[1] O documento discute a importância da visibilidade e conformidade em segurança através do uso do Control Compliance Suite da Symantec. [2] Ele apresenta os principais componentes e funcionalidades do CCS, incluindo a automação de avaliações de segurança e conformidade. [3] O documento também aborda como o CCS pode ajudar a consolidar dados de segurança de múltiplas fontes e priorizar esforços de remediação com base no risco.

1. Alinhando a Estratégia de Segurança: Visibilidade e
Conformidade
Alan Castro, CISSP
Sr. Systems Engineer
Vitor Fonseca
Sr. Solution Specialist

2. Nossos apresentadores
Copyright © 2015 Symantec Corporation
Alan Castro, CISSP
Sr. Systems Engineer
- Profissional com 16 anos de experiência na área de TI, dos quais 14 anos dedicados
à Segurança da informação. Responsável por projetar e implementar várias
tecnologias Symantec, bem como serviços de consultoria em diversas plataformas,
ambiente e verticais. Anteriormente foi responsável por avaliações de segurança em
aplicativos, analisando ameaças para canais da Web, prospecção de novas
tecnologias, definições de estratégias de segurança implementando projetos em
grandes empresas de Telecom, Finanças, Mídia e ISP. Formado em Eletrônica, possui
as certificações CISSP e CCSK
Vitor Fonseca
Sr. Solutions Specialist
- Formado em Ciência da Computação pela UFMG e com experiência de
10 anos em TI, trabalha como consultor sênior em Segurança, com foco
em produtos da Symantec incluindo o Control Compliance Suite. Possui
pós-graduação em Gestão de Segurança da Informação pela UniBH e
está cursando MBA em Gestão de Projetos pela FGV.

3. Segurança Corporativa| Estratégia de Produtos e Serviços
3
Threat Protection
ENDPOINTS DATA CENTER GATEWAYS
• Advanced Threat Protection através de todos os pontos de controle
• Forense e Remediação embutida em cada ponto de controle
• Proteção integrada para Workloads: On-Premise, Virtual e Cloud
• Gestão baseada em nuvem para Endpoints, Datacenter e Gateways
Unified Security Analytics Platform
Coleta de Logs
e Telemetria
Gestão Unificadas
de Incidentes e
Customer Hub
Integrações com
Terceitos e Inteligência
Benchmarking
Regional e por
Segmento
Análise Integrada
de Comportamento
e Ameaças
Information Protection
DADOS IDENTIDADES
• Proteção integrada para Dados e Identidades
• Cloud Security Broker para Apps Móveis e em Nuvem
• Análise de comportamento dos usuários
• Gestão de Chaves e Criptografia em Nuvem
Users
Data
Apps
Cloud
Endpoints
Gateways
Data
Center
Cyber Security Services
Monitoramento, Resposta a Incidentes, Simulação, Inteligência conta Ameaças e Adversários
Copyright © 2015 Symantec Corporation

4. Agenda
Copyright © 2015 Symantec Corporation
4
1 Control Compliance Suite (CCS) Introduction
2 Visibilidade e Conformidade
3 Visão da arquitetura
4 Symantec Services
5 Q&A

5. Control Compliance Suite Introduction
5

6. Automatizar as avaliações de segurança para a Redução do Risco
Control Compliance Suite automatiza
avaliações de segurança e calcula valores
de risco com base em limites definidos
pelo negócio.
Permite priorizar ações de redução de
risco e garantir a segurança e a
conformidade dos sistemas
– Através de padrões
– Plataformas
– On-premise
– Na nuvem.
Copyright © 2015 Symantec Corporation
6

7. Control Compliance Suite
Symantec™ Control Compliance Suite:
• Permite auto descoberta de ativos,
automatiza avaliações de controles
processuais e técnicas de segurança, coleta
e normaliza os dados técnicos em
evidências de produtos de segurança de
terceiros, e calcula e agrega valores de
risco.
• Automatiza segurança e avaliações de
conformidade
• Alinha as operações de TI
• Faz avaliação contínua para Cyber Security
Copyright © 2015 Symantec Corporation
7

