Archive for the ‘GDPR’ Category

GDPR: who needs to hire a data protection officer?

July 4th, 2017

The clock is ticking to GDPR – here’s our guide to the role of a data protection officer and whether you need to hire one

Posted in data protection officer, DPO, GDPR, GDPR compliance, Security leadership | Comments (0)

Preparing for GDPR – Navigating a Perfect storm in Healthcare

June 28th, 2017

This is the fifth in a series of blog posts designed to help enterprise security and business executives prepare for GDPR throughout 2017

Recent ransomware incidents have put a spotlight firmly on the state of security within healthcare and there’s a perception that this industry is trailing others. Is that fair?

If we look at data loss prevention (DLP), which is particularly relevant with GDPR now less than a year away, then the 2016 Data Protection Benchmark Study from the Ponemon Institute, sponsored by McAfee, sheds some light. It puts healthcare “running about six months behind other industries” in terms of DLP deployment length and maturity.

And that’s important, not just because healthcare can be a matter of life and death, but because of the value of that particular data. Ponemon puts an average value of $355 on each patient record.

Meanwhile healthcare comes in second to only financial services in Verizon’s 2017 Data Breach Investigations Report, accounting for 15 per cent of all breaches.

So is this a perfect storm? On the one hand GDPR will mean significant penalties and a consistent framework to adhere to, while on the other hand the bad guys see an industry with valuable data that could be better protected.

Intel’s recent research, of 88 healthcare and life sciences organisations spanning nine countries, highlights a staggering range in readiness for attacks by ransomware, for example, judging by the number of relevant security capabilities these organisations have in place. It may seem strange to connect a discussion on GDPR and ransomware but it makes sense. What is ransomware if not a denial of service against data and how can you be sure that attackers can’t access the data they just encrypted? If you can’t stop the ransomware in the first place, there is a good chance you can’t stop the exfiltration in the next phase of the attack.

However, there are sensible steps the healthcare industry can take to become GDPR-ready. For these causes of data loss in healthcare, for example, Verizon’s report recommends specific actions:

Miscellaneous errors – which in 76 per cent of cases are embarrassingly pointed out by a customer – Have, and enforce, a formal procedure for disposing of anything that might contain sensitive data. And establish a four-eyes policy for publishing information.

Physical theft and loss – Encrypt wherever possible data at rest and establish handling procedures for printing out sensitive data.

Insider and privilege misuse – Implement limiting, logging and monitoring of use, and watch out for large data transfers and use of USB devices.

(Source: Verizon 2017 Data Breach Investigations Report.)

We would more broadly add that you can’t protect what you can’t detect. Visibility is key. As the Ponemon research put it, DLP solutions should cover data at rest, in processing and in motion, on the corporate network, endpoints and clouds. They form the basis of a good data security programme. Adequate staffing is also important and while automation and machine learning will help, they cannot replace staff entirely.

Some final guidance: Organisations can protect their sensitive data and be more likely to be GDPR-ready by taking these five critical steps:

  • Conduct an Impact and Readiness assessment
  • Review current data security programme to ensure you can prevent accidental and malicious data theft attempts
  • Assess application and DevOps security controls and procedures
  • Review your use of cloud infrastructure and software-as-a-service to minimise exposure to data loss
  • Develop specific data breach detection and response capability in the SOC

The post Preparing for GDPR – Navigating a Perfect storm in Healthcare appeared first on McAfee Blogs.

Posted in GDPR, healthcare, Safeguard Data, safeguard vital data | Comments (0)

GDPR: how to avoid the data protection cowboys

June 21st, 2017

As we keep reminding you, GDPR is now less than a year away. Here are our tips to help you pick the right person to help you get ready for it

Posted in Compliance, GDPR, GDPR compliance | Comments (0)

Se préparer au RGPD en 2017 – Quatrième partie : votre SOC

June 13th, 2017

Cet article de blog est le quatrième d’une série dont le but est d’aider les dirigeants d’entreprise et les cadres responsables de la sécurité à se préparer au RGPD tout au long de l’année 2017.

 

L’une des exigences fondamentales du nouveau règlement général sur la protection des données (RGPD) est la notification des violations de données. Bien entendu, pour pouvoir signaler une violation de données, encore faut-il pouvoir la détecter, ce qui n’est pas toujours chose aisée.

Une étude de McAfee Labs a révélé que plus de 53 % des incidents sont détectés par un tiers. De plus, selon une enquête sur la réponse aux incidents réalisée par le SANS Institute en 2016, seuls 16 % environ des centres des opérations de sécurité (SOC) étaient considérés comme matures.

D’après ma propre expérience, nombre de ces centres se consacrent essentiellement à la traque des logiciels malveillants et s’intéressent très peu aux menaces internes ou à l’exfiltration de données. Ce qui nous amène à d’autres statistiques plus alarmantes encore. Selon une étude de 2016 du Ponemon Institute, seuls 24 % des entreprises sont capables d’identifier en moins de 24 heures les accès non autorisés à leurs systèmes critiques.

Tout cela me porte à croire que la plupart des centres des opérations de sécurité ne sont pas prêts pour la conformité au RGDP.

Voici donc quelques mesures que je les encourage à prendre pour améliorer leur état de préparation.

