Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Conformidade

Alinhando a Estratégia de Segurança: Visibilidade e Conformidade

Alan Castro, CISSP Sr. Systems Engineer

Vitor Fonseca Sr. Solution Specialist

Nossos apresentadores

Copyright © 2015 Symantec Corporation

Alan Castro, CISSP Sr. Systems Engineer - Profissional com 16 anos de experiência na área de TI, dos quais 14 anos dedicados à Segurança da informação. Responsável por projetar e implementar várias tecnologias Symantec, bem como serviços de consultoria em diversas plataformas, ambiente e verticais. Anteriormente foi responsável por avaliações de segurança em aplicativos, analisando ameaças para canais da Web, prospecção de novas tecnologias, definições de estratégias de segurança implementando projetos em grandes empresas de Telecom, Finanças, Mídia e ISP. Formado em Eletrônica, possui as certificações CISSP e CCSK

Vitor Fonseca Sr. Solutions Specialist - Formado em Ciência da Computação pela UFMG e com experiência de 10 anos em TI, trabalha como consultor sênior em Segurança, com foco em produtos da Symantec incluindo o Control Compliance Suite. Possui pós-graduação em Gestão de Segurança da Informação pela UniBH e está cursando MBA em Gestão de Projetos pela FGV.

Segurança Corporativa| Estratégia de Produtos e Serviços

3

Threat Protection

ENDPOINTS DATA CENTER GATEWAYS

• Advanced Threat Protection através de todos os pontos de controle • Forense e Remediação embutida em cada ponto de controle • Proteção integrada para Workloads: On-Premise, Virtual e Cloud • Gestão baseada em nuvem para Endpoints, Datacenter e Gateways

Unified Security Analytics Platform

Coleta de Logs e Telemetria

Gestão Unificadas de Incidentes e Customer Hub

Integrações com Terceitos e Inteligência

Benchmarking Regional e por Segmento

Análise Integrada de Comportamento e Ameaças

Information Protection

DADOS IDENTIDADES

• Proteção integrada para Dados e Identidades • Cloud Security Broker para Apps Móveis e em Nuvem • Análise de comportamento dos usuários • Gestão de Chaves e Criptografia em Nuvem

Users

Data

Apps

Cloud

Endpoints

Gateways

Data Center

Cyber Security Services Monitoramento, Resposta a Incidentes, Simulação, Inteligência conta Ameaças e Adversários


Agenda


4

1 Control Compliance Suite (CCS) Introduction

2 Visibilidade e Conformidade

3 Visão da arquitetura

4 Symantec Services

5 Q&A

Control Compliance Suite Introduction

5

Automatizar as avaliações de segurança para a Redução do Risco

Control Compliance Suite automatiza avaliações de segurança e calcula valores de risco com base em limites definidos pelo negócio.

Permite priorizar ações de redução de risco e garantir a segurança e a conformidade dos sistemas

– Através de padrões

– Plataformas

–On-premise

– Na nuvem.


6

Control Compliance Suite

Symantec™ Control Compliance Suite:

• Permite auto descoberta de ativos, automatiza avaliações de controles processuais e técnicas de segurança, coleta e normaliza os dados técnicos em evidências de produtos de segurança de terceiros, e calcula e agrega valores de risco.

• Automatiza segurança e avaliações de conformidade

• Alinha as operações de TI

• Faz avaliação contínua para Cyber Security


7

Visão de Risco e Compliance

Os desafios incluem:

• Visibilidade em exposições de risco

• Ferramentas multiplas e manuais

• Medir a eficácia de recursos e controles de segurança

• Relatórios acionáveis e medição de segurança

• Alterações de configuração não planejadas


8

Visão de Risco e Compliance

Normas e controles

• FISMA

• China – The Basic Standard for Enterprise Internal Control and Supplements

• HITECH

• Sarbanes-Oxley

• Australian Government Information Security Manual 2012

• HIPAA

• UK: Data Protection Act

Melhores Praticas e frameworks

• ISO/IEC 27005:2008

• COSO Enterprise Risk Management

• DISA STIG

• CobiT 3, 4, 4.1, 5

• NIST SP 800-53 Rev. 4

• PCI DSS v.3.0

• Shared Assessments SIG 2014.1


9

Visão geral do Control Compliance Suite

CCS ENTREGA AVALIAÇÕES CONTINUAS E REMEDIAÇÃO PRIORIZADAS POR RISCO

• Automatizar avaliações de segurança e conformidade

• Alinhar as operações de TI e Segurança

• Realizar avaliações contínuas para Cyber Security


10

POLICY MANAGER

ASSESSMENT MANAGER

RISK MANAGER

VENDOR RISK MANAGER

CENTRAL MANAGEMENT & REPORTING

STANDARDS MANAGER SECURITY ASSESSMENT OF TECHNICAL CONTROLS

Visão geral do Control Compliance Suite

• Standards Manager - Avaliação de Segurança de controles técnicos

• Assessment Manager - Avaliação de Segurança de controles processuais

• Policy Manager - Gerenciamento do ciclo de vida das politicas de Segurança

• Vendor Risk Manager - Segurança e Avaliação de Riscos de Fornecedores de Serviços e Aplicações

