SlideShare uma empresa Scribd logo

Be Aware Webinar - Se sua conformidade é temporária, então você não está conforme

Symantec Brasil
Symantec Brasil

[1] O documento discute os requisitos do PCI-DSS e como a Symantec pode ajudar clientes a atingirem a conformidade com esses requisitos. [2] Apresenta uma abordagem priorizada para a conformidade com o PCI-DSS, começando pela proteção de dados sensíveis e terminando com a garantia de que todos os controles estejam ativos. [3] Explica como produtos da Symantec como Symantec Data Center Security, Symantec Advanced Threat Protection e Symantec Messaging Gateway ajudam a atender vários requisitos do

Software
1 de 32
Baixar para ler offline
Se sua conformidade é temporária, então você não está conforme Marcus Vinícius Cândido Sr. Solutions Specialist André Carraretto, PCIP, CISSP Security Strategist Daniel Niero Systems Engineer
Participantes Copyright © 2015 Symantec Corporation Daniel Niero Systems Engineer daniel_niero@symantec.com • 12 anos de experiência em SI, Riscos e Compliance • 7 meses na Symantec • Engenheiro responsável pelo atendimento a toda a regional Sul do Brasil. Marcus Candido Sr Solutions Specialist marcus_candido@symantec.com • 15 anos de experiência em TI • 3 anos na Symantec Especialista em Soluções de Segurança • Integrante do Time de Consultoria: • Atualmente Consultor Residente de DLP nos Ministérios da Educação e da Cultura em Brasília André Carraretto Security Strategist Andre_carraretto@symantec.com Participantes • 18 anos de experiência em SI • 11 anos na Symantec • Porta voz oficial • Estrategista responsável pelo atendimento dos principais clientes na América Latina
Agenda 1 Introdução ao PCI-DSS v3.1 2 Abordagem Priorizada 3 Matriz de Aderência do Portfolio Symantec 4 Q&A Copyright © 2015 Symantec Corporation 3
Payment Card Industry Data Security Standard Copyright © 2015 Symantec Corporation 4 • Manage endpoints – Discover, deploy, fix, recover – Secure devices • Secure data – Email, IM, structured, unstructured •Global & imposto pela indústria •Visa, MasterCard, AMEX, Discover, JCB •Proteger informações do titular do cartão (CHD) onde quer que sejam coletadas, armazenadas, processadas ou transmitidas •Crédito, débito & pré-pago •Eletrônico & físico •Internet, telefone, em lojas •12 requisitos, +200 controles técnicos •Requisitos de validação variam de acordo com o nível do comerciante •Assessment on-site assessment •Questinário de self-assessment •Conformidade imposta pelas marcas de cartões de pagamento •Multas e penalidades •Custo de reemissão de cartões •Redução de vendas •Perda de confiança de clientes e parceiros •Perdas com fraudes Payment Card Industry Data Security Standard (PCI DSS) Quem Guidance & Assessment Responsabilidades Potenciais Sumário de Requisitos •Todos que lidam com dados de cartões de pagamento •Todos os tamanhos de empresa: de 1 a +1Mi de transações •Varejo, bancos, telecomunicações, distribution, software & services rank top •Organizações Públicas e Privadas Para maiores detalhes, visite: https://www.pcisecuritystandards.org/
Que dados precisamos proteger? Copyright © 2014 Symantec Corporation 5 Fonte: PCI Council
Outros padrões associados ao PCI DSS Copyright © 2014 Symantec Corporation 6
Abordagem Priorizada – PCI-DSS • Baseado na experiência da indústria • Abordagem lógica e progressiva • Todos os itens devem ser alcançados • Tecnologias e Serviços Symantec em todos os itens Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
Abordagem Priorizada – PCI-DSS • Encontrar e remover dados sensíveis de Endpoints e amazená-los na rede ( e fora dela) • Definir e impor políticas de retenção e remoção de dados • Identificar riscos relacionados aos dados armazenados Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
Abordagem Priorizada – PCI-DSS • Proteger redes contra ameaças avançadas • Prover acesso de acordo com as políticas de segurança • Previnir transmissão de dados não criptografados via e-mail e mensagens instantâneas • Assegurar que endpoints, bancos de dados, aplicações e servidores estejam em conformidade com as políticas de segurança • Scans de vulnerabilidades externas trimestrais Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
Abordagem Priorizada – PCI-DSS • Assegurar que endpoints, bancos de dados, aplicações e servidores estejam em conformidade com as políticas de segurança • Realizar testes de vulnerabilidades em aplicações em com acesso público • Revisar códigos customizados antes da liberação • Assegurar que aplicações web sejam desenvolvidas de forma segura • Impedir uso de configurações padrão em equipamentos e softwares (senhas, acessos, etc.) • Manter-se atualizado com as vulnerabilidades de segurança Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
Abordagem Priorizada – PCI-DSS • Coletar, armazenar e analisar logs de segurança e dados de incidentes • Assegurar que endpoints, bancos de dados, aplicações e servidores estejam em conformidade com as políticas de segurança • Gravar logs de todas as mensagens que passarem pelos gateways de e-mail • Monitorar, revisae e impor conformidade com políticas de controle de acesso • Controlar Cadeia de Custódia para ativos críticos Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
Abordagem Priorizada – PCI-DSS • Avaliar controles físicos e não-técnicos • Proteger contra vazamento e roubo de informações • Isolar e remediar endpoints não conformes Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
Abordagem Priorizada – PCI-DSS • Pentests em redes e aplicações • Testes para confirmar existência de pontos de acesso wireless • Acompanhar contas de e-mail em risco e “logar”atividades que não estiverem em conformidade com as políticas de segurança • Monitorar e impor conformidade de ativos e processos • Restringir acesso a logs e registros de auditoria • Avaliar e modificar controles técnicos e processuais • Consolidar dados para revisão e auditoria Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
Requerimentos do PCI-DSS x Abordagem Priorizada 14 Controlar Dados Sensíveis Proteger Sistemas e Redes 1 2 • (Req. 1) Manter configurações de firewall que protejam os dados do titular do cartão • (Req. 3) Proteger os dados do titular do cartão • (Req. 9) Restringir acesso físico aos dados do titular do cartão • (Req.12) Manter políticas que aborde segurança da informação para todas as equipes • (Req. 1) Manter configurações de firewall que protejam os dados do titular do cartão • (Req. 2) Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares • (Req. 4) Criptografar a transmissão dos dados do titular do cartão através de redes abertas e públicas • (Req. 5) Utilizar solução de anti-virus e mantê-la atualizada • (Req. 8) Atribuir uma única identificação para cada pessoa que tem acesso a computadores • (Req. 9) Restringir acesso físico aos dados do titular do cartão • (Req.11) Testar regularmente os sistemas e processos • (Req.12) Manter políticas que aborde segurança da informação para todas as equipes
