O documento discute os riscos crescentes de vazamentos de dados médicos e como eles se tornaram um alvo importante para o crime cibernético. Apresenta as principais normas de privacidade de dados médicos nos EUA e no Brasil e discute como a Symantec pode ajudar as organizações a gerenciarem riscos e conformidade de segurança cibernética.

1. Dados Médicos:
Uma Mina de Ouro para o Cybercrime
Anderson Rios
Senior Technical Account
Manager
Lucas Veiga
Senior Tech Support Engineer
Davy Peniche
Solution Systems Engineer

2. Apresentadores
2
Anderson
Rios
Davy
Peniche
Lucas
Veiga
Copyright © 2016 Symantec Corporation

3. Agenda
3
1 Cenário Atual
2 Controle de Conformidade
3 Proteção da Informação
4 Caso de Sucesso - DASA
5 Q&A
Copyright © 2016 Symantec Corporation

4. 4
- Eu já sei que ele se foi. Já está na Internet!

5. 5
Total de Vazamentos de Dados
 Aumento de 23%
em 2014
 Menos Mega vazamentos em 2014 - 4 incidentes envolveram mais de 10 milhões de identidades
expostas (8 em 2013)
 1 a cada 5 empresas afetadas não reportaram informações sobre as informações expostas. Alta em
comparação de 1 a cada 6 (2013)
INTERNET SECURITY THREAT REPORT 2015, VOLUME 20
Copyright © 2016 Symantec Corporation

6. 6
Principais causas para os Vazamentos de Dados
36%
58%
6%
2013
Atacantes
Exposto Acidentalmente/
Roubo ou Perda do Dispositivo
Roubo Interno49%
43%
8%
2014
Copyright © 2016 Symantec Corporation

7. 7
10 Principais Setores Afetados (Número de Incidentes)
Copyright © 2016 Symantec Corporation

8. 8
10 Principais Setores Afetados (Identidades Expostas)
Copyright © 2016 Symantec Corporation

9. 10
Cartões de Crédito vs. Registro Médico
Cartão de Crédito
 Facilmente substituído
 Valor de curto prazo
Registro Médico
 Nome/ID/Histórico de Saúde
não podem ser alterados
 Valor de longo prazo
Copyright © 2016 Symantec Corporation

10. Portifolio Symantec
11
Serviços de Cyber Segurança
• Monitoramento, Resposta a Incidentes, Simulação, Inteligência contra
Ameaças
Proteção contra Ameaças
ENDPOINTS DATA CENTER GATEWAY
• Prevenção de Ameaças, Detecção, Forense &
Resposta
• Dispositivos, Email, Servidores, Virtual & Cloud
• Disponível On-premise e Cloud
Plataforma Unificada para Análise de Segurança
• Análise de segurança através de Big data; disponível self-service
Telemetria
Gerenciamento
de Incidentes
Engines de
Proteção
Inteligência
Global
Análise de
Ameaças
Proteção da Informação
DADOS ACESSO
• Proteção de Identidade e
DLP
• Gerencia de Chaves .Cloud
• Cloud Security Broker
Usuários
Dados
Apps
Cloud
Dispositivos
Rede
Data Center
Copyright © 2016 Symantec Corporation

11. Copyright © 2016 Symantec Corporation
12
Assistência Médica: Normas Internacionais de Conformidade
Dept. de Saúde dos Estados Unidos
(Health Insurance Portability & Accountability Act of 1996)
Regras de Privacidade:
• Regula o uso e a divulgação de Informações
Protegidas de Saúde (PHI)
• Aplica-se a entidades abrangidas e seus
parceiros de negócio
• Qualquer informação sobre o estado de
saúde, fornecimento ou pagamento de
cuidados de saúde, que podem ser
vinculados a um indivíduo
• Deve divulgar o PHI quando obrigado a fazê-
lo por lei (ex.:, suspeita de abuso infantil).
Regra de Segurança - cada entidade deve:
• Garantir a confidencialidade, integridade, e disponibilidade
das Informações Protegidas de Saúde (PHI)
• Proteger contra quaisquer relativas ameaças e perigos
• Proteger contra uso ou divulgação de informações não
sejam permitidas pela Regra de Privacidade
• Implementar meios Administrativos, Físicos, and Técnicos
• Auditoria!

