SlideShare ist ein Scribd-Unternehmen logo
1 von 25
Downloaden Sie, um offline zu lesen
Ochrona danych medycznych
na dyskach, laptopach
i udziałach sieciowych
Maciej Iwanicki

1
Ochrona danych medycznych

2
Ochrona danych medycznych - ochrona danych
wrażliwych
• Ochrona danych osobowych
• Ochrona tajemnicy lekarskiej

• Ochrona elektronicznej dokumentacji medycznej

3
Dlaczego jeszcze?

4
5
Regulacje? Rekomendacje?

6
Ochrona danych medycznych
poprzez szyfrowanie

7
Szyfrowanie informacji
Systemy medyczne
Centrum danych

Oddziały

Punkty
medyczne

Ludzie

Recepcja
Ochrona danych na dysku oraz
urządzeniach USB
Sytuacja

Rozwiązanie

Wynik

Zgubienie/kradzież
komputera lub klucza USB
gdzie znajdują się
informacje o pacjentach.

Symantec Drive
Encryption: szyfruje dane
na laptopach, desktopach
oraz kluczach USB
(integracja z DLP).

Laptop został
zaszyfrowany i dane
znajdujące się na nim
będą niedostępne dla
osób nieupoważnionych.

Przekazywanie sprzętu do
naprawy.
Wycofanie komputera
z eksploatacji.

Ponieważ dane były
zaszyfrowane, byd może
nie będzie potrzeby
raportowad o utracie
danych.

9
Ochrona plików na komputerach i serwerach
Sytuacja

Rozwiązanie

Wynik

Dokumentacja
medyczna/wyniki
medyczne przechowywane
na serwerze plików lub
komputerach - do których
osoby nieuprawnione nie
powinni mied dostępu.

Symantec File Share
Encryption:
Szyfruje pliki oraz foldery
zarówno przechowywane
lokalnie jaki i na udziałach
sieciowych (integracja
z DLP).

Wszystkie dane
przetrzymywane na
komputerach oraz na
udziałach sieciowych są
zaszyfrowane.
Dostęp do danych
uzyskują tylko wskazane
osoby.

10
Ochrona wiadomości pocztowych
Sytuacja

Rozwiązanie

Wynik

Wymiana wiadomości
pocztowych zawierających
dokumentację medyczną –
brak możliwości
podglądnięcia wiadomości
przez osoby niepowołane.

Symantec Desktop Email
Encryption lub Gateway
Email: szyfruje/deszyfruje
wiadomości pocztowe na
desktopie lub też na
wyjściu wiadomości
z sieci (integracja z DLP).

Wiadomości pocztowe
zabezpieczone są przed
opuszczeniem
komputera.
Administratorzy pocztowi
nadal mają do nich
dostęp na serwerze
pocztowym, ale nie mogą
ich odczytad. Kopia
zapasowa wiadomości
z serwera tez jest
zabezpieczona.

11
Ochrona kopii danych
Sytuacja

Rozwiązanie

Wynik

Transport kopii
bezpieczeostwa poza
siedzibę szpitala/jednostki
medycznej.

Symantec PGP Command
Line: szyfruje/deszyfruje
pliki z linii komend –
umożliwia integrację
z innymi aplikacjami
medycznymi.

Pliki kopii bezpieczeostwa
pozostają zaszyfrowane.

Wymiana plików lub
informacji elektronicznych
poprzez niezabezpieczone
protokoły, np. ftp.

Pliki przesyłane w sieci są
również zaszyfrowane,
niedostępne dla osób nie
posiadających
właściwego klucza.

12
Dodatkowy klucz deszyfrujący
• Czym jest DKD?
– Zapewnia alternatywną metodę odszyfrowywania jeśli użytkownik jest
niedostępny

Alicja

Administratorzy danych
Kierownicy placówki

13
Ochrona danych medycznych
poprzez system Data Loss Prevention

14
Czym jest Data Loss Prevention (DLP)?

15
Rozwiązanie Symantec chroni to co istotne
Informacje o pacjentach

Informacje jednostki medycznej

Karty kredytowe

Własnośd intelektualna

Dokumentacja
medyczna

M&A i strategia

Dane osobowe

Badania

Materiały finansowe

Dane kadrowe

16
Jak działa Symantec DLP
Polityka chroniąca przed wyciekiem danych
Detekcja

Odpowiedź

Zawartość

Kontekst

Akcja

Powiadomienie

Dane osobowe

Kto?