 

Comprendre la transition

La première étape consiste à analyser la situation actuelle de votre entreprise et à élaborer un plan d’évolution. Pour vous aider à évaluer les capacités de vos opérations de sécurité en matière de détection des violations de données et de réponse à ces incidents, je vous propose un modèle simple en trois étapes, illustré ci-dessous.

 

D’après mon expérience, la plupart des clients se situent entre les niveaux 1 et 2. Toutefois, ils sont toujours plus nombreux à envisager l’adoption de technologies avancées, comme l’analyse du comportement des utilisateurs, pour mieux détecter les attaques avancées, commises tant en interne que depuis l’extérieur de l’entreprise. Je reviendrai sur les fonctions d’analyse plus tard.

 

Obtenir les données adaptées à la tâche

Sans une visibilité parfaite sur les activités des utilisateurs et sur les données, la détection des violations de données, ou même l’analyse des activités suspectes, est pratiquement impossible. La plupart des centres des opérations de sécurité connaissent bien les sources de données utilisées pour effectuer des recherches sur les incidents impliquant des logiciels malveillants. Des informations de cyberveille sont fréquemment collectées pour détecter les ordinateurs compromis et mener l’enquête. Il s’agit entre autres des indicateurs de compromission signalant la présence de logiciels malveillants, des journaux de trafic des pare-feux et des journaux des antivirus déployés au niveau des terminaux.

L’identification des comportements utilisateur non autorisés et la détection de l’exfiltration de données exigent cependant un tout autre niveau de visibilité. Songez à ajouter les sources de données suivantes à votre solution SIEM et à d’autres plates-formes d’agrégation des données :

 

Prévention des fuites de données (DLP) : Les capteurs DLP au niveau des terminaux et du réseau fournissent des informations potentiellement significatives sur les fuites de données accidentelles ou de simples tentatives de vol de données. Ces informations sont conservées dans des journaux essentiels pour l’investigation d’une compromission signalée et l’identification proactive d’un incident.

 

Identification et gestion des accès : Les données issues des systèmes de gestion des accès et des privilèges sont nécessaires pour identifier ou analyser les tentatives d’accès non autorisé aux systèmes critiques.

 

Surveillance de l’activité des bases de données : Il est fréquent que l’on néglige les bases de données en tant que source de données essentielle pour la détection et la réponse aux incidents. Or, elles contiennent les informations qui permettent de déceler très tôt une violation de données. Il est donc utile de collecter les journaux de bases de données, mais ils doivent absolument être complétés par les renseignements issus de capteurs spécialisés afin d’obtenir d’autres angles de visibilité.

Fonctions analytiques pour des renseignements pertinents

Quelles sont les informations opérationnelles précises dont j’ai besoin pour identifier une violation de données et confirmer qu’elle s’est bien produite ? Tirer des conclusions pertinentes sur le plan opérationnel à partir des données collectées est le principal objectif des centres des opérations de sécurité et, bien souvent, le plus difficile à réaliser. De nombreuses entreprises veulent une plate-forme unique pour analyser les données, mais il est plus judicieux de déployer l’outil spécialement conçu pour la tâche.

Quelques-unes des technologies fondamentales ainsi que la principale fonction qu’elles assurent dans le cadre de l’analyse des violations de données sont décrites ci-dessous.

 

Gestion des événements et des informations de sécurité (SIEM) : Les plates-formes SIEM agrègent les données et fournissent les diagnostics nécessaires pour analyser et valider rapidement les incidents de sécurité. Pour les centres des opérations de sécurité, des fonctions qui simplifient les investigations en cas de violation de données sont indispensables pour faciliter la production de rapports. Il s’agit notamment de l’analyse croisée des comportements des utilisateurs ou de fonctions prenant en charge le cadre UCF (Unified Compliance Framework).

 

Analyse du comportement des utilisateurs et des entités (UEBA) : Les plates-formes UEBA rassemblent quant à elles des données à partir de solutions SIEM ou de sources de données d’événement brutes. Elles recourent à des techniques avancées d’apprentissage automatique pour fournir des indicateurs de menaces internes potentielles. Les centres des opérations de sécurité doivent privilégier une solution qui inclut différents modèles comportementaux, lesquels doivent être adaptés à la chaîne de frappe des menaces internes.

 

Analyse du comportement sur le réseau : Les plates-formes d’analyse du comportement sur le réseau remplissent une fonction similaire aux plates-formes UEBA, mais se focalisent sur les flux de trafic réseau. L’analyse avancée doit être optimisée pour détecter les tentatives d’exfiltration de données.

Ce ne sont là que quelques-unes des principales mesures que les responsables des SOC doivent prendre pour améliorer leur état de préparation au RGPD.

Suivez mon blog Securing Tomorrow pour rester au fait du RGPD et des grands enjeux de la cybersécurité.

The post Se préparer au RGPD en 2017 – Quatrième partie : votre SOC appeared first on McAfee Blogs.

Posted in Français, GDPR, Safeguard Data | Comments (0)

Se préparer au RGPD en 2017 – Quatrième partie : votre SOC

June 13th, 2017

Cet article de blog est le quatrième d’une série dont le but est d’aider les dirigeants d’entreprise et les cadres responsables de la sécurité à se préparer au RGPD tout au long de l’année 2017.

 

L’une des exigences fondamentales du nouveau règlement général sur la protection des données (RGPD) est la notification des violations de données. Bien entendu, pour pouvoir signaler une violation de données, encore faut-il pouvoir la détecter, ce qui n’est pas toujours chose aisée.

