O protocolo DEFCON 658 do Ministério da Defesa do Reino Unido (MOD) visa proteger a cadeia de fornecimento da defesa contra ameaças cibernéticas e se aplica a empresas que têm ou desejam fazer contratos com o ministério que lidam com Informações Identificáveis do MOD (MODII).
As soluções da Thales fornecem ferramentas para ajudar a cumprir o DEFCON 658, incluindo:
O DEFCON 658 é um protocolo sobre cibersegurança para fornecedores. Ele exige que todos os fornecedores do Ministério da Defesa do Reino Unido que concorrem a novos contratos que requerem a transferência de MODII respeitem o DEFCON 658 e cumpram as normas estabelecidas no DEFSTAN 05-138. É importante ressaltar que a adesão ao DEFCON 658 se estende às cadeias de fornecimento (subcontratados) dos próprios fornecedores.
O DEFCON 658 se aplica a todos os fornecedores ada cadeia de fornecimento do MOD quando o MODII está envolvido, e as empresas que não aderem ao protocolo não poderão participar de contratos do MOD.
O DEF STAN 05-138, que especifica as medidas que os fornecedores de defesa devem implantar em cada um dos cinco níveis de risco cibernético em que um contrato pode ser avaliado como portador, inclui vários controles específicos para a proteção de informações confidenciais, conforme descrito abaixo.
A Thales fornece soluções de segurança de dados que ajudam a seguir esses controles, conforme indicado. Observe que enquanto os controles são definidos com base nos riscos associados ao contrato (baixo, médio ou alto), as soluções da Thales se aplicam a controles similares e estão explicadas abaixo.
L.07 Definir e implementar uma política para controlar o acesso às informações e às instalações de processamento de informações.
M.06 Garantir que a empresa tenha identificado os proprietários de dados e esses controlem o acesso aos mesmos.
L.12 Definir e implementar uma política para gerenciar os direitos de acesso das contas de usuários.
A Thales tem um conjunto abrangente de soluções que podem ajudar as empresas a se preparar e cumprir com o DEFCON 658 em todas as áreas onde os dados precisam ser protegidos - em repouso, em movimento e em uso, incluindo:
O primeiro passo para proteger dados confidenciais é encontrá-los onde quer que estejam na empresa, classificá-los como confidenciais e digitá-los (por exemplo, PII, financeiro, IP, HHI, cliente-confidencial etc.) para que você possa aplicar as técnicas de proteção de dados mais apropriadas. Também é importante monitorar e avaliar dados regularmente para garantir que novos dados não sejam negligenciados e que sua empresa não fique fora de conformidade.
A solução CipherTrust Data Discovery and Classification da Thales identifica eficientemente dados confidenciais estruturados e não estruturados no local e na nuvem. Suportando tanto modelos de implantação sem agentes como baseados em agentes, a solução fornece modelos integrados que permitem a rápida identificação de dados regulamentados, destacam os riscos de segurança e ajudam a mostrar falhas de conformidade. Um fluxo de trabalho otimizado expõe falhas de segurança e reduz o tempo de remediação. Relatórios detalhados suportam os programas de conformidade e facilitam a comunicação executiva.
Com a CipherTrust Data Security Platform, os administradores podem criar uma forte separação de funções entre administradores privilegiados e proprietários de dados. A solução CipherTrust Transparent Encryption criptografa arquivos, mas deixa seus metadados visíveis. Desta forma, os administradores de TI, incluindo administradores de hipervisor, nuvem, armazenamento e servidores, podem realizar suas tarefas de administração de sistemas sem ter acesso privilegiado aos dados confidenciais residentes nos sistemas que administram.
Fortes políticas de separação de funções podem ser aplicadas para garantir que um administrador não tenha controle completo das atividades de segurança de dados, chaves de criptografia, ou administração. Além disso, o CipherTrust Manager utiliza autenticação bifatorial para acesso administrativo.
A CipherTrust Data Security Platform pode aplicar políticas de gerenciamento de acesso muito granulares de usuários menos privilegiados, permitindo a proteção dos dados contra o uso indevido por usuários privilegiados e ameaças persistentes avançadas (APT). As políticas granulares de gerenciamento de acesso de usuário privilegiado podem ser aplicadas por usuário, processo, tipo de arquivo, hora do dia e outros parâmetros. As opções de uso podem controlar não apenas a permissão de acesso a dados não criptografados, mas quais comandos do sistema de arquivos estão disponíveis para um determinado usuário.
As soluções de gerenciamento de acesso e autenticação da Thales fornecem tanto os mecanismos de segurança quanto os recursos de relatórios que as empresas precisam para cumprir com as leis de segurança de dados. Nossas soluções protegem dados confidenciais aplicando os controles de acesso apropriados quando os usuários fazem login em aplicativos que armazenam dados confidenciais. Utilizando diversos métodos de autenticação e acesso baseados em políticas, nossas soluções ajudam as empresas a mitigar o risco de violação de dados devido a credenciais comprometidas ou roubadas ou através de abuso de credenciais privilegiadas.
