SlideShare una empresa de Scribd logo

¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018

SolidQ, profile picture
SolidQ

El GDPR impone nuevas obligaciones a las organizaciones en la UE, incluyendo la protección de datos personales y la notificación de filtraciones. Los DBA deben implementar medidas de seguridad, realizar auditorías y gestionar consentimientos para cumplir con la normativa. Además, se recomienda la formación y el uso de herramientas específicas para garantizar la privacidad y seguridad de los datos en bases de datos SQL.

Tecnología
1 de 36
Descargar para leer sin conexión
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
En que nos afecta a los DBA el GDPR Jose Antonio Pineda Montes japineda@Solidq.com
Indice • GDPR Básico • DBA- MS SQL- GDPR • ¿Cómo te podemos ayudar?
GDPR BASICO
Ofrecer claridad y coherencia en la protección de los datos personales Mejora de los derechos de privacidad personal Mayores obligaciones de protección de los datos Obligatoriedad de informar de las filtraciones de información sensible Sanciones muy cuantiosas por incumplimiento La normativa GDPR (General Data Protection Regulation) impone nuevas directivas a las organizaciones de la Unión Europea y a quienes ofrecen bienes y servicios a personas dentro de la UE o recopilen y analicen datos relativos a residentes de la UE, independientemente del país donde se encuentren.
Ejemplos de datos personales • Nombre • Documento de identidad • Cuenta de correo electrónica • Cuenta Bancaria • Información enviada a redes sociales • Dirección IP • Información física • Información psicológica • Cookies • Información Medica • Ideas políticas • Dirección • Información genética • Numero de teléfono
¿Qué cambios introduce la norma GDPR? Privacidad personal Controles y notificaciones Transparencia TI y formación Las organizaciones deberán: • Formar a empleados y contratas en las obligaciones de privacidad • Auditar y actualizar sus políticas de gestión de datos • Designar un responsable (DPO, Data protección Officer) cuando corresponda • Incorporar cláusulas de cumplimiento en sus contratos con terceros Las organizaciones deberán: • Proteger los datos personales con las medidas de seguridad adecuadas • Notificar a las autoridades de las filtraciones de datos • Obtener el consentimiento del titular para procesar sus datos • Mantener registro de los procesos que afectan a los datos personales Las personas tienen derecho a: • Acceder a sus datos personales • Corregir errores en sus datos personales • Eliminar sus datos personales • Denegar el procesamiento de su información personal • Exportar sus datos personales Las organizaciones deberán: • Informar con claridad de sus actividades de captura de datos • Explicar adecuadamente la finalidad del procesamiento de los datos personales y los casos de uso. • Definir políticas de retención y eliminación
GDPR Article 25—Data protection by design and by default ► Control access, Process minimal necessary data, Integrate safeguards GDPR Article 32—Security of processing ► Pseudonymization and Encryption, Ensure availability, Regular security testing GDPR Article 33—Notification of a personal data breach ► Detect breach, Assess impact, Measures to address GDPR Article 35—Data protection impact assessment ► Document risks and security measures GDPR Article 30—Records of processing activities ► Monitor access, Maintain audits Requisitos relacionados con la privacidad de datos del GDPR
Como me preparo para cumplir GDPR Preguntas que debes realizarte: ¿Sabes DÓNDE residen tus datos y quién tiene ACCESO a esos datos? ¿Controlas quién tiene acceso a sus datos y cómo se utiliza según la evaluación de riesgos en tiempo real? ¿Puedes CLASIFICAR, PROTEGER y aplicar acciones basadas en POLÍTICAS a tus datos, en dispositivos, entre aplicaciones, en cualquier ubicación, en reposo y en tránsito? ¿Puedes DETECTAR automáticamente una violación de datos o identidad? ¿Eres capaz de RESPONDER adecuadamente a una violación? ¿REVISAS y ACTUALIZAS continuamente tus POLÍTICAS y PRÁCTICAS de protección de datos?
DBA-MSSQL-GDPR
La base de datos almacena gran parte de los datos confidenciales de la organización SQL
FASE DE DESCUBRIMIENTO
¿Cuántas instancias de SQL tengo, cuantas bbdds tengo, tengo datos personales, tengo datos sensitivos?  Descubrir cuantas instancias de SQL y BBDDs hay en mi entorno.  Microsoft MAP  Descubrir que datos personales tengo en mis tablas:  Consultas T-SQL  Ayudarme del motor de búsqueda FTS  Microsoft SSMS 17.4 – DATA CLASSIFICATION  Sacar un diagrama de los flujos de datos
¿Que características o servicios de SQL tengo instaladas?¿Las necesito?  Ejemplo de características que deberían ser comprobadas y , si es possible, deshabilitadas son (pero no esta limitado solo a estas):XP_CMDSHELL, CLR, Filestream, Cross DB Ownership Chaining, OLE AUTOMATION, External Scripts, Ad-hoc Distributed Queries y Trustworthy bit.  Recomendaciones adicionales sería deshabilitar los protocolos de red no utilizados, parar el servicio de SQL Browser y desintalar en producción las bbdd de ejemplo.  Ver si es necesario tener arrancado e instalado FTS, SSIS, SSAS, Reporting Services
FASE DE GESTION
¿Quién tiene acceso a mis instancias y base de datos?  Tener una base mínima de seguridad  Ayudarnos de herramientas como:  Microsoft SSMS 17.4 – Vulnerability Assessment  SQL Server 2012 Security Best Practices - Operational and Administrative Tasks.  Ayudarnos de las nuevas funcionalidades a partir de SQL 2016 : RLS (seguridad a nivel de columna) y DDM (enmascaramiento de datos)  Si trabajo con SQL Azure, trabajar con cuentas del directorio activo, configurar el firewall correctamente.  Configurar correctamente las cuentas que tienen acceso a las instancias, con el principio de menor privilegio en mente.
