IBM Software Gerenciar conformidade e proteger dados corporativos

Transcrição

1 IBM Software Gerenciar conformidade e proteger dados corporativos Atendendo aos requisitos de conformidade auditando e protegendo informações corporativas

2 2 1 2 Desafio de conformidade As organizações estão se esforçando para interpretar as exigências de conformidade e criar políticas de segurança de dados que não apenas satisfaçam os requisitos, como também protejam os dados. Resposta global A análise de mercado mostra que as organizações sofrem enorme pressão para seguir controles de segurança de dados mais agressivos Chaves para o sucesso As organizações precisam de uma abordagem abrangente para proteger dados estruturados, não estruturados, on-line e off-line entre fontes heterogêneas em ambientes de produção e que não são de produção. Soluções O portfólio IBM InfoSphere Guardium fornece soluções líderes para segurança e conformidade de dados. O portfólio ajuda as organizações a proteger os dados enquanto continuam com o foco nas metas comerciais e na automação da conformidade. Recursos Explore os estudos de caso para entender como as organizações têm utilizado o portfólio InfoSphere Guardium para garantir a conformidade.

3 3 O desafio: entendendo os requisitos reguladores em relação à proteção dos dados Executivos de TI de nível sênior, gerentes de governança corporativa e líderes empresariais têm como foco estabelecer uma estratégia de segurança de dados com as políticas e os controles apropriados para proteger os dados corporativos de maneira diligente. Esses requisitos são provenientes de inúmeras fontes. Alguns exemplos incluem: obrigações regulamentadoras, regras de proteção de dados locais, requisitos de governança corporativa, bem como a necessidade de proteger de forma rigorosa a propriedade intelectual, tal como código-fonte, documentos de projeto e planilhas. A capacidade de entender quais requisitos são aplicáveis é particularmente importante porque a segurança dos dados não é um processo único ou uma tecnologia única. Em vez disso, ela é tratada por meio de uma abordagem profunda de defesa que usa inúmeros controles e tecnologias apropriados para situações específicas e um complexo cenário legal e de ameaças. Não existe uma prática recomendada única. As organizações devem entender as particularidades de seus casos de uso exclusivos para permitir uma melhor tomada de decisões, investimentos mais econômicos e implementações de tecnologia mais bem-sucedidas. Isso é especialmente desafiador devido a contínuas incertezas econômicas e recursos restritos. As organizações também lutam para atender aos requisitos de segurança de dados conforme os dados são integrados e utilizados em uma cadeia de suprimentos dinâmica de informações. Eles são criados, acessados, usados e tirados de circulação. Conforme os dados passam por cada fase, seu valor e os riscos associados mudam. Com isso, os requisitos de proteção de segurança precisam ser gerenciados apropriadamente. O investimento em controles de segurança de dados deve ser avaliado no contexto das metas comerciais, das exigências de conformidade e do nível de risco. Isso requer um entendimento claro de como os dados são usados e quais exigências de conformidade são importantes para esse sistema em particular, visto que eles podem ser diferentes, dependendo do que o sistema faz, de quem o acessa, de quais dados são armazenados nele e de como é usado no final. O desenvolvimento desse entendimento fornece uma estrutura para investir em tecnologia e processos e implementá-los da maneira mais eficiente possível. 1. Desafio de conformidade 2. Resposta global 3 Chaves para o sucesso 4 Soluções 5 Recursos

