La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Mercredi 27 Avril 2011 Solutions pour une gouvernance efficace Bernard Montel - Directeur Technique RSA, Division Sécurité dEMC.

Présentations similaires


Présentation au sujet: "Mercredi 27 Avril 2011 Solutions pour une gouvernance efficace Bernard Montel - Directeur Technique RSA, Division Sécurité dEMC."— Transcription de la présentation:

1 Mercredi 27 Avril 2011 Solutions pour une gouvernance efficace Bernard Montel - Directeur Technique RSA, Division Sécurité dEMC

2 Ère de lentreprise hyper-étendue 2 Entreprise Hyper étendue Environnement Complexe en terme de Risque, Sécurité et Conformité Supply Chain Consumérisation de lIT Services Cclients Innovation Collaboration Extension des Identités Explosion de lInformation Evolution de lInfrastructure Augmentation des Réglementations Virtualization et Cloud Computing

3 Répondres aux défis de nos clients Prouver la Conformité de manière cohérente et économique Sécuriser la Virtualisation & le Cloud Computing Accès Sécurisé pour une Mobilité & une Collaboration accrues Gérer le risques et les menaces à travers toute lentreprise 3

4 Répondres aux défis de nos clients Prouver la Conformité de manière cohérente et économique PCI-DSS Réduire les coûts, réduire le périmètre 4

5 5 Lapproche EMC pour répondre aux défis de nos clients

6 La GRC – Analogie avec lapplication des lois Gouvernance = Etablir les règles Risque= Sassurer que les bonnes règles sont en place et fonctionnent Conformité = Mesurer lefficacité dune règle – Comprendre le processus utilisé pour définir la règle – Comprendre si les personnes adhèrent parfaitement à la règle

7 Best Practices dEMC Consulting/Implementation Lapproche eGRC dEMC Business Continuity Information Governance GRC Business Solutions Security Management Plate-forme de gestion RSA Archer eGRC

8 Reprise totale des systèmes et passation de tous les tests en xx heures Plan de Continuité et de Reprise dActivité Panne du système IT 1 1 Des sites de Back-up et network recovery pout continuer lactivité sur une autre localisation et daccéder aux plans BC/DR hébergés dans Archer. 2 2 Les systèmes sont à nouveau en ligne et les détenteurs dapplications démarrent les procédures de reprise/test stockées sur Archer LIT travaille avec les Business Units pour sassurer que les systèmes sont via des plans de test et supervise la progression Toute révision du processus de reprise peut être mise à jour et centralisée dans Archer pour utilisation future. 6 6

9 Compliance Management Documenter votre modèle de contrôle, évaluer son efficacité Policy Management Gérer Centralement les politiques, les rapprocher des objectifs. Threat Management Suivre les menaces avec un système centralisé dalertes. Enterprise Management Gérer les actifs de lentreprise Risk Management Identifier les risques pour votre activité, les mesurer. Incident Management Rapporter les incidents et les violations déthique, gérer leur escalade, suivre leur investigations et analyser leurs résolutions. Business Continuity Management Automatiser lapproche de la continuité dactivité et le planning de la reprise. Audit Management Gérer Centralement le planning, la priorité, les équipes et procédures daudits. Vendor Management Centraliser les données fournisseurs, et assurer la conformité avec vos politiques et contrôles. RSA Archer Solution de Gouvernance, Risque & Conformité pour lentreprise

10 10 Une Approche Flexible Import de données Incidents, Ressources, Processus, Scans de Vulnérabilité

11 Gestion de la conformité et des Incidents

12 Des exigences de conformité croissantes 12 PCI DSS ISO ITIL COBIT Nous lavons fait pour SOX, puis PCI. Mais je fais face à de plus en plus de réglementations. Nous avons besoin dun moyen plus efficace de gérer la conformité vis à vis de multiples réglementations et standards. Contrôles Internes et Politique de Sécurité Prévision daugmentation des réglementations