15 Requerimentos do PCI-DSS x Abordagem Priorizada Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 4 5 Assegurar que Controles estejam Ativos6 • (Req. 7) Restringir acesso aos dados do titular do cartão a somente quem ou o que necessita do acesso • (Req. 8) Atribuir uma única identificação para cada pessoa que tem acesso a computadores • (Req.10) Controlar e monitorar todos acessos a rede e aos dados do titular do cartão • (Req.11) Testar regularmente os sistemas e processos • (Req. 3) Proteger os dados do titular do cartão • (Req. 9) Restringir acesso físico aos dados do titular do cartão • (Req. 1) Manter configurações de firewall que protejam os dados do titular do cartão • (Req. 6) Desenvolver e manter sistemas e aplicações de forma segura • (Req.12) Manter políticas que aborde segurança da informação para todas as equipes Proteger Aplicações Críticas3 • (Req. 2) Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares • (Req. 6) Desenvolver e manter sistemas e aplicações de forma segura • (Req.A.1) Provedores de hospedagem compartilhada devem proteger o ambiente de dados do titular do cartão
16 Requerimentos do PCI-DSS Objetivos da Abordagem Priorizada 1 2 3 4 5 6 01 Manter configurações de firewall que protejam os dados do titular do cartão ✔ ✔ ✔ 02 Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares ✔ ✔ 03 Proteger os dados do titular do cartão ✔ ✔ 04 Criptografar a transmissão dos dados do titular do cartão através de redes abertas e públicas ✔ 05 Utilizar solução de anti-virus e mantê-la atualizada ✔ 06 Desenvolver e manter sistemas e aplicações de forma segura ✔ ✔ 07 Restringir acesso aos dados do titular do cartão a somente quem ou o que necessita do acesso ✔ 08 Atribuir uma única identificação para cada pessoa que tem acesso a computadores ✔ ✔ 09 Restringir acesso físico aos dados do titular do cartão ✔ ✔ ✔ 10 Controlar e monitorar todos acessos a rede e aos dados do titular do cartão ✔ 11 Testar regularmente os sistemas e processos ✔ ✔ 12 Manter políticas que aborde segurança da informação para todas as equipes ✔ ✔ ✔ A1 Provedores de hospedagem compartilhada devem proteger o ambiente de dados do titular do cartão ✔
Copyright © 2014 Symantec Corporation 17 Symantec: How to PCI! Produtos vs Requisitos
Symantec Data Center Security: Server Advanced Principais recursos • Detecção e proteção de ameaças com base na rede e sem agente (IPS de rede). • O Operations Director oferece informações de segurança prontas para uso e automatiza a organização da segurança baseada em políticas na família de produtos Symantec Data Center Security, habilita serviços de segurança centrados no aplicativo e integra-se perfeitamente ao VMware para estender a administração de políticas de segurança e incluir ferramentas de segurança de terceiros. • O Unified Management Console (UMC) permite um gerenciamento consistente em todos os produtos Data Center Security. Copyright © 2014 Symantec Corporation 18 REQUISITOS PCI ADERENTES REQ1: Install and maintain a firewall configuration to protect cardholder data. REQ2: Do not use vendor-supplied defaults for system passwords and other security parameters REQ3: Protect stored cardholder data REQ6: Develop and maintain secure systems and applications. REQ10: Track and monitor all access to network resources and cardholder data REQ11: Regularly test security systems and processes ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 4. Monitor and control access to your systems 6. Finalize remaining compliance efforts, and ensure all controls are in place.
Symantec Advanced Threat Protection (SATP) • Symantec™ Advanced Threat Protection é uma solução unificada que descobre, prioriza e repara ataques avançados, potencializando os investimentos existentes de uma organização no Symantec™ Endpoint Protection e Symantec™ Email Security.cloud. • Integração completa entre Endpoint, Email e Network em uma plataforma única que pode cobrir todo o escopo do PCI, cruzando informações para identificar Indicadores de Comprometimento em tempo real dentro todos os ativos envolvidos no processo e gerando dados. Copyright © 2014 Symantec Corporation 19 REQUISITOS PCI ADERENTES REQ1: Install and maintain a firewall configuration to protect cardholder data. REQ5: Use and regularly update anti-virus software or programs ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 6. Finalize remaining compliance efforts, and ensure all controls are in place.ENDPOINT + EMAIL + NETWORK
Symantec Messaging Gateway (SMG) Gateway Antispam e antimalware de tempo real, proteção contra ataques direcionados, filtragem de conteúdo avançada, prevenção contra a perda de dados e criptografia de e-mail. Principais recursos • O gateway antispam bloqueia mais de 99% de spams, com menos de 1 em 1 milhão de falsos positivos e atualizações automáticas em tempo real. • Mecanismo de filtragem antispam que identificam ameaças provenientes de e-mails, com base na reputação global e local. • Recursos de prevenção contra perda de dados garantem a conformidade regulamentar. • Regras especificadas pelo cliente permitem a criação fácil de regras pelos clientes com base nos e-mails que eles consideram spam ou em ataques potencialmente direcionados. • Integração de criptografia opcional com o Symantec Content Encryption ou o Symantec Gateway Email Encryption Copyright © 2014 Symantec Corporation 20 REQUISITOS PCI ADERENTES REQ5: Use and regularly update anti-virus software or programs ABORDAGEM PRIORIZADA 2. Protect systems and networks, and be prepared to respond to a system breach.
Symantec Control Compliance Suite (CSS) Control Compliance Suite (CCS) é uma solução modular, escalonável para a automação de avaliações de segurança e conformidade em datacenters físicos, virtuais e também em nuvens públicas. Principais recursos • Automatiza a avaliação de controles de segurança. • Disponível em 7 modulos independentes: Policy, Risk, Standards, Vulnerability, Security, Assessment e Vendor Risk Manager • Relatórios e painéis na Web personalizáveis e baseados em funções permitem que a empresa avalie os riscos e acompanhe o desempenho dos programas de segurança e conformidade. • Suporte a SCAP, OVAL, ISO27001, NIST CyberSecurity, PCI-DSS, etc. Copyright © 2014 Symantec Corporation 21 REQUISITOS PCI ADERENTES TODOS OS ITENS ABORDAGEM PRIORIZADA TODOS OS ITENS
Symantec IT Management Suite (ITSM) O Symantec™ IT Management Suite 7.6 com a tecnologia Altiris™ proporciona flexibilidade para a TI e liberdade para o usuário. A TI agora pode gerenciar usuários remotos de forma segura, implementar rapidamente novos dispositivos, plataformas e aplicativos. Permite controle e flexibilidade gerenciamento de ativos de TI com suporte a várias plataformas, gerenciamento remoto de usuários, gerenciamento de software, licenças, inventário, contratos, automatização de processos, gestão de tickets e muitos outros recursos. Copyright © 2014 Symantec Corporation 22 REQUISITOS PCI ADERENTES REQ6: Develop and maintain secure systems and applications ABORDAGEM PRIORIZADA 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