12. Copyright © 2016 Symantec Corporation
13
Direito Civil e Normas Brasileiras
A Constituição Federal, o Código Civil, o Código de
Defesa do Consumidor e o Código Penal:
Citam a proteção a privacidade, inviolabilidade da correspondência, proteção a vida
privada, requerimentos de garantias de banco de dados de cadastro de consumidores e
sigilo profissional.
Código de Ética Médica:
A proteção de dados sigilosos do paciente é um dever do médico em qualquer circunstância,
salvo raras exceções previstas em lei -- como no caso de doenças de notificação compulsória.
Responsabilidade no envio de dados privados de consumidores
Necessidade de segurança no envio de informação.
Estabeleceu um protocolo obrigatório para troca de informações de saúde entre
operadoras de plano de saúde - Troca de Informação de Saúde Suplementar – TISS
http://bit.ly/1UHyIt9
Agência Nacional de Saúde:

13. Gerenciamento de Conformidade
Symantec™ Control Compliance Suite
permite auto descoberta de ativos,
automatiza avaliações de controles
processuais e técnicas de segurança, coleta e
normaliza os dados técnicos em evidências de
produtos de segurança de terceiros, e calcula
e agrega valores de risco
.
Automatize Segurança e avaliações de
conformidade
Alinhe as operações de TI
Avaliação Contínua para Cyber Security
14
Copyright © 2016 Symantec Corporation

14. Visão de Risco e Conformidade
Os desafios incluem:
• Visibilidade em exposições de risco
• Ferramentas múltiplas e manuais
• Medir a eficácia de recursos e controles
de segurança
• Relatórios acionáveis e medição de
segurança
• Alterações de configuração não
planejadas
15
Copyright © 2016 Symantec Corporation

15. Visão de Risco e Conformidade
Normas e controles
• FISMA
• China – The Basic Standard for Enterprise
Internal Control and Supplements
• HITECH
• Sarbanes-Oxley
• Australian Government Information Security
Manual 2012
• HIPAA
• UK: Data Protection Act
Melhores Práticas e Frameworks
• ISO/IEC 27005:2008
• COSO Enterprise Risk Management
• DISA STIG
• CobiT 3, 4, 4.1, 5
• NIST SP 800-53 Rev. 4
• PCI DSS v.3.0
• Shared Assessments SIG 2014.1
16
Copyright © 2016 Symantec Corporation

16. Visão geral do Control Compliance Suite
• Standards Manager - Avaliação de Segurança de controles técnicos
• Assessment Manager - Avaliação de Segurança de controles processuais
• Policy Manager – Gerenciamento do ciclo de vida das políticas de Segurança
• Vendor Risk Manager - Segurança e Avaliação de Riscos de Fornecedores de Serviços e Aplicações
• Risk Manager - Cálculo e agregação de risco para Remediação e Redução de Risco
18
Copyright © 2016 Symantec Corporation

17. Copyright © 2016 Symantec Corporation
21
Proteção da Informação
Unified
ManagementExtending Data Protection for the Cloud
Box
Office 365
iOS
Android
Email
Web
FTP
IM
USB
Hard Drives
Removable Storage
Network Shares
Print/Fax
Cloud & Web
File Servers
Exchange, Lotus
SharePoint
Databases
Web Servers
DLP Endpoint Discover
DLP Endpoint Prevent
Network Monitor
Network Prevent for Web & Email
Network Discover
Data Insight
Network Protect
Cloud Prevent for Office 365
Mobile Email Monitor
Mobile Prevent

18. Copyright © 2016 Symantec Corporation
22
Demonstração

19. Caso de Sucesso
25
http://symc.ly/1RYvOSS
Copyright © 2016 Symantec Corporation

20. Perguntas do Chat
27
SymantecMarketing_BR@symantec.com
Copyright © 2016 Symantec Corporation

21. Dúvidas?
Copyright © 2016 Symantec Corporation

22. Próximo Webinar:
Copyright © 2014 Symantec Corporation
29
Ameaças Avançadas:
Porque devo me preocupar
17/02/2015
Para mais informação
@SymantecBR
https://www.facebook.com/SymantecBrasil
SymantecMarketing_BR@symantec.com

23. Thank you!
Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be
trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by
law. The information in this document is subject to change without notice.
Obrigado!
Anderson Rios
Senior Technical Account
Manager
Lucas Veiga
Senior Tech Support Engineer
Davy Peniche
Solution Systems Engineer