety of hacking actions within Web App Attacks pattern

Hur går man tillväga?

Inte bara teknik.. Riskanalys Datainventering och klassificering enl. exempelvis LOA Förstudie Vad finns och vad saknas för att hantera definierade risker? Prioritera Åtgärda..och inte enligt vattenfallsmodellen

IAS relaterat till Dataskyddsförordningen

Ett ramverk kring identitet, åtkomst och säkerhet Processer, lagar, verksamhetsbehov etc. 22

Intelligent åtkomst Hantering av behörighet Identitetshantering Hantera konto/behörighet Via beställning Automatiserad process Certifiera Verksamhetens uppgift konton/behörigheter Autentisering och auktorisering Access Management Verifiera vem som får åtkomst, och vad krävs för att få det Stark Autentisering Flera faktorer Övervakning och kontroll Security Management Upptäck vad som händer Intrång Annorlunda beteende Vem har gjort vad, vart och när gjordes det? 23

Privacy by design / Privacy by default Förebyggande kontroller Identitetshantering och processer Certifiering av konton och behörigheter Åtkomstkontroll och stark autentisering Uppföljning Loggning/spårbarhet Upptäck avvikande beteende Påvisa att man lever upp till krav med rapporter

Tekniska kontroller

Minska risken för intrång 1. Inför stark autentisering för administratörer och priviligierade användare

Utmaningen Access points IT-infrastructure Access: User devices, networks, access to servers Building Enterprise Application Access: ephi and EMR Financial Remote Kiosks and workstations Cloud/Web access: Web applications Intranet information Federated access (to or from) Other Execution of transactions Signing of transactions Business data (storage) And more.. Authentication methods Smart Cards Contact and Contactless Cards, PKI cards Biometrics Fingerpoint, Iris, Vein, Voice Smartphone One-Time-Password (OTP), Out-of-Band, LiveEnsure Radius Cryptocard, Phonefactor, SMS-Passcode etc. Tokens Software tokens, hardware tokens Knowledge based Secret (phrase) questions, Passwords, PINcodes Other Social Login, federated authentication, Thumb drive, Flash drive+pin

Advanced Authentication Access points IT-infrastructure Access: User devices, networks, access to servers Building Enterprise Application Access: ephi and EMR Financial Remote Kiosks and workstations Cloud/Web access: Web applications Intranet information Federated access (to or from) Other Execution of transactions Signing of transactions Business data (storage) And more.. AAF LDAP Authentication administration Delegation PIN caching etc. Authentication methods Smart Cards Contact and Contactless Cards, PKI cards Biometrics Fingerpoint, Iris, Vein, Voice Smartphone One-Time-Password (OTP), Out-of-Band, LiveEnsure Radius Cryptocard, Phonefactor, SMS-Passcode etc. Tokens Software tokens, hardware tokens Knowledge based Secret (phrase) questions, Passwords, PINcodes Other Social Login, federated authentication, Thumb drive, Flash drive+pin

E-Mail Userid / Password str@@t78 streat78111 1234 Planning Userid / Password Where is it? Welcom123 Performance Hardware token Travel SMS or Pin Inspired by Dutch eherkenning

Choose E-Mail Userid / Password Planning Userid / Password Single Sign-On Performance Hardware token Travel SMS or Pin

Minska risken för intrång 2. Arbeta med risk för att skydda information och hantera avvikande beteende

Riskbedömning

Riskbaserad autentisering Resource or Application Financials HR Salesforce Travel Site Café Menu IP Address Geolocation User Profile External Parameters Risk Engine User History HTTP Headers User Cookies Device ID Calculated Level of Risk Low risk Medium Risk High Risk Allow Access Confirm Step-up Deny Access

Kräv stark autentisering vid behov Risk Score 132 PARAMETERS Username, Password HTTP Header IP Address & History Geo Location Known Cookie Device Fingerprint Last Login Cookie User Attributes CURRENT PATTERN ern Entered Inline with Configuration Within Valid Range Standard location Valid Cookie Valid Device Fingerprint Login from last used device present Valid user attributes

