Successfully reported this slideshow.
Your SlideShare is downloading. ×

¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Upcoming SlideShare
Ensayo seguridad en la nube
Ensayo seguridad en la nube
Loading in …3
×

Check these out next

1 of 36 Ad

¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018

Download to read offline

El 25 de mayo entró en vigor el nuevo reglamento de protección de datos, en esta presentación te vamos a explicar qué es lo que tienes que tener en cuenta como un DBA para cumplir.

El 25 de mayo entró en vigor el nuevo reglamento de protección de datos, en esta presentación te vamos a explicar qué es lo que tienes que tener en cuenta como un DBA para cumplir.

Advertisement
Advertisement

More Related Content

Similar to ¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018 (20)

More from SolidQ (20)

Advertisement

Recently uploaded (20)

¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018

  1. 1. En que nos afecta a los DBA el GDPR Jose Antonio Pineda Montes japineda@Solidq.com
  2. 2. Indice • GDPR Básico • DBA- MS SQL- GDPR • ¿Cómo te podemos ayudar?
  3. 3. GDPR BASICO
  4. 4. Ofrecer claridad y coherencia en la protección de los datos personales Mejora de los derechos de privacidad personal Mayores obligaciones de protección de los datos Obligatoriedad de informar de las filtraciones de información sensible Sanciones muy cuantiosas por incumplimiento La normativa GDPR (General Data Protection Regulation) impone nuevas directivas a las organizaciones de la Unión Europea y a quienes ofrecen bienes y servicios a personas dentro de la UE o recopilen y analicen datos relativos a residentes de la UE, independientemente del país donde se encuentren.
  5. 5. Ejemplos de datos personales • Nombre • Documento de identidad • Cuenta de correo electrónica • Cuenta Bancaria • Información enviada a redes sociales • Dirección IP • Información física • Información psicológica • Cookies • Información Medica • Ideas políticas • Dirección • Información genética • Numero de teléfono
  6. 6. ¿Qué cambios introduce la norma GDPR? Privacidad personal Controles y notificaciones Transparencia TI y formación Las organizaciones deberán: • Formar a empleados y contratas en las obligaciones de privacidad • Auditar y actualizar sus políticas de gestión de datos • Designar un responsable (DPO, Data protección Officer) cuando corresponda • Incorporar cláusulas de cumplimiento en sus contratos con terceros Las organizaciones deberán: • Proteger los datos personales con las medidas de seguridad adecuadas • Notificar a las autoridades de las filtraciones de datos • Obtener el consentimiento del titular para procesar sus datos • Mantener registro de los procesos que afectan a los datos personales Las personas tienen derecho a: • Acceder a sus datos personales • Corregir errores en sus datos personales • Eliminar sus datos personales • Denegar el procesamiento de su información personal • Exportar sus datos personales Las organizaciones deberán: • Informar con claridad de sus actividades de captura de datos • Explicar adecuadamente la finalidad del procesamiento de los datos personales y los casos de uso. • Definir políticas de retención y eliminación
  7. 7. GDPR Article 25—Data protection by design and by default ► Control access, Process minimal necessary data, Integrate safeguards GDPR Article 32—Security of processing ► Pseudonymization and Encryption, Ensure availability, Regular security testing GDPR Article 33—Notification of a personal data breach ► Detect breach, Assess impact, Measures to address GDPR Article 35—Data protection impact assessment ► Document risks and security measures GDPR Article 30—Records of processing activities ► Monitor access, Maintain audits Requisitos relacionados con la privacidad de datos del GDPR
  8. 8. Como me preparo para cumplir GDPR Preguntas que debes realizarte: ¿Sabes DÓNDE residen tus datos y quién tiene ACCESO a esos datos? ¿Controlas quién tiene acceso a sus datos y cómo se utiliza según la evaluación de riesgos en tiempo real? ¿Puedes CLASIFICAR, PROTEGER y aplicar acciones basadas en POLÍTICAS a tus datos, en dispositivos, entre aplicaciones, en cualquier ubicación, en reposo y en tránsito? ¿Puedes DETECTAR automáticamente una violación de datos o identidad? ¿Eres capaz de RESPONDER adecuadamente a una violación? ¿REVISAS y ACTUALIZAS continuamente tus POLÍTICAS y PRÁCTICAS de protección de datos?