Poinformuj

Użytkownik

Dane medyczne

Co?

Uzasadnij

Bezpieczeostwo

Zdjęcia np. RTG

Gdzie?

Zaszyfruj

Eskaluj

Zapobiegnij

Znajdz to. Napraw to.
17
Praktyczne przykłady działania
systemu DLP

18
DLP to ludzie
Tomasz N. Nierozważny użytkownik wewnętrzny
SYTUACJA: Dane o pacjentach w niewłaściwym miejscu

Detekcja
i odpowiedź
Odpowiedź DLP

Problem
Tomasz przypadkowo
zapisuje dane
osobowe/dane
medyczne
na niechronionym
udziale sieciowym
Tomasz przechowuje
na swoim komputerze
dane, które nie
powinny się tam
znajdowad

Network/Endpoint
Discover skanując
znajduje
wyeksponowane dane
osobowe, Data Insight
identyfikuje Tomasza
jako właściciela
danych

Akcja
Network/Endpoint
Protect może:
• Poinformowad
Tomasza
• Zaszyfrowad dane
• Przenieśd dane

Wynik
Zabezpiecz swoje
najbardziej wrażliwe
dane – zatrzymaj
złośliwego
użytkownika przed ich
znalezieniem
Nie przechowuj
danych o istotnym
znaczeniu w miejscach
do tego
nieprzeznaczonych

Szeroki zasięg skanowania danych Identyfikacja właściciela
Szyfrowanie Naprawa przez właściciela
19
DLP to ludzie
Katarzyna W. Nierozważny użytkownik wewnętrzny
Sytuacja: Kopiowanie danych poufnych na urządzenie przenośne
Edukacja pracowników

Detekcja
i odpowiedź
Problem
Katarzyna kopiuje
dane medyczne na
urządzenie przenośne
Katarzyna próbuje
nieświadomie wysład
dane poufne

Odpowiedź DLP
Agent na komputerze
analizuje informacje
na podstawie polityk

Akcja
Monitorowanie,
zapisanie zdarzenia,
powiadomienie
Automatycznie
zaszyfruj korzystając
z szyfrowania

Wynik
Automatycznie
zaszyfrowany plik

Zrozumienie dokąd
wędrują dane
Zmiana zachowania
użytkownika

Lekki agent Zaufane urządzenie
Polityki per grupa Automatyczne szyfrowanie

20
DLP to ludzie
Anna L. Użytkownik wewnętrzny o złych intencjach
SYTUACJA: Próba kopiowania danych medycznych

Detekcja
i odpowiedź
Problem
Niezadowolony lub
odchodzący pracownik
kopiuje lub
udostępnia dane
medyczne poprzez
email lub urządzenia
zewnętrzne

Odpowiedź DLP
DLP monitoruje
komputer i aktywnośd
sieciową

Akcja

Wynik

Informuje (ostrzega)
użytkownika o jego
czynach

Dane medyczne nie
opuszczają jednostki
medycznej.

Informuje przełożonego,
bezpieczeostwo,
i/lub kadry

Ludzie wiedzą, że są
monitorowani

Zatrzymuje transmisje
lub kopiowanie

Ciągłe monitorowanie PC Własne komunikaty
Eskalacja incydentu Usunięcie zawartości

21
Podsumowując
Idealne połącznie: DLP i szyfrowanie

Brama

DLP: Znajdź

Urządzenia
zewnętrzne

Szyfrowanie: Napraw

Pliki, foldery

22
Dlaczego Symantec?

23
Architektura referencyjna dla opieki zdrowotnej

24
Pytania?
Thank you!

Dziękuję!

Maciej Iwanicki
Maciej_Iwanicki@symantec.com

Copyright © 2013 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in
the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied,
are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

25

Weitere ähnliche Inhalte

Andere mochten auch

07. Ce trebuie să facem să fim salvaţi de păcat? Notite
07. Ce trebuie să facem să fim salvaţi de păcat? Notite07. Ce trebuie să facem să fim salvaţi de păcat? Notite
07. Ce trebuie să facem să fim salvaţi de păcat? NotiteWilliam Anderson
 
Ustawa prawo zamowien_publicznych
Ustawa prawo zamowien_publicznychUstawa prawo zamowien_publicznych
Ustawa prawo zamowien_publicznychBarka Foundation
 
