be aware webinar symantec - dados médicos: uma mina de ouro para o cybercrime
TRANSCRIPT
Dados Médicos:Uma Mina de Ouro para o Cybercrime
Anderson RiosSenior Technical Account Manager
Lucas Veiga
Senior Tech Support Engineer
Davy PenicheSolution Systems Engineer
Apresentadores
2
Anderson Rios
Davy Peniche
LucasVeiga
Copyright © 2016 Symantec Corporation
Agenda
3
1 Cenário Atual
2 Controle de Conformidade
3 Proteção da Informação
4 Caso de Sucesso - DASA
5 Q&A
Copyright © 2016 Symantec Corporation
4
- Eu já sei que ele se foi. Já está na Internet!
5
Total de Vazamentos de Dados
Aumento de 23% em 2014
Menos Mega vazamentos em 2014 - 4 incidentes envolveram mais de 10 milhões de identidadesexpostas (8 em 2013)
1 a cada 5 empresas afetadas não reportaram informações sobre as informações expostas. Alta emcomparação de 1 a cada 6 (2013)
INTERNET SECURITY THREAT REPORT 2015, VOLUME 20
Copyright © 2016 Symantec Corporation
6
Principais causas para os Vazamentos de Dados
36%
58%
6%
2013Atacantes
Exposto Acidentalmente/Roubo ou Perda do Dispositivo
Roubo Interno49%
43%
8%
2014
Copyright © 2016 Symantec Corporation
7
10 Principais Setores Afetados (Número de Incidentes)
Copyright © 2016 Symantec Corporation
8
10 Principais Setores Afetados (Identidades Expostas)
Copyright © 2016 Symantec Corporation
10
Cartões de Crédito vs. Registro Médico
Cartão de Crédito Facilmente substituído Valor de curto prazo
Registro Médico Nome/ID/Histórico de Saúde
não podem ser alterados Valor de longo prazo
Copyright © 2016 Symantec Corporation
Portifolio Symantec
11
Serviços de Cyber Segurança• Monitoramento, Resposta a Incidentes, Simulação, Inteligência contra
Ameaças
Proteção contra Ameaças
ENDPOINTS DATA CENTER GATEWAY
• Prevenção de Ameaças, Detecção, Forense & Resposta
• Dispositivos, Email, Servidores, Virtual & Cloud• Disponível On-premise e Cloud
Plataforma Unificada para Análise de Segurança• Análise de segurança através de Big data; disponível self-service
TelemetriaGerenciamentode Incidentes
Engines deProteção
InteligênciaGlobal
Análise deAmeaças
Proteção da Informação
DADOS ACESSO
• Proteção de Identidade e DLP
• Gerencia de Chaves .Cloud• Cloud Security Broker
Usuários
Dados
Apps
Cloud
Dispositivos
Rede
Data Center
Copyright © 2016 Symantec Corporation
Copyright © 2016 Symantec Corporation12
Assistência Médica: Normas Internacionais de Conformidade
Dept. de Saúde dos Estados Unidos
(Health Insurance Portability & Accountability Act of 1996)
Regras de Privacidade:
• Regula o uso e a divulgação de Informações Protegidas de Saúde (PHI)
• Aplica-se a entidades abrangidas e seusparceiros de negócio
• Qualquer informação sobre o estado de saúde, fornecimento ou pagamento de cuidados de saúde, que podem ser vinculados a um indivíduo
• Deve divulgar o PHI quando obrigado a fazê-lo por lei (ex.:, suspeita de abuso infantil).
Regra de Segurança - cada entidade deve:• Garantir a confidencialidade, integridade, e disponibilidade
das Informações Protegidas de Saúde (PHI)• Proteger contra quaisquer relativas ameaças e perigos• Proteger contra uso ou divulgação de informações não
sejam permitidas pela Regra de Privacidade• Implementar meios Administrativos, Físicos, and Técnicos• Auditoria!
