3 συμβουλές για αποφυγή παραβίασης δεδομένων στον οργανισμό σας

Η παραβίαση δεδομένων (data breach) ζημιώνει την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των πληροφοριών. Η ικανότητά σας να αποφύγετε παραβιάσεις βασίζεται σε τρεις πυλώνες: τους ανθρώπους, τις διαδικασίες και την τεχνολογία.

1. Ξεκινήστε από το προσωπικό σας
Δημιουργήστε ένα περιβάλλον που ευνοεί την προστασία των δεδομένων στην εταιρία, ξεκινώντας από την κορυφή της ιεραρχίας και κατεβαίνοντας πρός τα κάτω. Σύμφωνα με το GDPR, έχει προβλεφθεί η εκπαίδευση του προσωπικού ως κατάλληλο οργανωτικό μέτρο. Επίσης, όταν προσλαμβάνετε νέο προσωπικό, εκτελέστε ελέγχους στο ποινικό παρελθόν των ατόμων που προσλαμβάνετε, ιδίως αν αυτοί θα χειρίζονται προσωπικά δεδομένα.

Κάποιο άτομο το οποίο αποχωρεί από την εταιρία, θα πρέπει να μας επιστρέψει όλα τα εταιρικά περιουσιακά στοιχεία που είχε στη κατοχή του, όπως laptops, κινητά, κάρτες πρόσβασης, κλειδιά, εταιρικές πιστωτικές κάρτες. Επίσης πρέπει να βεβαιωθούμε ότι δεν έχει δικαιώματα πρόσβασης σε ψηφιακά εταιρικά δεδομένα (υπάρχουν πολλά παραδείγματα εταιρίών που ξεχνούν να το εφαρμόσουν).

2. Καθορίστε διαδικασίες ασφαλείας
Δημιουργήστε μια διαδικασία που θα αφορά τον προσδιορισμό απαιτήσεων, την επίβλεψη της εφαρμογής τους και τον έλεγχο της αποτελεσματικότητάς τους. Στις υπάρχουσες διαδικασίες κάντε αλλαγές για να συμπεριλάβετε στοιχεία ασφαλείας. Εκτελέστε ένα DPIA (Data Protection Impact Assessment) ώστε να καθορίσετε τους αποδεκτούς κινδύνους για τα δεδομένα, αλλά και τη λήψη αποφάσεων σχετικά με όλους τους πιθανούς κινδύνους για αυτά.

3. Τεχνολογία
Σε μια μεγαλύτερα εταιρία θα πρέπει να υπάρχουν υποχρεωτικά:

  • Firewalls
  • Intrusion detection systems
  • Antivirus
  • Spam filtering
  • Log files
  • System Monitoring
  • Data leakage prevention

Εφαρμογή του ISO 27001
Η εφαρμογή του προτύπου ISO 27001 , του διεθνούς προτύπου για την ασφάλεια στον κυβερνοχώρο, είναι μια από τις σημαντικότερες – αν όχι κορυφαίες – στρατηγικές για την αποφυγή παραβίασης των δεδομένων.

Το μεγάλο πλεονέκτημα εδώ είναι ότι το συγκεκριμένο πρότυπο περιέχει ήδη ένα πολύ μεγάλο μέρος των διαδικασιών που απαιτιούνται για την συμμόρφωση με το GDPR.

Σε κάποιο μελλοντικό άρθρο θα μιλήσουμε πιο αναλυτικά για το ISO 27001.

Advertisements

Required changes to your ADFS environment (related to #AzureAD)

As the Azure AD product group plans to implement some new features related to service availability, you should make some changes if you use another identity system federated to Azure Active Directory for user authentication. If you authenticate directly with Azure AD, you don’t need to change anything.

The new Azure Active Directory features will enable an additional layer of failover. We’ll get more details related to this in the near future, but for now your federation server needs to be configured to accept requests from additional URLs. If these URLs are not configured there is no impact compared with today, but the users of the federated system won’t see the additional resilience benefits.

1. Running ADFS with AD Connect
If you are running ADFS and an up-to-date version of AD Connect then AD Connect will make these changes for you and you don’t need to take any action. You can use the information in this post, however, to check that the ADFS configuration has been updated.

2. ADFS without AD Connect
If you are running ADFS without AD Connect or a different IdP federated to AAD, you will need to make the configuration changes yourself, and you can do that now, so your systems are ready to go.