  9. 9. DBA-MSSQL-GDPR
  10. 10. La base de datos almacena gran parte de los datos confidenciales de la organización SQL
  11. 11. FASE DE DESCUBRIMIENTO
  12. 12. ¿Cuántas instancias de SQL tengo, cuantas bbdds tengo, tengo datos personales, tengo datos sensitivos?  Descubrir cuantas instancias de SQL y BBDDs hay en mi entorno.  Microsoft MAP  Descubrir que datos personales tengo en mis tablas:  Consultas T-SQL  Ayudarme del motor de búsqueda FTS  Microsoft SSMS 17.4 – DATA CLASSIFICATION  Sacar un diagrama de los flujos de datos
  13. 13. ¿Que características o servicios de SQL tengo instaladas?¿Las necesito?  Ejemplo de características que deberían ser comprobadas y , si es possible, deshabilitadas son (pero no esta limitado solo a estas):XP_CMDSHELL, CLR, Filestream, Cross DB Ownership Chaining, OLE AUTOMATION, External Scripts, Ad-hoc Distributed Queries y Trustworthy bit.  Recomendaciones adicionales sería deshabilitar los protocolos de red no utilizados, parar el servicio de SQL Browser y desintalar en producción las bbdd de ejemplo.  Ver si es necesario tener arrancado e instalado FTS, SSIS, SSAS, Reporting Services
  14. 14. FASE DE GESTION
  15. 15. ¿Quién tiene acceso a mis instancias y base de datos?  Tener una base mínima de seguridad  Ayudarnos de herramientas como:  Microsoft SSMS 17.4 – Vulnerability Assessment  SQL Server 2012 Security Best Practices - Operational and Administrative Tasks.  Ayudarnos de las nuevas funcionalidades a partir de SQL 2016 : RLS (seguridad a nivel de columna) y DDM (enmascaramiento de datos)  Si trabajo con SQL Azure, trabajar con cuentas del directorio activo, configurar el firewall correctamente.  Configurar correctamente las cuentas que tienen acceso a las instancias, con el principio de menor privilegio en mente.
  16. 16. Documentación interesante a leer sobre la separación de tareas/roles en la seguridad de SQL  Separación de tareas de SQL Server por Lara Rubbelke  Separación del motor de tareas para el desarrollador de aplicaciones por Craig Gick, Jack Richins  Separación de tareas en SQL Server 2014 por Bob Beauchemin
  17. 17. Fase de Proteccion
  18. 18. Protección de los datos por defecto y en diseño  Encriptar los datos en reposo, en movimiento y en uso  TSL : Utilizar la versión 1.2. https://support.microsoft.com/en- us/help/3135244/tls-1.2-support-for-microsoft-sql-server
  19. 19. Comparativa entre AE y TDE Always Encrypted TDE Nivel de columna Nivel de BBDD Encriptación en cliente Encriptación en servidor El servidor no conoce en ningún momento las claves para encriptar El servidor conoce las claves para encriptar EL dato viaje por la red encriptado EL dato tal cual viaja por la red. Tempdb hereda la encriptación- incluso después de deshabilitar TDE EL dato puede ser protegido de administradores de sistema y bbdd El dato es accesible para administradores de sistema y bbdd
  20. 20. Nos debemos volver paranoicos
  21. 21. Como mantener auditorias y poder avisar con tiempo ante robos de datos  Auditoria en SQL (a partir de SQL 2008*):  A nivel de instancia  A nivel de BBDD  En SQL AZURE también tienes una herramienta de detención de amenazas
  22. 22. Asegurar la continuidad del negocio  Always On:  Cluster  Grupos de disponibilidad  Log shipping  En SQL Azure Geo-Replicacion Activa
  23. 23. Current support level End mainstream End extended SQL Server 2014 Currently supporting all versions July 9, 2019 July 9, 2024 SQL Server 2012 SQL Server 2012 SP2+ is in extended support which includes security updates, paid support, and requires purchasing non-security hotfix support July 11, 2017 July 12, 2022 SQL Server 2008 and SQL Server 2008 R2 SQL Server 2008 and 2008 R2 are in extended support which includes security updates, paid support, and requires purchasing non-security hotfix support July 8, 2014 July 9, 2019 SQL Server 2005 SQL Server 2005 support ended on April 12, 2016 April 12, 2011 April 12, 2016 Learn more about the SQL Server support lifecycle: support.microsoft.com/lifecycle/ SQL Server 2008 and 2008 R2 will no longer be supported starting on July 9, 2019. WHEN WILL END OF SUPPORT HAPPEN?