Une étude de McAfee Labs a révélé que plus de 53 % des incidents sont détectés par un tiers. De plus, selon une enquête sur la réponse aux incidents réalisée par le SANS Institute en 2016, seuls 16 % environ des centres des opérations de sécurité (SOC) étaient considérés comme matures.

D’après ma propre expérience, nombre de ces centres se consacrent essentiellement à la traque des logiciels malveillants et s’intéressent très peu aux menaces internes ou à l’exfiltration de données. Ce qui nous amène à d’autres statistiques plus alarmantes encore. Selon une étude de 2016 du Ponemon Institute, seuls 24 % des entreprises sont capables d’identifier en moins de 24 heures les accès non autorisés à leurs systèmes critiques.

Tout cela me porte à croire que la plupart des centres des opérations de sécurité ne sont pas prêts pour la conformité au RGDP.

Voici donc quelques mesures que je les encourage à prendre pour améliorer leur état de préparation.

 

Comprendre la transition

La première étape consiste à analyser la situation actuelle de votre entreprise et à élaborer un plan d’évolution. Pour vous aider à évaluer les capacités de vos opérations de sécurité en matière de détection des violations de données et de réponse à ces incidents, je vous propose un modèle simple en trois étapes, illustré ci-dessous.

 

D’après mon expérience, la plupart des clients se situent entre les niveaux 1 et 2. Toutefois, ils sont toujours plus nombreux à envisager l’adoption de technologies avancées, comme l’analyse du comportement des utilisateurs, pour mieux détecter les attaques avancées, commises tant en interne que depuis l’extérieur de l’entreprise. Je reviendrai sur les fonctions d’analyse plus tard.

 

Obtenir les données adaptées à la tâche

Sans une visibilité parfaite sur les activités des utilisateurs et sur les données, la détection des violations de données, ou même l’analyse des activités suspectes, est pratiquement impossible. La plupart des centres des opérations de sécurité connaissent bien les sources de données utilisées pour effectuer des recherches sur les incidents impliquant des logiciels malveillants. Des informations de cyberveille sont fréquemment collectées pour détecter les ordinateurs compromis et mener l’enquête. Il s’agit entre autres des indicateurs de compromission signalant la présence de logiciels malveillants, des journaux de trafic des pare-feux et des journaux des antivirus déployés au niveau des terminaux.

L’identification des comportements utilisateur non autorisés et la détection de l’exfiltration de données exigent cependant un tout autre niveau de visibilité. Songez à ajouter les sources de données suivantes à votre solution SIEM et à d’autres plates-formes d’agrégation des données :

 

Prévention des fuites de données (DLP) : Les capteurs DLP au niveau des terminaux et du réseau fournissent des informations potentiellement significatives sur les fuites de données accidentelles ou de simples tentatives de vol de données. Ces informations sont conservées dans des journaux essentiels pour l’investigation d’une compromission signalée et l’identification proactive d’un incident.

 

Identification et gestion des accès : Les données issues des systèmes de gestion des accès et des privilèges sont nécessaires pour identifier ou analyser les tentatives d’accès non autorisé aux systèmes critiques.

 

Surveillance de l’activité des bases de données : Il est fréquent que l’on néglige les bases de données en tant que source de données essentielle pour la détection et la réponse aux incidents. Or, elles contiennent les informations qui permettent de déceler très tôt une violation de données. Il est donc utile de collecter les journaux de bases de données, mais ils doivent absolument être complétés par les renseignements issus de capteurs spécialisés afin d’obtenir d’autres angles de visibilité.

Fonctions analytiques pour des renseignements pertinents

Quelles sont les informations opérationnelles précises dont j’ai besoin pour identifier une violation de données et confirmer qu’elle s’est bien produite ? Tirer des conclusions pertinentes sur le plan opérationnel à partir des données collectées est le principal objectif des centres des opérations de sécurité et, bien souvent, le plus difficile à réaliser. De nombreuses entreprises veulent une plate-forme unique pour analyser les données, mais il est plus judicieux de déployer l’outil spécialement conçu pour la tâche.

Quelques-unes des technologies fondamentales ainsi que la principale fonction qu’elles assurent dans le cadre de l’analyse des violations de données sont décrites ci-dessous.

 

Gestion des événements et des informations de sécurité (SIEM) : Les plates-formes SIEM agrègent les données et fournissent les diagnostics nécessaires pour analyser et valider rapidement les incidents de sécurité. Pour les centres des opérations de sécurité, des fonctions qui simplifient les investigations en cas de violation de données sont indispensables pour faciliter la production de rapports. Il s’agit notamment de l’analyse croisée des comportements des utilisateurs ou de fonctions prenant en charge le cadre UCF (Unified Compliance Framework).

 

Analyse du comportement des utilisateurs et des entités (UEBA) : Les plates-formes UEBA rassemblent quant à elles des données à partir de solutions SIEM ou de sources de données d’événement brutes. Elles recourent à des techniques avancées d’apprentissage automatique pour fournir des indicateurs de menaces internes potentielles. Les centres des opérations de sécurité doivent privilégier une solution qui inclut différents modèles comportementaux, lesquels doivent être adaptés à la chaîne de frappe des menaces internes.

 

Analyse du comportement sur le réseau : Les plates-formes d’analyse du comportement sur le réseau remplissent une fonction similaire aux plates-formes UEBA, mais se focalisent sur les flux de trafic réseau. L’analyse avancée doit être optimisée pour détecter les tentatives d’exfiltration de données.