Profesjonalnie działać, skutecznie zmieniać poradnik dla organziajci pozarz...
Profesjonalnie działać, skutecznie zmieniać   poradnik dla organziajci pozarz...Profesjonalnie działać, skutecznie zmieniać   poradnik dla organziajci pozarz...
Profesjonalnie działać, skutecznie zmieniać poradnik dla organziajci pozarz...Centrum OPUS
 
Nauczanie Inteligencji w grze (taktyka)
Nauczanie Inteligencji w grze (taktyka)Nauczanie Inteligencji w grze (taktyka)
Nauczanie Inteligencji w grze (taktyka)Radosław Bella
 
Stres Wysokotemperaturowy
Stres WysokotemperaturowyStres Wysokotemperaturowy
Stres WysokotemperaturowyMagda Noszczyk
 
Warsztaty planszowkowe ost
Warsztaty planszowkowe ostWarsztaty planszowkowe ost
Warsztaty planszowkowe ostTomek Kreczmar
 
Mediacja w Polsce - rola mediatora ze szczególnym uwzględnieniem mediacji w s...
Mediacja w Polsce - rola mediatora ze szczególnym uwzględnieniem mediacji w s...Mediacja w Polsce - rola mediatora ze szczególnym uwzględnieniem mediacji w s...
Mediacja w Polsce - rola mediatora ze szczególnym uwzględnieniem mediacji w s...Anna Saczuk (Wrobel)
 
Konstrukcje geometryczne
Konstrukcje geometryczneKonstrukcje geometryczne
Konstrukcje geometrycznemwswanik
 
Регламент діяльності територіального центру надання соціальних послуг/соціаль...
Регламент діяльності територіального центру надання соціальних послуг/соціаль...Регламент діяльності територіального центру надання соціальних послуг/соціаль...
Регламент діяльності територіального центру надання соціальних послуг/соціаль...UNDP Ukraine
 
Aplikacje i serwisy intranetowe w chmurze publicznej - transkrypt webinarium IDG
Aplikacje i serwisy intranetowe w chmurze publicznej - transkrypt webinarium IDGAplikacje i serwisy intranetowe w chmurze publicznej - transkrypt webinarium IDG
Aplikacje i serwisy intranetowe w chmurze publicznej - transkrypt webinarium IDGJarek Sokolnicki
 
Tomasz mann opowiadania
Tomasz mann   opowiadaniaTomasz mann   opowiadania
Tomasz mann opowiadaniaANIA
 
Sześciolatek w i klasie
Sześciolatek w i klasieSześciolatek w i klasie
Sześciolatek w i klasieSP114
 

Andere mochten auch (18)

07. Ce trebuie să facem să fim salvaţi de păcat? Notite
07. Ce trebuie să facem să fim salvaţi de păcat? Notite07. Ce trebuie să facem să fim salvaţi de păcat? Notite
07. Ce trebuie să facem să fim salvaţi de păcat? Notite
 
Gra Domino Dynastyczne (Instrukcja dla graczy)
Gra Domino Dynastyczne (Instrukcja dla graczy)Gra Domino Dynastyczne (Instrukcja dla graczy)
Gra Domino Dynastyczne (Instrukcja dla graczy)
 
Informator ogólnobudowlany Schiedel - budowa kominów
Informator ogólnobudowlany Schiedel - budowa kominówInformator ogólnobudowlany Schiedel - budowa kominów
Informator ogólnobudowlany Schiedel - budowa kominów
 
Stropy RECTOR - produkty i porady
Stropy RECTOR - produkty i poradyStropy RECTOR - produkty i porady
Stropy RECTOR - produkty i porady
 
Ustawa prawo zamowien_publicznych
Ustawa prawo zamowien_publicznychUstawa prawo zamowien_publicznych
Ustawa prawo zamowien_publicznych
 
Profesjonalnie działać, skutecznie zmieniać poradnik dla organziajci pozarz...
Profesjonalnie działać, skutecznie zmieniać   poradnik dla organziajci pozarz...Profesjonalnie działać, skutecznie zmieniać   poradnik dla organziajci pozarz...
Profesjonalnie działać, skutecznie zmieniać poradnik dla organziajci pozarz...
 