8. Visão de Risco e Compliance
Os desafios incluem:
• Visibilidade em exposições de risco
• Ferramentas multiplas e manuais
• Medir a eficácia de recursos e controles
de segurança
• Relatórios acionáveis e medição de
segurança
• Alterações de configuração não
planejadas
Copyright © 2015 Symantec Corporation
8

9. Visão de Risco e Compliance
Normas e controles
• FISMA
• China – The Basic Standard for Enterprise
Internal Control and Supplements
• HITECH
• Sarbanes-Oxley
• Australian Government Information Security
Manual 2012
• HIPAA
• UK: Data Protection Act
Melhores Praticas e frameworks
• ISO/IEC 27005:2008
• COSO Enterprise Risk Management
• DISA STIG
• CobiT 3, 4, 4.1, 5
• NIST SP 800-53 Rev. 4
• PCI DSS v.3.0
• Shared Assessments SIG 2014.1
Copyright © 2015 Symantec Corporation
9

10. Visão geral do Control Compliance Suite
CCS ENTREGA AVALIAÇÕES CONTINUAS E REMEDIAÇÃO PRIORIZADAS POR RISCO
• Automatizar avaliações de
segurança e conformidade
• Alinhar as operações de TI
e Segurança
• Realizar avaliações
contínuas para Cyber
Security
Copyright © 2015 Symantec Corporation
10
POLICY
MANAGER
ASSESSMENT
MANAGER
RISK
MANAGER
VENDOR RISK
MANAGER
CENTRAL MANAGEMENT & REPORTING
STANDARDS MANAGER
SECURITY ASSESSMENT OF TECHNICAL CONTROLS

11. Visão geral do Control Compliance Suite
• Standards Manager - Avaliação de Segurança de controles técnicos
• Assessment Manager - Avaliação de Segurança de controles processuais
• Policy Manager - Gerenciamento do ciclo de vida das politicas de Segurança
• Vendor Risk Manager - Segurança e Avaliação de Riscos de Fornecedores de Serviços e Aplicações
• Risk Manager - Cálculo e agregação de risco para Remediação e Redução de Risco
Copyright © 2015 Symantec Corporation
11

12. Visibilidade e conformidade
Control Compliance Suite
Copyright © 2015 Symantec Corporation
12

13. Automatize avaliações de Segurança e Conformidade com base na
importância do negócio
Falhas de auditoria de TI criam uma necessidade de desenvolver um plano para aborda-
los
Copyright © 2015 Symantec Corporation
13
Collect assets from
LDAP and Network
Discovery
Classify assets
Automate assessments
based on business
criticality
Identify rogue assets
Associate business
criticality to assets
Manual security
checks
Normalize results for
reporting
Implement:
• CCS Standards
Manager
• Policy Manager
Descoberta de ativos
automatizada
Avaliações
automatizadas
Priorização das
remediações
Controle através de
dashboards
Collect assets from
LDAP and Network
Discovery
Classify assets
Automate assessments
based on business
criticality
Identify rogue assets
Associate business
criticality to assets
Manual security
checks
Normalize results for
reporting
Implement:
• CCS Standards
Manager
• Policy Manager
Colete ativos a partir de
LDAP e descoberta de
rede
Classifique ativos
Automatize avaliaçoes
baseadas na criticidade
do negócio
Identificar ativos
desautorizados
Associar criticidade do
negócio aos ativos
Verificações de
segurança manuais
Normalizar os
resultados para a
comunicação
Implementar:
CCS Standards Manager
Problema Resposta Ação Resultado

14. Realizar avaliações personalizadas com base nos requisitos da
Organização
Necessidade de criar avaliações personalizadas de ativos de TI críticos para evitar falhas
de auditoria interna
Copyright © 2015 Symantec Corporation
14
Crie avaliações
personalizadas
Agende avaliações com
base em requisitos
organizacionais
Provisionamento
baseado em papéis
Determinar os requisitos
de organização
Criar e executar
avaliações com base em
requisitos de cada
unidade de negócios
Considerações de
desempenho e data
Implementar:
CCS Standards Manager
Avaliações
automatizadas que são
baseadas em requisitos
das unidades de negócio
Controle através de
dashboards
Problem Response Action ResultProblema Resposta Ação Resultado