Symantec Managed Security Services (MSS) Fornecimento de serviços de monitoramento e gerenciamento de segurança 24x7. MSS correlaciona automaticamente a detecção de ameaças na rede e a proteção avançada da segurança de endpoints com informações sobre ameaças externas para ajudar a identificar ameaças críticas, aumentar a eficácia das investigações de ameaças e simplificar o trabalho de correção. • Monitoramento de desktops, servidores, switches, firewalls, ATP, sistemas operacionais, etc. • Log retention + monitoramento. • Time dedicado com alta experiência. • Sistemas que analisam mais de 275 bilhões de entradas de log • Identificam mais de 40.000 tipos de eventos de segurança. • Toma providências em relação a mais de 4.000 eventos graves já conhecidos. Copyright © 2014 Symantec Corporation 23 REQUISITOS PCI ADERENTES REQ1: Install and maintain a firewall configuration to protect cardholder data. REQ5: Use and regularly update anti-virus software or programs. REQ6: Develop and maintain secure systems and applications REQ10: Track and monitor all access to network resources and cardholder data. REQ11: Requirement 11: Regularly test security systems and processes ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 4. Monitor and control access to your systems 6. Finalize remaining compliance efforts, and ensure all controls are in place.
Symantec DeepSight™ Intelligence O DeepSight Intelligence coleta, analisa e fornece informações sobre ameaças cibernéticas através de um portal personalizável e datafeeds, promovendo medidas de defesa proativas e melhor resposta a incidentes. Entregue através de: Portal do DeepSight Intelligence – Portal Web intuitivo Datafeeds do DeepSight Intelligence – para automatizar o fornecimento de dados sobre ameaças à infraestrutura de segurança. Copyright © 2014 Symantec Corporation 24 REQUISITOS PCI ADERENTES REQ5: Protect all systems against malware and regularly update anti-virus software or programs. REQ6: Develop and maintain secure systems and applications. ABORDAGEM PRIORIZADA 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
Symantec Managed PKI (Cloud) / Certificados SSL Plataforma cloud para emissão, renovação, revogação e gestão ativa de Certificados Digitais privados. Principais recursos: • Sem necessidade de investimento em infraestrutura e pessoas. • Controle de autenticação de usuários e aplicações • Suporte a BYOD (Distribuição de certificados para mobile IOS e Android) • Assinatura de Conteúdos, documentos e aplicações • Gestão completa do Ciclo de Vida dos certificados. Copyright © 2014 Symantec Corporation 25 REQUISITOS PCI ADERENTES REQ3: Protect stored cardholder data REQ4: Encrypt transmission of cardholder data across open, public networks ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
Symantec Endpoint Protection (SEP) / ATP:Endpoint Principais benefícios • Proteção em camadas para manter os endpoints protegidos contra malware em massa, ataques direcionados e ataques persistentes avançados • Proteção superior contra ameaças com o suporte da maior rede de informações civis sobre ameaças do mundo • Desempenho tão rápido que não afeta a produtividade do usuário • Fácil de usar com um único cliente e console de gerenciamento em plataformas físicas e virtuais • Flexibilidade para ajustar políticas com base nos usuários e no local Copyright © 2014 Symantec Corporation 26 REQUISITOS PCI ADERENTES REQ1: Install and maintain a firewall configuration to protect cardholder data. REQ5: Use and regularly update anti-virus software or programs REQ6: Develop and maintain secure systems and applications. REQ10: Track and monitor all access to network resources and cardholder data. REQ11: Regularly test security systems and processes ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
Symantec Endpoint Encryption (Powered by PGP™) Combina a forte criptografia completa de discos ou mídias removíveis com uma plataforma de gerenciamento central, que visa proteger dados confidenciais contra perda ou roubo e ajuda os administradores a confirmar se um dispositivo foi criptografado, caso ele seja perdido ou roubado. • Automação no gerenciamento de chaves • Integração com Active Directory • Integração com o Data Loss Prevention • Relatórios customizados de conformidade. • Várias opções de recuperação (Local Self-Recovery e Tokens descartáveis) Copyright © 2014 Symantec Corporation 27 REQUISITOS PCI ADERENTES REQ3: Protect stored cardholder data ABORDAGEM PRIORIZADA 5. Protect stored cardholder data.
Symantec Validation and ID Protection Service (VIP) O VIP é um serviço de autenticação baseado na nuvem e líder de mercado que permite implementar com facilidade controles para proteger o acesso a redes e aplicativos contra acessos não autorizados. Principais recursos: • Autenticação multi-fator baseada em risco • Baseado em padrões abertos, SAML, OAth • Mobile Push • Recursos de biometria para substituição de senhas • Integração direta com o Symantec Identity Access Manager (SAM) para proteção de aplicativos baseados em nuvem. Copyright © 2014 Symantec Corporation 28 REQUISITOS PCI ATENDIDOS REQ8: Identify and authenticate access to system components ABORDAGEM PRIORIZADA 2. Protect systems and networks, and be prepared to respond to a system breach. 4. Monitor and control access to your systems.
Symantec Data Loss Prevention (DLP) O DLP é uma tecnologia de segurança com reconhecimento de conteúdo que lida com três questões importantes relacionadas às informações confidenciais da empresa. Disponível para Cloud, Endpoint, Mobile, Network, Storage e Email Copyright © 2014 Symantec Corporation 29 REQUISITOS PCI ADERENTES REQ3: Protect stored cardholder data REQ4: Encrypt transmission of cardholder data across open, public networks REQ6: Develop and maintain secure systems and applications. ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
30 PORTFOLIO SYMANTEC PCI-DSS X Soluções Symantec ControlComplianceSuite DataLossPrevention DataCenterSecurity EndpointEncryption AdvancedThreatProtection ManagedSecurityServices EndpointProtection ValidationandIDProtection Service MessagingGateway ITMS MPKI/SSLCertificate Deep-sight 1. Manter configurações de firewall que protejam os dados do titular do cartão o • • • 2. Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares • • 3. Proteger os dados do titular do cartão o • • • • 4. Criptografar a transmissão dos dados do titular do cartão através de redes abertas e públicas o • • 5. Utilizar solução de anti-virus e mantê-la atualizada o • • • • • 6. Desenvolver e manter sistemas e aplicações de forma segura • • o • • • • 7. estringir acesso aos dados do titular do cartão a somente quem ou o que necessita do acesso • • 8. Atribuir uma única identificação para cada pessoa que tem acesso a computadores • • 9. Restringir acesso físico aos dados do titular do cartão • o 10. Controlar e monitorar todos acessos a rede e aos dados do titular do cartão o • • • 11. Testar regularmente os sistemas e processos. o • • • 12. Manter políticas que aborde segurança da informação para todas as equipes •
Q&A
Thank you! Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. Obrigado! Próximo Webinar: 16/03 – Segurança de email: Ameaças, SPAM e Sequestros, uma máquina de dinheiro