Nauczanie Inteligencji w grze (taktyka)
Nauczanie Inteligencji w grze (taktyka)Nauczanie Inteligencji w grze (taktyka)
Nauczanie Inteligencji w grze (taktyka)
 
Stres Wysokotemperaturowy
Stres WysokotemperaturowyStres Wysokotemperaturowy
Stres Wysokotemperaturowy
 
Warsztaty planszowkowe ost
Warsztaty planszowkowe ostWarsztaty planszowkowe ost
Warsztaty planszowkowe ost
 
Mediacja w Polsce - rola mediatora ze szczególnym uwzględnieniem mediacji w s...
Mediacja w Polsce - rola mediatora ze szczególnym uwzględnieniem mediacji w s...Mediacja w Polsce - rola mediatora ze szczególnym uwzględnieniem mediacji w s...
Mediacja w Polsce - rola mediatora ze szczególnym uwzględnieniem mediacji w s...
 
Konstrukcje geometryczne
Konstrukcje geometryczneKonstrukcje geometryczne
Konstrukcje geometryczne
 
Стратегічний план розвитку
Стратегічний план розвиткуСтратегічний план розвитку
Стратегічний план розвитку
 
Регламент діяльності територіального центру надання соціальних послуг/соціаль...
Регламент діяльності територіального центру надання соціальних послуг/соціаль...Регламент діяльності територіального центру надання соціальних послуг/соціаль...
Регламент діяльності територіального центру надання соціальних послуг/соціаль...
 
Aplikacje i serwisy intranetowe w chmurze publicznej - transkrypt webinarium IDG
Aplikacje i serwisy intranetowe w chmurze publicznej - transkrypt webinarium IDGAplikacje i serwisy intranetowe w chmurze publicznej - transkrypt webinarium IDG
Aplikacje i serwisy intranetowe w chmurze publicznej - transkrypt webinarium IDG
 
Tomasz mann opowiadania
Tomasz mann   opowiadaniaTomasz mann   opowiadania
Tomasz mann opowiadania
 
Ghid cariera
Ghid carieraGhid cariera
Ghid cariera
 
Potencjał sektora kreatywnego na Dolnym Śląsku
Potencjał sektora kreatywnego na Dolnym ŚląskuPotencjał sektora kreatywnego na Dolnym Śląsku
Potencjał sektora kreatywnego na Dolnym Śląsku
 
Sześciolatek w i klasie
Sześciolatek w i klasieSześciolatek w i klasie
Sześciolatek w i klasie
 

Mehr von Wydział ds. eZdrowia, Departament Polityki Zdrowotnej, Urząd Marszałkowski w Łodzi

Mehr von Wydział ds. eZdrowia, Departament Polityki Zdrowotnej, Urząd Marszałkowski w Łodzi (20)

Marek Wesołowski - Hurtownia danych w zarządzaniu ochroną zdrowia
Marek Wesołowski - Hurtownia danych w zarządzaniu ochroną zdrowiaMarek Wesołowski - Hurtownia danych w zarządzaniu ochroną zdrowia
Marek Wesołowski - Hurtownia danych w zarządzaniu ochroną zdrowia
 
Małopolski System Informacji Medycznej
Małopolski System Informacji MedycznejMałopolski System Informacji Medycznej
Małopolski System Informacji Medycznej
 
DLP (data leakage protection)
DLP (data leakage protection)DLP (data leakage protection)
DLP (data leakage protection)
 
RSIM - Actina Solar
RSIM - Actina SolarRSIM - Actina Solar
RSIM - Actina Solar
 
Trendy w rozwoju okablowania strukturalnego RSIM
Trendy w rozwoju okablowania strukturalnego RSIMTrendy w rozwoju okablowania strukturalnego RSIM
Trendy w rozwoju okablowania strukturalnego RSIM
 
Healthcare: bezpieczeństwo pacjentów zaczyna się od IT
Healthcare: bezpieczeństwo pacjentów zaczyna się od ITHealthcare: bezpieczeństwo pacjentów zaczyna się od IT
Healthcare: bezpieczeństwo pacjentów zaczyna się od IT
 
Zintegrowany Informator Pacjenta – krok po kroku…
Zintegrowany Informator Pacjenta – krok po kroku…Zintegrowany Informator Pacjenta – krok po kroku…
Zintegrowany Informator Pacjenta – krok po kroku…
 
Podsumowanie aktualnego etapu projektu RSIM
Podsumowanie aktualnego etapu projektu RSIMPodsumowanie aktualnego etapu projektu RSIM
Podsumowanie aktualnego etapu projektu RSIM
 
Modernizacja istniejących oraz wdrożenie nowych szpitalnych systemów informat...
Modernizacja istniejących oraz wdrożenie nowych szpitalnych systemów informat...Modernizacja istniejących oraz wdrożenie nowych szpitalnych systemów informat...
Modernizacja istniejących oraz wdrożenie nowych szpitalnych systemów informat...
 
