bg-intro-1-banner

Conformidade DEFCON 658

A Thales permite o cumprimento das principais normas do protocolo DEFCON 658 do Ministério da Defesa do Reino Unido.

DEFCON 658

Teste

O protocolo DEFCON 658 do Ministério da Defesa do Reino Unido (MOD) visa proteger a cadeia de fornecimento da defesa contra ameaças cibernéticas e se aplica a empresas que têm ou desejam fazer contratos com o ministério que lidam com Informações Identificáveis do MOD (MODII).

As soluções da Thales fornecem ferramentas para ajudar a cumprir o DEFCON 658, incluindo:

  • Descoberta e classificação de dados confidenciais para encontrar os dados que devem ser protegidos
  • Controle de acesso, o qual garante que somente usuários credenciados possam recuperar dados confidenciais
  • Registros de inteligência de segurança que identificam padrões de acesso irregulares e violações em andamento
  • Forte criptografia e gerenciamento de chaves, o que torna os dados confidenciais inúteis para usuários não autorizados
  • Normas
  • Conformidade

Resumo

O DEFCON 658 é um protocolo sobre cibersegurança para fornecedores. Ele exige que todos os fornecedores do Ministério da Defesa do Reino Unido que concorrem a novos contratos que requerem a transferência de MODII respeitem o DEFCON 658 e cumpram as normas estabelecidas no DEFSTAN 05-138. É importante ressaltar que a adesão ao DEFCON 658 se estende às cadeias de fornecimento (subcontratados) dos próprios fornecedores.

Não conformidade

O DEFCON 658 se aplica a todos os fornecedores ada cadeia de fornecimento do MOD quando o MODII está envolvido, e as empresas que não aderem ao protocolo não poderão participar de contratos do MOD.

Resumo da conformidade

O DEF STAN 05-138, que especifica as medidas que os fornecedores de defesa devem implantar em cada um dos cinco níveis de risco cibernético em que um contrato pode ser avaliado como portador, inclui vários controles específicos para a proteção de informações confidenciais, conforme descrito abaixo.

A Thales fornece soluções de segurança de dados que ajudam a seguir esses controles, conforme indicado. Observe que enquanto os controles são definidos com base nos riscos associados ao contrato (baixo, médio ou alto), as soluções da Thales se aplicam a controles similares e estão explicadas abaixo.

Medidas de controle

L.07 Definir e implementar uma política para controlar o acesso às informações e às instalações de processamento de informações.
M.06 Garantir que a empresa tenha identificado os proprietários de dados e esses controlem o acesso aos mesmos.
L.12 Definir e implementar uma política para gerenciar os direitos de acesso das contas de usuários.

Soluções da Thales

A Thales tem um conjunto abrangente de soluções que podem ajudar as empresas a se preparar e cumprir com o DEFCON 658 em todas as áreas onde os dados precisam ser protegidos - em repouso, em movimento e em uso, incluindo:

  • Descoberta e classificação de dados confidenciais
  • Gerenciamento de acesso e autenticação
  • Criptografia de dados em repouso e dados em movimento
  • Proteção certificada de chaves de criptografia
  • Tokenização com mascaramento dinâmico

Descoberta e Classificação de Dados Confidenciais

O primeiro passo para proteger dados confidenciais é encontrá-los onde quer que estejam na empresa, classificá-los como confidenciais e digitá-los (por exemplo, PII, financeiro, IP, HHI, cliente-confidencial etc.) para que você possa aplicar as técnicas de proteção de dados mais apropriadas. Também é importante monitorar e avaliar dados regularmente para garantir que novos dados não sejam negligenciados e que sua empresa não fique fora de conformidade.

A solução CipherTrust Data Discovery and Classification da Thales identifica eficientemente dados confidenciais estruturados e não estruturados no local e na nuvem. Suportando tanto modelos de implantação sem agentes como baseados em agentes, a solução fornece modelos integrados que permitem a rápida identificação de dados regulamentados, destacam os riscos de segurança e ajudam a mostrar falhas de conformidade. Um fluxo de trabalho otimizado expõe falhas de segurança e reduz o tempo de remediação. Relatórios detalhados suportam os programas de conformidade e facilitam a comunicação executiva.