Recomendados

Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Clavis Segurança da Informação
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Clavis Segurança da Informação
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo Branquinho
TI Safe
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao Datacenter
NetBR
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
Fabio Martins
 
ITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por Processos
Rafael Maia
 
Apresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasApresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA Campinas
TI Safe
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
William Martins
 

Recomendados

Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Clavis Segurança da Informação
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Clavis Segurança da Informação
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo Branquinho
TI Safe
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao Datacenter
NetBR
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
Fabio Martins
 
ITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por Processos
Rafael Maia
 
Apresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasApresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA Campinas
TI Safe
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
William Martins
 
Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da Informação
Rafael De Brito Marques
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
marcos.santosrs
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
Cleber Fonseca
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Marcelo Veloso
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
CLASS 2016 - Palestra Carlos Mandolesi
CLASS 2016 - Palestra Carlos MandolesiCLASS 2016 - Palestra Carlos Mandolesi
CLASS 2016 - Palestra Carlos Mandolesi
TI Safe
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
Adriano Martins Antonio
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
Cleber Fonseca
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Darly Goes
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
Didimax
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
SegInfo
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
TI Infnet
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Symantec Brasil
 
Segurança da Informação e Governança em TI
Segurança da Informação e Governança em TISegurança da Informação e Governança em TI
Segurança da Informação e Governança em TI
Congresso Catarinense de Ciências da Computação
 
Shield 2013
Shield 2013Shield 2013
Shield 2013
Shield Consulting
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Paulo Garcia
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
IsmaelFernandoRiboli
 
200904 Fiat Pci Plano De Trabalho
200904 Fiat Pci Plano De Trabalho200904 Fiat Pci Plano De Trabalho
200904 Fiat Pci Plano De Trabalho
arruda09
 
Curso PCI DSS - Overview
Curso PCI DSS - OverviewCurso PCI DSS - Overview
Curso PCI DSS - Overview
Data Security
 

Mais conteúdo relacionado

Mais procurados

Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Darly Goes
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
SegInfo
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Paulo Garcia
 

Mais procurados (20)

Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da Informação
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
CLASS 2016 - Palestra Carlos Mandolesi
CLASS 2016 - Palestra Carlos MandolesiCLASS 2016 - Palestra Carlos Mandolesi
CLASS 2016 - Palestra Carlos Mandolesi
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
 
Segurança da Informação e Governança em TI
Segurança da Informação e Governança em TISegurança da Informação e Governança em TI
Segurança da Informação e Governança em TI
 
Shield 2013
Shield 2013Shield 2013
Shield 2013
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 

Destaque

200904 Fiat Pci Plano De Trabalho
200904 Fiat Pci Plano De Trabalho200904 Fiat Pci Plano De Trabalho
200904 Fiat Pci Plano De Trabalho
arruda09
 

Destaque (6)

200904 Fiat Pci Plano De Trabalho
200904 Fiat Pci Plano De Trabalho200904 Fiat Pci Plano De Trabalho
200904 Fiat Pci Plano De Trabalho
 
Curso PCI DSS - Overview
Curso PCI DSS - OverviewCurso PCI DSS - Overview
Curso PCI DSS - Overview
 
Um Toolkit para atender os requisitos técnicos do PCI DSS
Um Toolkit para atender os requisitos técnicos do PCI DSSUm Toolkit para atender os requisitos técnicos do PCI DSS
Um Toolkit para atender os requisitos técnicos do PCI DSS
 
Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
 
PCI - Algo de Novo?
PCI - Algo de Novo?PCI - Algo de Novo?
PCI - Algo de Novo?
 
Agilidade e PCI DSS - Como conciliar os dois?
Agilidade e PCI DSS - Como conciliar os dois?Agilidade e PCI DSS - Como conciliar os dois?
Agilidade e PCI DSS - Como conciliar os dois?
 