13 Impacts Business Les initiatives de conformité sont traitées comme des projets individuels Les managers ont du mal à prioriser les menaces en fonction de leur impact sur le business. Les données de conformité sont réparties sur de multiples silos Les exceptions à la politique ne sont pas suivies et exposent un risque Le reporting de conformité est stocké dans des feuilles Excel et ne représente quun moment précis

14 Construire votre programme dIT-GRC 14 Réglementations Objectifs Business Frameworks Lois Gérer Centralement les politiques, les rapprocher des objectifs et feuilles de route, et promouvoir leur connaissance pour encourager une culture de gouvernance dentreprise PCI SOLVENCY II PHI Rapporter les incidents et les violations déthique, gérer leur escalade, suivre leurs investigations et analyser leurs résolutions.

15 Comment nous procédons – Solutions RSA Archer IT-GRC 15 Rapprocher des sources qui font autorité Exploiter les standards de Best-Practice de Contrôle Créer les politiques Documenter les Procédures de contrôle Communiquer aux Employés Traquer les demandes dException RSA Archer Policy Management Gérer Centralement les politiques, les rapprocher des objectifs et feuilles de route, et promouvoir leur connaissance pour encourager une culture de gouvernance dentreprise. La solution [RSA] Archer Policy Management nous fournit un outil encore plus complet pour gérer efficacement les standards et réglementations pendant que nous continuons à maintenir le plus haut niveau de conformité de notre entreprise et pour nos clients. Senior VP of Information Security, Financial Services Client

16 Comment nous procédons – Solutions RSA Archer IT-GRC 16 Résoudre les Incidents Produire des rapports sur les tendances dIncident Identifier les Incidents Evaluer les Incidents Gérer les Investigations Traquer les Procédures de réponse Nous sommes maintenant capables de traquer automatiquement tous les incidents relatifs à la confidentialité et toute information qui pourrait être mal utilisée. Notre équipe de confidentialité peut aisément rechercher, traquer le statut et produire des rapport avec la solution RSA Archer incident tracking solution. Information Security Consultant, Insurance Client RSA Archer Incident Management Report Rapporter les incidents et les violations déthique, gérer leur escalade, suivre leurs investigations et analyser leurs résolutions.

17 Cas dutilisation RSA Incident Management ContextPolicy SIEM / DLP Données Formatées XML sortant de enVision Task Triage – détails sur les Incident avec notes associées Integration Framework Alimentation temps – vers Archer des incidents pour le suivi de la conformité Incident Dashboards and Workflow Les Incidents sont assignés à des files dattente, un workflow automatise le processus de gestion du case. Des métriques sont remontées dan un Tableaux de bord dirigeants Nous avons économisé 1,500 Heures par mois grâce à lintégration. Source: EMC CIRC Enterprise and Policy Mgr Les alertes enVision sont mises en contexte avec les actifs, risques, processus, équipes, etc. de lentreprise

18 Employee Business Continuity & Incident Management Use Case #3 Critical Application Crash Recovery Help Desk Manual Incident Creation Communication to all employees Business Continuity Team Qualify severity, Provide recovery procedure Staff Close Incident IT Auto Incident Creation Request Business Continuity Support Major Site Crash Auto detection Notification of application problem Communication to all employees Get Procedure from Archer Execute Procedure Recover Crash Notify Major Site Up Again

19 PCI-DSS Réduire les coûts, réduire le périmètre

20 Le Cycle de vie de la conformité PCI Objectif : définir le périmètre Impact : évaluer limpact Dommages : perte ou fuite de données sensibles Pertes : Image avantages compétifis Effort: Audit réguliers Cout : élevé et difficile à maintenir Etre conforme à la norme Sécuriser les Données sensibles Maintenir le niveau de sécurité Maintenir la sécurité et gouverner la mise en Conformité Données bancaires et associées PCI

21 21 Améliorer la sécurité des données des cartes de paiement

22 Quelle solution pour réduire le périmètre PCI-DSS ? RSA Data Protection Manager Protection de la donnée de bout-en-bout Augmenter la sécurité de la donnée Réduire le coût opérationnel Données sensible et séquestre des clés Permissions daccès Le cycle de vie des clés et des tokens alias Sur lensemble du périmètre PROTEGERRENFORCERGERERETENDRE