4 4 A resposta global às exigências de conformidade De acordo com o estudo do Ponemon Institute, Best Practices in Data Protection (Práticas recomendadas na proteção de dados), que pesquisou 550 organizações, a maioria das organizações vê a conformidade substancial com regulamentações, leis, padrões públicos, políticas internas e procedimentos como o principal motivador para sua estratégia de segurança de dados. Somente 28% dizem que o motivador é um senso de responsabilidade de proteger dados, seguidos de 26% que dizem que é um desejo proteger a reputação da empresa e manter a fidelidade do cliente. Outras descobertas interessantes do estudo do Ponemon, Best Practices in Data Protection (Práticas recomendadas na proteção de dados), indicam que as organizações dependem de esforços manuais para monitoramento da conformidade, e as observações informais são abordagens dominantes para a conformidade. 62% dos participantes utilizam o monitoramento de conformidade manual. Além disso, as observações informais de supervisores e gerentes são usadas por 59% dos participantes como um método para identificar riscos. Alguns desafios críticos que as organizações enfrentam com relação à conformidade são mostrados abaixo. Em sua opinião, quais são os obstáculos mais significativos para implementar atividades de proteção de dados eficientes na sua organização atualmente? Falta de monitoramento e aplicação da regra pelos usuários finais Complexidade dos requisitos de conformidade e regulamentadores Falta de pessoal qualificado ou especializado Fonte: Estudo do Ponemon Institute, Best Practices in Data Protection (Práticas recomendadas na proteção de dados) 40% 38% 37% Falta de liderança 36% Orçamento ou recursos insuficientes 30% Falta de suporte de nível C 19% Soluções de proteção de dados eficientes não estão disponíveis 9% Quais são os requisitos de auditoria mais comuns de proteção e privacidade de dados? Requisitos de auditoria 1. Acesso a dados confidenciais (SELEÇÕES com êxito/com falha) 2. Alterações de esquema (DDL) (criar/descartar/alterar tabelas, etc.) 3. Alterações de dados (DML) (inserir, atualizar, excluir) 4. Exceções de segurança (logins com falha, erros de SQL, etc.) 5. Contas, funções e permissões (DCL) (conceder, revogar) COBIT (SOX) PCI-DSS ISO Regras de proteção e privacidade de dados NIST SP (FISMA) X X X X X X X X X X X X X X X X X X X X X DDL Linguagem de definição de dados (também conhecido como alterações de esquema) DML Linguagem de manipulação de dados (alterações de valor de dados) DCL Linguagem de controle de dados 1 Desafio de conformidade 2 Resposta global 3 Chaves para o sucesso 4 Soluções 5 Recursos

5 5 Chaves para o sucesso Dessa forma, como as organizações podem gerenciar a conformidade para atender às principais regulamentações, como SOX/COBIT, PCI DSS, regras de privacidade de dados, SCAP, FISMA e HIPAA/HITECH, bem como entender seu caso exclusivo de proteção de dados? As seis etapas a seguir podem ser usadas como guia: 1. Entender os dados empresariais. 2. Estabelecer as políticas e os controles certos para proteger diferentes tipos de dados, incluindo dados estruturados, não estruturados, on-line e off-line com base na verdadeira necessidade de informação de um usuário. 3. Avaliar tecnologias para proteção de dados. 4. Pensar além dos ambientes de produção. 5. Automatizar e centralizar o monitoramento de fontes de dados. 6. Criar relatórios e trilhas de auditoria refinados. Os auditores estão acompanhando mais de perto como o acesso aos enormes armazenamentos de dados nesses sistemas é controlado e como as empresas estão sendo pressionadas a adotar controles de dados mais agressivos e extensos. Gartner: O monitoramento das atividades do banco de dados está evoluindo para se tornar a auditoria e a proteção do banco de dados, fevereiro de 2012 Entender os dados empresariais A maioria dos dados do mundo todo é armazenada em bancos de dados/data warehouses comerciais, como Oracle DB, Microsoft SQL Server, IBM DB2, IBM Informix, Sybase, MySQL, IBM Netezza e Teradata. Entretanto, a maioria das organizações não tem um entendimento completo de seus armazenamentos de dados empresariais. Muitas organizações dependem demasiadamente de especialistas em sistemas e aplicativos para essas informações. É necessário um entendimento mais aprofundado dos dados corporativos e dos relacionamentos de dados para protegê-los. Nem todos os dados precisam ser protegidos da mesma forma, alguns podem ser considerados de baixo risco, não valendo a pena o tempo e o esforço necessários para protegê-los. Lembrese também de que dados de alto valor, como especificações de projetos ou segredos corporativos, podem não necessitar de proteção, de acordo com a lei, mas é muito provável que as organizações queiram protegê-los com controles de segurança rígidos. As organizações devem considerar um processo automatizado para garantir a integridade dos dados por meio da identificação dos relacionamentos de dados e da definição de objetivos de negócios, já que isso pode levar meses de análise manual, sem nenhuma garantia de exatidão ou precisão. 1 Desafio de conformidade 2 Resposta global 3 Chaves para o sucesso 4 Soluções 5 Recursos