Semelhante a Be Aware Webinar - Se sua conformidade é temporária, então você não está conforme

Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Eduardo Lanna
 

Semelhante a Be Aware Webinar - Se sua conformidade é temporária, então você não está conforme (20)

Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dados
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao Datacenter
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016
 
ISO17799 2005
ISO17799 2005ISO17799 2005
ISO17799 2005
 
CLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesCLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo Fernandes
 
Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014
 
CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
 
Webinar be aware - como proteger sua informação no desaparecimento do perímetro
Webinar be aware - como proteger sua informação no desaparecimento do perímetroWebinar be aware - como proteger sua informação no desaparecimento do perímetro
Webinar be aware - como proteger sua informação no desaparecimento do perímetro
 
PCI and PCI DSS Overview
PCI and PCI DSS OverviewPCI and PCI DSS Overview
PCI and PCI DSS Overview
 
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeBe Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
 
Smartcrypt 2017-v10
Smartcrypt 2017-v10Smartcrypt 2017-v10
Smartcrypt 2017-v10
 
Seguranca e Criptografia de Dados
Seguranca e Criptografia de DadosSeguranca e Criptografia de Dados
Seguranca e Criptografia de Dados
 
Nnovax corporativa 2014
Nnovax corporativa 2014Nnovax corporativa 2014
Nnovax corporativa 2014
 
Nnovax Corporativa
Nnovax CorporativaNnovax Corporativa
Nnovax Corporativa
 
Cartilha de segurança para usuários não-técnicos
Cartilha de segurança para usuários não-técnicosCartilha de segurança para usuários não-técnicos
Cartilha de segurança para usuários não-técnicos
 

Mais de Symantec Brasil

Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Brasil
 
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Symantec Brasil
 
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Symantec Brasil
 

Mais de Symantec Brasil (20)

Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1
 
A Symantec Fornece Solução Automatizada para Proteção contra o Comprometiment...
A Symantec Fornece Solução Automatizada para Proteção contra o Comprometiment...A Symantec Fornece Solução Automatizada para Proteção contra o Comprometiment...
A Symantec Fornece Solução Automatizada para Proteção contra o Comprometiment...
 
Por dentro da la transformación - Entrevista Sheila Jordan (BR)
Por dentro da la transformación - Entrevista Sheila Jordan (BR)Por dentro da la transformación - Entrevista Sheila Jordan (BR)
Por dentro da la transformación - Entrevista Sheila Jordan (BR)
 
Por dentro da transformação - Entrevista Sheila Jordan (BR)
Por dentro da transformação - Entrevista Sheila Jordan (BR)Por dentro da transformação - Entrevista Sheila Jordan (BR)
Por dentro da transformação - Entrevista Sheila Jordan (BR)
 
Be Aware - Eu sou o próximo alvo?
Be Aware - Eu sou o próximo alvo?Be Aware - Eu sou o próximo alvo?
Be Aware - Eu sou o próximo alvo?
 
Ameaças de Junho 2016
Ameaças de Junho 2016 Ameaças de Junho 2016
Ameaças de Junho 2016
 
Customer Super Care
Customer Super CareCustomer Super Care
Customer Super Care
 
Segurança da Informação na era do IoT: conectividade, e ameaças, por todos os...
Segurança da Informação na era do IoT: conectividade, e ameaças, por todos os...Segurança da Informação na era do IoT: conectividade, e ameaças, por todos os...
Segurança da Informação na era do IoT: conectividade, e ameaças, por todos os...
 
Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5
Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5
Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5
 
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
 
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TIBe Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
 
Be Aware Webinar Symantec - Relatório de Ameaças à Segurança na Internet de 2...
Be Aware Webinar Symantec - Relatório de Ameaças à Segurança na Internet de 2...Be Aware Webinar Symantec - Relatório de Ameaças à Segurança na Internet de 2...
Be Aware Webinar Symantec - Relatório de Ameaças à Segurança na Internet de 2...
 
Be Aware Webinar - Criptografia, uma forma simples de proteger seus dados pes...
Be Aware Webinar - Criptografia, uma forma simples de proteger seus dados pes...Be Aware Webinar - Criptografia, uma forma simples de proteger seus dados pes...
Be Aware Webinar - Criptografia, uma forma simples de proteger seus dados pes...
 
Be Aware Webinar Symantec - O que devo considerar com o suporte de pós vendas...
Be Aware Webinar Symantec - O que devo considerar com o suporte de pós vendas...Be Aware Webinar Symantec - O que devo considerar com o suporte de pós vendas...
Be Aware Webinar Symantec - O que devo considerar com o suporte de pós vendas...
 
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
 
Be Aware Webinar - Malwares Multiplataformas
Be Aware Webinar - Malwares MultiplataformasBe Aware Webinar - Malwares Multiplataformas
Be Aware Webinar - Malwares Multiplataformas
 
A Abordagem Symantec para Derrotar Ameaças Avançadas
A Abordagem Symantec para Derrotar Ameaças AvançadasA Abordagem Symantec para Derrotar Ameaças Avançadas
A Abordagem Symantec para Derrotar Ameaças Avançadas
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec Cynic
 
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
 
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
 

Be Aware Webinar - Se sua conformidade é temporária, então você não está conforme