Proteção de dados confidenciais em repouso

Separação de usuários de acesso privilegiado e dados confidenciais de usuários

Com a CipherTrust Data Security Platform, os administradores podem criar uma forte separação de funções entre administradores privilegiados e proprietários de dados. A solução CipherTrust Transparent Encryption criptografa arquivos, mas deixa seus metadados visíveis. Desta forma, os administradores de TI, incluindo administradores de hipervisor, nuvem, armazenamento e servidores, podem realizar suas tarefas de administração de sistemas sem ter acesso privilegiado aos dados confidenciais residentes nos sistemas que administram.

Separação de funções administrativas

Fortes políticas de separação de funções podem ser aplicadas para garantir que um administrador não tenha controle completo das atividades de segurança de dados, chaves de criptografia, ou administração. Além disso, o CipherTrust Manager utiliza autenticação bifatorial para acesso administrativo.

Controles granulares de acesso privilegiado

A CipherTrust Data Security Platform pode aplicar políticas de gerenciamento de acesso muito granulares de usuários menos privilegiados, permitindo a proteção dos dados contra o uso indevido por usuários privilegiados e ameaças persistentes avançadas (APT). As políticas granulares de gerenciamento de acesso de usuário privilegiado podem ser aplicadas por usuário, processo, tipo de arquivo, hora do dia e outros parâmetros. As opções de uso podem controlar não apenas a permissão de acesso a dados não criptografados, mas quais comandos do sistema de arquivos estão disponíveis para um determinado usuário.

Forte gerenciamento de acesso e autenticação

As soluções de gerenciamento de acesso e autenticação da Thales fornecem tanto os mecanismos de segurança quanto os recursos de relatórios que as empresas precisam para cumprir com as leis de segurança de dados. Nossas soluções protegem dados confidenciais aplicando os controles de acesso apropriados quando os usuários fazem login em aplicativos que armazenam dados confidenciais. Utilizando diversos métodos de autenticação e acesso baseados em políticas, nossas soluções ajudam as empresas a mitigar o risco de violação de dados devido a credenciais comprometidas ou roubadas ou através de abuso de credenciais privilegiadas.

O suporte para login único inteligente e autenticação avançada permite que as organizações otimizem a conveniência para os usuários finais, garantindo que eles só precisem se autenticar quando necessário. Relatórios abrangentes permitem às empresas criar um registro de auditoria detalhado de todos os eventos de acesso e autenticação, garantindo que eles possam se mostrar em conformidade com diversas regulamentações.

Medidas de controle

L.10 Definir e implementar uma política de segurança para informações, processos e procedimentos relacionados.
M.04 Definir e implementar uma política de armazenamento, acesso e manuseio seguro de informações confidenciais.

Soluções da Thales

Políticas de segurança detalhadas. A CipherTrust Data Security Platform oferece controles centralizados que permitem o gerenciamento consistente e repetível da criptografia, políticas de acesso e inteligência de segurança para todos os seus dados estruturados e não estruturados. Ela está disponível em dispositivos virtuais e físicos com certificação FIPS 140-2 e Common Criteria.

Expansível. Criada sobre uma infraestrutura expansível, os componentes da CipherTrust Data Security Platform podem ser implantados individualmente, oferecendo ao mesmo tempo um gerenciamento eficiente e centralizado de chaves e políticas.

Segurança robusta para dados confidenciais. A Thales ajuda a proteger dados confidenciais através da CipherTrust Transparent Encryption com gerenciamento integrado de chaves para dados em repouso, proteção de dados de aplicativo e tokenização com mascaramento dinâmico. Estas técnicas tornam os dados sem sentido e sem valor sem as chaves para descriptografá-los.

Medidas de controle

L.16 Definir e implementar uma política de gerenciamento de incidentes que deve incluir detecção, resolução e recuperação.

Soluções da Thales

Inteligência de segurança. A CipherTrust Data Security Platform fornece registros de inteligência de segurança que especificam quais processos e usuários acessaram dados protegidos, sob quais políticas, e se os pedidos de acesso foram permitidos ou negados. Os registros de gerenciamento também mostram quando um usuário privilegiado submete um comando como "trocar de usuário" para imitar e potencialmente explorar as credenciais de outro usuário. O compartilhamento destes registros com uma plataforma de gerenciamento de informações e eventos de segurança (SIEM) ajuda a descobrir padrões diferentes nos processos e no acesso de usuários, o que pode levar a investigações adicionais. Por exemplo, um administrador ou processo pode subitamente acessar volumes de dados muito maiores do que o normal ou tentar fazer um download não autorizado de arquivos. Estes eventos poderiam apontar para um ataque persistente avançado (APT) ou atividades irregulares internas.

