Informacje na temat incydentów bezpieczeństwa

1. pwc.pl/rodo
Usługi RODO
wdrożenie | utrzymanie zgodności | incydenty bezpieczeństwa

2. Incydenty
Bezpieczeństwa
19. Proaktywne zarządzanie incydentami
20. Analiza podatności na incydenty i badanie
skuteczności zabezpieczeń (STRIKE)
21. PwC jako MSSP SOC
22. Wsparcie Legal, Cybersecurity oraz Forensic
w reagowaniu na incydenty (umowa ramowa)
23. Wsparcie w komunikacji z Regulatorem
i podmiotami, których dotyczy incydent
PwC | GDPR Readiness

3. PwC | GDPR Readiness 33
19. Proaktywne zarządzanie incydentami
Dlaczego to ważne?
Jak możemy pomóc?
• Zarządzanie incydentami bezpieczeństwa jest kluczowe z perspektywy działalności organizacji, ponieważ umożliwia szybkie podjęcie
działań naprawczych i mitygacyjnych w przypadku incydentu, co pomoże zminimalizować ryzyka regulacyjne i reputacyjne
• Możliwość szybkiego wykrycia i odpowiedniej reakcji na incydent ma kluczowe znaczenie dla zgodności z RODO oraz uniknięcia
i zminimalizowania potencjalnych kar regulacyjnych. Zgodnie z art. 33 RODO administrator musi zgłosić naruszenie ochrony danych
osobowych nie później niż 72 godziny od stwierdzenia naruszenia
• Umiejętna ocena prawna i techniczna pozwoli ocenić, czy faktycznie mamy do czynienia z incydentem w rozumieniu RODO i czy konieczne
jest poinformowanie organu o incydencie
• Opracujemy strategię monitorowania i detekcji incydentów
• Opracujemy plany reakcji na incydenty
• Przeprowadzimy proces Compromise Discovery
• Przeprowadzimy ocenę Breach Assessment
• Przygotujemy symulacje incydentów
• Wykonamy analizę podatności – Vulnerability Assessment
• Wesprzemy w procesie Threat Intelligence
• Zaprojektujemy proces Threat Hunting
Zarządzanie
incydentami
Art. 33 RODO
Art. 34 RODO

4. PwC | GDPR Readiness 44
20. Analiza podatności na incydenty i badanie skuteczności zabezpieczeń
• W celu prawidłowej oceny poziomu zgodności z RODO i gotowości na potencjalne przypadki naruszenia ochrony danych osobowych,
niezbędne jest posiadanie kompletnej wiedzy o istniejących podatnościach użytkowanych systemów informatycznych oraz świadomości,
na ile skuteczne są obecnie wykorzystywane mechanizmy bezpieczeństwa
• Wysoki poziom skutecznych zabezpieczeń potencjalnie minimalizuje ilość zaistniałych incydentów naruszenia ochrony danych, które
należy zgłosić do Organu Nadzorczego
Dlaczego to ważne?
Jak możemy pomóc?
• Zweryfikujemy podatność organizacji na incydenty poprzez przeprowadzenie kontrolowanego ataku „z wykorzystaniem wiedzy zerowej”
sprawdzającego w praktyce skuteczność zabezpieczeń organizacji
• Przeprowadzimy analizę funkcjonujących w organizacji zabezpieczeń pod kątem identyfikacji podatności (vulnerability assessment)
• Sprawdzimy poziom bezpieczeństwa systemów informatycznych poprzez testy penetracyjne
• Przeprowadzimy analizę kodu źródłowego rozwijanych aplikacji pod kątem występowania błędów programistycznych oraz złych praktyk
mogących prowadzić do wystąpienia podatności bezpieczeństwa
Analiza
podatności
Art. 33 RODO
Art. 32 RODO
Art. 34 RODO

5. PwC | GDPR Readiness 55
21. PwC jako profesjonalny zewnętrzny SOC (Security Operations Center)
Dlaczego to ważne?
Jak możemy pomóc?
• Postępująca cyfryzacja biznesu oraz rosnąca ilość cyberataków sprawia, że całkowite wyeliminowanie zagrożeń dla cyberbezpieczeństwa
staje się niemal niemożliwe. Stały monitoring bezpieczeństwa organizacji pozwoli zminimalizować negatywne konsekwencje incydentów
• Dzięki wsparciu profesjonalnego zewnętrznego SOC (w trybie Managed Security Service Provider – MSSP) możliwe jest wykrycie i
zatrzymanie negatywnych konsekwencji incydentu oraz rozpoczęcie działań naprawczych zmierzających do przywrócenia normalnego
trybu działania organizacji w najkrótszym możliwym czasie
• Opracujemy odpowiednią dla danej organizacji strategię działania SOC
• Wdrożymy odpowiednie narzędzia oraz przeprowadzimy szkolenia z zakresu funkcjonowania SOC
• Zapewnimy niezbędnych specjalistów oraz infrastrukturę jako dostawca usługi SOC
• Dzięki stałemu rozwojowi kompetencji i doświadczeniu naszego zespołu oferujemy Państwu najbardziej aktualne i sprawdzone na rynku
praktyczne rozwiązania w zakresie cyberbezpieczeństwa
MSSP SOC
art. x RODO
art. x RODO
Art. 34 RODO
Art. 33 RODO
Art. 32 RODO