• Risk Manager - Cálculo e agregação de risco para Remediação e Redução de Risco


11

Visibilidade e conformidade Control Compliance Suite


12

Automatize avaliações de Segurança e Conformidade com base na importância do negócio Falhas de auditoria de TI criam uma necessidade de desenvolver um plano para aborda-los


13

Collect assets from LDAP and Network Discovery Classify assets Automate assessments based on business criticality

Identify rogue assets Associate business criticality to assets Manual security checks Normalize results for reporting

Implement: • CCS Standards

Manager • Policy Manager

Descoberta de ativos automatizada Avaliações automatizadas Priorização das remediações Controle através de dashboards

Collect assets from LDAP and Network Discovery Classify assets Automate assessments based on business criticality

Identify rogue assets Associate business criticality to assets Manual security checks Normalize results for reporting

Implement: • CCS Standards

Manager • Policy Manager

Colete ativos a partir de LDAP e descoberta de rede Classifique ativos Automatize avaliaçoes baseadas na criticidade do negócio

Identificar ativos desautorizados Associar criticidade do negócio aos ativos Verificações de segurança manuais Normalizar os resultados para a comunicação

Implementar: CCS Standards Manager

Problema Resposta Ação Resultado

Realizar avaliações personalizadas com base nos requisitos da Organização Necessidade de criar avaliações personalizadas de ativos de TI críticos para evitar falhas de auditoria interna


14

Crie avaliações personalizadas Agende avaliações com base em requisitos organizacionais Provisionamento baseado em papéis

Determinar os requisitos de organização Criar e executar avaliações com base em requisitos de cada unidade de negócios Considerações de desempenho e data


Avaliações automatizadas que são baseadas em requisitos das unidades de negócio Controle através de dashboards

Problem Response Action Result Problema Resposta Ação Resultado

Avaliar Organização contra Vulnerabilidades e ameaças à segurança conhecidas Localizar rapidamente os ativos que possam ter sido comprometida para correção.


15

Querys mais granulares Dados coletados para exportar para o processo de controle de mudanças Baseline configurado para mostrar o progresso de mudanças

Comprometimento encontrado no servidor Necessidade de localizar rapidamente qualquer máquina que é vulnerável ao comprometimento Necessidade de rastrear para confirmar se foi corrigido

Implementar: CCS Standards Manager Ad-Hoc Queries

Controle de prioridade de mudanças adicional em possiveis máquinas comprometidas utilizando dados de Consulta Relatórios automatizados para gerenciamento dos progressos produzidos


Use Dados de Avaliação para relatar múltiplos controles para desduplicação de esforços Necessidade de executar a avaliação uma vez para identificar vários controles


16

Normas personalizadas para atender às necessidades Confirmar que cheques são mapeados para controles Confirmar que usuários só podem ver os seus ativos

Necessidade de evidencia para avaliações de leis internacionais Duplicação maciça de esforços Necessidade da capacidade de relatorios por controle

Implement: CCS Standards Manager

Avaliar uma vez - relatórios sobre múltiplos controles Dashboards personalizados e relatórios utilizados para o acompanhamento do desempenho de segurança e conformidade por controle


Tenha o gerenciamento de políticas corporativas desde a Criação até sua expiração Implementar um processo centralizado e ciclico de gestão política.


17

Mapped existing policies to mandate controls Management buy in with the approval process Policy Central setup for users to view their policies

Confirmar que as políticas abrangem os controles necessários Manter políticas atualizadas Área centralizada para que os usuários visualizem políticas

Implement: CCS Policy Manager

Deduplication of policies based per mandate Dashboards and reports help manage policies Users have centralized area for policy acceptance

Problem Response Action Result

Mapear Políticas existentes para controles Gerenciamento de compra com o processo de aprovação Central de Políticas de configuração, para que os usuários visualizem suas políticas

Implementar: CCS Policy Manager

Desduplicação de políticas baseadas por controle Dashboards e relatórios ajudam a gerenciar políticas Os usuários têm repositorio central para aceitação das politicas