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
Documentación interesante a leer sobre la separación de tareas/roles en la seguridad de SQL  Separación de tareas de SQL Server por Lara Rubbelke  Separación del motor de tareas para el desarrollador de aplicaciones por Craig Gick, Jack Richins  Separación de tareas en SQL Server 2014 por Bob Beauchemin
Fase de Proteccion
Protección de los datos por defecto y en diseño  Encriptar los datos en reposo, en movimiento y en uso  TSL : Utilizar la versión 1.2. https://support.microsoft.com/en- us/help/3135244/tls-1.2-support-for-microsoft-sql-server
Comparativa entre AE y TDE Always Encrypted TDE Nivel de columna Nivel de BBDD Encriptación en cliente Encriptación en servidor El servidor no conoce en ningún momento las claves para encriptar El servidor conoce las claves para encriptar EL dato viaje por la red encriptado EL dato tal cual viaja por la red. Tempdb hereda la encriptación- incluso después de deshabilitar TDE EL dato puede ser protegido de administradores de sistema y bbdd El dato es accesible para administradores de sistema y bbdd
Nos debemos volver paranoicos
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
Como mantener auditorias y poder avisar con tiempo ante robos de datos  Auditoria en SQL (a partir de SQL 2008*):  A nivel de instancia  A nivel de BBDD  En SQL AZURE también tienes una herramienta de detención de amenazas
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
Asegurar la continuidad del negocio  Always On:  Cluster  Grupos de disponibilidad  Log shipping  En SQL Azure Geo-Replicacion Activa
Current support level End mainstream End extended SQL Server 2014 Currently supporting all versions July 9, 2019 July 9, 2024 SQL Server 2012 SQL Server 2012 SP2+ is in extended support which includes security updates, paid support, and requires purchasing non-security hotfix support July 11, 2017 July 12, 2022 SQL Server 2008 and SQL Server 2008 R2 SQL Server 2008 and 2008 R2 are in extended support which includes security updates, paid support, and requires purchasing non-security hotfix support July 8, 2014 July 9, 2019 SQL Server 2005 SQL Server 2005 support ended on April 12, 2016 April 12, 2011 April 12, 2016 Learn more about the SQL Server support lifecycle: support.microsoft.com/lifecycle/ SQL Server 2008 and 2008 R2 will no longer be supported starting on July 9, 2019. WHEN WILL END OF SUPPORT HAPPEN?
Dudas RGPD  ¿Que pasa cuando recupero mi base de datos con datos personales?  Como gestiono la expiración de los datos.  Como gestiono quien me ha dado consentimiento, quien no y quien lo ha revocado.  Que pasa si los datos los tengo que seguir conservando por temas legales.  Como gestiono las consultas sobre que datos tengo de un cliente y como puedo hacérselo llegar de tal manera que pueda traspasarlos a otra empresa.
Ejemplo de escenario de aplicacion GDPR - DevOps  Los desarrolladores quieren los datos más realistas y actualizados posible  desarrollar, probar y corregir código más rápido  Entornos realistas deben ser dedicados y capaces de crearse rápidamente  Procesos automaticos repetibles  Auto-servicio  Los administradores de base de datos necesitan proteger los datos sensibles y personales  GDPR  Mayor conciencia de riesgo de violación de datos  Personalizar datos con enmascaramiento.
Revindicar el role de DBA  Quien mejor que tu para saber donde esta el dato.  Quien mejor que tu para implementar la gestión de los consentimientos  Revisar la calidad de los datos  Evita que los datos se expandan sin control  Avisar cuando estamos utilizando datos sensibles o de más, el departamento de marketing lo quiere todo, aunque luego no lo utilice.  Diseñar una buena política de seguridad en las bbdds.  Con SQL Azure el DBA desaparece.  Nos tenemos que convertir en desarrolladores con DEVOPS.  Las nuevas versiones del motor automatizan muchas tareas. PELIGROS PARA NUESTRO FUTURO NUESTRAS FORTALEZAS
COMO PODEMOS AYUDARTE DESDE SOLIDQ
Taller Descripción Resultados Asistentes de parte del cliente Tiempo Tiempo programado, sala Día 1 Inicio del compromiso Proporciona una visión general de la agenda de 2 días in situ y de los objetivos, además de ser una oportunidad para abordar preguntas y cuestiones de gobierno del proyecto. Se acuerda el plan y la programación para la evaluación de 2 días in situ. Confirmación de la planificación y la logística Todo el equipo del proyecto 1 hora SKYPE Dia2 Inicio de la evaluación detallada del RGPD de Microsoft Responder a las preguntas de la herramienta de evaluación detallada del RGPD de Microsoft Cuestionario del RGPD completado parcialmente Personal del cliente seleccionado 7 horas En el cliente Día 3 Revisión del día 1 Revisión del progreso del día uno, debate sobre cuestiones abiertas e identificación de problemas. Preparación para avanzar en la finalización de la evaluación detallada del RGPD de Microsoft. Todo el equipo del proyecto 0,5 horas En el cliente Completar la evaluación detallada del RGPD de Microsoft Responder a las preguntas restantes sobre la evaluación detallada del RGPD de Microsoft. Cuestionario del RGPD completado totalmente Personal del cliente seleccionado 4,5 horas En el cliente Análisis y reseña de los resultados Revisión de los resultados de la evaluación detallada del RGPD de Microsoft, preparación de la presentación final. Presentación final SOLIDQ 3 horas Finalización del compromiso Presentación final Presentación de los resultados de la evaluación, establecimiento de los pasos siguientes y de una hoja de ruta para el cumplimiento del RGPD. Lista de pasos siguientes y hoja de ruta con elementos prácticos y directrices temporales que ayudarán a alcanzar el cumplimiento del RGPD Todo el equipo del proyecto 2 horas En el cliente Agenda de la evaluación detallada del RGPD de Microsoft
