Dados Médicos:Uma Mina de Ouro para o Cybercrime

Anderson RiosSenior Technical Account Manager

Lucas Veiga

Senior Tech Support Engineer

Davy PenicheSolution Systems Engineer

Apresentadores

2

Anderson Rios

Davy Peniche

LucasVeiga

Copyright © 2016 Symantec Corporation

Agenda

3

1 Cenário Atual

2 Controle de Conformidade

3 Proteção da Informação

4 Caso de Sucesso - DASA

5 Q&A

Copyright © 2016 Symantec Corporation

4

- Eu já sei que ele se foi. Já está na Internet!

5

Total de Vazamentos de Dados

Aumento de 23% em 2014

Menos Mega vazamentos em 2014 - 4 incidentes envolveram mais de 10 milhões de identidadesexpostas (8 em 2013)

1 a cada 5 empresas afetadas não reportaram informações sobre as informações expostas. Alta emcomparação de 1 a cada 6 (2013)

INTERNET SECURITY THREAT REPORT 2015, VOLUME 20

Copyright © 2016 Symantec Corporation

6

Principais causas para os Vazamentos de Dados

36%

58%

6%

2013Atacantes

Exposto Acidentalmente/Roubo ou Perda do Dispositivo

Roubo Interno49%

43%

8%

2014

Copyright © 2016 Symantec Corporation

7

10 Principais Setores Afetados (Número de Incidentes)

Copyright © 2016 Symantec Corporation

8

10 Principais Setores Afetados (Identidades Expostas)

Copyright © 2016 Symantec Corporation

10

Cartões de Crédito vs. Registro Médico

Cartão de Crédito Facilmente substituído Valor de curto prazo

Registro Médico Nome/ID/Histórico de Saúde

não podem ser alterados Valor de longo prazo

Copyright © 2016 Symantec Corporation

Portifolio Symantec

11

Serviços de Cyber Segurança• Monitoramento, Resposta a Incidentes, Simulação, Inteligência contra

Ameaças

Proteção contra Ameaças

ENDPOINTS DATA CENTER GATEWAY

• Prevenção de Ameaças, Detecção, Forense & Resposta

• Dispositivos, Email, Servidores, Virtual & Cloud• Disponível On-premise e Cloud

Plataforma Unificada para Análise de Segurança• Análise de segurança através de Big data; disponível self-service

TelemetriaGerenciamentode Incidentes

Engines deProteção

InteligênciaGlobal

Análise deAmeaças

Proteção da Informação

DADOS ACESSO

• Proteção de Identidade e DLP

• Gerencia de Chaves .Cloud• Cloud Security Broker

Usuários

Dados

Apps

Cloud

Dispositivos

Rede

Data Center

Copyright © 2016 Symantec Corporation

Copyright © 2016 Symantec Corporation12

Assistência Médica: Normas Internacionais de Conformidade

Dept. de Saúde dos Estados Unidos

(Health Insurance Portability & Accountability Act of 1996)

Regras de Privacidade:

• Regula o uso e a divulgação de Informações Protegidas de Saúde (PHI)

• Aplica-se a entidades abrangidas e seusparceiros de negócio

• Qualquer informação sobre o estado de saúde, fornecimento ou pagamento de cuidados de saúde, que podem ser vinculados a um indivíduo

• Deve divulgar o PHI quando obrigado a fazê-lo por lei (ex.:, suspeita de abuso infantil).

Regra de Segurança - cada entidade deve:• Garantir a confidencialidade, integridade, e disponibilidade

das Informações Protegidas de Saúde (PHI)• Proteger contra quaisquer relativas ameaças e perigos• Proteger contra uso ou divulgação de informações não

sejam permitidas pela Regra de Privacidade• Implementar meios Administrativos, Físicos, and Técnicos• Auditoria!

Copyright © 2016 Symantec Corporation13

Direito Civil e Normas Brasileiras

A Constituição Federal, o Código Civil, o Código de Defesa do Consumidor e o Código Penal:Citam a proteção a privacidade, inviolabilidade da correspondência, proteção a vida privada, requerimentos de garantias de banco de dados de cadastro de consumidores e sigilo profissional.