Ce ne sont là que quelques-unes des principales mesures que les responsables des SOC doivent prendre pour améliorer leur état de préparation au RGPD.

Suivez mon blog Securing Tomorrow pour rester au fait du RGPD et des grands enjeux de la cybersécurité.

The post Se préparer au RGPD en 2017 – Quatrième partie : votre SOC appeared first on McAfee Blogs.

Posted in Français, GDPR, Safeguard Data | Comments (0)

Se préparer au RGPD en 2017 – Quatrième partie : votre SOC

June 13th, 2017

Cet article de blog est le quatrième d’une série dont le but est d’aider les dirigeants d’entreprise et les cadres responsables de la sécurité à se préparer au RGPD tout au long de l’année 2017.

 

L’une des exigences fondamentales du nouveau règlement général sur la protection des données (RGPD) est la notification des violations de données. Bien entendu, pour pouvoir signaler une violation de données, encore faut-il pouvoir la détecter, ce qui n’est pas toujours chose aisée.

Une étude de McAfee Labs a révélé que plus de 53 % des incidents sont détectés par un tiers. De plus, selon une enquête sur la réponse aux incidents réalisée par le SANS Institute en 2016, seuls 16 % environ des centres des opérations de sécurité (SOC) étaient considérés comme matures.

D’après ma propre expérience, nombre de ces centres se consacrent essentiellement à la traque des logiciels malveillants et s’intéressent très peu aux menaces internes ou à l’exfiltration de données. Ce qui nous amène à d’autres statistiques plus alarmantes encore. Selon une étude de 2016 du Ponemon Institute, seuls 24 % des entreprises sont capables d’identifier en moins de 24 heures les accès non autorisés à leurs systèmes critiques.

Tout cela me porte à croire que la plupart des centres des opérations de sécurité ne sont pas prêts pour la conformité au RGDP.

Voici donc quelques mesures que je les encourage à prendre pour améliorer leur état de préparation.

 

Comprendre la transition

La première étape consiste à analyser la situation actuelle de votre entreprise et à élaborer un plan d’évolution. Pour vous aider à évaluer les capacités de vos opérations de sécurité en matière de détection des violations de données et de réponse à ces incidents, je vous propose un modèle simple en trois étapes, illustré ci-dessous.

 

D’après mon expérience, la plupart des clients se situent entre les niveaux 1 et 2. Toutefois, ils sont toujours plus nombreux à envisager l’adoption de technologies avancées, comme l’analyse du comportement des utilisateurs, pour mieux détecter les attaques avancées, commises tant en interne que depuis l’extérieur de l’entreprise. Je reviendrai sur les fonctions d’analyse plus tard.

 

Obtenir les données adaptées à la tâche

Sans une visibilité parfaite sur les activités des utilisateurs et sur les données, la détection des violations de données, ou même l’analyse des activités suspectes, est pratiquement impossible. La plupart des centres des opérations de sécurité connaissent bien les sources de données utilisées pour effectuer des recherches sur les incidents impliquant des logiciels malveillants. Des informations de cyberveille sont fréquemment collectées pour détecter les ordinateurs compromis et mener l’enquête. Il s’agit entre autres des indicateurs de compromission signalant la présence de logiciels malveillants, des journaux de trafic des pare-feux et des journaux des antivirus déployés au niveau des terminaux.

L’identification des comportements utilisateur non autorisés et la détection de l’exfiltration de données exigent cependant un tout autre niveau de visibilité. Songez à ajouter les sources de données suivantes à votre solution SIEM et à d’autres plates-formes d’agrégation des données :

 

Prévention des fuites de données (DLP) : Les capteurs DLP au niveau des terminaux et du réseau fournissent des informations potentiellement significatives sur les fuites de données accidentelles ou de simples tentatives de vol de données. Ces informations sont conservées dans des journaux essentiels pour l’investigation d’une compromission signalée et l’identification proactive d’un incident.

 

Identification et gestion des accès : Les données issues des systèmes de gestion des accès et des privilèges sont nécessaires pour identifier ou analyser les tentatives d’accès non autorisé aux systèmes critiques.

 

Surveillance de l’activité des bases de données : Il est fréquent que l’on néglige les bases de données en tant que source de données essentielle pour la détection et la réponse aux incidents. Or, elles contiennent les informations qui permettent de déceler très tôt une violation de données. Il est donc utile de collecter les journaux de bases de données, mais ils doivent absolument être complétés par les renseignements issus de capteurs spécialisés afin d’obtenir d’autres angles de visibilité.

Fonctions analytiques pour des renseignements pertinents

Quelles sont les informations opérationnelles précises dont j’ai besoin pour identifier une violation de données et confirmer qu’elle s’est bien produite ? Tirer des conclusions pertinentes sur le plan opérationnel à partir des données collectées est le principal objectif des centres des opérations de sécurité et, bien souvent, le plus difficile à réaliser. De nombreuses entreprises veulent une plate-forme unique pour analyser les données, mais il est plus judicieux de déployer l’outil spécialement conçu pour la tâche.

Quelques-unes des technologies fondamentales ainsi que la principale fonction qu’elles assurent dans le cadre de l’analyse des violations de données sont décrites ci-dessous.

