Il DEFCON 658 del Ministero della difesa del Regno Unito (MOD) mira a proteggere la catena di approvvigionamento della difesa dalle minacce informatiche e per questo motivo si rivolge alle aziende che forniscono o desiderano fornire al MOD contratti che interessino il trattamento di informazioni identificabili da quest'ultimo (MODII).
Le soluzioni Thales forniscono strumenti per aiutarvi ad attenervi al DEFCON 658, tra cui:
Il DEFCON 658 è un protocollo riguardante l'approvvigionamento in materia di sicurezza informatica. Impone a tutti i provider del Ministero della difesa del Regno Unito, che presentano offerte per nuovi contratti richiedenti il trasferimento di MODII, di attenersi al DEFCON 658 e soddisfare i requisiti previsti dal DEFSTAN 05-138. In particolare, l'adesione al DEFCON 658 si estende alle catene di approvvigionamento (subappaltatori) degli stessi provider.
Il DEFCON 658 si applica a tutti i provider lungo tutta la catena di approvvigionamento MOD, quando il MODII sia coinvolto, e le aziende che non aderiscono ai suoi requisiti non potranno partecipare ai contratti MOD.
Il DEF STAN 05-138 indica le misure che i provider della Difesa sono tenuti a rispettare a livello di ciascuno dei cinque potenziali stadi di rischio informatico di un contratto e include diversi controlli specifici per la protezione delle informazioni sensibili, come illustrato di seguito.
Thales fornisce soluzioni per la sicurezza dei dati che aiutano ad affrontare questi controlli, come indicato. Si noti che mentre i controlli sono definiti in base ai rischi associati al contratto (Basso, Medio o Alto), le soluzioni di Thales si applicano contemporaneamente a controlli simili, e sono quindi consolidate di seguito.
L.07 Definire e implementare una policy per controllare l'accesso alle informazioni e alle strutture di elaborazione delle informazioni.
M.06 Assicurarsi che l'azienda abbia identificato i proprietari degli asset e che questi ne controllino l'accesso.
L.12 Definire e implementare una policy per gestire i diritti di accesso degli account utente.
Thales offre una serie completa di soluzioni che possono aiutare le aziende a prepararsi e a ottemperare al DEFCON 658 in tutte le aree in cui i dati debbano essere protetti, che siano a riposo, in movimento e in uso, tra cui:
Il primo passo nella protezione dei dati sensibili è trovare i dati ovunque si trovino nell’azienda, classificarli e registrarli come sensibili (ad es. informazioni di identificazione personale, finanziarie, proprietà intellettuale, HHI, riservate del cliente, ecc.) in modo da poter applicare le tecniche di protezione dei dati più appropriate. È anche importante monitorare e valutare regolarmente i dati per garantire che le nuove informazioni non vengano trascurate e che la vostra azienda continui a essere conforme alle normative.
CipherTrust Data Discovery and Classification di Thales individua efficacemente dati sensibili, strutturati e non, nel cloud e on-premise. Supportando modelli di deployment con o senza agenti, la soluzione fornisce modelli integrati che permettono un’identificazione rapida dei dati regolati, il rilevamento dei rischi per la sicurezza e l’individuazione di lacune relative alla conformità. Un flusso di lavoro efficiente rivela i punti ciechi relativi alla sicurezza e diminuisce i tempi di risanamento. Le relazioni dettagliate supportano i programmi di conformità e facilitano la comunicazione tra dirigenti.
Grazie alla CipherTrust Data Security Platform, gli amministratori possono garantire una separazione completa delle responsabilità tra gli amministratori privilegiati e i titolari dei dati. CipherTrust Transparent Encryption crittografa i file lasciando in chiaro i loro metadati. In questo modo gli amministratori IT (inclusi gli amministratori di hypervisor, cloud, archivi e server) possono eseguire le proprie attività di amministrazione del sistema senza ottenere l’accesso ai dati sensibili che si trovano nei sistemi che gestiscono.
È possibile implementare solidi criteri di separazione delle responsabilità per garantire che un unico amministratore non detenga il controllo completo su attività di sicurezza dei dati, chiavi di crittografia o amministrazione. Inoltre, CipherTrust Manager supporta un’autenticazione a due fattori per l'accesso amministrativo.
La CipherTrust Data Security Platform può implementare criteri di gestione degli accessi molto granulari secondo il principio del privilegio minimo, garantendo la protezione dei dati da utilizzi impropri da parte di utenti privilegiati e minacce persistenti avanzate. I criteri granulari di gestione degli accessi ai dati da parte degli utenti privilegiati possono essere implementati in base a utente, processo, tipo di file, ora del giorno e altri parametri. Le opzioni di implementazione possono controllare non solo il permesso di accesso a dati con testo in chiaro, ma anche i comandi a livello di file system disponibili all'utente.
Le soluzioni di Thales di autenticazione e gestione degli accessi garantiscono i meccanismi di sicurezza e le funzionalità di reportistica di cui le aziende hanno bisogno per rispettare i requisiti relativi alla messa in sicurezza dei dati. Le nostre soluzioni proteggono i dati sensibili applicando adeguati controlli degli accessi quando gli utenti accedono ad applicazioni contenenti informazioni riservate. Supportando un'ampia gamma di metodi di autenticazione e criteri di accesso basati sui ruoli, le nostre soluzioni aiutano le aziende a limitare i rischi di violazione dei dati causati dalla compromissione o sottrazione delle credenziali o da utilizzi impropri da parte di insider.
