Upload
symantec-brasil
View
249
Download
0
Embed Size (px)
Citation preview
Alinhando a Estratégia de Segurança: Visibilidade e Conformidade
Alan Castro, CISSP Sr. Systems Engineer
Vitor Fonseca Sr. Solution Specialist
Nossos apresentadores
Copyright © 2015 Symantec Corporation
Alan Castro, CISSP Sr. Systems Engineer - Profissional com 16 anos de experiência na área de TI, dos quais 14 anos dedicados à Segurança da informação. Responsável por projetar e implementar várias tecnologias Symantec, bem como serviços de consultoria em diversas plataformas, ambiente e verticais. Anteriormente foi responsável por avaliações de segurança em aplicativos, analisando ameaças para canais da Web, prospecção de novas tecnologias, definições de estratégias de segurança implementando projetos em grandes empresas de Telecom, Finanças, Mídia e ISP. Formado em Eletrônica, possui as certificações CISSP e CCSK
Vitor Fonseca Sr. Solutions Specialist - Formado em Ciência da Computação pela UFMG e com experiência de 10 anos em TI, trabalha como consultor sênior em Segurança, com foco em produtos da Symantec incluindo o Control Compliance Suite. Possui pós-graduação em Gestão de Segurança da Informação pela UniBH e está cursando MBA em Gestão de Projetos pela FGV.
Segurança Corporativa| Estratégia de Produtos e Serviços
3
Threat Protection
ENDPOINTS DATA CENTER GATEWAYS
• Advanced Threat Protection através de todos os pontos de controle • Forense e Remediação embutida em cada ponto de controle • Proteção integrada para Workloads: On-Premise, Virtual e Cloud • Gestão baseada em nuvem para Endpoints, Datacenter e Gateways
Unified Security Analytics Platform
Coleta de Logs e Telemetria
Gestão Unificadas de Incidentes e Customer Hub
Integrações com Terceitos e Inteligência
Benchmarking Regional e por Segmento
Análise Integrada de Comportamento e Ameaças
Information Protection
DADOS IDENTIDADES
• Proteção integrada para Dados e Identidades • Cloud Security Broker para Apps Móveis e em Nuvem • Análise de comportamento dos usuários • Gestão de Chaves e Criptografia em Nuvem
Users
Data
Apps
Cloud
Endpoints
Gateways
Data Center
Cyber Security Services Monitoramento, Resposta a Incidentes, Simulação, Inteligência conta Ameaças e Adversários
Copyright © 2015 Symantec Corporation
Agenda
Copyright © 2015 Symantec Corporation
4
1 Control Compliance Suite (CCS) Introduction
2 Visibilidade e Conformidade
3 Visão da arquitetura
4 Symantec Services
5 Q&A
Automatizar as avaliações de segurança para a Redução do Risco
Control Compliance Suite automatiza avaliações de segurança e calcula valores de risco com base em limites definidos pelo negócio.
Permite priorizar ações de redução de risco e garantir a segurança e a conformidade dos sistemas
– Através de padrões
– Plataformas
–On-premise
– Na nuvem.
Copyright © 2015 Symantec Corporation
6
Control Compliance Suite
Symantec™ Control Compliance Suite:
• Permite auto descoberta de ativos, automatiza avaliações de controles processuais e técnicas de segurança, coleta e normaliza os dados técnicos em evidências de produtos de segurança de terceiros, e calcula e agrega valores de risco.
• Automatiza segurança e avaliações de conformidade
• Alinha as operações de TI
• Faz avaliação contínua para Cyber Security
Copyright © 2015 Symantec Corporation
7
Visão de Risco e Compliance
Os desafios incluem:
• Visibilidade em exposições de risco
• Ferramentas multiplas e manuais
• Medir a eficácia de recursos e controles de segurança
• Relatórios acionáveis e medição de segurança
• Alterações de configuração não planejadas
Copyright © 2015 Symantec Corporation
8
Visão de Risco e Compliance
Normas e controles
• FISMA
• China – The Basic Standard for Enterprise Internal Control and Supplements
• HITECH
• Sarbanes-Oxley
• Australian Government Information Security Manual 2012
• HIPAA
• UK: Data Protection Act
Melhores Praticas e frameworks
• ISO/IEC 27005:2008
• COSO Enterprise Risk Management
• DISA STIG
• CobiT 3, 4, 4.1, 5
• NIST SP 800-53 Rev. 4
• PCI DSS v.3.0
• Shared Assessments SIG 2014.1
Copyright © 2015 Symantec Corporation
9
Visão geral do Control Compliance Suite
CCS ENTREGA AVALIAÇÕES CONTINUAS E REMEDIAÇÃO PRIORIZADAS POR RISCO
• Automatizar avaliações de segurança e conformidade
• Alinhar as operações de TI e Segurança
• Realizar avaliações contínuas para Cyber Security
Copyright © 2015 Symantec Corporation