 

Gestion des événements et des informations de sécurité (SIEM) : Les plates-formes SIEM agrègent les données et fournissent les diagnostics nécessaires pour analyser et valider rapidement les incidents de sécurité. Pour les centres des opérations de sécurité, des fonctions qui simplifient les investigations en cas de violation de données sont indispensables pour faciliter la production de rapports. Il s’agit notamment de l’analyse croisée des comportements des utilisateurs ou de fonctions prenant en charge le cadre UCF (Unified Compliance Framework).

 

Analyse du comportement des utilisateurs et des entités (UEBA) : Les plates-formes UEBA rassemblent quant à elles des données à partir de solutions SIEM ou de sources de données d’événement brutes. Elles recourent à des techniques avancées d’apprentissage automatique pour fournir des indicateurs de menaces internes potentielles. Les centres des opérations de sécurité doivent privilégier une solution qui inclut différents modèles comportementaux, lesquels doivent être adaptés à la chaîne de frappe des menaces internes.

 

Analyse du comportement sur le réseau : Les plates-formes d’analyse du comportement sur le réseau remplissent une fonction similaire aux plates-formes UEBA, mais se focalisent sur les flux de trafic réseau. L’analyse avancée doit être optimisée pour détecter les tentatives d’exfiltration de données.

Ce ne sont là que quelques-unes des principales mesures que les responsables des SOC doivent prendre pour améliorer leur état de préparation au RGPD.

Suivez mon blog Securing Tomorrow pour rester au fait du RGPD et des grands enjeux de la cybersécurité.

The post Se préparer au RGPD en 2017 – Quatrième partie : votre SOC appeared first on McAfee Blogs.

Posted in Français, GDPR, Safeguard Data | Comments (0)

Vorbereitung auf die Datenschutz-Grundverordnung 2017, Teil 4: Ihr Sicherheitskontrollzentrum (SOC)

June 12th, 2017

Dies ist der vierte Teil einer Reihe von Blog-Beiträgen, mit denen Sicherheitsverantwortliche und Führungskräfte in Unternehmen auf die Datenschutz-Grundverordnung (DSGVO) 2017 vorbereitet werden sollen.

 

Eine der wichtigsten Anforderungen gemäß der neuen Datenschutz-Grundverordnung ist die Meldung von Kompromittierungen. Die Meldung einer Kompromittierung setzt natürlich die Fähigkeit voraus, eine Datenkompromittierung zu erkennen – und das ist nicht immer so einfach.

 

Untersuchungen von McAfee Labs haben gezeigt, dass mehr als 53 Prozent aller Vorfälle extern festgestellt werden. Zudem wurde bei einer SANS-Umfrage zur Reaktion auf Zwischenfälle im Jahr 2016 ermittelt, dass nur rund 16 Prozent der Sicherheitskontrollzentren (SOCs) als ausgereift erachtet wurden.

 

Aus eigener Erfahrung kann ich bestätigen, dass bei vielen Sicherheitsprozessen die Suche nach Malware-Bedrohungen im Vordergrund steht und es sehr wenige Anwendungsfälle für Insider-Bedrohungen oder Datenexfiltration gibt. Dies führt zu einer weiteren alarmierenden Statistik. In einem Bericht des Ponemon Institute von 2016 wurde festgestellt, dass nur 24 Prozent der Unternehmen in der Lage sind, einen unautorisierten Zugriff auf kritische Systeme in weniger als 24 Stunden zu erkennen.

 

All das veranlasst mich zu glauben, dass die meisten Sicherheitsprozesse nicht für die DSGVO bereit sind.

 

In diesem Beitrag habe ich einige wichtige Schritte für Sicherheitsprozesse aufgeführt, damit diese besser für die DSGVO gerüstet sind.

 

Die Entwicklung verstehen

 

Der erste Schritt zur Verbesserung besteht darin, den aktuellen Zustand zu verstehen und einen Plan zur Weiterentwicklung zu erstellen. Ich habe dieses einfache Dreistufenmodell entwickelt, um Unternehmen dabei zu unterstützen, ihre derzeitigen Sicherheitsprozesse zu bewerten – insbesondere im Hinblick auf die Erkennung von Datenkompromittierungen und die entsprechende Reaktion darauf.

The post Vorbereitung auf die Datenschutz-Grundverordnung 2017, Teil 4: Ihr Sicherheitskontrollzentrum (SOC) appeared first on McAfee Blogs.

Posted in GDPR, German, Safeguard Data | Comments (0)

Vorbereitung auf die Datenschutz-Grundverordnung 2017, Teil 3: Wichtige Fragen, die Sie Ihrem Cloud-Anbieter stellen sollten

June 6th, 2017

Dies ist der dritte Teil einer Reihe von Blog-Beiträgen, mit denen Sicherheitsverantwortliche und Führungskräfte in Unternehmen auf die Datenschutz-Grundverordnung (DSGVO) 2017 vorbereitet werden sollen.

 

Denken Sie über eine Verschiebung von Anwendungen in die Cloud nach? Wenn ja – und welches Unternehmen tut das nicht – haben Sie an die Auswirkungen der EU-Datenschutz-Grundverordnung (DSGVO) auf diese Pläne gedacht?

 

Bei McAfee sind wir der Überzeugung, dass die DSGVO eine Chance für einen Sicherheitswandel bietet – eine Möglichkeit, einen Compliance-orientierten Sicherheitsansatz zu verwerfen und zu einer Strategie des Datenschutzes und der konzeptionellen Sicherheit überzugehen.