  24. 24. Dudas RGPD  ¿Que pasa cuando recupero mi base de datos con datos personales?  Como gestiono la expiración de los datos.  Como gestiono quien me ha dado consentimiento, quien no y quien lo ha revocado.  Que pasa si los datos los tengo que seguir conservando por temas legales.  Como gestiono las consultas sobre que datos tengo de un cliente y como puedo hacérselo llegar de tal manera que pueda traspasarlos a otra empresa.
  25. 25. Ejemplo de escenario de aplicacion GDPR - DevOps  Los desarrolladores quieren los datos más realistas y actualizados posible  desarrollar, probar y corregir código más rápido  Entornos realistas deben ser dedicados y capaces de crearse rápidamente  Procesos automaticos repetibles  Auto-servicio  Los administradores de base de datos necesitan proteger los datos sensibles y personales  GDPR  Mayor conciencia de riesgo de violación de datos  Personalizar datos con enmascaramiento.
  26. 26. Revindicar el role de DBA  Quien mejor que tu para saber donde esta el dato.  Quien mejor que tu para implementar la gestión de los consentimientos  Revisar la calidad de los datos  Evita que los datos se expandan sin control  Avisar cuando estamos utilizando datos sensibles o de más, el departamento de marketing lo quiere todo, aunque luego no lo utilice.  Diseñar una buena política de seguridad en las bbdds.  Con SQL Azure el DBA desaparece.  Nos tenemos que convertir en desarrolladores con DEVOPS.  Las nuevas versiones del motor automatizan muchas tareas. PELIGROS PARA NUESTRO FUTURO NUESTRAS FORTALEZAS
  27. 27. COMO PODEMOS AYUDARTE DESDE SOLIDQ
  28. 28. Taller Descripción Resultados Asistentes de parte del cliente Tiempo Tiempo programado, sala Día 1 Inicio del compromiso Proporciona una visión general de la agenda de 2 días in situ y de los objetivos, además de ser una oportunidad para abordar preguntas y cuestiones de gobierno del proyecto. Se acuerda el plan y la programación para la evaluación de 2 días in situ. Confirmación de la planificación y la logística Todo el equipo del proyecto 1 hora SKYPE Dia2 Inicio de la evaluación detallada del RGPD de Microsoft Responder a las preguntas de la herramienta de evaluación detallada del RGPD de Microsoft Cuestionario del RGPD completado parcialmente Personal del cliente seleccionado 7 horas En el cliente Día 3 Revisión del día 1 Revisión del progreso del día uno, debate sobre cuestiones abiertas e identificación de problemas. Preparación para avanzar en la finalización de la evaluación detallada del RGPD de Microsoft. Todo el equipo del proyecto 0,5 horas En el cliente Completar la evaluación detallada del RGPD de Microsoft Responder a las preguntas restantes sobre la evaluación detallada del RGPD de Microsoft. Cuestionario del RGPD completado totalmente Personal del cliente seleccionado 4,5 horas En el cliente Análisis y reseña de los resultados Revisión de los resultados de la evaluación detallada del RGPD de Microsoft, preparación de la presentación final. Presentación final SOLIDQ 3 horas Finalización del compromiso Presentación final Presentación de los resultados de la evaluación, establecimiento de los pasos siguientes y de una hoja de ruta para el cumplimiento del RGPD. Lista de pasos siguientes y hoja de ruta con elementos prácticos y directrices temporales que ayudarán a alcanzar el cumplimiento del RGPD Todo el equipo del proyecto 2 horas En el cliente Agenda de la evaluación detallada del RGPD de Microsoft
  29. 29. Herramienta de evaluación detallada de RGPD: Combinado de los cuatro temas DAPI Madurez general en uno de tres posibles niveles: Inicial, Progresando u Optimizando Resultados por tema y ámbito de enfoque Índice de madurez Recomendación principal por escenario secundario Sugerencias de productos Microsoft Lista exhaustiva y práctica Lista completa de recomendaciones Agrupado por escenario secundario y grado de madurez para el RGPD Para cada tema y escenario secundario
  30. 30. ¿Cómo podemos empezar? Identificar los datos personales que posee y dónde están almacenados Descubrimiento1 Controlar cómo se utilizan los datos personales y cómo se accede a ellos Gestión2 Establecer controles de seguridad para detectar, evitar y responder ante vulnerabilidades y brechas de seguridad Protección3 Registrar las evidencias, mantener la documentación exigida, procesar las peticiones de usuarios y notificar filtraciones de datos Informes4