Medidas de controle

M.16 Definir e implementar uma política para proteger dados organizacionais quando funcionários deixam de ser empregados por sua organização.

Soluções da Thales

Controles de acesso privilegiado e registros de inteligência. As políticas de gerenciamento de acesso granular da CipherTrust Data Security Platform podem ser aplicadas por usuário e o acesso pode ser revogado para indivíduos que tenham deixado a empresa. Quaisquer tentativas negadas de acesso a dados confidenciais serão capturadas pelos registros de inteligência de segurança da CipherTrust .

Proteja seus ativos digitais, cumpra os padrões regulatórios e do setor e proteja a reputação da sua empresa. Saiba como a Thales pode ajudar.

Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

Thales CipherTrust Data Discovery and Classification - Product Brief

Thales CipherTrust Data Discovery and Classification - Product Brief

The crucial first step in privacy and data protection regulatory compliance is to understand what constitutes sensitive data, where it is stored, and how it is used. If you don't know what sensitive data you have, where it is, and why you have it, you cannot apply effective...

SafeNet Trusted Access - Solution Brief

SafeNet Trusted Access - Solution Brief

More and more cloud-based services are becoming an integral part of the enterprise, as they lower costs and management overhead while increasing flexibility. Cloud-based authentication services, especially when part of a broader access management service, are no exception, and...

Guide to Authentication Technologies - White Paper

A Comprehensive Guide to Authentication Technologies and Methods - White Paper

Authentication solutions need to be frictionless. Adopting methods with a higher Authentication Assurance Level and Stronger authentication, can effectively reduce the risk of attacks. Explore authentication technologies to learn: • Selecting authentication methods • Analysis...

CipherTrust Transparent Encryption - White Paper

CipherTrust Transparent Encryption - White Paper

Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...

CipherTrust Transparent Encryption - Product Brief

CipherTrust Transparent Encryption - Product Brief

O CipherTrust Transparent Encryption oferece criptografia de dados em repouso com gerenciamento centralizado de chave, controle de acesso de usuário privilegiado e registro de auditabilidade de acesso a dados detalhado que ajudam empresas a estar em conformidade e atender...

Principais pilares da proteção de dados confidenciais em qualquer empresa – White Paper

Principais pilares da proteção de dados confidenciais em qualquer empresa – White Paper

Tradicionalmente, as empresas têm focado a segurança de TI principalmente na defesa do perímetro, construindo muros para bloquear a entrada de ameaças externas na rede. Apesar de ser importante, isso não basta. Cibercriminosos violam frequentemente as defesas perimetrais, e...

The Enterprise Encryption Blueprint - White Paper

The Enterprise Encryption Blueprint - White Paper

You’ve been tasked with setting and implementing an enterprise wide encryption strategy, one that will be used to guide and align each Line of Business, Application Owner, Database Administrator and Developer toward achieving the goals and security requirements that you define...

Unshare and Secure Sensitive Data - Encrypt Everything - eBook

Unshare and Secure Sensitive Data - Encrypt Everything - eBook

Business critical data is flowing everywhere. The boundaries are long gone. As an enterprise-wide data security expert, you are being asked to protect your organization’s valuable assets by setting and implementing an enterprise-wide encryption strategy. IT security teams are...

Outros regulamentos importantes de proteção e segurança de dados

GDPR

REGULAMENTO
ATIVO AGORA

Talvez o padrão de privacidade de dados mais abrangente até o momento, o GDPR afeta qualquer organização que processa dados pessoais de cidadãos da UE - independentemente de onde a organização está sediada.

PCI DSS

MANDATO
ATIVO AGORA

Qualquer organização que desempenhe uma função no processamento de pagamentos com cartão de crédito e débito deve cumprir os rígidos requisitos de conformidade do PCI DSS para o processamento, armazenamento e transmissão de dados da conta.

Leis de notificação de violação de dados

REGULAMENTO
ATIVO AGORA

Os requisitos de notificação de violação de dados após a perda de informações pessoais foram promulgados por países em todo o mundo. Eles variam de acordo com a jurisdição, mas quase universalmente incluem uma cláusula de “porto seguro”.