So let’s see what do you need to change.

1. New endpoints required in Relying Party Trust Configuration
You need to use the following set of reply URLs in the Relying Party Trust configuration:

https://stamp2.login.microsoftonline.com/login.srf
https://ccs.login.microsoftonline.com/ccs/login.srf
https://ccs-sdf.login.microsoftonline.com/ccs/login.srf

2. What do you need to do to update ADFS
One one ADFS node you should run the following PowerShell commands. If you use Windows 2008 and earlier systems you may need to load the ADFS powershell module:

$rp = Get-AdfsRelyingPartyTrust -Identifier urn:federation:MicrosoftOnline

$endpoints = New-Object System.Collections.ArrayList

if ( $rp.AdditionalWSFedEndpoint ) { $rp.AdditionalWSFedEndpoint | %{$endpoints.add($_)} }

$endpoints.add(«https://stamp2.login.microsoftonline.com/login.srf»)

$endpoints.add(«https://ccs.login.microsoftonline.com/ccs/login.srf»)

$endpoints.add(«https://ccs-sdf.login.microsoftonline.com/ccs/login.srf»)

set-adfsrelyingpartytrust -targetname $rp.Name -AdditionalWSFedEndpoint $endpoints

Then, to verify current settings use the PowerShell command:

Get-AdfsRelyingPartyTrust

What if you want to roll back your changes for any reason? Run these commands:

$rp = Get-AdfsRelyingPartyTrust -Identifier urn:federation:MicrosoftOnline

$endpoints = New-Object System.Collections.ArrayList

if ( $rp.AdditionalWSFedEndpoint ) { $rp.AdditionalWSFedEndpoint | %{$endpoints.add($_)} }

$endpoints.remove(«https://stamp2.login.microsoftonline.com/login.srf»)

$endpoints.remove(«https://ccs.login.microsoftonline.com/ccs/login.srf»)

$endpoints.remove(«https://ccs-sdf.login.microsoftonline.com/ccs/login.srf»)

set-adfsrelyingpartytrust -targetname $rp.Name -AdditionalWSFedEndpoint $endpoints

 

Thanks for your time!

Now you can get information around new #AzureAD feature releases here

A lot of people asked for this: a place where you can get information around new Azure AD feature releases and plan-for-change communications so you can better plan and maintain your IT infrastructure.

It should be a good idea to have everything in one place: information about new and changed features, plans for future changes and bug fixes.

Guess what: there is a place like this and is located here:

https://docs.microsoft.com/en-us/azure/active-directory/whats-new

Release notes will be published monthly, and any other info will be published every time that the product group has something important to note.

It’s a good idea to have this in your bookmarks.

Thanks!

#AzureAD: It’s time to migrate your v1.0 Conditional Access policies to v2.0

We were talking a lot about Azure AD Conditional Access Policies in the past, in fact you can click here to search this blog about all these past topics. But there is a recent announcement from the product group, a really important one for those of you that use these policies today.

You should be aware already of the retirement of the “old” classic Azure Portal. As we approach to the retirement date, you should move from policies that you probably have at the app level to the new Conditional Access Policies.

What will you get? A view of classic policies in the new Azure portal, so to be able to see your policies created in the classic Azure portal, Intune Silverlight portal, and the Intune App Protection portal.

For the shake of the migration you should also see A disable option for each classic policy. Once you’ve re-created the policies, you’ll need to disable the old classic policy.

These two views will let you migrate easily, because you can actually see the old ones and create the new policies in the same portal. Your old policies will continue to work, until you disable them manually.

In case you need help, just go and take a look at this article: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-conditional-access-migration

Thanks for your time!

Πως να φτιάξετε το κατάλληλο GDPR documentation

GDPRlogoInstagramFB

 

Αν έχετε ασχοληθεί έστω και λίγο με το GDPR, μάλλον θα έχετε καταλάβει ότι, εκτός από τις τεχνικές απαιτήσεις που αφορούν την μηχανογράφηση της εταιρίας σας, θα πρέπει να δημιουργήσετε και τις απαραίτητες διαδικασίες που βασίζονται στο σωστό documentation (τεκμηρίωση στα ελληνικά).