Il supporto per l'autenticazione Smart Single Sign-On e Step-Up permette alle aziende di ottimizzare la comodità per gli utenti finali, che devono autenticarsi soltanto quando ce n’è bisogno. I report approfonditi permettono alle aziende di produrre un audit trail dettagliato di tutti gli eventi di accesso e autenticazione, garantendo un rispetto comprovato degli obblighi previsti da un'ampia gamma di regolamenti.
L.10 Definire e implementare una policy di sicurezza delle informazioni, i relativi processi e le relative procedure.
M.04 Definire e implementare una policy per conservare, accedere e gestire le informazioni sensibili in modo sicuro.
Policy di sicurezza complete. La CipherTrust Data Security Platform offre controlli centralizzati che consentono una gestione coerente e standardizzata della crittografia, delle politiche di accesso e della security intelligence per tutti i vostri dati strutturati e non. È disponibile sotto forma di appliance virtuale e fisica certificata FIPS 140-2 e Common Criteria.
Estensibilità. Costruiti su un'infrastruttura estensibile, i componenti della CipherTrust Data Security Platform possono essere distribuiti individualmente, pur offrendo una gestione efficiente e centralizzata delle chiavi e delle policy.
Sicurezza consolidata per i dati sensibili. Thales aiuta a proteggere i dati sensibili attraverso CipherTrust Transparent Encryption con una gestione integrata delle chiavi per i dati a riposo, Application Data Protection e tokenizzazione con mascheramento dinamico. Queste tecniche rendono i dati illeggibili e inutili in caso di mancanza di chiavi per decriptarli.
L.16 Definire e implementare una policy di gestione degli incidenti che includa il rilevamento, la risoluzione e il recupero.
Security intelligence. La CipherTrust Data Security Platform fornisce registri di Security Intelligence che rivelano quali processi e utenti hanno avuto accesso ai dati protetti, con quali criteri e se le richieste di accesso sono state accettate o negate. I registri di gestione riveleranno inoltre i tentativi da parte di un utente privilegiato di inviare un comando come "cambia utente" per emulare, e potenzialmente sfruttare, le credenziali di un altro utente. Condividere questi registri con una piattaforma SIEM (Security Information and Event Management) aiuta a rilevare pattern anomali nei processi e negli accessi utente che possono richiedere indagini successive. Ad esempio, un amministratore o un processo può improvvisamente accedere a volumi di dati molto più grandi del normale o tentare di effettuare il download non autorizzato di uno o più file. Questi eventi potrebbero indicare un attacco mirato o persistente o addirittura attività interne illecite.
M.16 Definire e implementare una policy per proteggere i beni dell'azienda quando gli individui cessano di lavorarvi.
Controlli di accesso privilegiato e log di intelligence. Le policy di gestione granulare degli accessi della CipherTrust Data Security Platform possono essere applicate in base all'utente e l'accesso può essere revocato per gli individui che non lavorano più presso l'azienda. Qualsiasi tentativo negato di accesso ai dati sensibili sarà registrato dai registri di Security Intelligence di CipherTrust.
The crucial first step in privacy and data protection regulatory compliance is to understand what constitutes sensitive data, where it is stored, and how it is used. If you don't know what sensitive data you have, where it is, and why you have it, you cannot apply effective...
More and more cloud-based services are becoming an integral part of the enterprise, as they lower costs and management overhead while increasing flexibility. Cloud-based authentication services, especially when part of a broader access management service, are no exception, and...
Authentication solutions need to be frictionless. Adopting methods with a higher Authentication Assurance Level and Stronger authentication, can effectively reduce the risk of attacks.Explore authentication technologies to learn:• Selecting authentication methods• Analysis of...
Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...
Safeguarding sensitive data requires much more than just securing a data center’s on-premises databases and files. The typical enterprise today uses three or more IaaS or PaaS providers, along with fifty or more SaaS applications, big data environments, container technologies,...
Traditionally organizations have focused IT security primarily on perimeter defense, building walls to block external threats from entering the network. However, with today’s proliferation of data, evolving global and regional privacy regulations, growth of cloud adoption, and...
You’ve been tasked with setting and implementing an enterprise wide encryption strategy, one that will be used to guide and align each Line of Business, Application Owner, Database Administrator and Developer toward achieving the goals and security requirements that you define...
Business critical data is flowing everywhere. The boundaries are long gone. As an enterprise-wide data security expert, you are being asked to protect your organization’s valuable assets by setting and implementing an enterprise-wide encryption strategy.IT security teams are...
Forse lo standard sulla privacy dei dati più completo fino ad oggi, il GDPR interessa qualsiasi organizzazione che elabora i dati personali dei cittadini dell'UE, indipendentemente da dove ha sede l'organizzazione.
Qualsiasi organizzazione che svolge un ruolo nell'elaborazione dei pagamenti con carta di credito e debito deve rispettare i severi requisiti di conformità PCI DSS per l'elaborazione, l'archiviazione e la trasmissione dei dati dell'account.
I requisiti di notifica della violazione dei dati a seguito della perdita di informazioni personali sono stati adottati dalle nazioni in tutto il mondo. Variano in base alla giurisdizione, ma includono quasi universalmente una clausola di "approdo sicuro".