Problema Resposta Ação Resultado

Consolidar os dados de segurança e conformidade de múltiplas fontes para gerar uma visão da postura atual de Segurança e Conformidade Consolidar dados de várias fontes para gerar uma visão global


18

Criar conectores para dados ferramenta de segurança Associar dados a controles

Muitos itens para monitorar a partir de várias ferramentas de segurança Necessidade de consolidar dados Precisa que os dados tenham um visao consolidada


Coleta automatizada de múltiplas fontes Informações combinadas e postura geral de segurança apresentadas em dashboards


Priorizar remediação baseada na visão geral consolidada do risco Priorização eficiente da remediação pelo risco mais elevado


19

Definir a modelagem de risco com objetivos de segurança Fazer análise de risco Criar ação de risco

A grande quantidade de dados e não saber por onde começar na remediação Recursos de TI limitados Necessidade de priorizar os esforços de remediação Necessidade de encontrar unidades de negócios com risco mais elevado

Implementar: CCS Standards Manager CCS Assessment Manager CCS Risk Manager

Descubra o risco mais elevado de TI a partir dos dados Criar plano de remediação com solução Monitorar a remediação


Avaliar a eficácia dos controlos processuais Necessidade de ser capaz de gerir de forma eficaz os controles processuais


20

Uso de conteudo nativo Avaliações vinculadas a ativos no CCS Standards Manager Criação de questionários personalizados para treinamento de segurança

Confirmar controles processuais são seguidos Utilizar as avaliações para treinamento de segurança Precisa ser capaz de rastrear as avaliações e evidências

Implementar: CCS Assessment Manager

Envio de avaliaçoes Automação do processo de avaliações dos controles Coleta de evidências centralizada que é exibida em dashboards


Automatize avaliação da risco de terceiros Entenda os riscos potenciais de colocar seus dados na nuvem


21

Configure níveis do fornecedor para avaliações automatizadas Use a Nuvem para obter análise dos riscos Enviar evidência para revisor apropriado para a gestão de riscos

Processo manual é muito ineficiente Necessidade de saber o risco do fornecedor ANTES da compra e no futuro PCI DSS v3.1 Necessidade um processo de aprovação de gerenciamento de riscos

Implementar: CCS Vendor Risk Manager

Identificar o potencial de risco do fornecedor de maneira prévia Confirmar existência de de aceitação política da politica antes de fornecer informações confidenciais Processo automatizado


Visão da arquitetura


22

Instalação e configuração do CCS

Application Server

CCS Console

Web Client

CCS Suite

CCS Manager Load Balancer

CCS Manager Data Collector/

Evaluator

CCS Manager Data Collector

Managed Enterprise

CCS Agent

CCS Agent

CCS Agent

Agent-less

Agent-less

Agent-less

CCS Agent

CCS Agent

CCS Agent

Agent-less

Agent-less

Agent-less

Visão Geral do Symantec CCS Assessment Manager

• Automatizar avaliações de políticas

• Suporte a mais de 100 regulamentos

• Controlar respostas, aceites, pedidos de revisão e evidências

• Integração com AD para eviar questionários por e-mail para usuários específicos

• Padroniza o processo de avaliação à escala corporativa de forma mais eficaz


24

Consolidação de respostas

Prepara Perguntas

Análise Resultados

Questionários via web

Entrevistados

Instalação e configuração do Symantec CCS Assessment Manager


25

Management Server

& Database

AM Web Client

Assessment Manager

Client

Admin Web Client

Visao geral, instalação e configuração Symantec CCS Vendor Risk Manager


26

Internal Users Third –party Vendor

VRM Relationship Gateway VRM Admin Console

Downstream Vendors

Visao geral, instalação e configuração. Symantec CCS Vendor Risk Manager


27

Determinar nível do fornecedor e

escopo de avaliação

Iniciar cronograma avaliação de fornecedores

Gerencie coleta de evidências do

fornecedor

Avaliar as evidências do

fornecedor

Gerenciar e remediar o risco do fornecedor

Relatar e comunicar o risco

ao fornecedor Continuous

Vendor

Risk Management

Symantec Data Center Security


33

Control Compliance Suite Operations Director DCS: Server / Server

Advanced

ORCHESTRATE PROTECT ASSESS

Trusted by 10/10 Top US banks

1st to market with Software Defined Security for any

platform

Undefeated at Black Hat

3 years running

Market leader in Gartner

MQ for Endpoint

Protection

Control Compliance Suite

Operations Director

DCS: Server / Server Advanced

Perguntas do Chat


34

[email protected]

Thank you!

Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.

This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

Obrigado!

Technology

Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Conformidade