 

Die DSGVO distanziert sich von früheren Compliance-Systemen, und anstatt eine Checkliste von Sicherheitstechnologiekontrollen vorzugeben, verlangt sie nun von den Unternehmen, nachhaltige Sicherheitsfunktionen zu entwickeln. Sie bietet Ihnen daher eine Chance, Ihre gesamte Daten- und Sicherheitsstrategie zu überprüfen und Ihre Widerstandsfähigkeit zu stärken, anstatt Checklisten zu erstellen. Wir sind der Ansicht, dass die DSGVO eine Möglichkeit darstellt, Sicherheit als Schlüsselfaktor für das Geschäft zu betrachten, insbesondere als Schlüsselfaktor für die sichere Nutzung von Cloud-Diensten.

 

Ob Sie nun ältere Anwendungen in die öffentliche Cloud verlagern, einen Cloud-Speicher verwenden oder Cloud-basierte Geschäftsanwendungen wie beispielsweise Office 365 nutzen – in jedem Fall müssen Sie die konkreten Auswirkungen der DSGVO beachten und die Möglichkeit bedenken, eine breiter angelegte Cloud-Sicherheitsstrategie zu prüfen oder zu entwickeln.

 

Wir bei McAfee möchten, dass Ihr Unternehmen Ja zur Cloud-Nutzung sagt. Daher sind nachfolgend einige wichtige Fragen und Überlegungen aufgeführt, um mit Ihrem Cloud-Serviceanbieter auf Augenhöhe über die DSGVO und die erforderlichen Sicherheitsvorkehrungen sprechen zu können:

 

Verfügt Ihr Cloud-Serviceanbieter über eine Datenschutzrichtlinie? Solide und transparente Sicherheitsrichtlinien sind der erste Schritt. In vielen Fällen erfordert die DSGVO die Ernennung eines Datenschutzbeauftragten (DPO), der das Programm überwacht. Bitten Sie auch um ein Gespräch mit dem DPO bei Ihrem Cloud-Anbieter.

 

Wie nutzt Ihr Cloud-Serviceanbieter die erfassten Daten?

Anbieter sind verpflichtet, Ihnen mitzuteilen, wie sie ggf. die über den Dienst erfassten Daten nutzen und wie sie die Informationen schützen. Viele Unternehmen nutzen erfasste Daten für Analysen oder andere rechtmäßige Zwecke. Diese Prozesse sollten jedoch kein zusätzliches Risiko für Sie darstellen.

 

Welche Sicherheits-Rahmenbedingungen, -standards oder -zertifizierungen verfolgt Ihr Cloud-Servicanbieter oder haben diese für Ihren Dienst erreicht?

Es gibt diverse branchenspezifische Leitfäden und Prozesse, in denen standardisierte Anforderungen und Kontrollen für den Schutz von Cloud-Diensten angegeben sind. FedRAMP beispielsweise ist ein umfassender Prozess zur Autorisierung von Cloud-Diensten für die US-Regierung. Dieser Prozess basiert jedoch auf NIST und könnte in größerem Umfang genutzt werden. Auf internationaler Ebene gibt es die Norm ISO 27002, für die die Cloud Security Alliance zusätzliche Leitfäden bereitstellt. Cloud-Anbieter sollten eines der verfügbaren Rahmenbedingungen nutzen, um den Reifegrad zu bewerten und kontinuierlich zu überwachen.

 

Kann Ihr Cloud-Serviceanbieter einen Fall von Datenkompromittierung nennen und deren Reaktion darauf?

Statistisch betrachtet werden mehr als die Hälfte aller Datenkompromittierungen von externen Unternehmen entdeckt. Angesichts der Tatsache, dass die DSGVO eine Meldung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde ab dem Zeitpunkt der Entdeckung eines Vorfalls durch das Unternehmen verlangt, ist es überaus wichtig, dass man über die Fähigkeit verfügt, potenzielle Datenkompromittierungen zu erkennen und mit einem bewährten Prozess entsprechend zu reagieren. Fragen Sie Ihren Cloud-Anbieter, ob er über ein Sicherheitskontrollzentrum (SOC) oder ein Reaktionsteam für Computersicherheitsvorfälle (CSIRT) intern oder als verwalteter Service mit den besagten Fähigkeiten verfügt.

 

Wo speichern und verarbeiten Ihr Cloud-Serviceanbieter die erfassten Daten?

Der Speicherort von Daten stellt möglicherweise das größte Problem dar, wenn es um Cloud-Dienste und die Vorbereitung auf die DSGVO geht. Verfügt Ihr Cloud-Anbieter über Rechenzentren in der EU oder ausschließlich in den USA? Wo speichert und verarbeitet er die Daten? Werden die Daten von der EU in die USA verschoben? Dies sind nur einige der Probleme in diesem Bereich, die jedoch mit der Verschlüsselung von gespeicherten Daten, der Zugriffskontrolle und der Schlüsselverwaltung gelöst werden können.

 

Dies waren sämtliche Überlegungen im Hinblick auf die DSGVO und Cloud-Serviceanbieter, obwohl dies keine erschöpfende Liste darstellt. Hoffentlich wurden Sie damit als Nutzer dieser Dienste hinreichend informiert und sind nun gut gerüstet, um sich auf die DSGVO entsprechend vorzubereiten. Diese Vorgehensweisen sorgen vor allem jedoch für eine sicherere Cloud-Nutzung seitens der Unternehmen.