Od założeń do realizacji czyli łódzkie eZdrowie na finiszu
Od założeń do realizacji czyli łódzkie eZdrowie na finiszuOd założeń do realizacji czyli łódzkie eZdrowie na finiszu
Od założeń do realizacji czyli łódzkie eZdrowie na finiszu
 
eWUŚ - Minął rok...
eWUŚ - Minął rok...eWUŚ - Minął rok...
eWUŚ - Minął rok...
 
Wdrażanie hurtowni danych jako integralnego komponentu Projektu P1 - perspekt...
Wdrażanie hurtowni danych jako integralnego komponentu Projektu P1 - perspekt...Wdrażanie hurtowni danych jako integralnego komponentu Projektu P1 - perspekt...
Wdrażanie hurtowni danych jako integralnego komponentu Projektu P1 - perspekt...
 
Compu Group Medical (CGM) - Prezentacja firmy
Compu Group Medical (CGM) - Prezentacja firmy Compu Group Medical (CGM) - Prezentacja firmy
Compu Group Medical (CGM) - Prezentacja firmy
 
Wykonanie infrastruktury sieciowej w zakładach opieki zdrowotnej podległych S...
Wykonanie infrastruktury sieciowej w zakładach opieki zdrowotnej podległych S...Wykonanie infrastruktury sieciowej w zakładach opieki zdrowotnej podległych S...
Wykonanie infrastruktury sieciowej w zakładach opieki zdrowotnej podległych S...
 
Realizacja przez Konsorcjum: Arcus/Action/APN Promise projektu RSIM
Realizacja przez Konsorcjum: Arcus/Action/APN Promise projektu RSIMRealizacja przez Konsorcjum: Arcus/Action/APN Promise projektu RSIM
Realizacja przez Konsorcjum: Arcus/Action/APN Promise projektu RSIM
 
Informatyzacja ochrony zdrowia
Informatyzacja ochrony zdrowiaInformatyzacja ochrony zdrowia
Informatyzacja ochrony zdrowia
 
Stan wdrażania internetowego konta pacjenta
Stan wdrażania internetowego konta pacjentaStan wdrażania internetowego konta pacjenta
Stan wdrażania internetowego konta pacjenta
 
Stan wdrażania internetowego konta pacjanta jako integralnego komponentu proj...
Stan wdrażania internetowego konta pacjanta jako integralnego komponentu proj...Stan wdrażania internetowego konta pacjanta jako integralnego komponentu proj...
Stan wdrażania internetowego konta pacjanta jako integralnego komponentu proj...
 
Stan przygotowań do wdrożenia elektronicznej dokumentacji medycznej perspek...
Stan przygotowań do wdrożenia elektronicznej dokumentacji medycznej   perspek...Stan przygotowań do wdrożenia elektronicznej dokumentacji medycznej   perspek...
Stan przygotowań do wdrożenia elektronicznej dokumentacji medycznej perspek...
 
Rozwiązania w zakresie e zdrowia - województwo kujawsko-pomorskie
Rozwiązania w zakresie e zdrowia - województwo kujawsko-pomorskieRozwiązania w zakresie e zdrowia - województwo kujawsko-pomorskie
Rozwiązania w zakresie e zdrowia - województwo kujawsko-pomorskie
 