15. Avaliar Organização contra Vulnerabilidades e ameaças à segurança
conhecidas
Localizar rapidamente os ativos que possam ter sido comprometida para correção.
Copyright © 2015 Symantec Corporation
15
Querys mais granulares
Dados coletados para
exportar para o
processo de controle de
mudanças
Baseline configurado
para mostrar o
progresso de mudanças
Comprometimento
encontrado no servidor
Necessidade de localizar
rapidamente qualquer
máquina que é
vulnerável ao
comprometimento
Necessidade de rastrear
para confirmar se foi
corrigido
Implementar:
CCS Standards Manager
Ad-Hoc Queries
Controle de prioridade
de mudanças adicional
em possiveis máquinas
comprometidas
utilizando dados de
Consulta
Relatórios
automatizados para
gerenciamento dos
progressos produzidos
Problem Response Action ResultProblema Resposta Ação Resultado

16. Use Dados de Avaliação para relatar múltiplos controles para
desduplicação de esforços
Necessidade de executar a avaliação uma vez para identificar vários controles
Copyright © 2015 Symantec Corporation
16
Normas personalizadas
para atender às
necessidades
Confirmar que cheques
são mapeados para
controles
Confirmar que usuários
só podem ver os seus
ativos
Necessidade de
evidencia para
avaliações de leis
internacionais
Duplicação maciça de
esforços
Necessidade da
capacidade de relatorios
por controle
Implement:
CCS Standards Manager
Avaliar uma vez -
relatórios sobre
múltiplos controles
Dashboards
personalizados e
relatórios utilizados para
o acompanhamento do
desempenho de
segurança e
conformidade por
controle
Problem Response Action ResultProblema Resposta Ação Resultado

17. Tenha o gerenciamento de políticas corporativas desde a Criação até sua
expiração
Implementar um processo centralizado e ciclico de gestão política.
Copyright © 2015 Symantec Corporation
17
Mapped existing
policies to mandate
controls
Management buy in
with the approval
process
Policy Central setup for
users to view their
policies
Confirmar que as
políticas abrangem os
controles necessários
Manter políticas
atualizadas
Área centralizada para
que os usuários
visualizem políticas
Implement:
CCS Policy Manager
Deduplication of
policies based per
mandate
Dashboards and
reports help manage
policies
Users have centralized
area for policy
acceptance
Problem Response Action Result
Mapear Políticas
existentes para
controles
Gerenciamento de
compra com o processo
de aprovação
Central de Políticas de
configuração, para que
os usuários visualizem
suas políticas
Implementar:
CCS Policy Manager
Desduplicação de
políticas baseadas por
controle
Dashboards e relatórios
ajudam a gerenciar
políticas
Os usuários têm
repositorio central para
aceitação das politicas
Problema Resposta Ação Resultado

18. Consolidar os dados de segurança e conformidade de múltiplas fontes
para gerar uma visão da postura atual de Segurança e Conformidade
Consolidar dados de várias fontes para gerar uma visão global
Copyright © 2015 Symantec Corporation
18
Criar conectores para
dados ferramenta de
segurança
Associar dados a
controles
Muitos itens para
monitorar a partir de
várias ferramentas de
segurança
Necessidade de
consolidar dados
Precisa que os dados
tenham um visao
consolidada
Implementar:
CCS Standards Manager
Coleta automatizada de
múltiplas fontes
Informações
combinadas e postura
geral de segurança
apresentadas em
dashboards
Problem Response Action ResultProblema Resposta Ação Resultado

19. Priorizar remediação baseada na visão geral consolidada do risco
Priorização eficiente da remediação pelo risco mais elevado
Copyright © 2015 Symantec Corporation
19
Definir a modelagem de
risco com objetivos de
segurança
Fazer análise de risco
Criar ação de risco
A grande quantidade de
dados e não saber por
onde começar na
remediação
Recursos de TI limitados
Necessidade de priorizar
os esforços de
remediação
Necessidade de encontrar
unidades de negócios
com risco mais elevado
Implementar:
CCS Standards Manager
CCS Assessment
Manager
CCS Risk Manager
Descubra o risco mais
elevado de TI a partir
dos dados
Criar plano de
remediação com
solução
Monitorar a remediação
Problem Response Action ResultProblema Resposta Ação Resultado