6 6 Em suma, as primeiras etapas para a conformidade e a proteção de dados holísticas são: Localizar e fazer a relação dos bancos de dados de toda a empresa. Identificar dados confidenciais Entender os relacionamentos dos dados. Documentar e gerenciar os dados continuamente. Estabelecer as políticas e os controles certos À medida que as organizações forem concluindo o processo de descoberta, elas provavelmente encontrarão um mix de dados, incluindo dados estruturados, não estruturados, on-line e off-line. Para estabelecer o tipo certo de políticas de segurança, as organizações devem primeiro fazer algumas perguntas básicas sobre os requisitos de segurança de dados. Alguns exemplos são os seguintes: Quais dados são considerados confidenciais? O que constitui um segredo corporativo? Quais são os componentes de informações pessoalmente identificáveis? Qual é a definição de dados de alto risco? Quais dados são afetados por exigências legais, e quais não são? Assim como a descoberta de dados, este exercício deve envolver uma equipe interfuncional de especialistas de negócios e TI, incluindo executivos de TI, líderes de linha de negócios, gerentes de riscos corporativos. Essas perspectivas diferentes devem vir juntas para estabelecer um vocabulário comum e um entendimento sólido dos dados corporativos confidenciais. As políticas padrão devem ser estabelecidas. Avaliar tecnologias para proteção de dados Tecnologias para maximizar a proteção e a conformidade dos dados: Avaliação de vulnerabilidade Quando dados confidenciais são descobertos, sua vulnerabilidade deve ser avaliada. Essa avaliação pode incluir tudo desde a verificação de privilégios de acesso em nível administrativo até a verificação de que as configurações atuais dos bancos de dados não tenham nenhuma vulnerabilidade conhecida. 1 Desafio de conformidade 2 Resposta global 3 Chaves para o sucesso 4 Soluções 5 Recursos

7 7 Revisão de dados A revisão de dados pode ser usada para proteger dados não estruturados. Use a revisão de dados para remover dados confidenciais de formulários e documentos com base no cargo ou na finalidade de negócios. Por exemplo, os médicos precisam ver informações confidenciais, como dados de sintomas e prognósticos, em que um escriturário precisa do número do seguro e do endereço da fatura do paciente. Mascaramento de dados estáticos O cancelamento da identificação de dados em ambientes que não são de produção é simplesmente o processo de sistematicamente remover, mascarar ou transformar os elementos de dados que poderão ser usados para identificar uma pessoa. O cancelamento da identificação dos dados permite que desenvolvedores, profissionais de teste e treinadores usem dados realistas e produzam resultados válidos enquanto protegem dados confidenciais. Isso é especialmente importante para organizações que terceirizam atividades de desenvolvimento ou teste. Mascaramento de dados dinâmicos O mascaramento de dados dinâmicos impede que os usuários não autorizados acessem dados estruturados em tempo real. As organizações podem aplicar regras de mascaramento de dados sofisticadas e flexíveis com base em regras e requisitos de negócios. As políticas de mascaramento de dados dinâmicos mascaram informações confidenciais presentes após serem buscadas no banco de dados, e os dados mascarados são retornados ao aplicativo web solicitante. As organizações com call centers em geral usam o mascaramento de dados dinâmicos para ocultar as informações do cliente para funcionários do call center. Auditoria e monitoramento de banco de dados Monitore proativamente todos os acessos de atividade e auditoria de banco de dados. Essas soluções oferecem suporte à identificação e aos alertas em tempo real de comportamento indevido, ilegal ou indesejável em bancos de dados e também à geração de relatórios sobre a atividade conforme exigido por várias das regulamentações mencionadas anteriormente. Criptografia de dados Há vários tipos diferentes de criptografia disponíveis. As organizações devem considerar uma abordagem de criptografia em nível de arquivo porque ela fornece uma solução única, gerenciável e dimensionável para criptografar dados corporativos, tanto estruturados quanto não estruturados, sem comprometer o desempenho do aplicativo ou criar complexidade para o gerenciamento principal. A criptografia de dados é ideal para proteger dados on-line e off-line. 1 Desafio de conformidade 2 Resposta global 3 Chaves para o sucesso 4 Soluções 5 Recursos