  • 1. Se sua conformidade é temporária, então você não está conforme Marcus Vinícius Cândido Sr. Solutions Specialist André Carraretto, PCIP, CISSP Security Strategist Daniel Niero Systems Engineer
  • 2. Participantes Copyright © 2015 Symantec Corporation Daniel Niero Systems Engineer daniel_niero@symantec.com • 12 anos de experiência em SI, Riscos e Compliance • 7 meses na Symantec • Engenheiro responsável pelo atendimento a toda a regional Sul do Brasil. Marcus Candido Sr Solutions Specialist marcus_candido@symantec.com • 15 anos de experiência em TI • 3 anos na Symantec Especialista em Soluções de Segurança • Integrante do Time de Consultoria: • Atualmente Consultor Residente de DLP nos Ministérios da Educação e da Cultura em Brasília André Carraretto Security Strategist Andre_carraretto@symantec.com Participantes • 18 anos de experiência em SI • 11 anos na Symantec • Porta voz oficial • Estrategista responsável pelo atendimento dos principais clientes na América Latina
  • 3. Agenda 1 Introdução ao PCI-DSS v3.1 2 Abordagem Priorizada 3 Matriz de Aderência do Portfolio Symantec 4 Q&A Copyright © 2015 Symantec Corporation 3
  • 4. Payment Card Industry Data Security Standard Copyright © 2015 Symantec Corporation 4 • Manage endpoints – Discover, deploy, fix, recover – Secure devices • Secure data – Email, IM, structured, unstructured •Global & imposto pela indústria •Visa, MasterCard, AMEX, Discover, JCB •Proteger informações do titular do cartão (CHD) onde quer que sejam coletadas, armazenadas, processadas ou transmitidas •Crédito, débito & pré-pago •Eletrônico & físico •Internet, telefone, em lojas •12 requisitos, +200 controles técnicos •Requisitos de validação variam de acordo com o nível do comerciante •Assessment on-site assessment •Questinário de self-assessment •Conformidade imposta pelas marcas de cartões de pagamento •Multas e penalidades •Custo de reemissão de cartões •Redução de vendas •Perda de confiança de clientes e parceiros •Perdas com fraudes Payment Card Industry Data Security Standard (PCI DSS) Quem Guidance & Assessment Responsabilidades Potenciais Sumário de Requisitos •Todos que lidam com dados de cartões de pagamento •Todos os tamanhos de empresa: de 1 a +1Mi de transações •Varejo, bancos, telecomunicações, distribution, software & services rank top •Organizações Públicas e Privadas Para maiores detalhes, visite: https://www.pcisecuritystandards.org/
  • 5. Que dados precisamos proteger? Copyright © 2014 Symantec Corporation 5 Fonte: PCI Council
  • 6. Outros padrões associados ao PCI DSS Copyright © 2014 Symantec Corporation 6
  • 7. Abordagem Priorizada – PCI-DSS • Baseado na experiência da indústria • Abordagem lógica e progressiva • Todos os itens devem ser alcançados • Tecnologias e Serviços Symantec em todos os itens Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
  • 8. Abordagem Priorizada – PCI-DSS • Encontrar e remover dados sensíveis de Endpoints e amazená-los na rede ( e fora dela) • Definir e impor políticas de retenção e remoção de dados • Identificar riscos relacionados aos dados armazenados Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
  • 9. Abordagem Priorizada – PCI-DSS • Proteger redes contra ameaças avançadas • Prover acesso de acordo com as políticas de segurança • Previnir transmissão de dados não criptografados via e-mail e mensagens instantâneas • Assegurar que endpoints, bancos de dados, aplicações e servidores estejam em conformidade com as políticas de segurança • Scans de vulnerabilidades externas trimestrais Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
  • 10. Abordagem Priorizada – PCI-DSS • Assegurar que endpoints, bancos de dados, aplicações e servidores estejam em conformidade com as políticas de segurança • Realizar testes de vulnerabilidades em aplicações em com acesso público • Revisar códigos customizados antes da liberação • Assegurar que aplicações web sejam desenvolvidas de forma segura • Impedir uso de configurações padrão em equipamentos e softwares (senhas, acessos, etc.) • Manter-se atualizado com as vulnerabilidades de segurança Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
  • 11. Abordagem Priorizada – PCI-DSS • Coletar, armazenar e analisar logs de segurança e dados de incidentes • Assegurar que endpoints, bancos de dados, aplicações e servidores estejam em conformidade com as políticas de segurança • Gravar logs de todas as mensagens que passarem pelos gateways de e-mail • Monitorar, revisae e impor conformidade com políticas de controle de acesso • Controlar Cadeia de Custódia para ativos críticos Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
  • 12. Abordagem Priorizada – PCI-DSS • Avaliar controles físicos e não-técnicos • Proteger contra vazamento e roubo de informações • Isolar e remediar endpoints não conformes Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
  • 13. Abordagem Priorizada – PCI-DSS • Pentests em redes e aplicações • Testes para confirmar existência de pontos de acesso wireless • Acompanhar contas de e-mail em risco e “logar”atividades que não estiverem em conformidade com as políticas de segurança • Monitorar e impor conformidade de ativos e processos • Restringir acesso a logs e registros de auditoria • Avaliar e modificar controles técnicos e processuais • Consolidar dados para revisão e auditoria Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
  • 14. Requerimentos do PCI-DSS x Abordagem Priorizada 14 Controlar Dados Sensíveis Proteger Sistemas e Redes 1 2 • (Req. 1) Manter configurações de firewall que protejam os dados do titular do cartão • (Req. 3) Proteger os dados do titular do cartão • (Req. 9) Restringir acesso físico aos dados do titular do cartão • (Req.12) Manter políticas que aborde segurança da informação para todas as equipes • (Req. 1) Manter configurações de firewall que protejam os dados do titular do cartão • (Req. 2) Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares • (Req. 4) Criptografar a transmissão dos dados do titular do cartão através de redes abertas e públicas • (Req. 5) Utilizar solução de anti-virus e mantê-la atualizada • (Req. 8) Atribuir uma única identificação para cada pessoa que tem acesso a computadores • (Req. 9) Restringir acesso físico aos dados do titular do cartão • (Req.11) Testar regularmente os sistemas e processos • (Req.12) Manter políticas que aborde segurança da informação para todas as equipes
  • 15. 15 Requerimentos do PCI-DSS x Abordagem Priorizada Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 4 5 Assegurar que Controles estejam Ativos6 • (Req. 7) Restringir acesso aos dados do titular do cartão a somente quem ou o que necessita do acesso • (Req. 8) Atribuir uma única identificação para cada pessoa que tem acesso a computadores • (Req.10) Controlar e monitorar todos acessos a rede e aos dados do titular do cartão • (Req.11) Testar regularmente os sistemas e processos • (Req. 3) Proteger os dados do titular do cartão • (Req. 9) Restringir acesso físico aos dados do titular do cartão • (Req. 1) Manter configurações de firewall que protejam os dados do titular do cartão • (Req. 6) Desenvolver e manter sistemas e aplicações de forma segura • (Req.12) Manter políticas que aborde segurança da informação para todas as equipes Proteger Aplicações Críticas3 • (Req. 2) Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares • (Req. 6) Desenvolver e manter sistemas e aplicações de forma segura • (Req.A.1) Provedores de hospedagem compartilhada devem proteger o ambiente de dados do titular do cartão