Ochrona danych medycznych – na dyskach, laptopach i udziałach sieciowych

  • 1. Ochrona danych medycznych na dyskach, laptopach i udziałach sieciowych Maciej Iwanicki 1
  • 3. Ochrona danych medycznych - ochrona danych wrażliwych • Ochrona danych osobowych • Ochrona tajemnicy lekarskiej • Ochrona elektronicznej dokumentacji medycznej 3
  • 5. 5
  • 8. Szyfrowanie informacji Systemy medyczne Centrum danych Oddziały Punkty medyczne Ludzie Recepcja
  • 9. Ochrona danych na dysku oraz urządzeniach USB Sytuacja Rozwiązanie Wynik Zgubienie/kradzież komputera lub klucza USB gdzie znajdują się informacje o pacjentach. Symantec Drive Encryption: szyfruje dane na laptopach, desktopach oraz kluczach USB (integracja z DLP). Laptop został zaszyfrowany i dane znajdujące się na nim będą niedostępne dla osób nieupoważnionych. Przekazywanie sprzętu do naprawy. Wycofanie komputera z eksploatacji. Ponieważ dane były zaszyfrowane, byd może nie będzie potrzeby raportowad o utracie danych. 9
  • 10. Ochrona plików na komputerach i serwerach Sytuacja Rozwiązanie Wynik Dokumentacja medyczna/wyniki medyczne przechowywane na serwerze plików lub komputerach - do których osoby nieuprawnione nie powinni mied dostępu. Symantec File Share Encryption: Szyfruje pliki oraz foldery zarówno przechowywane lokalnie jaki i na udziałach sieciowych (integracja z DLP). Wszystkie dane przetrzymywane na komputerach oraz na udziałach sieciowych są zaszyfrowane. Dostęp do danych uzyskują tylko wskazane osoby. 10
  • 11. Ochrona wiadomości pocztowych Sytuacja Rozwiązanie Wynik Wymiana wiadomości pocztowych zawierających dokumentację medyczną – brak możliwości podglądnięcia wiadomości przez osoby niepowołane. Symantec Desktop Email Encryption lub Gateway Email: szyfruje/deszyfruje wiadomości pocztowe na desktopie lub też na wyjściu wiadomości z sieci (integracja z DLP). Wiadomości pocztowe zabezpieczone są przed opuszczeniem komputera. Administratorzy pocztowi nadal mają do nich dostęp na serwerze pocztowym, ale nie mogą ich odczytad. Kopia zapasowa wiadomości z serwera tez jest zabezpieczona. 11
  • 12. Ochrona kopii danych Sytuacja Rozwiązanie Wynik Transport kopii bezpieczeostwa poza siedzibę szpitala/jednostki medycznej. Symantec PGP Command Line: szyfruje/deszyfruje pliki z linii komend – umożliwia integrację z innymi aplikacjami medycznymi. Pliki kopii bezpieczeostwa pozostają zaszyfrowane. Wymiana plików lub informacji elektronicznych poprzez niezabezpieczone protokoły, np. ftp. Pliki przesyłane w sieci są również zaszyfrowane, niedostępne dla osób nie posiadających właściwego klucza. 12
  • 13. Dodatkowy klucz deszyfrujący • Czym jest DKD? – Zapewnia alternatywną metodę odszyfrowywania jeśli użytkownik jest niedostępny Alicja Administratorzy danych Kierownicy placówki 13
  • 14. Ochrona danych medycznych poprzez system Data Loss Prevention 14
  • 15. Czym jest Data Loss Prevention (DLP)? 15