6. PwC | GDPR Readiness 66
22. Wsparcie Legal , Cybersecurity oraz Forensic w reagowaniu na incydenty
Dlaczego to ważne?
Jak możemy pomóc?
• W celu mitygacji potencjalnych ryzyk regulacyjnych i reputacyjnych, pomożemy Państwu zastosować program naprawczy i mitygacyjny
oraz odpowiednio i w najkrótszym czasie po wykryciu incydentu na niego zareagować
• Podjęcie działań naprawczych wymaga przeprowadzenia analizy w celu określenia okoliczności i przyczyn incydentu oraz oszacowania
wyrządzonych szkód
• Działania Forensicowe oraz wspierające analizy w obszarze Cybersecurity pozwalają na odtworzenie pełnego scenariusza ataku, oceny strat
oraz przygotowanie planu działania minimalizującego wystąpienie podobnego incydentu w przyszłości
• Przygotujemy umowę ramową, dzięki której czas potrzebny na rozpoczęcie prac po wystąpieniu incydentu ulegnie znacznemu skróceniu
• Zapewnimy Państwu wsparcie wykwalifikowanych i doświadczonych ekspertów w obszarze Forensic, Legal i Cybersecurity
• Zidentyfikujemy przyczynę wystąpienia incydentu i przygotujemy plan działań naprawczych
• Pomożemy Państwu zminimalizować ryzyko wystąpienia podobnego incydentu w przyszłości
Wsparcie Legal,
Cybersecurity
oraz Forensic
art. x RODO
art. x RODO
Art. 34 RODO
Art. 33 RODO
Art. 32 RODO

7. PwC | GDPR Readiness 77
23. Wsparcie w komunikacji z Organem Nadzorczym i podmiotami, których dotyczy incydent
Dlaczego to ważne?
Jak możemy pomóc?
• Sprawna i precyzyjna komunikacja z Organem Nadzorczym pozwala na minimalizację ryzyka regulacyjnego
• Artykuł 33 ust. 3 RODO wprowadza konieczne elementy pisemnego zawiadomienia organu nadzorczego o zaistniałym incydencie
• Zgodnie z art. 34 RODO ocena ryzyka naruszenia praw lub wolności osób fizycznych w związku z incydentem bezpośrednio wpływa na
istnienie obowiązku administratora do powiadomienia osoby, której danych dotyczyło naruszenie
• Podmiot danych może dochodzić odszkodowania od administratora w związku z incydentem poprzez pozew indywidualny, zbiorowy lub
upoważnić wybraną organizację do dochodzenia odszkodowania w jej imieniu
Komunikacja
po incydencie
Art. 33 RODO
Art. 34 RODO
• Dokonamy klasyfikacji incydentu
• Przygotujemy treść zawiadomienia organu nadzorczego o incydencie w oparciu o jego analizę uwzględniając Państwa interesy,
w szczególności minimalizując ryzyko regulacyjne
• Dokonamy stosownej analizy czy incydent powoduje obowiązek poinformowania podmiotów danych o zaistniałym incydencie.
Przygotujemy dla Państwa raport na podstawie klasyfikacji naruszeń i wypracowanej metodologii oceny skutków naruszenia
• Jeżeli będzie to konieczne, przygotujemy dla Państwa treść zawiadomienia podmiotów danych o incydencie uwzględniając Państwa
oczekiwania minimalizacji ryzyka reputacyjnego
• Wesprzemy Państwa w komunikacji podmiotami danych
Art. 79 RODO
Art. 80 RODO
Art. 82 RODO

8. 29/08/18
Kontakt
Michał Mastalerz
Partner odpowiedzialny za
portfolio usług RODO
Michal.Mastalerz@pwc.com
Gerard Karp
Partner, PwC Legal
Gerard.Karp@pwc.com
Marcin Makusak
Partner, Risk Assurance
Marcin.Makusak@pwc.com
Arwid Mednis
Partner, PwC Legal
Arwid.Mednis@pwc.com
© 2018 PricewaterhouseCoopers Sp. z o.o. Wszelkie prawa zastrzeżone. PwC może odnosić się zarówno do spółki członkowskiej w Polsce jak również do sieci PwC. Każda ze spółek
stanowi odrębny i niezależny podmiot prawny. Niniejsza treść ma charakter ogólny i nie powinna być używana jako odpowiednik konsultacji z profesjonalnymi doradcami.
W PwC naszym celem jest budowanie zaufania wśród społeczeństwa i odpowiadanie na kluczowe wyzwania współczesnego świata. Jesteśmy siecią firm działającą w 158 krajach.
Zatrudniamy ponad 236 tysięcy osób, dostarczających naszym klientom najwyższą jakość usług w zakresie audytu, doradztwa biznesowego oraz doradztwa podatkowego i prawnego.
Dowiedz się więcej na www.pwc.pl