Herramienta de evaluación detallada de RGPD: Combinado de los cuatro temas DAPI Madurez general en uno de tres posibles niveles: Inicial, Progresando u Optimizando Resultados por tema y ámbito de enfoque Índice de madurez Recomendación principal por escenario secundario Sugerencias de productos Microsoft Lista exhaustiva y práctica Lista completa de recomendaciones Agrupado por escenario secundario y grado de madurez para el RGPD Para cada tema y escenario secundario
¿Cómo podemos empezar? Identificar los datos personales que posee y dónde están almacenados Descubrimiento1 Controlar cómo se utilizan los datos personales y cómo se accede a ellos Gestión2 Establecer controles de seguridad para detectar, evitar y responder ante vulnerabilidades y brechas de seguridad Protección3 Registrar las evidencias, mantener la documentación exigida, procesar las peticiones de usuarios y notificar filtraciones de datos Informes4
Trasladado a tecnología SQL... Inventariar datos personales en sistemas de bases de datos Revisar el modelo de acceso, comprender el área de superficie de ataque Seguimiento de flujos de datos y linaje de datos de mapas Descubrir1 Administrar mecanismos de autenticación y autorización Configurar correctamente el firewall de la base de datos Limitar el acceso a la aplicación de acuerdo con los principios de autorización Gestionar2 Cifrado de datos en reposo, en movimiento, en uso Mantener registros y auditorías de todas las actividades de la base de datos Detectar violación de datos y responder en consecuencia Asegurar la continuidad del negocio Proteger3 Mantener registros de auditoría de las actividades de la base de datos Evaluar y analizar continuamente las medidas de seguridad Informacion4 T-SQL Queries, Full Text search Data Classification Vulnerability Assessment Windows auth, Azure AD auth, role-base security, etc. Azure SQL Firewall DDM, RLS TLS, TDE, Always Encrypted Auditing Threat Detection Always On, Active Geo-Replication Auditing, Temporal tables Vulnerability Assessment
Discover Right to Erasure Right to Data Portability Manage Documentation Privacy by Design Protect Data Security Data Transfer Metadata queries Helps you search and identify personal data using queries Data governance Using Windows permissions administrators can manage and govern access to personal data Transparent Data Encryption Secure personal data through encryption at the physical storage layer using encryption-at-rest Full text queries Using full-text queries against character- based data in SQL Server tables Role-based access control Apply role-based access control to help manage authorization policies in the database, and to implement the separation of duties principle Always Encrypted Prevent unauthorized, high-privileged users from accessing data in transit, at rest, and while in use Extended properties Helping facilitate data classification using the Extended Properties feature to create data classification labels and apply them to sensitive personal data Row-level security Prevent access to rows in a table (such as those that may contain sensitive information) based on characteristics of the user trying to access the data Row-level security and Data Masking Protect personal data using Row-Level Security and Dynamic Data Masking features, which limit sensitive data exposure by masking the data to non- privileged users or applications. SQL Queries and Statements Identify and delete target data Master data services Keep personal data complete and ensure that requests to edit, delete, or discontinue the processing of data are propagated throughout the system Vulnerability assessment Scan databases for insecure configurations, exposed surface area, and additional potential security issues Report Documentation Breach Response and Notification SQL Server Audit Verify changes to data that occur in a SQL Server table Always On Availability Groups Maximize the availability of a group of user databases for an enterprise SQL Server Audit Maintain audit trails SQL Database Threat Detection Get help detecting anomalous database activities indicating potential security threats to the database Vulnerability assessment Reports that can serve as a security assessment for your database. These reports can also be used as part of a Data Protection Impact Assessment (DPIA) SQL Server Audit Understand ongoing database activities, and analyze and investigate historical activity to identify potential threats or suspected abuse and security violations SQL Server Audit Gain useful input for performing a DPIA MICROSOFT SQL BASED TECHNOLOGY SUPPORTS GDPR SECURITY COMPLIANCE Discover: identify what personal data you have and where it resides Protect: establish security controls to prevent, detect, and respond to vulnerabilities and data breaches Control: manage how personal data is used and accessed. Report: action data subjects requests and keep required documentation