10
POLICY MANAGER
ASSESSMENT MANAGER
RISK MANAGER
VENDOR RISK MANAGER
CENTRAL MANAGEMENT & REPORTING
STANDARDS MANAGER SECURITY ASSESSMENT OF TECHNICAL CONTROLS
Visão geral do Control Compliance Suite
• Standards Manager - Avaliação de Segurança de controles técnicos
• Assessment Manager - Avaliação de Segurança de controles processuais
• Policy Manager - Gerenciamento do ciclo de vida das politicas de Segurança
• Vendor Risk Manager - Segurança e Avaliação de Riscos de Fornecedores de Serviços e Aplicações
• Risk Manager - Cálculo e agregação de risco para Remediação e Redução de Risco
Copyright © 2015 Symantec Corporation
11
Automatize avaliações de Segurança e Conformidade com base na importância do negócio Falhas de auditoria de TI criam uma necessidade de desenvolver um plano para aborda-los
Copyright © 2015 Symantec Corporation
13
Collect assets from LDAP and Network Discovery Classify assets Automate assessments based on business criticality
Identify rogue assets Associate business criticality to assets Manual security checks Normalize results for reporting
Implement: • CCS Standards
Manager • Policy Manager
Descoberta de ativos automatizada Avaliações automatizadas Priorização das remediações Controle através de dashboards
Collect assets from LDAP and Network Discovery Classify assets Automate assessments based on business criticality
Identify rogue assets Associate business criticality to assets Manual security checks Normalize results for reporting
Implement: • CCS Standards
Manager • Policy Manager
Colete ativos a partir de LDAP e descoberta de rede Classifique ativos Automatize avaliaçoes baseadas na criticidade do negócio
Identificar ativos desautorizados Associar criticidade do negócio aos ativos Verificações de segurança manuais Normalizar os resultados para a comunicação
Implementar: CCS Standards Manager
Problema Resposta Ação Resultado
Realizar avaliações personalizadas com base nos requisitos da Organização Necessidade de criar avaliações personalizadas de ativos de TI críticos para evitar falhas de auditoria interna
Copyright © 2015 Symantec Corporation
14
Crie avaliações personalizadas Agende avaliações com base em requisitos organizacionais Provisionamento baseado em papéis
Determinar os requisitos de organização Criar e executar avaliações com base em requisitos de cada unidade de negócios Considerações de desempenho e data
Implementar: CCS Standards Manager
Avaliações automatizadas que são baseadas em requisitos das unidades de negócio Controle através de dashboards
Problem Response Action Result Problema Resposta Ação Resultado
Avaliar Organização contra Vulnerabilidades e ameaças à segurança conhecidas Localizar rapidamente os ativos que possam ter sido comprometida para correção.
Copyright © 2015 Symantec Corporation
15
Querys mais granulares Dados coletados para exportar para o processo de controle de mudanças Baseline configurado para mostrar o progresso de mudanças
Comprometimento encontrado no servidor Necessidade de localizar rapidamente qualquer máquina que é vulnerável ao comprometimento Necessidade de rastrear para confirmar se foi corrigido
Implementar: CCS Standards Manager Ad-Hoc Queries
Controle de prioridade de mudanças adicional em possiveis máquinas comprometidas utilizando dados de Consulta Relatórios automatizados para gerenciamento dos progressos produzidos
Problem Response Action Result Problema Resposta Ação Resultado
Use Dados de Avaliação para relatar múltiplos controles para desduplicação de esforços Necessidade de executar a avaliação uma vez para identificar vários controles
Copyright © 2015 Symantec Corporation
16
Normas personalizadas para atender às necessidades Confirmar que cheques são mapeados para controles Confirmar que usuários só podem ver os seus ativos
Necessidade de evidencia para avaliações de leis internacionais Duplicação maciça de esforços Necessidade da capacidade de relatorios por controle
Implement: CCS Standards Manager
Avaliar uma vez - relatórios sobre múltiplos controles Dashboards personalizados e relatórios utilizados para o acompanhamento do desempenho de segurança e conformidade por controle
Problem Response Action Result Problema Resposta Ação Resultado
Tenha o gerenciamento de políticas corporativas desde a Criação até sua expiração Implementar um processo centralizado e ciclico de gestão política.