Behörighetsgranskning Din kollega Anders Svensson har följande behörighet: Applikation: SITHS-kort Granskningsföremål: Behörighet Vägledning : Denna behörighet verkar olämplig. Behåll Ta bort Anders loggade senast in den 3 november 2015. Anders har loggat in med SITHS-kort 1 gång under de senaste 180 dagarna. 5% av användare liknande Anders har ett SITHS-kort. Anders blir den enda användaren inom ekonomiavdelningen med ett SITHS-kort. Om Anders Svensson Titel: Ekonomiassistent Avdelning: Ekonomi Placering: Kommunhuset, Säffle Om SITHS-kort Denna behörighet innebär att användaren tilldelas ett SITHS-kort vilket medger inloggning i vård- och journalapplikationer. Detta är en behörighet förknippat med hög risk. Ett SITHS-kort kostar cirka 2500 kronor per år och användare. 50 användare inom organisationen har SITHS-kort. Handläggare inom socialförvaltningen är de vanligaste användarna med denna behörighet. 36

Admin-Time decisions Personliga Attribut Runtime decisions Miljö Attribut Kalle Jansson Gruppchef UserID KJansson Given name Kalle Surname Jansson Gender Man Relationship Anställd Number 50342 Department Support Title Gruppchef Location Göteborg Country Sverige Cost Center 3487 Relationship 8:e Juni 2007 since UserID Kjansson Date Onsdag, 6:e Juli Time 02:15 Location Göteborg Device Windows 10 Authentication Time-based One-time Password............... Roller Analys UserID Role Role Role Role. Kjansson Gruppchef Gruppchef Göteborg IT-support skola.. Låg UserID Kjansson Last login Tisdag, 5:e Juli 13:00 Account Activity Baseline Göteborg 9 5 Historical Behaviour Kopierat 843GB från /Users/Home/* to C:\Personal.... Hög

Minska risken för intrång 3. Erbjud säker och enkel åtkomst för mobila användare

Åtkomst oavsett enhet

Mobile Access Erbjuder säker åtkomst för applikationer i mobiler utan att behöva utveckla nya appar Enkelt att nyttja för både användare och administratör Minskad risk vid förlust eller stöld Tar bort behovet av att lagra interna lösenord på mobiler

Minska risken för intrång 4. Börja arbeta med Priviligierad kontohantering

Priviligierade konton Hantera åtkomst för priviligierade användare Identity Governance & Administration Säkerställ att man endast kan göra det man får Övervaka och spara (spela in) aktivitet i känsliga system och applikationer. User Activity Monitoring Identity-Powered Security Access Management & Authentication

Påvisa adekvat hantering 5. Kunna påvisa regelefterlevnad

Påvisa kontroll Rapportering SIEM Certifiering Övervaka hanteringen Leta efter avvikelser Vad är normalt?

Generera och distribuera rapporter Inkluderar fördefinierade rapporter Rapporter kan schemaläggas och skickas via epost Ad-hoc sökningar i insamlat loggdata kan sparas som rapporter 46

Åtkomst till filer och program

Upptäcka avvikelser 48

Hantera suspekt aktivitet

Hantera samtycke 6. Kunna hantera, synkronisera och rapportera samtycke

Samtyckeshantering Funktioner för elektronisk signering, hantering och rapportering avseende samtycken. Synkronisering av samtycken till kopplade system Möjlighet att se vart information finns lagrad Förenklar framtida borttagning enl. rätten att bli glömd

Rätten att bli glömd 7. Kunna säkerställa individens rättigheter och samtidigt uppfylla legala krav

Avser konton såväl som personuppgifter Minska antalet konton via federation Automatisera skapande/borttagning av konton Granskning Finns det kvar konton som saknar ägare? Rapportera Påvisa regelefterlevnad

Sammanfattning Börja planera, plocka samtidigt lågt hängande frukt Stark autentisering löser många problem Ta fram en strategi för identitet, åtkomst och säkerhet Isolera inte detta till Dataskyddsförordningen

www.microfocus.com

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss