SlideShare uma empresa Scribd logo

Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime

Symantec Brasil
Symantec Brasil

O documento discute os riscos crescentes de vazamentos de dados médicos e como eles se tornaram um alvo importante para o crime cibernético. Apresenta as principais normas de privacidade de dados médicos nos EUA e no Brasil e discute como a Symantec pode ajudar as organizações a gerenciarem riscos e conformidade de segurança cibernética.

Apresentações relacionadas

Symantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: Network
 
Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016
 
CLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo CardosoCLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo Cardoso
 
1 de 23
Baixar para ler offline
Dados Médicos: Uma Mina de Ouro para o Cybercrime Anderson Rios Senior Technical Account Manager Lucas Veiga Senior Tech Support Engineer Davy Peniche Solution Systems Engineer
Apresentadores 2 Anderson Rios Davy Peniche Lucas Veiga Copyright © 2016 Symantec Corporation
Agenda 3 1 Cenário Atual 2 Controle de Conformidade 3 Proteção da Informação 4 Caso de Sucesso - DASA 5 Q&A Copyright © 2016 Symantec Corporation
4 - Eu já sei que ele se foi. Já está na Internet!
5 Total de Vazamentos de Dados  Aumento de 23% em 2014  Menos Mega vazamentos em 2014 - 4 incidentes envolveram mais de 10 milhões de identidades expostas (8 em 2013)  1 a cada 5 empresas afetadas não reportaram informações sobre as informações expostas. Alta em comparação de 1 a cada 6 (2013) INTERNET SECURITY THREAT REPORT 2015, VOLUME 20 Copyright © 2016 Symantec Corporation
6 Principais causas para os Vazamentos de Dados 36% 58% 6% 2013 Atacantes Exposto Acidentalmente/ Roubo ou Perda do Dispositivo Roubo Interno49% 43% 8% 2014 Copyright © 2016 Symantec Corporation
7 10 Principais Setores Afetados (Número de Incidentes) Copyright © 2016 Symantec Corporation
8 10 Principais Setores Afetados (Identidades Expostas) Copyright © 2016 Symantec Corporation
10 Cartões de Crédito vs. Registro Médico Cartão de Crédito  Facilmente substituído  Valor de curto prazo Registro Médico  Nome/ID/Histórico de Saúde não podem ser alterados  Valor de longo prazo Copyright © 2016 Symantec Corporation
Portifolio Symantec 11 Serviços de Cyber Segurança • Monitoramento, Resposta a Incidentes, Simulação, Inteligência contra Ameaças Proteção contra Ameaças ENDPOINTS DATA CENTER GATEWAY • Prevenção de Ameaças, Detecção, Forense & Resposta • Dispositivos, Email, Servidores, Virtual & Cloud • Disponível On-premise e Cloud Plataforma Unificada para Análise de Segurança • Análise de segurança através de Big data; disponível self-service Telemetria Gerenciamento de Incidentes Engines de Proteção Inteligência Global Análise de Ameaças Proteção da Informação DADOS ACESSO • Proteção de Identidade e DLP • Gerencia de Chaves .Cloud • Cloud Security Broker Usuários Dados Apps Cloud Dispositivos Rede Data Center Copyright © 2016 Symantec Corporation
Copyright © 2016 Symantec Corporation 12 Assistência Médica: Normas Internacionais de Conformidade Dept. de Saúde dos Estados Unidos (Health Insurance Portability & Accountability Act of 1996) Regras de Privacidade: • Regula o uso e a divulgação de Informações Protegidas de Saúde (PHI) • Aplica-se a entidades abrangidas e seus parceiros de negócio • Qualquer informação sobre o estado de saúde, fornecimento ou pagamento de cuidados de saúde, que podem ser vinculados a um indivíduo • Deve divulgar o PHI quando obrigado a fazê- lo por lei (ex.:, suspeita de abuso infantil). Regra de Segurança - cada entidade deve: • Garantir a confidencialidade, integridade, e disponibilidade das Informações Protegidas de Saúde (PHI) • Proteger contra quaisquer relativas ameaças e perigos • Proteger contra uso ou divulgação de informações não sejam permitidas pela Regra de Privacidade • Implementar meios Administrativos, Físicos, and Técnicos • Auditoria!
Copyright © 2016 Symantec Corporation 13 Direito Civil e Normas Brasileiras A Constituição Federal, o Código Civil, o Código de Defesa do Consumidor e o Código Penal: Citam a proteção a privacidade, inviolabilidade da correspondência, proteção a vida privada, requerimentos de garantias de banco de dados de cadastro de consumidores e sigilo profissional. Código de Ética Médica: A proteção de dados sigilosos do paciente é um dever do médico em qualquer circunstância, salvo raras exceções previstas em lei -- como no caso de doenças de notificação compulsória. Responsabilidade no envio de dados privados de consumidores Necessidade de segurança no envio de informação. Estabeleceu um protocolo obrigatório para troca de informações de saúde entre operadoras de plano de saúde - Troca de Informação de Saúde Suplementar – TISS http://bit.ly/1UHyIt9 Agência Nacional de Saúde:
Gerenciamento de Conformidade Symantec™ Control Compliance Suite permite auto descoberta de ativos, automatiza avaliações de controles processuais e técnicas de segurança, coleta e normaliza os dados técnicos em evidências de produtos de segurança de terceiros, e calcula e agrega valores de risco . Automatize Segurança e avaliações de conformidade Alinhe as operações de TI Avaliação Contínua para Cyber Security 14 Copyright © 2016 Symantec Corporation
Visão de Risco e Conformidade Os desafios incluem: • Visibilidade em exposições de risco • Ferramentas múltiplas e manuais • Medir a eficácia de recursos e controles de segurança • Relatórios acionáveis e medição de segurança • Alterações de configuração não planejadas 15 Copyright © 2016 Symantec Corporation
Visão de Risco e Conformidade Normas e controles • FISMA • China – The Basic Standard for Enterprise Internal Control and Supplements • HITECH • Sarbanes-Oxley • Australian Government Information Security Manual 2012 • HIPAA • UK: Data Protection Act Melhores Práticas e Frameworks • ISO/IEC 27005:2008 • COSO Enterprise Risk Management • DISA STIG • CobiT 3, 4, 4.1, 5 • NIST SP 800-53 Rev. 4 • PCI DSS v.3.0 • Shared Assessments SIG 2014.1 16 Copyright © 2016 Symantec Corporation
Visão geral do Control Compliance Suite • Standards Manager - Avaliação de Segurança de controles técnicos • Assessment Manager - Avaliação de Segurança de controles processuais • Policy Manager – Gerenciamento do ciclo de vida das políticas de Segurança • Vendor Risk Manager - Segurança e Avaliação de Riscos de Fornecedores de Serviços e Aplicações • Risk Manager - Cálculo e agregação de risco para Remediação e Redução de Risco 18 Copyright © 2016 Symantec Corporation
Copyright © 2016 Symantec Corporation 21 Proteção da Informação Unified ManagementExtending Data Protection for the Cloud Box Office 365 iOS Android Email Web FTP IM USB Hard Drives Removable Storage Network Shares Print/Fax Cloud & Web File Servers Exchange, Lotus SharePoint Databases Web Servers DLP Endpoint Discover DLP Endpoint Prevent Network Monitor Network Prevent for Web & Email Network Discover Data Insight Network Protect Cloud Prevent for Office 365 Mobile Email Monitor Mobile Prevent
Copyright © 2016 Symantec Corporation 22 Demonstração
Caso de Sucesso 25 http://symc.ly/1RYvOSS Copyright © 2016 Symantec Corporation
Perguntas do Chat 27 SymantecMarketing_BR@symantec.com Copyright © 2016 Symantec Corporation
Dúvidas? Copyright © 2016 Symantec Corporation
Próximo Webinar: Copyright © 2014 Symantec Corporation 29 Ameaças Avançadas: Porque devo me preocupar 17/02/2015 Para mais informação @SymantecBR https://www.facebook.com/SymantecBrasil SymantecMarketing_BR@symantec.com
Thank you! Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. Obrigado! Anderson Rios Senior Technical Account Manager Lucas Veiga Senior Tech Support Engineer Davy Peniche Solution Systems Engineer