Δυστυχώς πρόκειται για χειροκίνητη και κουραστική διαδικασία, απαιτώντας να δημιουργήσετε όλα τα απαραίτητα έγγραφα που θα αποδεικνύουν τη συμμόρφωση με τον νέο κανονισμό.

Αν ψάξετε θα δείτε ότι υπάρχει ελάχιστη πληροφορία διαθέσιμη online σχετικά με το documentation. Ακόμα και αυτοί που φέρονται ως ειδικοί στο GDPR, συνήθως αναπαράγουν το κείμενο του νόμου, χωρίς να δίνουν πληροφορίες για την πρακτική εφαρμογή του.

 

Τι είναι το documentation που απαιτείται;

Για να αποδείξετε τη συμμόρφωση της εταιρίας σας με τον νέο κανονισμό, είναι απαραίτητο να έχετε διαθέσιμη και συμπληρωμένη μια πληθώρα εγγράφων που θα δείξουν σε τυχόν έλεγχο ότι όντως έχετε προδιαγραφές και διαδικασίες, όχι μόνο “στα λόγια”, αλλά και γραπτά. Τα έγγραφα αυτά θα σας βοηθήσουν επίσης να κατανοήσετε τα βήματα που πρέπει να ακολουθήσετε για τη συμμόρφωση.

 

Τι χρειάζεται λοιπόν;

  • Δηλώσεις (statements) σχετικά με τα προσωπικά δεδομένα που συλλέγετε και επεξεργάζεστε, όπως επίσης και περιγραφή του σκοπού της επεξεργασίας (‘Αρθρο 13)
  • Εγγραφές σχετικά με την συγκατάθεση από τα υποκείμενα της επεξεργασίας ή από τον γονέα σε περίπτωση ανηλίκων (Άρθρα 7 και 8)
  • Εγγραφές σχετικά με τις ενέργειες κατά την επεξεργασία (Άρθρο 30)
  • Πληροφορίες σχετικά με τις μεθόδους προστασίας των δεδομένων, όπως κρυπτογράφηση, πολιτική προστασίας δεδομένων, κλπ

Κάποιες συμβουλές για το documentation

  • Κάντε το σωστά και φροντίστε το documentation να είναι πλήρες
  • Περιεκτικό, φροντίστε να μην ξεχάσετε κάτι σχετικό με τα άρθρα του νόμου
  • Κομμένο και ραμμένο στα μέτρα της εταιρίας σας, ο κανονισμός ορίζει τις τυχόν εξαιρέσεις ανάλογα με την κλίμακα επεξεργασίας των προσωπικών δεδομένων, μικρή ή μεγάλη
  • Διαθέσιμο στο προσωπικό της εταιρίας σας, ανάλογα με τον ρόλο του καθενός μέσα στην εταιρία
  • Αποφύγετε διπλά κείμενα, όταν έρθει η ώρα να ανανεώσετε κάτι να το κάνετε μόνο σε ένα σημείο
  • Φροντίστε να χρησιμοποιήσετε version control, ιστορικό αλλαγών στα έγγραφα, και το ίδιο format παντού
  • Η τεκμηρίωση πάντα έχει κύκλο ζωής: initial draft, published, retired
  • Χρησιμοποιήστε παντού περιγραφές θέσης εργασίας ή job titles, όχι ονόματα εργαζομένων

Καλή συνέχεια!

FREE GDPR eBook: download it and start preparing

 

gdprlogo

ΔΩΡΕΑΝ eBook για το GDPR

Τα πρώτα βήματα στο GDPR

  • Σε ποιες επιχειρήσεις εφαρμόζεται ο νέος κανονισμός
  • Τι είναι τα προσωπικά δεδομένα
  • Ο ρόλος του Υπεύθυνου Επεξεργασίας
  • Τα δικαιώματα του Υποκειμένου Δεδομένων
  • και πολλά ακόμα

Συμπληρώστε τα στοιχεία σας στην ακόλουθη σελίδα, ώστε να αποκτήσετε πρόσβαση στο ΔΩΡΕΑΝ eBook:

https://mcse.gr/gdpr/

All the news about #AzureAD @Ignite2017

MS Ignite 2017 is over, but if you need to know all the news about Azure Active Directory, you should definitely take a look at this article:

https://blogs.technet.microsoft.com/enterprisemobility/2017/09/27/whats-new-with-azure-active-directory-ignite-2017/