O suporte para login único inteligente e autenticação avançada permite que as organizações otimizem a conveniência para os usuários finais, garantindo que eles só precisem se autenticar quando necessário. Relatórios abrangentes permitem às empresas criar um registro de auditoria detalhado de todos os eventos de acesso e autenticação, garantindo que eles possam se mostrar em conformidade com diversas regulamentações.
L.10 Definir e implementar uma política de segurança para informações, processos e procedimentos relacionados.
M.04 Definir e implementar uma política de armazenamento, acesso e manuseio seguro de informações confidenciais.
Políticas de segurança detalhadas. A CipherTrust Data Security Platform oferece controles centralizados que permitem o gerenciamento consistente e repetível da criptografia, políticas de acesso e inteligência de segurança para todos os seus dados estruturados e não estruturados. Ela está disponível em dispositivos virtuais e físicos com certificação FIPS 140-2 e Common Criteria.
Expansível. Criada sobre uma infraestrutura expansível, os componentes da CipherTrust Data Security Platform podem ser implantados individualmente, oferecendo ao mesmo tempo um gerenciamento eficiente e centralizado de chaves e políticas.
Segurança robusta para dados confidenciais. A Thales ajuda a proteger dados confidenciais através da CipherTrust Transparent Encryption com gerenciamento integrado de chaves para dados em repouso, proteção de dados de aplicativo e tokenização com mascaramento dinâmico. Estas técnicas tornam os dados sem sentido e sem valor sem as chaves para descriptografá-los.
L.16 Definir e implementar uma política de gerenciamento de incidentes que deve incluir detecção, resolução e recuperação.
Inteligência de segurança. A CipherTrust Data Security Platform fornece registros de inteligência de segurança que especificam quais processos e usuários acessaram dados protegidos, sob quais políticas, e se os pedidos de acesso foram permitidos ou negados. Os registros de gerenciamento também mostram quando um usuário privilegiado submete um comando como "trocar de usuário" para imitar e potencialmente explorar as credenciais de outro usuário. O compartilhamento destes registros com uma plataforma de gerenciamento de informações e eventos de segurança (SIEM) ajuda a descobrir padrões diferentes nos processos e no acesso de usuários, o que pode levar a investigações adicionais. Por exemplo, um administrador ou processo pode subitamente acessar volumes de dados muito maiores do que o normal ou tentar fazer um download não autorizado de arquivos. Estes eventos poderiam apontar para um ataque persistente avançado (APT) ou atividades irregulares internas.
M.16 Definir e implementar uma política para proteger dados organizacionais quando funcionários deixam de ser empregados por sua organização.
Controles de acesso privilegiado e registros de inteligência. As políticas de gerenciamento de acesso granular da CipherTrust Data Security Platform podem ser aplicadas por usuário e o acesso pode ser revogado para indivíduos que tenham deixado a empresa. Quaisquer tentativas negadas de acesso a dados confidenciais serão capturadas pelos registros de inteligência de segurança da CipherTrust .
The crucial first step in privacy and data protection regulatory compliance is to understand what constitutes sensitive data, where it is stored, and how it is used. If you don't know what sensitive data you have, where it is, and why you have it, you cannot apply effective...
More and more cloud-based services are becoming an integral part of the enterprise, as they lower costs and management overhead while increasing flexibility. Cloud-based authentication services, especially when part of a broader access management service, are no exception, and...
Authentication solutions need to be frictionless. Adopting methods with a higher Authentication Assurance Level and Stronger authentication, can effectively reduce the risk of attacks.Explore authentication technologies to learn:• Selecting authentication methods• Analysis of...
Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...
O CipherTrust Transparent Encryption oferece criptografia de dados em repouso com gerenciamento centralizado de chave, controle de acesso de usuário privilegiado e registro de auditabilidade de acesso a dados detalhado que ajudam empresas a estar em conformidade e atender...
Tradicionalmente, as organizações têm focado a segurança de TI principalmente na defesa do perímetro, construindo muros para bloquear a entrada de ameaças externas na rede. No entanto, com a atual proliferação de dados, a evolução das regulamentações de privacidade globais e...
You’ve been tasked with setting and implementing an enterprise wide encryption strategy, one that will be used to guide and align each Line of Business, Application Owner, Database Administrator and Developer toward achieving the goals and security requirements that you define...
Business critical data is flowing everywhere. The boundaries are long gone. As an enterprise-wide data security expert, you are being asked to protect your organization’s valuable assets by setting and implementing an enterprise-wide encryption strategy.IT security teams are...
Talvez o padrão de privacidade de dados mais abrangente até o momento, o GDPR afeta qualquer organização que processa dados pessoais de cidadãos da UE - independentemente de onde a organização está sediada.
Qualquer organização que desempenhe uma função no processamento de pagamentos com cartão de crédito e débito deve cumprir os rígidos requisitos de conformidade do PCI DSS para o processamento, armazenamento e transmissão de dados da conta.
Os requisitos de notificação de violação de dados após a perda de informações pessoais foram promulgados por países em todo o mundo. Eles variam de acordo com a jurisdição, mas quase universalmente incluem uma cláusula de “porto seguro”.