  • 16. Rozwiązanie Symantec chroni to co istotne Informacje o pacjentach Informacje jednostki medycznej Karty kredytowe Własnośd intelektualna Dokumentacja medyczna M&A i strategia Dane osobowe Badania Materiały finansowe Dane kadrowe 16
  • 17. Jak działa Symantec DLP Polityka chroniąca przed wyciekiem danych Detekcja Odpowiedź Zawartość Kontekst Akcja Powiadomienie Dane osobowe Kto? Poinformuj Użytkownik Dane medyczne Co? Uzasadnij Bezpieczeostwo Zdjęcia np. RTG Gdzie? Zaszyfruj Eskaluj Zapobiegnij Znajdz to. Napraw to. 17
  • 19. DLP to ludzie Tomasz N. Nierozważny użytkownik wewnętrzny SYTUACJA: Dane o pacjentach w niewłaściwym miejscu Detekcja i odpowiedź Odpowiedź DLP Problem Tomasz przypadkowo zapisuje dane osobowe/dane medyczne na niechronionym udziale sieciowym Tomasz przechowuje na swoim komputerze dane, które nie powinny się tam znajdowad Network/Endpoint Discover skanując znajduje wyeksponowane dane osobowe, Data Insight identyfikuje Tomasza jako właściciela danych Akcja Network/Endpoint Protect może: • Poinformowad Tomasza • Zaszyfrowad dane • Przenieśd dane Wynik Zabezpiecz swoje najbardziej wrażliwe dane – zatrzymaj złośliwego użytkownika przed ich znalezieniem Nie przechowuj danych o istotnym znaczeniu w miejscach do tego nieprzeznaczonych Szeroki zasięg skanowania danych Identyfikacja właściciela Szyfrowanie Naprawa przez właściciela 19
  • 20. DLP to ludzie Katarzyna W. Nierozważny użytkownik wewnętrzny Sytuacja: Kopiowanie danych poufnych na urządzenie przenośne Edukacja pracowników Detekcja i odpowiedź Problem Katarzyna kopiuje dane medyczne na urządzenie przenośne Katarzyna próbuje nieświadomie wysład dane poufne Odpowiedź DLP Agent na komputerze analizuje informacje na podstawie polityk Akcja Monitorowanie, zapisanie zdarzenia, powiadomienie Automatycznie zaszyfruj korzystając z szyfrowania Wynik Automatycznie zaszyfrowany plik Zrozumienie dokąd wędrują dane Zmiana zachowania użytkownika Lekki agent Zaufane urządzenie Polityki per grupa Automatyczne szyfrowanie 20
  • 21. DLP to ludzie Anna L. Użytkownik wewnętrzny o złych intencjach SYTUACJA: Próba kopiowania danych medycznych Detekcja i odpowiedź Problem Niezadowolony lub odchodzący pracownik kopiuje lub udostępnia dane medyczne poprzez email lub urządzenia zewnętrzne Odpowiedź DLP DLP monitoruje komputer i aktywnośd sieciową Akcja Wynik Informuje (ostrzega) użytkownika o jego czynach Dane medyczne nie opuszczają jednostki medycznej. Informuje przełożonego, bezpieczeostwo, i/lub kadry Ludzie wiedzą, że są monitorowani Zatrzymuje transmisje lub kopiowanie Ciągłe monitorowanie PC Własne komunikaty Eskalacja incydentu Usunięcie zawartości 21
  • 22. Podsumowując Idealne połącznie: DLP i szyfrowanie Brama DLP: Znajdź Urządzenia zewnętrzne Szyfrowanie: Napraw Pliki, foldery 22
  • 24. Architektura referencyjna dla opieki zdrowotnej 24
  • 25. Pytania? Thank you! Dziękuję! Maciej Iwanicki Maciej_Iwanicki@symantec.com Copyright © 2013 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. 25