Copyright © 2016 Symantec Corporation13
Direito Civil e Normas Brasileiras
A Constituição Federal, o Código Civil, o Código de Defesa do Consumidor e o Código Penal:Citam a proteção a privacidade, inviolabilidade da correspondência, proteção a vida privada, requerimentos de garantias de banco de dados de cadastro de consumidores e sigilo profissional.
Código de Ética Médica:A proteção de dados sigilosos do paciente é um dever do médico em qualquer circunstância, salvo raras exceções previstas em lei -- como no caso de doenças de notificação compulsória.
Responsabilidade no envio de dados privados de consumidoresNecessidade de segurança no envio de informação.Estabeleceu um protocolo obrigatório para troca de informações de saúde entre operadoras de plano de saúde - Troca de Informação de Saúde Suplementar – TISS
http://bit.ly/1UHyIt9
Agência Nacional de Saúde:
Gerenciamento de Conformidade
Symantec™ Control Compliance Suitepermite auto descoberta de ativos, automatiza avaliações de controlesprocessuais e técnicas de segurança, coleta e normaliza os dados técnicos em evidências de produtos de segurança de terceiros, e calculae agrega valores de risco
.
Automatize Segurança e avaliações de conformidade
Alinhe as operações de TI
Avaliação Contínua para Cyber Security
14Copyright © 2016 Symantec Corporation
Visão de Risco e Conformidade
Os desafios incluem:
• Visibilidade em exposições de risco
• Ferramentas múltiplas e manuais
• Medir a eficácia de recursos e controlesde segurança
• Relatórios acionáveis e medição de segurança
• Alterações de configuração nãoplanejadas
15Copyright © 2016 Symantec Corporation
Visão de Risco e Conformidade
Normas e controles
• FISMA
• China – The Basic Standard for Enterprise Internal Control and Supplements
• HITECH
• Sarbanes-Oxley
• Australian Government Information Security Manual 2012
• HIPAA
• UK: Data Protection Act
Melhores Práticas e Frameworks
• ISO/IEC 27005:2008
• COSO Enterprise Risk Management
• DISA STIG
• CobiT 3, 4, 4.1, 5
• NIST SP 800-53 Rev. 4
• PCI DSS v.3.0
• Shared Assessments SIG 2014.1
16Copyright © 2016 Symantec Corporation
Visão geral do Control Compliance Suite
• Standards Manager - Avaliação de Segurança de controles técnicos
• Assessment Manager - Avaliação de Segurança de controles processuais
• Policy Manager – Gerenciamento do ciclo de vida das políticas de Segurança
• Vendor Risk Manager - Segurança e Avaliação de Riscos de Fornecedores de Serviços e Aplicações
• Risk Manager - Cálculo e agregação de risco para Remediação e Redução de Risco
18Copyright © 2016 Symantec Corporation
Copyright © 2016 Symantec Corporation21
Proteção da Informação
Unified ManagementExtending Data Protection for the Cloud
BoxOffice 365iOSAndroid
EmailWebFTPIM
USBHard Drives
Removable StorageNetwork Shares
Print/FaxCloud & Web
File ServersExchange, Lotus
SharePointDatabases
Web Servers
DLP Endpoint DiscoverDLP Endpoint Prevent
Network MonitorNetwork Prevent for Web & Email
Network DiscoverData Insight
Network Protect
Cloud Prevent for Office 365Mobile Email MonitorMobile Prevent
Copyright © 2016 Symantec Corporation22
Demonstração
Caso de Sucesso
25
http://symc.ly/1RYvOSSCopyright © 2016 Symantec Corporation
Dúvidas?
Copyright © 2016 Symantec Corporation
Próximo Webinar:
Copyright © 2014 Symantec Corporation29
Ameaças Avançadas: Porque devo me preocupar
17/02/2015
Para mais informação
@SymantecBR
https://www.facebook.com/SymantecBrasil
Thank you!
Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
Obrigado!Anderson Rios
Senior Technical Account Manager
Lucas Veiga
Senior Tech Support Engineer
Davy PenicheSolution Systems Engineer