  • 16. 16 Requerimentos do PCI-DSS Objetivos da Abordagem Priorizada 1 2 3 4 5 6 01 Manter configurações de firewall que protejam os dados do titular do cartão ✔ ✔ ✔ 02 Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares ✔ ✔ 03 Proteger os dados do titular do cartão ✔ ✔ 04 Criptografar a transmissão dos dados do titular do cartão através de redes abertas e públicas ✔ 05 Utilizar solução de anti-virus e mantê-la atualizada ✔ 06 Desenvolver e manter sistemas e aplicações de forma segura ✔ ✔ 07 Restringir acesso aos dados do titular do cartão a somente quem ou o que necessita do acesso ✔ 08 Atribuir uma única identificação para cada pessoa que tem acesso a computadores ✔ ✔ 09 Restringir acesso físico aos dados do titular do cartão ✔ ✔ ✔ 10 Controlar e monitorar todos acessos a rede e aos dados do titular do cartão ✔ 11 Testar regularmente os sistemas e processos ✔ ✔ 12 Manter políticas que aborde segurança da informação para todas as equipes ✔ ✔ ✔ A1 Provedores de hospedagem compartilhada devem proteger o ambiente de dados do titular do cartão ✔
  • 17. Copyright © 2014 Symantec Corporation 17 Symantec: How to PCI! Produtos vs Requisitos
  • 18. Symantec Data Center Security: Server Advanced Principais recursos • Detecção e proteção de ameaças com base na rede e sem agente (IPS de rede). • O Operations Director oferece informações de segurança prontas para uso e automatiza a organização da segurança baseada em políticas na família de produtos Symantec Data Center Security, habilita serviços de segurança centrados no aplicativo e integra-se perfeitamente ao VMware para estender a administração de políticas de segurança e incluir ferramentas de segurança de terceiros. • O Unified Management Console (UMC) permite um gerenciamento consistente em todos os produtos Data Center Security. Copyright © 2014 Symantec Corporation 18 REQUISITOS PCI ADERENTES REQ1: Install and maintain a firewall configuration to protect cardholder data. REQ2: Do not use vendor-supplied defaults for system passwords and other security parameters REQ3: Protect stored cardholder data REQ6: Develop and maintain secure systems and applications. REQ10: Track and monitor all access to network resources and cardholder data REQ11: Regularly test security systems and processes ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 4. Monitor and control access to your systems 6. Finalize remaining compliance efforts, and ensure all controls are in place.
  • 19. Symantec Advanced Threat Protection (SATP) • Symantec™ Advanced Threat Protection é uma solução unificada que descobre, prioriza e repara ataques avançados, potencializando os investimentos existentes de uma organização no Symantec™ Endpoint Protection e Symantec™ Email Security.cloud. • Integração completa entre Endpoint, Email e Network em uma plataforma única que pode cobrir todo o escopo do PCI, cruzando informações para identificar Indicadores de Comprometimento em tempo real dentro todos os ativos envolvidos no processo e gerando dados. Copyright © 2014 Symantec Corporation 19 REQUISITOS PCI ADERENTES REQ1: Install and maintain a firewall configuration to protect cardholder data. REQ5: Use and regularly update anti-virus software or programs ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 6. Finalize remaining compliance efforts, and ensure all controls are in place.ENDPOINT + EMAIL + NETWORK
  • 20. Symantec Messaging Gateway (SMG) Gateway Antispam e antimalware de tempo real, proteção contra ataques direcionados, filtragem de conteúdo avançada, prevenção contra a perda de dados e criptografia de e-mail. Principais recursos • O gateway antispam bloqueia mais de 99% de spams, com menos de 1 em 1 milhão de falsos positivos e atualizações automáticas em tempo real. • Mecanismo de filtragem antispam que identificam ameaças provenientes de e-mails, com base na reputação global e local. • Recursos de prevenção contra perda de dados garantem a conformidade regulamentar. • Regras especificadas pelo cliente permitem a criação fácil de regras pelos clientes com base nos e-mails que eles consideram spam ou em ataques potencialmente direcionados. • Integração de criptografia opcional com o Symantec Content Encryption ou o Symantec Gateway Email Encryption Copyright © 2014 Symantec Corporation 20 REQUISITOS PCI ADERENTES REQ5: Use and regularly update anti-virus software or programs ABORDAGEM PRIORIZADA 2. Protect systems and networks, and be prepared to respond to a system breach.
  • 21. Symantec Control Compliance Suite (CSS) Control Compliance Suite (CCS) é uma solução modular, escalonável para a automação de avaliações de segurança e conformidade em datacenters físicos, virtuais e também em nuvens públicas. Principais recursos • Automatiza a avaliação de controles de segurança. • Disponível em 7 modulos independentes: Policy, Risk, Standards, Vulnerability, Security, Assessment e Vendor Risk Manager • Relatórios e painéis na Web personalizáveis e baseados em funções permitem que a empresa avalie os riscos e acompanhe o desempenho dos programas de segurança e conformidade. • Suporte a SCAP, OVAL, ISO27001, NIST CyberSecurity, PCI-DSS, etc. Copyright © 2014 Symantec Corporation 21 REQUISITOS PCI ADERENTES TODOS OS ITENS ABORDAGEM PRIORIZADA TODOS OS ITENS
  • 22. Symantec IT Management Suite (ITSM) O Symantec™ IT Management Suite 7.6 com a tecnologia Altiris™ proporciona flexibilidade para a TI e liberdade para o usuário. A TI agora pode gerenciar usuários remotos de forma segura, implementar rapidamente novos dispositivos, plataformas e aplicativos. Permite controle e flexibilidade gerenciamento de ativos de TI com suporte a várias plataformas, gerenciamento remoto de usuários, gerenciamento de software, licenças, inventário, contratos, automatização de processos, gestão de tickets e muitos outros recursos. Copyright © 2014 Symantec Corporation 22 REQUISITOS PCI ADERENTES REQ6: Develop and maintain secure systems and applications ABORDAGEM PRIORIZADA 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