Copyright © 2015 Symantec Corporation
17
Mapped existing policies to mandate controls Management buy in with the approval process Policy Central setup for users to view their policies
Confirmar que as políticas abrangem os controles necessários Manter políticas atualizadas Área centralizada para que os usuários visualizem políticas
Implement: CCS Policy Manager
Deduplication of policies based per mandate Dashboards and reports help manage policies Users have centralized area for policy acceptance
Problem Response Action Result
Mapear Políticas existentes para controles Gerenciamento de compra com o processo de aprovação Central de Políticas de configuração, para que os usuários visualizem suas políticas
Implementar: CCS Policy Manager
Desduplicação de políticas baseadas por controle Dashboards e relatórios ajudam a gerenciar políticas Os usuários têm repositorio central para aceitação das politicas
Problema Resposta Ação Resultado
Consolidar os dados de segurança e conformidade de múltiplas fontes para gerar uma visão da postura atual de Segurança e Conformidade Consolidar dados de várias fontes para gerar uma visão global
Copyright © 2015 Symantec Corporation
18
Criar conectores para dados ferramenta de segurança Associar dados a controles
Muitos itens para monitorar a partir de várias ferramentas de segurança Necessidade de consolidar dados Precisa que os dados tenham um visao consolidada
Implementar: CCS Standards Manager
Coleta automatizada de múltiplas fontes Informações combinadas e postura geral de segurança apresentadas em dashboards
Problem Response Action Result Problema Resposta Ação Resultado
Priorizar remediação baseada na visão geral consolidada do risco Priorização eficiente da remediação pelo risco mais elevado
Copyright © 2015 Symantec Corporation
19
Definir a modelagem de risco com objetivos de segurança Fazer análise de risco Criar ação de risco
A grande quantidade de dados e não saber por onde começar na remediação Recursos de TI limitados Necessidade de priorizar os esforços de remediação Necessidade de encontrar unidades de negócios com risco mais elevado
Implementar: CCS Standards Manager CCS Assessment Manager CCS Risk Manager
Descubra o risco mais elevado de TI a partir dos dados Criar plano de remediação com solução Monitorar a remediação
Problem Response Action Result Problema Resposta Ação Resultado
Avaliar a eficácia dos controlos processuais Necessidade de ser capaz de gerir de forma eficaz os controles processuais
Copyright © 2015 Symantec Corporation
20
Uso de conteudo nativo Avaliações vinculadas a ativos no CCS Standards Manager Criação de questionários personalizados para treinamento de segurança
Confirmar controles processuais são seguidos Utilizar as avaliações para treinamento de segurança Precisa ser capaz de rastrear as avaliações e evidências
Implementar: CCS Assessment Manager
Envio de avaliaçoes Automação do processo de avaliações dos controles Coleta de evidências centralizada que é exibida em dashboards
Problem Response Action Result Problema Resposta Ação Resultado
Automatize avaliação da risco de terceiros Entenda os riscos potenciais de colocar seus dados na nuvem
Copyright © 2015 Symantec Corporation
21
Configure níveis do fornecedor para avaliações automatizadas Use a Nuvem para obter análise dos riscos Enviar evidência para revisor apropriado para a gestão de riscos
Processo manual é muito ineficiente Necessidade de saber o risco do fornecedor ANTES da compra e no futuro PCI DSS v3.1 Necessidade um processo de aprovação de gerenciamento de riscos
Implementar: CCS Vendor Risk Manager
Identificar o potencial de risco do fornecedor de maneira prévia Confirmar existência de de aceitação política da politica antes de fornecer informações confidenciais Processo automatizado
Problem Response Action Result Problema Resposta Ação Resultado
Instalação e configuração do CCS
Application Server
CCS Console
Web Client
CCS Suite
CCS Manager Load Balancer
CCS Manager Data Collector/
Evaluator
CCS Manager Data Collector
Managed Enterprise
CCS Agent
CCS Agent
CCS Agent
Agent-less
Agent-less
Agent-less
CCS Agent
CCS Agent
CCS Agent
Agent-less
Agent-less
Agent-less
Visão Geral do Symantec CCS Assessment Manager
• Automatizar avaliações de políticas
• Suporte a mais de 100 regulamentos
• Controlar respostas, aceites, pedidos de revisão e evidências
• Integração com AD para eviar questionários por e-mail para usuários específicos
• Padroniza o processo de avaliação à escala corporativa de forma mais eficaz
Copyright © 2015 Symantec Corporation
24
Consolidação de respostas
Prepara Perguntas
Análise Resultados
Questionários via web
Entrevistados
Instalação e configuração do Symantec CCS Assessment Manager
Copyright © 2015 Symantec Corporation
25
Management Server
& Database
AM Web Client
Assessment Manager
Client
Admin Web Client
Visao geral, instalação e configuração Symantec CCS Vendor Risk Manager
Copyright © 2015 Symantec Corporation
26
Internal Users Third –party Vendor
VRM Relationship Gateway VRM Admin Console
Downstream Vendors
Visao geral, instalação e configuração. Symantec CCS Vendor Risk Manager
Copyright © 2015 Symantec Corporation
27
Determinar nível do fornecedor e
escopo de avaliação
Iniciar cronograma avaliação de fornecedores
Gerencie coleta de evidências do
fornecedor
Avaliar as evidências do
fornecedor
Gerenciar e remediar o risco do fornecedor
Relatar e comunicar o risco
ao fornecedor Continuous
Vendor
Risk Management
Symantec Data Center Security
Copyright © 2015 Symantec Corporation
33
Control Compliance Suite Operations Director DCS: Server / Server
Advanced
ORCHESTRATE PROTECT ASSESS
Trusted by 10/10 Top US banks
1st to market with Software Defined Security for any
platform
Undefeated at Black Hat
3 years running
Market leader in Gartner
MQ for Endpoint
Protection
Control Compliance Suite
Operations Director
DCS: Server / Server Advanced
Thank you!
Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
Obrigado!