Mais conteúdo relacionado

Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime

  • 1. Dados Médicos: Uma Mina de Ouro para o Cybercrime Anderson Rios Senior Technical Account Manager Lucas Veiga Senior Tech Support Engineer Davy Peniche Solution Systems Engineer
  • 3. Agenda 3 1 Cenário Atual 2 Controle de Conformidade 3 Proteção da Informação 4 Caso de Sucesso - DASA 5 Q&A Copyright © 2016 Symantec Corporation
  • 4. 4 - Eu já sei que ele se foi. Já está na Internet!
  • 5. 5 Total de Vazamentos de Dados  Aumento de 23% em 2014  Menos Mega vazamentos em 2014 - 4 incidentes envolveram mais de 10 milhões de identidades expostas (8 em 2013)  1 a cada 5 empresas afetadas não reportaram informações sobre as informações expostas. Alta em comparação de 1 a cada 6 (2013) INTERNET SECURITY THREAT REPORT 2015, VOLUME 20 Copyright © 2016 Symantec Corporation
  • 6. 6 Principais causas para os Vazamentos de Dados 36% 58% 6% 2013 Atacantes Exposto Acidentalmente/ Roubo ou Perda do Dispositivo Roubo Interno49% 43% 8% 2014 Copyright © 2016 Symantec Corporation
  • 7. 7 10 Principais Setores Afetados (Número de Incidentes) Copyright © 2016 Symantec Corporation
  • 8. 8 10 Principais Setores Afetados (Identidades Expostas) Copyright © 2016 Symantec Corporation
  • 9. 10 Cartões de Crédito vs. Registro Médico Cartão de Crédito  Facilmente substituído  Valor de curto prazo Registro Médico  Nome/ID/Histórico de Saúde não podem ser alterados  Valor de longo prazo Copyright © 2016 Symantec Corporation
  • 10. Portifolio Symantec 11 Serviços de Cyber Segurança • Monitoramento, Resposta a Incidentes, Simulação, Inteligência contra Ameaças Proteção contra Ameaças ENDPOINTS DATA CENTER GATEWAY • Prevenção de Ameaças, Detecção, Forense & Resposta • Dispositivos, Email, Servidores, Virtual & Cloud • Disponível On-premise e Cloud Plataforma Unificada para Análise de Segurança • Análise de segurança através de Big data; disponível self-service Telemetria Gerenciamento de Incidentes Engines de Proteção Inteligência Global Análise de Ameaças Proteção da Informação DADOS ACESSO • Proteção de Identidade e DLP • Gerencia de Chaves .Cloud • Cloud Security Broker Usuários Dados Apps Cloud Dispositivos Rede Data Center Copyright © 2016 Symantec Corporation
  • 11. Copyright © 2016 Symantec Corporation 12 Assistência Médica: Normas Internacionais de Conformidade Dept. de Saúde dos Estados Unidos (Health Insurance Portability & Accountability Act of 1996) Regras de Privacidade: • Regula o uso e a divulgação de Informações Protegidas de Saúde (PHI) • Aplica-se a entidades abrangidas e seus parceiros de negócio • Qualquer informação sobre o estado de saúde, fornecimento ou pagamento de cuidados de saúde, que podem ser vinculados a um indivíduo • Deve divulgar o PHI quando obrigado a fazê- lo por lei (ex.:, suspeita de abuso infantil). Regra de Segurança - cada entidade deve: • Garantir a confidencialidade, integridade, e disponibilidade das Informações Protegidas de Saúde (PHI) • Proteger contra quaisquer relativas ameaças e perigos • Proteger contra uso ou divulgação de informações não sejam permitidas pela Regra de Privacidade • Implementar meios Administrativos, Físicos, and Técnicos • Auditoria!