Más contenido relacionado

PDF
Ensayo seguridad en la nube
oerazo6808
 
PDF
3.1. Datos Adquisición
David Narváez
 
PPTX
Charla windows 10 para Empresas
Eduardo Castro
 
PDF
Consultas
Jonathan Israel
 
PPTX
Seguridad en bases de datos
josecuartas
 
PPTX
BIG DATA GRUPO #7
Dyllan Raza
 
DOCX
Trabajo
royholguin1990
 
DOCX
Taller 1
guestb7b79b
 
Ensayo seguridad en la nube
oerazo6808
 
3.1. Datos Adquisición
David Narváez
 
Charla windows 10 para Empresas
Eduardo Castro
 
Consultas
Jonathan Israel
 
Seguridad en bases de datos
josecuartas
 
BIG DATA GRUPO #7
Dyllan Raza
 
Trabajo
royholguin1990
 
Taller 1
guestb7b79b
 

Similar a ¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018 (20)

DOC
Introducciòn Bases de Datos
Carlos Julio
 
DOC
F:\Universidad\Bases De Datos\Taller1 IntroducciòNbd
Carlos Julio
 
PDF
GDPR Evita el riesgo de incumplimiento con virtualizacion de datos
Denodo
 
PDF
Data Baséate
LERIDASANCHEZ
 
DOCX
Bayer BI Microstrategy
Teresa Malagon Martínez
 
PPTX
Seguridad de la base de datos
osandcr
 
PDF
Integracion de datos.pdf
ssuserc7cdff
 
PDF
AR-Proyecto enmascaramiento de Datos.
PowerData
 
PDF
AR-Proyecto enmascaramiento de datos.
PowerData
 
PPT
Catedra De Riesgos Oracle
dcordova923
 
PDF
Material de lectura administración de base de datos
Arturo Coronado
 
PPTX
DOSSTGWESTWETWETWETWETWETEWTWETEEWTTW.pptx
SANTOS400018
 
PPTX
Blue Futuristic Cyber Security Presentation.pptx
juan60m3zz
 
DOCX
Smbd
sergio
 
DOCX
Examadb
qjoselito
 
PDF
Escuche a sus sistemas de TI, tienen algo importante que decirle
Asociación de Marketing Bancario Argentino
 
PDF
Base de datos
nerovalerio
 
PDF
Clase No.2 - Generalidades y Tecnologias .pdf
jorge alberto campos rosa
 
PPTX
Que es big data
Marco Junior Cordero Pampa
 
PPTX
Base de datos
SuarezJhon
 
Introducciòn Bases de Datos
Carlos Julio
 
F:\Universidad\Bases De Datos\Taller1 IntroducciòNbd
Carlos Julio
 
GDPR Evita el riesgo de incumplimiento con virtualizacion de datos
Denodo
 
Data Baséate
LERIDASANCHEZ
 
Bayer BI Microstrategy
Teresa Malagon Martínez
 
Seguridad de la base de datos
osandcr
 
Integracion de datos.pdf
ssuserc7cdff
 
AR-Proyecto enmascaramiento de Datos.
PowerData
 
AR-Proyecto enmascaramiento de datos.
PowerData
 
Catedra De Riesgos Oracle
dcordova923
 
Material de lectura administración de base de datos
Arturo Coronado
 
DOSSTGWESTWETWETWETWETWETEWTWETEEWTTW.pptx
SANTOS400018
 
Blue Futuristic Cyber Security Presentation.pptx
juan60m3zz
 
Smbd
sergio
 
Examadb
qjoselito
 
Escuche a sus sistemas de TI, tienen algo importante que decirle
Asociación de Marketing Bancario Argentino
 
Base de datos
nerovalerio
 
Clase No.2 - Generalidades y Tecnologias .pdf
jorge alberto campos rosa
 
Que es big data
Marco Junior Cordero Pampa
 
Base de datos
SuarezJhon
 
Publicidad

Más de SolidQ (20)

PDF
SolidQ Summit 2018 - Qué necesita saber un DBA de Integration Services
SolidQ
 
PDF
SolidQ Summit 2018 - Seguridad a nivel datos. RLS
SolidQ
 
PDF
SolidQ Summit 2018 - Todo lo que un integrador de datos debería tener... y pa...
SolidQ
 
PDF
SolidQ Summit 2018 - ¿Dificultades gestionando relaciones muchos a muchos? De...
SolidQ
 
PDF
SolidQ Summit 2018 - Report Server: Nuevos mutantes
SolidQ
 
PDF
Cuando QueryStore no sirve, ¿qué opciones tenemos?
SolidQ
 
PDF
SQL Server 2017 en Linux
SolidQ
 
PDF
Columnstore en la vida real
SolidQ
 
PDF
PowerApprízate
SolidQ
 
PDF
Jugando a ser rico: Machine Learning para predicción de stocks
SolidQ
 
PDF
Analizando tus Redes Sociales con Power BI
SolidQ
 
PDF
Mantenimiento de SQL Server para Dummies
SolidQ
 
PDF
R en relacional
SolidQ
 
PDF
Cuando haces bot ya no hay stop!!
SolidQ
 
PDF
Arquitecturas lambda en Azure
SolidQ
 
PDF
Bot Framework: otra manera de acceder a tus datos - SolidQ Summit 2018
SolidQ
 
PDF
BIE2E en Azure - SolidQ Summit 2018
SolidQ
 
PDF
Hilando fino en SSAS multidimensional - SolidQ Summit 2018
SolidQ
 
PDF
Adaptive Query Processing: Mejoras en el motor de consulta de SQL Server 2017...
SolidQ
 