The post Vorbereitung auf die Datenschutz-Grundverordnung 2017, Teil 3: Wichtige Fragen, die Sie Ihrem Cloud-Anbieter stellen sollten appeared first on McAfee Blogs.

Posted in GDPR, German, Safeguard Data | Comments (0)

Vorbereitung auf die Datenschutz-Grundverordnung 2017, Teil 2: Schaffung einer Kultur des Datenschutzes und der konzeptionellen Sicherheit

May 31st, 2017

Dies ist der zweite Teil einer Reihe von Blog-Beiträgen, mit denen Sicherheitsverantwortliche und Führungskräfte in Unternehmen auf die Datenschutz-Grundverordnung (DSGVO) 2017 vorbereitet werden sollen.

 

Denken Sie bei der neuen EU-Datenschutz-Grundverordnung (DSGVO) nicht in erster Linie an Bußgelder. Denken Sie dabei an die Schaffung einer Kultur des Datenschutzes und der konzeptionellen Sicherheit.

Was bedeutet das? Bei diesem Ansatz geht es zwar um den Schutz persönlicher Daten und um Cyber-Sicherheit, doch dies umfasst viel mehr als persönliche Daten und Technologie. Nur weil das „D“ in DSGVO für „Daten“ steht, können Sie nicht einfach eine Lösung zum Schutz vor Datenkompromittierungen (DLP) aktivieren und die Arbeit dann als erledigt betrachten. Auch mit einem technologieorientierten Ansatz – und verstehen Sie mich bitte nicht falsch, der vermehrte Einsatz von DLP-Technologie ist durchaus eine gute Sache – muss sich jedes Unternehmen dennoch Gedanken machen über die davon betroffenen Geschäftsprozesse, die davon betroffenen Prozesse zur Erkennung von Kompromittierungen, die Mitarbeiter, die diese Technologie anwenden, und die Personen, deren Daten verarbeitet werden – denn sie sind einem persönlichen Risiko ausgesetzt.

Lassen Sie uns kurz bei den Mitarbeitern bleiben. Innerhalb eines Unternehmens muss man im Blick haben, inwieweit die verschiedenen Rollen davon betroffen sind. Dies reicht vom allgemeinen Nutzer bis hin zu Nutzern mit erhöhten Berechtigungen, leitenden Angestellten und Führungskräften.

Was die Geschäftsprozesse betrifft, muss man sich fragen, welche Datenflüsse es gibt und was von der Erfassung, Speicherung und Nutzung persönlicher Daten betroffen ist. Es müssen geeignete Technologien und Verfahrenskontrollen vorhanden sein.

Um all dies umsetzen zu können, müssen Rahmenbedingungen wie die folgenden zur Anwendung kommen. Denken Sie zunächst an die Sicherheitsstrategie im Hinblick auf Governance, Mitarbeiter, Prozesse und Technologie. Dann bedenken Sie die erforderlichen Sicherheitsergebnisse, um für die DSGVO gerüstet zu sein, sowie die entsprechenden Lösungen.

 

Prüfung der Sicherheitsstrategie

Angesichts dieser neuen Verordnung hängt die Messlatte für Datenschutz innerhalb eines Unternehmens definitiv höher. Die Vorbereitung auf die verschiedenen Sicherheits- und Meldebestimmungen der neuen Verordnung – innerhalb eines vernetzten, dynamischen digitalen Unternehmens – erfordert eine ganzheitliche Prüfung der Sicherheitsstrategie hinsichtlich Governance, Mitarbeitern, Prozessen und Technologie:

  • In vielen Fällen muss zur Vorbereitung auf die neue Verordnung zunächst ein Datenschutzbeauftragter ernannt werden, der für die Einhaltung der Vorschriften und die Kommunikation mit den Aufsichtsbehörden verantwortlich ist. Darüber hinaus erfordert die DSGVO in Anbetracht der hohen Geldbußen bei Verstößen die Aufmerksamkeit der Unternehmensführung, sodass wohl neue interne Berichtsstrukturen geschaffen werden müssen und eine Kultur der kontinuierlichen Compliance erforderlich ist. Diese Strukturen sind für die Entwicklung eines erfolgreichen, langfristigen Datenschutzprogramms unerlässlich.
  • Innerhalb eines Unternehmens trägt jeder Einzelne Verantwortung für die Datensicherheit, nicht nur die Personen im Sicherheitsbereich. Es ist wichtig, dass alle Mitarbeiter, angefangen bei den Führungskräften bis hin zu Nutzern, Administratoren und Entwicklern, im Schutz von Daten geschult werden und bereit für die Herausforderungen sind, wenn abgekürzte Verfahren vorgeschlagen werden. Wenn man die Mitarbeiter als Teil der Lösung betrachtet, und nicht als Teil des Problems, hilft dies bei der Entwicklung einer Kultur der konzeptionellen Sicherheit und des Datenschutzes.
  • Mehrere wichtige Sicherheits- und Geschäftsprozesse sollten im Hinblick auf deren Anwendbarkeit und die derzeitigen Fähigkeiten geprüft werden. Bei dieser Prüfung sollte man sich eingehend mit Datenflüssen, der Datenerfassung, -verarbeitung, -speicherung und -verwaltung befassen, um das Ausmaß des Problems zu verstehen. Wichtige Datenschutzprozesse umfassen die Klassifizierung und Überwachung sowie die Anwendungsentwicklung und Sicherheitsprüfung.
  • Wir sollten über ein Sicherheitssystem nachdenken, das den Schutz gespeicherter, übertragener oder verwendeter Daten ermöglicht und eine schnelle Erkennung und Reaktion auf Kompromittierungen gewährleistet. Unternehmen sollten prüfen, ob ihre derzeitige erstklassige Sicherheitstechnologiestrategie die erforderliche Effektivität bietet, um mit neuen Bedrohungen Schritt halten zu können, und die betriebliche Effizienz ermöglicht, die zur Einhaltung der Budgetvorgaben erforderlich ist.