8 8 Pensar além da produção Embora muito tempo e foco sejam dedicados a sistemas de produção de missão crítica, as organizações devem ter em mente que dados sensíveis residem em vários outros locais. Quantas vezes o seu banco de dados de produção foi clonado? Há cópias disponíveis para teste, desenvolvimento, garantia de qualidade ou recuperação de desastres? Esses ambientes que não são de produção recebem o mesmo tratamento dos sistemas de produção? Se contiverem os mesmos dados, eles deverão ser considerados como parte da abordagem de segurança de dados geral. Desenvolvedores, profissionais de testes e de garantia de qualidade acham fácil trabalhar com dados ativos porque isso produz resultados que todos podem entender. Contudo, os ambientes que não são de produção não precisam de dados ativos. O uso de dados ativos é essencial para testes, mas os dados ativos não são especificamente necessários. Os recursos para cancelar a identificação ou mascarar dados de produção oferecem uma abordagem de prática recomendada para proteger dados confidenciais e suportar o processo de teste. O mascaramento permite que desenvolvedores, profissionais de testes e de garantia de qualidade usem dados do tipo produção e produzam resultados de teste válidos, atuando em conformidade com as políticas de segurança. Automatizar e centralizar o monitoramento de fontes de dados Infelizmente, não é suficiente entender os dados confidenciais e estabelecer os tipos certos de políticas para proteger os dados. As organizações também precisam monitorar continuamente as fontes de dados em busca de comportamentos suspeitos. As organizações não devem depender de procedimentos de auditoria manuais para detectar comportamentos suspeitos. Essa abordagem prolonga auditorias e utiliza muitos recursos. Na maioria dos ambientes de TI, os usuários privilegiados, como DBAs, desenvolvedores e pessoal terceirizado, podem ter acesso livre a dados confidenciais, com pouco ou nenhum controle de monitoramento com relação às suas atividades. Esses superusuários podem facilmente ignorar os pontos de controle de segurança em nível de aplicativo ou rede. Além disso, a detecção de alterações de banco de dados é importante a partir da perspectiva de imposição de controles a usuários privilegiados. Entretanto, é importante também partir de uma perspectiva de segurança externa. Essas alterações podem ser indicadores de que um banco de dados foi comprometido. 1 Desafio de conformidade 2 Resposta global 3 Chaves para o sucesso 4 Soluções 5 Recursos

9 9 Os tipos de alterações incluem: Estruturas de banco de dados, como tabelas, acionadores e procedimentos armazenados. Valores de dados críticos, como dados que afetam a integridade de transações financeiras. Objetos de controle de segurança e acesso, como usuários, funções e permissões. Arquivos de configuração de banco de dados e outros objetos externos que podem afetar a postura de segurança de seu banco de dados, como variáveis de ambiente/registro, arquivos de configuração (por exemplo, NOMES.ORA), scripts de shell, arquivos de SO e executáveis tal como programas Java. Criar relatórios e trilhas de auditoria refinados Para testar e validar a conformidade, as organizações devem ter um processo definido para monitoramento, registro e geração de relatórios das atividades de acessos e mudanças no banco de dados periodicamente. Uma trilha de auditoria refinada identifica quem, o que, quando, onde e como de cada transação. Por meio da geração de relatórios e do monitoramento contínuos, a detecção de violações de acesso a dados oferece à gerência de TI e aos auditores as informações necessárias para mostrar que os controles corretos existem e estão sendo usados. As trilhas de auditoria fornecem detalhes e análise de comportamentos e padrões que podem ser considerados suspeitos em comparação com comportamentos legítimos ou de rotina. Qualquer comportamento não identificado como de rotina e o acesso válido ao banco de dados devem ser examinados e analisados adicionalmente. A criação de um ambiente de auditoria e geração de relatórios centralizado oferece: Um repositório centralizado seguro que contém uma trilha de auditoria refinada de todas as atividades de banco de dados na empresa e das atividades de compartilhamento de arquivos importantes. Automação de fluxo de trabalho personalizável para gerar relatórios de conformidade de maneira programada, distribuí-los a equipes de supervisão para aprovações eletrônicas e encaminhamento e, por fim, armazenar os resultados das atividades de correção no repositório. Monitoramento e análise de dados contínuos para identificar atividades não autorizadas ou suspeitas e executar uma ação de resposta que vai desde o bloqueio da transação em tempo real até a geração de um alerta. 1 Desafio de conformidade 2 Resposta global 3 Chaves para o sucesso 4 Soluções 5 Recursos