PDF
Novedades de SSAS 2017
SolidQ
 
SolidQ Summit 2018 - Qué necesita saber un DBA de Integration Services
SolidQ
 
SolidQ Summit 2018 - Seguridad a nivel datos. RLS
SolidQ
 
SolidQ Summit 2018 - Todo lo que un integrador de datos debería tener... y pa...
SolidQ
 
SolidQ Summit 2018 - ¿Dificultades gestionando relaciones muchos a muchos? De...
SolidQ
 
SolidQ Summit 2018 - Report Server: Nuevos mutantes
SolidQ
 
Cuando QueryStore no sirve, ¿qué opciones tenemos?
SolidQ
 
SQL Server 2017 en Linux
SolidQ
 
Columnstore en la vida real
SolidQ
 
PowerApprízate
SolidQ
 
Jugando a ser rico: Machine Learning para predicción de stocks
SolidQ
 
Analizando tus Redes Sociales con Power BI
SolidQ
 
Mantenimiento de SQL Server para Dummies
SolidQ
 
R en relacional
SolidQ
 
Cuando haces bot ya no hay stop!!
SolidQ
 
Arquitecturas lambda en Azure
SolidQ
 
Bot Framework: otra manera de acceder a tus datos - SolidQ Summit 2018
SolidQ
 
BIE2E en Azure - SolidQ Summit 2018
SolidQ
 
Hilando fino en SSAS multidimensional - SolidQ Summit 2018
SolidQ
 
Adaptive Query Processing: Mejoras en el motor de consulta de SQL Server 2017...
SolidQ
 
Novedades de SSAS 2017
SolidQ
 
Publicidad

Último (20)

PPTX
Sesion 1 de microsoft power point - Clase 1
carlosmedina2810
 
PPTX
Acronis Cyber Protect Cloud para Ciber Proteccion y Ciber Seguridad LATAM - A...
CarlosAndresuztes
 
PPTX
REDES INFORMATICAS REDES INFORMATICAS.pptx
rendertecno
 
PPTX
Presentación PASANTIAS AuditorioOO..pptx
ange127383
 
PPTX
COMO AYUDAN LAS TIC EN LA EDUCACION SUPERIOR.pptx
ap3377309
 
PPTX
Propuesta BKP servidores con Acronis1.pptx
CarlosAndresuztes
 
PDF
clase auditoria informatica 2025.........
KatherineMundaca1
 
PPTX
sa-cs-82-powerpoint-hardware-y-software_ver_4.pptx
jeannettehenriquezor
 
PDF
Instrucciones simples, respuestas poderosas. La fórmula del prompt perfecto.
Espanhol Online
 
PPTX
RAP01 - TECNICO SISTEMAS TELEINFORMATICOS.pptx
josemejiadiazfonseca
 
PDF
Calidad desde el Docente y la mejora continua .pdf
marioosornozetina1
 
DOCX
Zarate Quispe Alex aldayir aplicaciones de internet .docx
alexaldayirzaratequi
 
PDF
Diapositiva proyecto de vida, materia catedra
mpruiz3
 
PDF
taller de informática - LEY DE OHM
salome Satizabal
 
PDF
Influencia-del-uso-de-redes-sociales.pdf
DianaLauraFloresAlva
 
PDF
5.1 Pinch y Bijker en libro Actos, actores y artefactos de Bunch Thomas (coor...
veronicafernandezab
 
PPTX
Power Point Nicolás Carrasco (disertación Roblox).pptx
JoseCarrasco807534
 
PPT
Que son las redes de computadores y sus partes
AldamirJoseAvilaBena
 
PDF
MANUAL TECNOLOGÍA SER MINISTERIO EDUCACIÓN
CLAUDIAPATRICIASALAZ19
 
PDF
MÓDULO DE CALOR DE GRADO DE MEDIO DE FORMACIÓN PROFESIONAL
rrdl1
 
Sesion 1 de microsoft power point - Clase 1
carlosmedina2810
 
Acronis Cyber Protect Cloud para Ciber Proteccion y Ciber Seguridad LATAM - A...
CarlosAndresuztes
 
REDES INFORMATICAS REDES INFORMATICAS.pptx
rendertecno
 
Presentación PASANTIAS AuditorioOO..pptx
ange127383
 
COMO AYUDAN LAS TIC EN LA EDUCACION SUPERIOR.pptx
ap3377309
 
Propuesta BKP servidores con Acronis1.pptx
CarlosAndresuztes
 
clase auditoria informatica 2025.........
KatherineMundaca1
 
sa-cs-82-powerpoint-hardware-y-software_ver_4.pptx
jeannettehenriquezor
 
Instrucciones simples, respuestas poderosas. La fórmula del prompt perfecto.
Espanhol Online
 