 

Messung der Sicherheitsergebnisse

Um bewerten zu können, ob man für die DSGVO hinreichend gerüstet ist, muss das aktuelle Sicherheitsprogramm des Unternehmens geprüft werden. Die folgenden Cyber-Sicherheitsergebnisse sind für jedes Unternehmen, das einen digitalen Wandel vollzieht, von kritischer Bedeutung und stellen die Hauptsäulen für die Vorbereitung auf die DSGVO dar. Ihre Sicherheitslösungen müssen dafür sorgen können, dass die technischen Bausteine von Endgeräten, Netzwerken, der Cloud und von Sicherheitskontrollzentren als abgestimmtes System zusammenarbeiten, um die erforderlichen Funktionen zur Vorbeugung, Erkennung und Reaktion bereitzustellen, sodass die wichtigsten Ergebnisse erzielt werden können.

  • Ausschaltung aufkommender Bedrohungen.Malware-Infektionen und die Ausnutzung von Anwendungsschwachstellen sind wichtige Angriffsvektoren, die zu einer Datenexfiltration führen. Fortschrittlicher Bedrohungsschutz auf Endgeräten und in Netzwerken kann die Angriffsfläche für bekannte und unbekannte Malware wesentlich verringern. In Sicherheitskontrollzentren müssen Bedrohungsdaten von mehreren Quellen genutzt werden, um proaktiv nach Angreifern zu suchen.
  • Schutz wichtiger Daten.Ein gutes Datensicherheitsprogramm muss die Möglichkeit bieten, Daten zu schützen und versehentliche Datenverluste oder böswillige Diebstahlversuche zu erkennen und dagegen vorzugehen. Verschlüsselungstechnologien sowie Technologien zum Schutz vor Datenkompromittierung sind überaus wichtig, um versehentliche Datenverluste zu verhindern. In den Sicherheitskontrollzentren sind SIEM-Lösungen in Kombination mit erweiterten Analysen des Nutzerverhaltens wichtige Faktoren bei der Erkennung und Untersuchung von Insider-Bedrohungen.
  • Schutz von Cloud-Umgebungen.Software-as-a-Service (SaaS) and Cloud-gehostete Anwendungen stellen besondere Herausforderungen bei der Vorbereitung auf die DSGVO dar. Viele Unternehmen nutzen jedoch separate Cloud- und Unternehmens-Sicherheitslösungen, die Lücken bei der Transparenz und Sicherheit mit sich bringen können. Wie wäre es denn mit einem einheitlichen Sicherheitssystem, das eine problemlose Erweiterung der Schutz-, Erkennungs- und Korrekturfunktionen für Cloud-Umgebungen ermöglicht?
  • Optimierung der Sicherheitsprozesse. Viele Sicherheitskontrollzentren haben nicht die Möglichkeit, Datenkompromittierungen zu erkennen und entsprechend darauf zu reagieren. Eine kritische Anforderung hinsichtlich der Vorbereitung auf die DSGVO ist die Fähigkeit, Vorfälle innerhalb von drei Tagen zu melden. Daher ist es unerlässlich, innerhalb von Sicherheitsprozessen Playbooks zu Datenkompromittierungen zu entwickeln. Zudem können Orchestrierungstechnologien bei der Schließung von Lücken und einer beschleunigten Reaktion auf Vorfälle helfen.

 

Dies sind meine empfohlenen Rahmenbedingungen, die bei den vier Dimensionen der Sicherheitsstrategie beginnen, um eine Kultur des Datenschutzes und der konzeptionellen Sicherheit zu schaffen.

In der zweiten Hälfte der Rahmenbedingungen wird gezeigt, wie mit dem Thema Sicherheit umgegangen werden muss, um die gewünschten Ergebnisse zu erzielen und für die DSGVO gerüstet zu sein.

Dies sollte bei Sicherheitsverantwortlichen und Führungskräften in Unternehmen in diesem Jahr im Vordergrund stehen. Sie sollten Investitionen priorisieren und neue Programme oder Lösungen implementieren, um sicherzustellen, dass das Unternehmen den verschärften regulatorischen Rahmenbedingungen gewachsen ist.

Wie bereit sind Sie?

The post Vorbereitung auf die Datenschutz-Grundverordnung 2017, Teil 2: Schaffung einer Kultur des Datenschutzes und der konzeptionellen Sicherheit appeared first on McAfee Blogs.

Posted in GDPR, German, Safeguard Data | Comments (0)

GDPR is just a year away: here’s what you need to know

May 22nd, 2017

Time is running out – are you ready for GDPR? We’ve got some guidance for you

Posted in brexit, data protection, EU, GDPR, GDPR compliance, uk | Comments (0)