GDPR: 4 claves sobre Seguridad para afrontar un cumplimiento efectivo

Zulayka VeraLíder de Consultoría de Seguridad, IBMzulaykavera@es.ibm.com

Ya no es

suficiente con

“no incumplir”

Prevención

Responsabilidad

proactiva

Desde el

diseño

Por defecto

GuardiumTécnicas

Organizativas

Garantizar

Demostrar

Guardium

Evaluación de impacto-riesgo que determine las medidas

¿Medidas de

Responsabilidad

proactiva?

¿Riesgo

Alto?

NO

Medidas de

Protección de Datos

desde el Diseño

Medidas de

seguridad

Evaluación de

Impacto

(sobre protección

de los derechos)

¡Previo al

tratamiento!

SÍMedidas, garantías,

mecanismos para:

Mitigar riesgos

Garantizar protección datos

Demostrar conformidad

Evaluación

de Riesgos

de los ttos de datos

¿Se tratan datos sensibles? ¿Se incluyen datos de una gran cantidad

de personas? ¿Incluye el tratamiento la elaboración de perfiles? ¿Se

cruzan los datos obtenidos de los interesados con otros disponibles en

otras fuentes? ¿Se están tratando grandes cantidades de datos,

incluido con técnicas de análisis masivo (big data)? ¿Se pretende

utilizar los datos obtenidos para una finalidad para otro tipo de

finalidades? ¿Se utilizan tecnologías especialmente invasivas

para la privacidad, como las relativas a geolocalización,

videovigilancia a gran escala o ciertas

aplicaciones del IoT?

Security Review Services

Security Review Services

Security Review Services

Security Review Services

Seguridad del tratamiento

Medidas técnicas y

organizativas de seguridad

Seudonimización

Cifrado datos

Confidencialidad integridad,

disponibilidad y resiliencia de SSII

y servicios de tratamiento.

Restauración rápida de

disponibilidad y el acceso

Verificación, evaluación y valoración

regulares de la eficacia de las

medidas

Otras…

Guardium

Resilient Incident Response Platform

Guardium

Guardium

Notificación de la violación de la seguridad de los datos

¿Notificar

violación de la

seguridad de

los datos?

Improbable

Demostrar

Notificación no

requerida

Informe detallado Resilient Incident Response Platform

SÍ Notificar AEPD < 72h

Si alto Notificar

afectados asap

Informe detallado

Evaluación de

Riesgos de

la violación

¿Posible discriminación de los afectados?

¿Usurpación de identidad?

¿Perjuicios económicos?

¿Exposición pública de datos confidenciales?

(p. ej., en casos en que se desvele información

confidencial, como contraseñas o participación en

determinadas actividades, se difundan de forma

masiva datos sensibles, …)

Security Review Services

¿Riesgo

para

afectados?

SOLUCIONES Y SERVICIOS

EFICACES Y EFICIENTES

IBM Security Review Services

Evaluación de Riesgos de los Tratamientos

Datos

• Tipo:

Sensibles

(biométricos,…)

Especiales

• Titularidad

• Dimensionamiento

Evaluación de Impacto sobre la protección

¡¡Previo al tratamiento!!

Proyecto

[Toma de Requisitos]

• Tratamientos

• Datos

Desde el

diseño

Por

defecto

Cumplimiento Continuo

Proyecto

[Toma de Requisitos]

• Tratamientos

• Datos

Desde el

diseño

Por

defecto

Proyecto

[Toma de Requisitos]

• Tratamientos

• Datos

Desde el

diseño

Por

defecto

Iniciativa XXXX[Diseño y Toma de Requisitos]

• Tratamientos

• Datos

Desde el

diseño

Por

defecto

Security Review Services

Medidas a aplicar

Tratamientos

• Datos en tránsito

• Transferencias

internacionales

• Capturas

• Tipo de

almacenamiento

• Uso

• Borrado/dcho

olvido

• Portabilidad

IBM Security Guardium

Bases de Datosy Data

Warehouses

Sistemas de Ficheros

Aplicaciones

Plataformas Big Data

Entornos cloudDescubrimiento, clasificación, evaluación de vulnerabilidades, informes de accesos y permisos

Cifrado, enmascaramiento.

Monitorización de la actividad de los datos y los ficheros (incl. usuariosprivilegiados)

Bloqueo dinámico de accesos y enmascaramiento, alertas y cuarentena

Automatización del cumplimiento legal/normativo y auditoría

ANALYTICS

• Arquitectura no-invasiva

Fuera de la Base de Datos

Impacto mínimo en rendimiento

Sin cambios al DBMS o

aplicativos

• Solución multi-plataforma (host z/OS,

Wintel, Hadoop, Teradata,…)

• 100% visibilidad: accesos locales y

remotos

• Refuerza segregación de funciones

• No depende de los logs nativos del

DBMS

• Granular, políticas y auditoría en

tiempo real: Quién, dónde, cuándo,

cómo.

IBM Resilient Incident Response Platform

Unifica la operación de seguridad y la respuesta a incidentes

Resilient Systems extiende las capacidades de IBM para crear una de las

soluciones más completas de la industria para prevenir, detectar y responder.

Integra personas, tecnología y procesos.

Automatiza y proporciona un orquestador para la gestión

de la respuesta

Resilient Systems permitirá a los equipos de seguridad orquestar los

procesos de respuesta, y resolver incidentes más rápido, más

eficazmente y de forma más inteligente

Se integra a la perfección con productos IBM y de terceros

Resilient Systems se integra con productos IBM (ej: SIEM Qradar, Guardium)

y otras soluciones de terceros para que la organización pueda solucionar los

incidentes con garantías de éxito

Resilient Incident Response Platform