RAP01 - TECNICO SISTEMAS TELEINFORMATICOS.pptx
josemejiadiazfonseca
 
Calidad desde el Docente y la mejora continua .pdf
marioosornozetina1
 
Zarate Quispe Alex aldayir aplicaciones de internet .docx
alexaldayirzaratequi
 
Diapositiva proyecto de vida, materia catedra
mpruiz3
 
taller de informática - LEY DE OHM
salome Satizabal
 
Influencia-del-uso-de-redes-sociales.pdf
DianaLauraFloresAlva
 
5.1 Pinch y Bijker en libro Actos, actores y artefactos de Bunch Thomas (coor...
veronicafernandezab
 
Power Point Nicolás Carrasco (disertación Roblox).pptx
JoseCarrasco807534
 
Que son las redes de computadores y sus partes
AldamirJoseAvilaBena
 
MANUAL TECNOLOGÍA SER MINISTERIO EDUCACIÓN
CLAUDIAPATRICIASALAZ19
 
MÓDULO DE CALOR DE GRADO DE MEDIO DE FORMACIÓN PROFESIONAL
rrdl1
 

¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018

  • 1. En que nos afecta a los DBA el GDPR Jose Antonio Pineda Montes japineda@Solidq.com
  • 2. Indice • GDPR Básico • DBA- MS SQL- GDPR • ¿Cómo te podemos ayudar?
  • 4. Ofrecer claridad y coherencia en la protección de los datos personales Mejora de los derechos de privacidad personal Mayores obligaciones de protección de los datos Obligatoriedad de informar de las filtraciones de información sensible Sanciones muy cuantiosas por incumplimiento La normativa GDPR (General Data Protection Regulation) impone nuevas directivas a las organizaciones de la Unión Europea y a quienes ofrecen bienes y servicios a personas dentro de la UE o recopilen y analicen datos relativos a residentes de la UE, independientemente del país donde se encuentren.
  • 5. Ejemplos de datos personales • Nombre • Documento de identidad • Cuenta de correo electrónica • Cuenta Bancaria • Información enviada a redes sociales • Dirección IP • Información física • Información psicológica • Cookies • Información Medica • Ideas políticas • Dirección • Información genética • Numero de teléfono
  • 6. ¿Qué cambios introduce la norma GDPR? Privacidad personal Controles y notificaciones Transparencia TI y formación Las organizaciones deberán: • Formar a empleados y contratas en las obligaciones de privacidad • Auditar y actualizar sus políticas de gestión de datos • Designar un responsable (DPO, Data protección Officer) cuando corresponda • Incorporar cláusulas de cumplimiento en sus contratos con terceros Las organizaciones deberán: • Proteger los datos personales con las medidas de seguridad adecuadas • Notificar a las autoridades de las filtraciones de datos • Obtener el consentimiento del titular para procesar sus datos • Mantener registro de los procesos que afectan a los datos personales Las personas tienen derecho a: • Acceder a sus datos personales • Corregir errores en sus datos personales • Eliminar sus datos personales • Denegar el procesamiento de su información personal • Exportar sus datos personales Las organizaciones deberán: • Informar con claridad de sus actividades de captura de datos • Explicar adecuadamente la finalidad del procesamiento de los datos personales y los casos de uso. • Definir políticas de retención y eliminación
  • 7. GDPR Article 25—Data protection by design and by default ► Control access, Process minimal necessary data, Integrate safeguards GDPR Article 32—Security of processing ► Pseudonymization and Encryption, Ensure availability, Regular security testing GDPR Article 33—Notification of a personal data breach ► Detect breach, Assess impact, Measures to address GDPR Article 35—Data protection impact assessment ► Document risks and security measures GDPR Article 30—Records of processing activities ► Monitor access, Maintain audits Requisitos relacionados con la privacidad de datos del GDPR
  • 8. Como me preparo para cumplir GDPR Preguntas que debes realizarte: ¿Sabes DÓNDE residen tus datos y quién tiene ACCESO a esos datos? ¿Controlas quién tiene acceso a sus datos y cómo se utiliza según la evaluación de riesgos en tiempo real? ¿Puedes CLASIFICAR, PROTEGER y aplicar acciones basadas en POLÍTICAS a tus datos, en dispositivos, entre aplicaciones, en cualquier ubicación, en reposo y en tránsito? ¿Puedes DETECTAR automáticamente una violación de datos o identidad? ¿Eres capaz de RESPONDER adecuadamente a una violación? ¿REVISAS y ACTUALIZAS continuamente tus POLÍTICAS y PRÁCTICAS de protección de datos?
  • 10. La base de datos almacena gran parte de los datos confidenciales de la organización SQL
  • 12. ¿Cuántas instancias de SQL tengo, cuantas bbdds tengo, tengo datos personales, tengo datos sensitivos?  Descubrir cuantas instancias de SQL y BBDDs hay en mi entorno.  Microsoft MAP  Descubrir que datos personales tengo en mis tablas:  Consultas T-SQL  Ayudarme del motor de búsqueda FTS  Microsoft SSMS 17.4 – DATA CLASSIFICATION  Sacar un diagrama de los flujos de datos
  • 13. ¿Que características o servicios de SQL tengo instaladas?¿Las necesito?  Ejemplo de características que deberían ser comprobadas y , si es possible, deshabilitadas son (pero no esta limitado solo a estas):XP_CMDSHELL, CLR, Filestream, Cross DB Ownership Chaining, OLE AUTOMATION, External Scripts, Ad-hoc Distributed Queries y Trustworthy bit.  Recomendaciones adicionales sería deshabilitar los protocolos de red no utilizados, parar el servicio de SQL Browser y desintalar en producción las bbdd de ejemplo.  Ver si es necesario tener arrancado e instalado FTS, SSIS, SSAS, Reporting Services