10 10 Soluções IBM InfoSphere Guardium As organizações devem determinar quais obrigações de conformidade são as mais relevantes para seus negócios e o caso de uso em particular. É impossível se proteger de todas as ameaças e estar em conformidade com cada exigência. As organizações devem realizar uma análise de riscos e tomar decisões conscientes sobre o que será aceito como um risco residual de conformidade. As organizações devem estabelecer um processo formal para analisar cenários de segurança, casos de uso, danos potenciais e impacto das questões de segurança nos negócios. Tenha em mente que as leis, em sua maioria, são propositalmente deixadas um pouco vagas para que possam ser adotadas de acordo com a necessidade por organizações de todos os tamanhos. Elas são elaboradas também para serem neutras tecnologicamente, para conceder às empresas o controle de que precisam. O portfólio IBM InfoSphere Guardium fornece soluções líderes para segurança e conformidade de dados. O portfólio ajuda as organizações na proteção contra um cenário de ameaças complexo, incluindo fraude interna, alterações não autorizadas e ataques externos, enquanto continuam com o foco nas metas comerciais e na automação da conformidade. As soluções IBM InfoSphere Guardium fornecem uma abordagem de proteção de dados holística para proteger diversos tipos de dados (estruturados, não estruturados, on-line e off-line) em locais diferentes, incluindo ambientes de produção e que não sejam de produção (desenvolvimento, teste e treinamento). As soluções de segurança de dados InfoSphere Guardium ajudam as organizações a aumentar a conformidade implementando controles unificados e aplicando políticas de governança de forma consistente em toda a empresa. As soluções IBM InfoSphere Guardium podem ajudar com o seguinte: Descoberta e classificação de dados Avaliações de vulnerabilidades Revisão de dados Criptografia de dados Mascaramento de dados estáticos Monitoramento de banco de dados Auditoria e geração de relatórios Para obter mais informações, acesse ibm.com/guardium 1 Desafio de conformidade 2 Resposta global 3 Chaves para o sucesso 4 Soluções 5 Recursos

11 11 Recursos Estudo de caso: Implementação de monitoramento de atividade de banco de dados para uma grande empresa de telecomunicações internacional Uma organização de telecomunicações internacional líder precisava de um meio econômico para proteger a privacidade dos dados de seus clientes e atuar em conformidade com os requisitos regulamentares. Estudo de caso: Implementação de monitoramento e auditoria de atividades de banco de dados em uma organização de plano de saúde líder Encontrando uma forma econômica de implementar controles para proteger dados confidenciais e validar a conformidade com várias exigências. Estudo de caso: Aviva UK Health fortalece a conformidade de PCI e privacidade de dados A Aviva UK Health tinha o desafio de atender aos requisitos de conformidade de PCI-DSS e DPA incompatíveis que ameaçavam sua capacidade de manter as opções de pagamento de cartão de crédito de seus clientes. 1 Desafio de conformidade 2 Resposta global 3 Chaves para o sucesso 4 Soluções 5 Recursos

12 12 Copyright IBM Corporation 2012 Para obter mais informações sobre o gerenciamento da segurança de banco de dados em sua organização, acesse ibm.com/guardium IBM Corporation Software Group Route 100 Somers, NY EUA Produzido nos Estados Unidos da América Abril de 2012 Todos os direitos reservados IBM, o logotipo IBM, ibm.com, DB2, InfoSphere, Guardium e Optim são marcas comerciais ou marcas registradas da International Business Machines Corporation nos Estados Unidos e/ou em outros países. Se estes ou outros termos comerciais da IBM estiverem marcados em sua primeira ocorrência nesta publicação com o símbolo de marca registrada ( ou TM ), esses símbolos indicam marcas comerciais registradas nos EUA ou de direito comum de propriedade da IBM no momento em que esta informação foi publicada. Essas marcas comerciais também podem ser marcas registradas ou de direito comum em outros países. Uma lista atual das marcas comerciais da IBM está disponível na web, sob o título Copyright and trademark information (Informações de direitos autorais e marcas) em ibm.com/legal/copytrade.shtml Linux é uma marca comercial registrada da Linus Torvalds nos Estados Unidos e/ou em outros países. Microsoft, Windows, Windows NT e o logotipo do Windows são marcas comerciais da Microsoft Corporation nos Estados Unidos e/ou em outros países. UNIX é uma marca comercial registrada do The Open Group nos Estados Unidos e em outros países. Outros nomes de empresas, serviços ou produtos podem ser marcas comerciais ou marcas de serviço de terceiros. NIB03012-BRPT-00 1 Desafio de conformidade 2 Resposta global 3 Chaves para o sucesso 4 Soluções 5 Recursos