  • 12. Copyright © 2016 Symantec Corporation 13 Direito Civil e Normas Brasileiras A Constituição Federal, o Código Civil, o Código de Defesa do Consumidor e o Código Penal: Citam a proteção a privacidade, inviolabilidade da correspondência, proteção a vida privada, requerimentos de garantias de banco de dados de cadastro de consumidores e sigilo profissional. Código de Ética Médica: A proteção de dados sigilosos do paciente é um dever do médico em qualquer circunstância, salvo raras exceções previstas em lei -- como no caso de doenças de notificação compulsória. Responsabilidade no envio de dados privados de consumidores Necessidade de segurança no envio de informação. Estabeleceu um protocolo obrigatório para troca de informações de saúde entre operadoras de plano de saúde - Troca de Informação de Saúde Suplementar – TISS http://bit.ly/1UHyIt9 Agência Nacional de Saúde:
  • 13. Gerenciamento de Conformidade Symantec™ Control Compliance Suite permite auto descoberta de ativos, automatiza avaliações de controles processuais e técnicas de segurança, coleta e normaliza os dados técnicos em evidências de produtos de segurança de terceiros, e calcula e agrega valores de risco . Automatize Segurança e avaliações de conformidade Alinhe as operações de TI Avaliação Contínua para Cyber Security 14 Copyright © 2016 Symantec Corporation
  • 14. Visão de Risco e Conformidade Os desafios incluem: • Visibilidade em exposições de risco • Ferramentas múltiplas e manuais • Medir a eficácia de recursos e controles de segurança • Relatórios acionáveis e medição de segurança • Alterações de configuração não planejadas 15 Copyright © 2016 Symantec Corporation
  • 15. Visão de Risco e Conformidade Normas e controles • FISMA • China – The Basic Standard for Enterprise Internal Control and Supplements • HITECH • Sarbanes-Oxley • Australian Government Information Security Manual 2012 • HIPAA • UK: Data Protection Act Melhores Práticas e Frameworks • ISO/IEC 27005:2008 • COSO Enterprise Risk Management • DISA STIG • CobiT 3, 4, 4.1, 5 • NIST SP 800-53 Rev. 4 • PCI DSS v.3.0 • Shared Assessments SIG 2014.1 16 Copyright © 2016 Symantec Corporation
  • 16. Visão geral do Control Compliance Suite • Standards Manager - Avaliação de Segurança de controles técnicos • Assessment Manager - Avaliação de Segurança de controles processuais • Policy Manager – Gerenciamento do ciclo de vida das políticas de Segurança • Vendor Risk Manager - Segurança e Avaliação de Riscos de Fornecedores de Serviços e Aplicações • Risk Manager - Cálculo e agregação de risco para Remediação e Redução de Risco 18 Copyright © 2016 Symantec Corporation
  • 17. Copyright © 2016 Symantec Corporation 21 Proteção da Informação Unified ManagementExtending Data Protection for the Cloud Box Office 365 iOS Android Email Web FTP IM USB Hard Drives Removable Storage Network Shares Print/Fax Cloud & Web File Servers Exchange, Lotus SharePoint Databases Web Servers DLP Endpoint Discover DLP Endpoint Prevent Network Monitor Network Prevent for Web & Email Network Discover Data Insight Network Protect Cloud Prevent for Office 365 Mobile Email Monitor Mobile Prevent
  • 18. Copyright © 2016 Symantec Corporation 22 Demonstração
  • 21. Dúvidas? Copyright © 2016 Symantec Corporation
  • 22. Próximo Webinar: Copyright © 2014 Symantec Corporation 29 Ameaças Avançadas: Porque devo me preocupar 17/02/2015 Para mais informação @SymantecBR https://www.facebook.com/SymantecBrasil SymantecMarketing_BR@symantec.com
  • 23. Thank you! Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. Obrigado! Anderson Rios Senior Technical Account Manager Lucas Veiga Senior Tech Support Engineer Davy Peniche Solution Systems Engineer