  • 15. ¿Quién tiene acceso a mis instancias y base de datos?  Tener una base mínima de seguridad  Ayudarnos de herramientas como:  Microsoft SSMS 17.4 – Vulnerability Assessment  SQL Server 2012 Security Best Practices - Operational and Administrative Tasks.  Ayudarnos de las nuevas funcionalidades a partir de SQL 2016 : RLS (seguridad a nivel de columna) y DDM (enmascaramiento de datos)  Si trabajo con SQL Azure, trabajar con cuentas del directorio activo, configurar el firewall correctamente.  Configurar correctamente las cuentas que tienen acceso a las instancias, con el principio de menor privilegio en mente.
  • 17. Documentación interesante a leer sobre la separación de tareas/roles en la seguridad de SQL  Separación de tareas de SQL Server por Lara Rubbelke  Separación del motor de tareas para el desarrollador de aplicaciones por Craig Gick, Jack Richins  Separación de tareas en SQL Server 2014 por Bob Beauchemin
  • 19. Protección de los datos por defecto y en diseño  Encriptar los datos en reposo, en movimiento y en uso  TSL : Utilizar la versión 1.2. https://support.microsoft.com/en- us/help/3135244/tls-1.2-support-for-microsoft-sql-server
  • 20. Comparativa entre AE y TDE Always Encrypted TDE Nivel de columna Nivel de BBDD Encriptación en cliente Encriptación en servidor El servidor no conoce en ningún momento las claves para encriptar El servidor conoce las claves para encriptar EL dato viaje por la red encriptado EL dato tal cual viaja por la red. Tempdb hereda la encriptación- incluso después de deshabilitar TDE EL dato puede ser protegido de administradores de sistema y bbdd El dato es accesible para administradores de sistema y bbdd
  • 21. Nos debemos volver paranoicos
  • 24. Como mantener auditorias y poder avisar con tiempo ante robos de datos  Auditoria en SQL (a partir de SQL 2008*):  A nivel de instancia  A nivel de BBDD  En SQL AZURE también tienes una herramienta de detención de amenazas
  • 26. Asegurar la continuidad del negocio  Always On:  Cluster  Grupos de disponibilidad  Log shipping  En SQL Azure Geo-Replicacion Activa
  • 27. Current support level End mainstream End extended SQL Server 2014 Currently supporting all versions July 9, 2019 July 9, 2024 SQL Server 2012 SQL Server 2012 SP2+ is in extended support which includes security updates, paid support, and requires purchasing non-security hotfix support July 11, 2017 July 12, 2022 SQL Server 2008 and SQL Server 2008 R2 SQL Server 2008 and 2008 R2 are in extended support which includes security updates, paid support, and requires purchasing non-security hotfix support July 8, 2014 July 9, 2019 SQL Server 2005 SQL Server 2005 support ended on April 12, 2016 April 12, 2011 April 12, 2016 Learn more about the SQL Server support lifecycle: support.microsoft.com/lifecycle/ SQL Server 2008 and 2008 R2 will no longer be supported starting on July 9, 2019. WHEN WILL END OF SUPPORT HAPPEN?
  • 28. Dudas RGPD  ¿Que pasa cuando recupero mi base de datos con datos personales?  Como gestiono la expiración de los datos.  Como gestiono quien me ha dado consentimiento, quien no y quien lo ha revocado.  Que pasa si los datos los tengo que seguir conservando por temas legales.  Como gestiono las consultas sobre que datos tengo de un cliente y como puedo hacérselo llegar de tal manera que pueda traspasarlos a otra empresa.
  • 29. Ejemplo de escenario de aplicacion GDPR - DevOps  Los desarrolladores quieren los datos más realistas y actualizados posible  desarrollar, probar y corregir código más rápido  Entornos realistas deben ser dedicados y capaces de crearse rápidamente  Procesos automaticos repetibles  Auto-servicio  Los administradores de base de datos necesitan proteger los datos sensibles y personales  GDPR  Mayor conciencia de riesgo de violación de datos  Personalizar datos con enmascaramiento.
  • 30. Revindicar el role de DBA  Quien mejor que tu para saber donde esta el dato.  Quien mejor que tu para implementar la gestión de los consentimientos  Revisar la calidad de los datos  Evita que los datos se expandan sin control  Avisar cuando estamos utilizando datos sensibles o de más, el departamento de marketing lo quiere todo, aunque luego no lo utilice.  Diseñar una buena política de seguridad en las bbdds.  Con SQL Azure el DBA desaparece.  Nos tenemos que convertir en desarrolladores con DEVOPS.  Las nuevas versiones del motor automatizan muchas tareas. PELIGROS PARA NUESTRO FUTURO NUESTRAS FORTALEZAS
  • 31. COMO PODEMOS AYUDARTE DESDE SOLIDQ
  • 32. Taller Descripción Resultados Asistentes de parte del cliente Tiempo Tiempo programado, sala Día 1 Inicio del compromiso Proporciona una visión general de la agenda de 2 días in situ y de los objetivos, además de ser una oportunidad para abordar preguntas y cuestiones de gobierno del proyecto. Se acuerda el plan y la programación para la evaluación de 2 días in situ. Confirmación de la planificación y la logística Todo el equipo del proyecto 1 hora SKYPE Dia2 Inicio de la evaluación detallada del RGPD de Microsoft Responder a las preguntas de la herramienta de evaluación detallada del RGPD de Microsoft Cuestionario del RGPD completado parcialmente Personal del cliente seleccionado 7 horas En el cliente Día 3 Revisión del día 1 Revisión del progreso del día uno, debate sobre cuestiones abiertas e identificación de problemas. Preparación para avanzar en la finalización de la evaluación detallada del RGPD de Microsoft. Todo el equipo del proyecto 0,5 horas En el cliente Completar la evaluación detallada del RGPD de Microsoft Responder a las preguntas restantes sobre la evaluación detallada del RGPD de Microsoft. Cuestionario del RGPD completado totalmente Personal del cliente seleccionado 4,5 horas En el cliente Análisis y reseña de los resultados Revisión de los resultados de la evaluación detallada del RGPD de Microsoft, preparación de la presentación final. Presentación final SOLIDQ 3 horas Finalización del compromiso Presentación final Presentación de los resultados de la evaluación, establecimiento de los pasos siguientes y de una hoja de ruta para el cumplimiento del RGPD. Lista de pasos siguientes y hoja de ruta con elementos prácticos y directrices temporales que ayudarán a alcanzar el cumplimiento del RGPD Todo el equipo del proyecto 2 horas En el cliente Agenda de la evaluación detallada del RGPD de Microsoft