  31. 31. Trasladado a tecnología SQL... Inventariar datos personales en sistemas de bases de datos Revisar el modelo de acceso, comprender el área de superficie de ataque Seguimiento de flujos de datos y linaje de datos de mapas Descubrir1 Administrar mecanismos de autenticación y autorización Configurar correctamente el firewall de la base de datos Limitar el acceso a la aplicación de acuerdo con los principios de autorización Gestionar2 Cifrado de datos en reposo, en movimiento, en uso Mantener registros y auditorías de todas las actividades de la base de datos Detectar violación de datos y responder en consecuencia Asegurar la continuidad del negocio Proteger3 Mantener registros de auditoría de las actividades de la base de datos Evaluar y analizar continuamente las medidas de seguridad Informacion4 T-SQL Queries, Full Text search Data Classification Vulnerability Assessment Windows auth, Azure AD auth, role-base security, etc. Azure SQL Firewall DDM, RLS TLS, TDE, Always Encrypted Auditing Threat Detection Always On, Active Geo-Replication Auditing, Temporal tables Vulnerability Assessment
  32. 32. Discover Right to Erasure Right to Data Portability Manage Documentation Privacy by Design Protect Data Security Data Transfer Metadata queries Helps you search and identify personal data using queries Data governance Using Windows permissions administrators can manage and govern access to personal data Transparent Data Encryption Secure personal data through encryption at the physical storage layer using encryption-at-rest Full text queries Using full-text queries against character- based data in SQL Server tables Role-based access control Apply role-based access control to help manage authorization policies in the database, and to implement the separation of duties principle Always Encrypted Prevent unauthorized, high-privileged users from accessing data in transit, at rest, and while in use Extended properties Helping facilitate data classification using the Extended Properties feature to create data classification labels and apply them to sensitive personal data Row-level security Prevent access to rows in a table (such as those that may contain sensitive information) based on characteristics of the user trying to access the data Row-level security and Data Masking Protect personal data using Row-Level Security and Dynamic Data Masking features, which limit sensitive data exposure by masking the data to non- privileged users or applications. SQL Queries and Statements Identify and delete target data Master data services Keep personal data complete and ensure that requests to edit, delete, or discontinue the processing of data are propagated throughout the system Vulnerability assessment Scan databases for insecure configurations, exposed surface area, and additional potential security issues Report Documentation Breach Response and Notification SQL Server Audit Verify changes to data that occur in a SQL Server table Always On Availability Groups Maximize the availability of a group of user databases for an enterprise SQL Server Audit Maintain audit trails SQL Database Threat Detection Get help detecting anomalous database activities indicating potential security threats to the database Vulnerability assessment Reports that can serve as a security assessment for your database. These reports can also be used as part of a Data Protection Impact Assessment (DPIA) SQL Server Audit Understand ongoing database activities, and analyze and investigate historical activity to identify potential threats or suspected abuse and security violations SQL Server Audit Gain useful input for performing a DPIA MICROSOFT SQL BASED TECHNOLOGY SUPPORTS GDPR SECURITY COMPLIANCE Discover: identify what personal data you have and where it resides Protect: establish security controls to prevent, detect, and respond to vulnerabilities and data breaches Control: manage how personal data is used and accessed. Report: action data subjects requests and keep required documentation

×