20. Avaliar a eficácia dos controlos processuais
Necessidade de ser capaz de gerir de forma eficaz os controles processuais
Copyright © 2015 Symantec Corporation
20
Uso de conteudo nativo
Avaliações vinculadas a
ativos no CCS Standards
Manager
Criação de questionários
personalizados para
treinamento de
segurança
Confirmar controles
processuais são
seguidos
Utilizar as avaliações
para treinamento de
segurança
Precisa ser capaz de
rastrear as avaliações e
evidências
Implementar:
CCS Assessment
Manager
Envio de avaliaçoes
Automação do processo
de avaliações dos
controles
Coleta de evidências
centralizada que é
exibida em dashboards
Problem Response Action ResultProblema Resposta Ação Resultado

21. Automatize avaliação da risco de terceiros
Entenda os riscos potenciais de colocar seus dados na nuvem
Copyright © 2015 Symantec Corporation
21
Configure níveis do
fornecedor para
avaliações
automatizadas
Use a Nuvem para obter
análise dos riscos
Enviar evidência para
revisor apropriado para
a gestão de riscos
Processo manual é muito
ineficiente
Necessidade de saber o
risco do fornecedor
ANTES da compra e no
futuro
PCI DSS v3.1
Necessidade um processo
de aprovação de
gerenciamento de riscos
Implementar:
CCS Vendor Risk
Manager
Identificar o potencial
de risco do fornecedor
de maneira prévia
Confirmar existência de
de aceitação política da
politica antes de
fornecer informações
confidenciais
Processo automatizado
Problem Response Action ResultProblema Resposta Ação Resultado

22. Visão da arquitetura
Copyright © 2015 Symantec Corporation
22

23. Instalação e configuração do CCS
Application
Server
CCS Console
Web Client
CCS Suite
CCS Manager
Load Balancer
CCS Manager
Data Collector/
Evaluator
CCS Manager
Data Collector
Managed Enterprise
CCS Agent
CCS Agent
CCS Agent
Agent-less
Agent-less
Agent-less
CCS Agent
CCS Agent
CCS Agent
Agent-less
Agent-less
Agent-less

24. Visão Geral do Symantec CCS Assessment Manager
• Automatizar avaliações de políticas
• Suporte a mais de 100 regulamentos
• Controlar respostas, aceites, pedidos de revisão
e evidências
• Integração com AD para eviar questionários por
e-mail para usuários específicos
• Padroniza o processo de avaliação à escala
corporativa de forma mais eficaz
Copyright © 2015 Symantec Corporation
24
Consolidação de respostas
Prepara Perguntas
Análise Resultados
Questionários via web
Entrevistados

25. Instalação e configuração do Symantec CCS Assessment Manager
Copyright © 2015 Symantec Corporation
25
Management Server
& Database
AM Web Client
Assessment Manager
Client
Admin Web Client

26. Visao geral, instalação e configuração
Symantec CCS Vendor Risk Manager
Copyright © 2015 Symantec Corporation
26
Internal Users Third –party Vendor
VRM Relationship GatewayVRM Admin Console
Downstream
Vendors

27. Visao geral, instalação e configuração.
Symantec CCS Vendor Risk Manager
Copyright © 2015 Symantec Corporation
27
Determinar nível
do fornecedor e
escopo de
avaliação
Iniciar
cronograma
avaliação de
fornecedores
Gerencie coleta
de evidências do
fornecedor
Avaliar as
evidências do
fornecedor
Gerenciar e
remediar o risco
do fornecedor
Relatar e
comunicar o risco
ao fornecedor
Continuous
Vendor
Risk
Management

28. Symantec Data Center Security
Copyright © 2015 Symantec Corporation
33
Control Compliance
Suite Operations Director DCS: Server / Server
Advanced
ORCHESTRATE PROTECTASSESS
Trusted by 10/10 Top
US banks
1st to market with
Software Defined
Security for any
platform
Undefeated at Black Hat
3 years running
Market leader in Gartner
MQ for Endpoint
Protection
Control
Compliance Suite
Operations
Director
DCS: Server /
Server Advanced

29. Perguntas do Chat
Copyright © 2015 Symantec Corporation
34
SymantecMarketing_BR@symantec.com

30. Thank you!
Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be
trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by
law. The information in this document is subject to change without notice.
Obrigado!