Código de Ética Médica:A proteção de dados sigilosos do paciente é um dever do médico em qualquer circunstância, salvo raras exceções previstas em lei -- como no caso de doenças de notificação compulsória.

Responsabilidade no envio de dados privados de consumidoresNecessidade de segurança no envio de informação.Estabeleceu um protocolo obrigatório para troca de informações de saúde entre operadoras de plano de saúde - Troca de Informação de Saúde Suplementar – TISS

http://bit.ly/1UHyIt9

Agência Nacional de Saúde:

Gerenciamento de Conformidade

Symantec™ Control Compliance Suitepermite auto descoberta de ativos, automatiza avaliações de controlesprocessuais e técnicas de segurança, coleta e normaliza os dados técnicos em evidências de produtos de segurança de terceiros, e calculae agrega valores de risco

.

Automatize Segurança e avaliações de conformidade

Alinhe as operações de TI

Avaliação Contínua para Cyber Security

14Copyright © 2016 Symantec Corporation

Visão de Risco e Conformidade

Os desafios incluem:

• Visibilidade em exposições de risco

• Ferramentas múltiplas e manuais

• Medir a eficácia de recursos e controlesde segurança

• Relatórios acionáveis e medição de segurança

• Alterações de configuração nãoplanejadas

15Copyright © 2016 Symantec Corporation

Visão de Risco e Conformidade

Normas e controles

• FISMA

• China – The Basic Standard for Enterprise Internal Control and Supplements

• HITECH

• Sarbanes-Oxley

• Australian Government Information Security Manual 2012

• HIPAA

• UK: Data Protection Act

Melhores Práticas e Frameworks

• ISO/IEC 27005:2008

• COSO Enterprise Risk Management

• DISA STIG

• CobiT 3, 4, 4.1, 5

• NIST SP 800-53 Rev. 4

• PCI DSS v.3.0

• Shared Assessments SIG 2014.1

16Copyright © 2016 Symantec Corporation

Visão geral do Control Compliance Suite

• Standards Manager - Avaliação de Segurança de controles técnicos

• Assessment Manager - Avaliação de Segurança de controles processuais

• Policy Manager – Gerenciamento do ciclo de vida das políticas de Segurança

• Vendor Risk Manager - Segurança e Avaliação de Riscos de Fornecedores de Serviços e Aplicações

• Risk Manager - Cálculo e agregação de risco para Remediação e Redução de Risco

18Copyright © 2016 Symantec Corporation

Copyright © 2016 Symantec Corporation21

Proteção da Informação

Unified ManagementExtending Data Protection for the Cloud

BoxOffice 365iOSAndroid

EmailWebFTPIM

USBHard Drives

Removable StorageNetwork Shares

Print/FaxCloud & Web

File ServersExchange, Lotus

SharePointDatabases

Web Servers

DLP Endpoint DiscoverDLP Endpoint Prevent

Network MonitorNetwork Prevent for Web & Email

Network DiscoverData Insight

Network Protect

Cloud Prevent for Office 365Mobile Email MonitorMobile Prevent

Copyright © 2016 Symantec Corporation22

Demonstração

Caso de Sucesso

25

http://symc.ly/1RYvOSSCopyright © 2016 Symantec Corporation

Perguntas do Chat

27

SymantecMarketing_BR@symantec.com

Copyright © 2016 Symantec Corporation

Dúvidas?

Copyright © 2016 Symantec Corporation

Próximo Webinar:

Copyright © 2014 Symantec Corporation29

Ameaças Avançadas: Porque devo me preocupar

17/02/2015

Para mais informação

@SymantecBR

https://www.facebook.com/SymantecBrasil

SymantecMarketing_BR@symantec.com

Thank you!

Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.

This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

Obrigado!Anderson Rios

Senior Technical Account Manager

Lucas Veiga

Senior Tech Support Engineer

Davy PenicheSolution Systems Engineer