  • 33. Herramienta de evaluación detallada de RGPD: Combinado de los cuatro temas DAPI Madurez general en uno de tres posibles niveles: Inicial, Progresando u Optimizando Resultados por tema y ámbito de enfoque Índice de madurez Recomendación principal por escenario secundario Sugerencias de productos Microsoft Lista exhaustiva y práctica Lista completa de recomendaciones Agrupado por escenario secundario y grado de madurez para el RGPD Para cada tema y escenario secundario
  • 34. ¿Cómo podemos empezar? Identificar los datos personales que posee y dónde están almacenados Descubrimiento1 Controlar cómo se utilizan los datos personales y cómo se accede a ellos Gestión2 Establecer controles de seguridad para detectar, evitar y responder ante vulnerabilidades y brechas de seguridad Protección3 Registrar las evidencias, mantener la documentación exigida, procesar las peticiones de usuarios y notificar filtraciones de datos Informes4
  • 35. Trasladado a tecnología SQL... Inventariar datos personales en sistemas de bases de datos Revisar el modelo de acceso, comprender el área de superficie de ataque Seguimiento de flujos de datos y linaje de datos de mapas Descubrir1 Administrar mecanismos de autenticación y autorización Configurar correctamente el firewall de la base de datos Limitar el acceso a la aplicación de acuerdo con los principios de autorización Gestionar2 Cifrado de datos en reposo, en movimiento, en uso Mantener registros y auditorías de todas las actividades de la base de datos Detectar violación de datos y responder en consecuencia Asegurar la continuidad del negocio Proteger3 Mantener registros de auditoría de las actividades de la base de datos Evaluar y analizar continuamente las medidas de seguridad Informacion4 T-SQL Queries, Full Text search Data Classification Vulnerability Assessment Windows auth, Azure AD auth, role-base security, etc. Azure SQL Firewall DDM, RLS TLS, TDE, Always Encrypted Auditing Threat Detection Always On, Active Geo-Replication Auditing, Temporal tables Vulnerability Assessment
  • 36. Discover Right to Erasure Right to Data Portability Manage Documentation Privacy by Design Protect Data Security Data Transfer Metadata queries Helps you search and identify personal data using queries Data governance Using Windows permissions administrators can manage and govern access to personal data Transparent Data Encryption Secure personal data through encryption at the physical storage layer using encryption-at-rest Full text queries Using full-text queries against character- based data in SQL Server tables Role-based access control Apply role-based access control to help manage authorization policies in the database, and to implement the separation of duties principle Always Encrypted Prevent unauthorized, high-privileged users from accessing data in transit, at rest, and while in use Extended properties Helping facilitate data classification using the Extended Properties feature to create data classification labels and apply them to sensitive personal data Row-level security Prevent access to rows in a table (such as those that may contain sensitive information) based on characteristics of the user trying to access the data Row-level security and Data Masking Protect personal data using Row-Level Security and Dynamic Data Masking features, which limit sensitive data exposure by masking the data to non- privileged users or applications. SQL Queries and Statements Identify and delete target data Master data services Keep personal data complete and ensure that requests to edit, delete, or discontinue the processing of data are propagated throughout the system Vulnerability assessment Scan databases for insecure configurations, exposed surface area, and additional potential security issues Report Documentation Breach Response and Notification SQL Server Audit Verify changes to data that occur in a SQL Server table Always On Availability Groups Maximize the availability of a group of user databases for an enterprise SQL Server Audit Maintain audit trails SQL Database Threat Detection Get help detecting anomalous database activities indicating potential security threats to the database Vulnerability assessment Reports that can serve as a security assessment for your database. These reports can also be used as part of a Data Protection Impact Assessment (DPIA) SQL Server Audit Understand ongoing database activities, and analyze and investigate historical activity to identify potential threats or suspected abuse and security violations SQL Server Audit Gain useful input for performing a DPIA MICROSOFT SQL BASED TECHNOLOGY SUPPORTS GDPR SECURITY COMPLIANCE Discover: identify what personal data you have and where it resides Protect: establish security controls to prevent, detect, and respond to vulnerabilities and data breaches Control: manage how personal data is used and accessed. Report: action data subjects requests and keep required documentation