Hinweis der Redaktion

  1. Sum it up!So almost half of all corporate data resides on mobile devices (laptops, tablets, smart phones, flash devices, portable HDs, etc)1/3 didn’t report the loss of a device in a timely manner (bottom right corner)1 in 10 devices were lost (middle right column)12k laptops lost per week in airports (bottom row from the left)It’s simply not a case of if a device containing organization data is going to be lost or stolen, but rather when it will be lost or stolen!
  2. Slide ObjectiveDiscuss how DLP works to find and clean up “data spills”.This slide: A well meaning insider copying data to a removable storage device.ScriptOne of the other concerns that people have is the vast amount of confidential data stored out on shared network storage and how to prevent that from being exposed to both insiders and outsiders that shouldn’t have access to it. Overly permissive access to confidential data is big problem.[Click]In this example Charles has part of a team writing software and to make it easy to share the file with a colleague, he puts it on a shared department drive, but forgets to remove it.[Click]Charles company has deployed Symantec’s Network Discover which goes out and scans all the network files including email servers, groupware servers, databases and corp websites to find files that match DLP policy. They also use Data Insight, an exclusive Symantec technology that I’ll discuss in more detail in a minute. They’ve also deployed Network Protect, which is the DLP “Fix” capability that complements Network Discover’s “Find” capability.[Click]First, like always, DLP can simply record the fact that an exposed file exists, but the real power of DLP kicks in when you leverage Network Protect to clean up the exposed network data. Because Data Insight has told us that Charles is the owner of the file (because he uses it most often) we’re able to automatically generate an email to Charles telling him of the situation and asking him to move the file—we call this Data Owner Remediation. We can also leverage our FlexResponse feature to encrypt the file via NetShare encryption—as well as use FlexResponse to do any number of custom actions including automatically applying ERM from Oracle, Liquid Machines, GigaTrust of Microsoft.[Click]The result is that Charles learns from the DLP system via the customized email notification that he’s left confidential data in an unprotected location. DLP can also automate protecting the file by moving it for Charles, or by encrypting it. Cleaning up confidential information out on the network is the key to stopping malicious theft. We know that people and malware who are out to steal IP can be very methodical about scanning the network to find confidential data – and DLP can be used to help stop theft by ensuring that confidential data is out of their reach.[Click]The advantages that Symantec brings to protecting confidential data on your network include: We scan the broadest range of file systems With our Data Insight technology, we’re the only DLP provider that identifies the owner of a file based on usage. Like our network and endpoint DLP capability, we can automatically encrypt a file as part of the DLP scanning process. Finally – Symantec is the only provider that brings end user notifications to data stored out on the network, by combining Data Insight owner ID and email notification capability.
  3. Slide ObjectiveDiscuss how DLP works on the endpoint to help well meaning insiders protect confidential data.This slide: A well meaning insider copying data to a removable storage device.ScriptI just talked about email, now here’s another typical way confidential data leaves the organization—on removable storage devices.[Click]In my example here, we have Sanjay from the finance department. Sanjay like many others is using a removable storage device to take work with him – in this case it’s pre released financial results, but it could be any confidential financial data. Sanjay’s going to copy the .xls file by dragging and dropping to the removable device.[Click]Before the file is copied to the device, the DLP agent on the PC intercepts the file and analyzes it against the DLP policies. For all DLP modules, detection policies are developed and then can be applied to all detection devices. In this case, the DLP policy has detected corp financials being copied to the storage device – and so any one of a number of actions can occur based on the “response” rules associated with that policy and that user.[Click]The endpoint agent is very flexible in terms of the type of responses it can deliver to the user. I’ll outline a few. First, like always, DLP can simply record the fact that an event took place – and this is how many customers choose to use it. But DLP can be a very powerful tool to alter end user behavior when you choose to implement notifications, or end user pop-ups. I this case, Sanjay could receive a pop up advising him to to copy confidential data to unprotected devices, or he could even be asked to justify his actions. The policy could also specify only certain USB devices as “trusted” devices that are authorized to receive confidential data. The response rule can specify that the file be encrypted with Symantec Endpoint Encryption as it’s written to the device. DLP can also apply different response rules to different groups of people.[Click]The result is that Sanjay learns from the DLP system how to better handle confidential data based on live feedback, and in doing so, leads to a reduction in risk. DLP can also automate encryption to ensure that when confidential data is copied to removable storage that’s its always encrypted.[Click]The advantages that Symantec brings to protecting confidential data from leaving the endpoint include: The agent itself is lightweight, and is used today by millions of DLP users, our largest endpoint DLP covers hundreds of thousands of users Trusted device support means you can let users have the freedom to use these devices while maintaining control of a corporate standard – for example allow only devices that you know enforce hardware encryption, or limit the use of devices to only selected individuals. Apply group-based policies, so that you don’t have to treat everyone equally – you can give different data handling rights to different departments. Finally – Symantec an automated removable storage encryption solution when you team DLP with Symantec Endpoint Encryption.
  4. Slide ObjectiveDiscuss how DLP works to help stop malicious insiders from removing confidential data when they leave the company.This slide: A malicious insider trying to copy data onto a USB or emailing over the web.ScriptWhile the well-meaning insider still represents the majority of data loss risk, we know that the malicious insider is on your mind as well. In fact, we did a study with the Ponemon Institute that found, 59% of employees who left or were asked to leave took company data with them. Moreover, 79% of these respondents admitted that their former employer did not permit them to leave with that data. The study found that 67% of the respondents “used their former company’s confidential, sensitive or proprietary information to leverage a new job.” In addition, approximately 68% of the respondents planned to use such information as “email lists, customer contact lists, and employee records” that they took from their employer.[Click]So in this example, we see Mimi who works for a staffing firm, who’s thinking about leaving, and wants to make sure she takes her client lists as well as a copies of resumes that she thinks are particularly promising candidates, she’s going to try to email these to here home email account.[Click]But Mimi’s organization uses Endpoint DLP to monitor all data exiting the PC so when she tried to copy the data to her thumb drive, she got a warning that she was out of compliance. So Mimi tried the next best thing – emailing the data to her home Gmail account.[Click]But unfortunately for Mimi. The DLP system stripped out the confidential data from the email and removed the attachment that had the resumes. It also sent an email to her boss that she was trying to copy the data and to send it to here personal Gmail account.[Click]This gave Mimi’s boss a chance to have a chat with her before she could leave with valuable corporate information assets. [Click]The advantages that Symantec brings to protecting against the malicious insider include: Continuous coverage 24/7 when the Endpoint agent is used to protect PCs Support for iPad (I’ll tell you more about this in a minute) Custom pop-ups in multiple languages let the end user understand their actions are being monitored The ability to strip confidential content from web postings including personal email like Gmail and Yahoo!
  5. Data Leakage Prevention (DLP)Encrypt sensitive information on removable devicesEnsure that sensitive data is not stored unencryptedEncrypt sensitive data on file sharesEncrypt outbound email containing sensitive information