  • 23. Symantec Managed Security Services (MSS) Fornecimento de serviços de monitoramento e gerenciamento de segurança 24x7. MSS correlaciona automaticamente a detecção de ameaças na rede e a proteção avançada da segurança de endpoints com informações sobre ameaças externas para ajudar a identificar ameaças críticas, aumentar a eficácia das investigações de ameaças e simplificar o trabalho de correção. • Monitoramento de desktops, servidores, switches, firewalls, ATP, sistemas operacionais, etc. • Log retention + monitoramento. • Time dedicado com alta experiência. • Sistemas que analisam mais de 275 bilhões de entradas de log • Identificam mais de 40.000 tipos de eventos de segurança. • Toma providências em relação a mais de 4.000 eventos graves já conhecidos. Copyright © 2014 Symantec Corporation 23 REQUISITOS PCI ADERENTES REQ1: Install and maintain a firewall configuration to protect cardholder data. REQ5: Use and regularly update anti-virus software or programs. REQ6: Develop and maintain secure systems and applications REQ10: Track and monitor all access to network resources and cardholder data. REQ11: Requirement 11: Regularly test security systems and processes ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 4. Monitor and control access to your systems 6. Finalize remaining compliance efforts, and ensure all controls are in place.
  • 24. Symantec DeepSight™ Intelligence O DeepSight Intelligence coleta, analisa e fornece informações sobre ameaças cibernéticas através de um portal personalizável e datafeeds, promovendo medidas de defesa proativas e melhor resposta a incidentes. Entregue através de: Portal do DeepSight Intelligence – Portal Web intuitivo Datafeeds do DeepSight Intelligence – para automatizar o fornecimento de dados sobre ameaças à infraestrutura de segurança. Copyright © 2014 Symantec Corporation 24 REQUISITOS PCI ADERENTES REQ5: Protect all systems against malware and regularly update anti-virus software or programs. REQ6: Develop and maintain secure systems and applications. ABORDAGEM PRIORIZADA 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
  • 25. Symantec Managed PKI (Cloud) / Certificados SSL Plataforma cloud para emissão, renovação, revogação e gestão ativa de Certificados Digitais privados. Principais recursos: • Sem necessidade de investimento em infraestrutura e pessoas. • Controle de autenticação de usuários e aplicações • Suporte a BYOD (Distribuição de certificados para mobile IOS e Android) • Assinatura de Conteúdos, documentos e aplicações • Gestão completa do Ciclo de Vida dos certificados. Copyright © 2014 Symantec Corporation 25 REQUISITOS PCI ADERENTES REQ3: Protect stored cardholder data REQ4: Encrypt transmission of cardholder data across open, public networks ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
  • 26. Symantec Endpoint Protection (SEP) / ATP:Endpoint Principais benefícios • Proteção em camadas para manter os endpoints protegidos contra malware em massa, ataques direcionados e ataques persistentes avançados • Proteção superior contra ameaças com o suporte da maior rede de informações civis sobre ameaças do mundo • Desempenho tão rápido que não afeta a produtividade do usuário • Fácil de usar com um único cliente e console de gerenciamento em plataformas físicas e virtuais • Flexibilidade para ajustar políticas com base nos usuários e no local Copyright © 2014 Symantec Corporation 26 REQUISITOS PCI ADERENTES REQ1: Install and maintain a firewall configuration to protect cardholder data. REQ5: Use and regularly update anti-virus software or programs REQ6: Develop and maintain secure systems and applications. REQ10: Track and monitor all access to network resources and cardholder data. REQ11: Regularly test security systems and processes ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
  • 27. Symantec Endpoint Encryption (Powered by PGP™) Combina a forte criptografia completa de discos ou mídias removíveis com uma plataforma de gerenciamento central, que visa proteger dados confidenciais contra perda ou roubo e ajuda os administradores a confirmar se um dispositivo foi criptografado, caso ele seja perdido ou roubado. • Automação no gerenciamento de chaves • Integração com Active Directory • Integração com o Data Loss Prevention • Relatórios customizados de conformidade. • Várias opções de recuperação (Local Self-Recovery e Tokens descartáveis) Copyright © 2014 Symantec Corporation 27 REQUISITOS PCI ADERENTES REQ3: Protect stored cardholder data ABORDAGEM PRIORIZADA 5. Protect stored cardholder data.
  • 28. Symantec Validation and ID Protection Service (VIP) O VIP é um serviço de autenticação baseado na nuvem e líder de mercado que permite implementar com facilidade controles para proteger o acesso a redes e aplicativos contra acessos não autorizados. Principais recursos: • Autenticação multi-fator baseada em risco • Baseado em padrões abertos, SAML, OAth • Mobile Push • Recursos de biometria para substituição de senhas • Integração direta com o Symantec Identity Access Manager (SAM) para proteção de aplicativos baseados em nuvem. Copyright © 2014 Symantec Corporation 28 REQUISITOS PCI ATENDIDOS REQ8: Identify and authenticate access to system components ABORDAGEM PRIORIZADA 2. Protect systems and networks, and be prepared to respond to a system breach. 4. Monitor and control access to your systems.
  • 29. Symantec Data Loss Prevention (DLP) O DLP é uma tecnologia de segurança com reconhecimento de conteúdo que lida com três questões importantes relacionadas às informações confidenciais da empresa. Disponível para Cloud, Endpoint, Mobile, Network, Storage e Email Copyright © 2014 Symantec Corporation 29 REQUISITOS PCI ADERENTES REQ3: Protect stored cardholder data REQ4: Encrypt transmission of cardholder data across open, public networks REQ6: Develop and maintain secure systems and applications. ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
  • 30. 30 PORTFOLIO SYMANTEC PCI-DSS X Soluções Symantec ControlComplianceSuite DataLossPrevention DataCenterSecurity EndpointEncryption AdvancedThreatProtection ManagedSecurityServices EndpointProtection ValidationandIDProtection Service MessagingGateway ITMS MPKI/SSLCertificate Deep-sight 1. Manter configurações de firewall que protejam os dados do titular do cartão o • • • 2. Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares • • 3. Proteger os dados do titular do cartão o • • • • 4. Criptografar a transmissão dos dados do titular do cartão através de redes abertas e públicas o • • 5. Utilizar solução de anti-virus e mantê-la atualizada o • • • • • 6. Desenvolver e manter sistemas e aplicações de forma segura • • o • • • • 7. estringir acesso aos dados do titular do cartão a somente quem ou o que necessita do acesso • • 8. Atribuir uma única identificação para cada pessoa que tem acesso a computadores • • 9. Restringir acesso físico aos dados do titular do cartão • o 10. Controlar e monitorar todos acessos a rede e aos dados do titular do cartão o • • • 11. Testar regularmente os sistemas e processos. o • • • 12. Manter políticas que aborde segurança da informação para todas as equipes •
  • 31. Q&A
  • 32. Thank you! Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. Obrigado! Próximo Webinar: 16/03 – Segurança de email: Ameaças, SPAM e Sequestros, uma máquina de dinheiro