23 Quelle solution ? RSA Data Protection Manager RSA Data Protection Manager Chiffrement applicatif Protection de bout-en- bout Performances reconnues (RSA BSAFE) Support de nombreux algorithmes Protection de bout-en- bout Performances reconnues (RSA BSAFE) Support de nombreux algorithmes Tokenization Protection de bout-en- bout Format de donnée préservé Format de token alias paramétrable Protection de bout-en- bout Format de donnée préservé Format de token alias paramétrable Chiffrement données résidentes Gestion de clés mutualisée dans lentreprise Replication automatique Sequestre des clés Gestion de clés mutualisée dans lentreprise Replication automatique Sequestre des clés

24 Protéger Réduction du périmètre PCI par tokenisation Valeur originale Tokenization KJaSA^)(#E&HLghrS$ Lja(*&gfbe$%634Hdc Chiffrement RSA Data Protection Manager Capacité doffrir une solution hybride pour des deploiements ayant besoin de chiffrement et de tokenisation : RSA Data Protection Manager

25 Gérer Le cycle de vie des clés et des tokens alias Data Protection Manager prend en compte la génération, distribution, et lensemble de la gestion du cycle de vie des clés et tokens RSA DPM Génération de clés et token sécurisée Distribution sécurisée aux applications La rotation des clés et des tokens nest pas seulement nécessaire pour la mise en conformité, mais augmente également la sécurité en réduisant lexposition des données Actif désactivé compromis suprrimé

26 Tokenization versus chiffrement avec RSA DPM Ou : comment réduire le périmètre de sensibilité TokenizationChiffrement Performance Modèle centralisé – plus deffort u niveau serveur Modème distribué - certaines commandes de protection peuvent être executée au niveau du client Utilisation Off- line Necessite une connection établie avec le serveur Peut être executé sans connection au serveur pour une courte durée Opération fléxible Le format des tokens peut être facilement paramétrable Les utilisateurs nont pas le contrôle du format de la donnée chiffrée Impact sur le déploiement Préservation du format de la donnée. Pas dimpact sur la structure des bases de données Le format des données chiffrées change et doit être manipulé avec attention Utilisation de la donnée protégée Dautres applications peuvent utiliser une partie de la donnée du token Les utilisateurs nont pas le contrôle du format de la donnée chiffrée

27 Protéger les données financières de ses clients résidentes dans le DataCenter Conformité A Payment Card Industry Data Security Standard (PCI DSS) Une société Internationale de Transport de colis et lettres a choisit RSA Data Protection Manager pour protéger les données sensibles et réduire le coût de mise en conformité Référence RSA Data Protection Manager avec Tokenization Gérer et réduire the le risque et le coût de mise en conformité vis-à-vis dun client dans le monde de la finance (plus de $420 Milliards dactifs) Déploiement rapide with avec une mise en production en 6 mois La solution RSA a permis de mettre en conformité ce client et dappréhender de nouveaux clients

28 Les solutions RSA pour une meilleure gestion de la conformité à PCI DSS Governance, Compliance & Risk (GRC) Platform Manage policies, audits, processes and more Data Loss Prevention Identify sensitive data & prevent leakage Security Incident & Event Management Simplify Security operations

29 Policy Exception Use Case: Archer and DLP By selecting one of these exception requests, we can see a description and additional details and by selecting the details

30 Thank you!

31 Incident Management Use Case #1 Application access request Help Desk Incident Creation Classification Response Procedure Application TeamInvestigation Team Response Procedure Resolution Incident Closure Investigation Evidence Reporting

32 Incident Creation Declare loss of Blackberry Employee Incident Management Use Case #2 Loss of a Black Berry (or Laptop or Badge or Token…) Help Desk Classification Response Procedure BlackBerry Team Deliver and Activate new BB Close Incident IT Incident statistics Risk Analysis CISO


Télécharger ppt "Mercredi 27 Avril 2011 Solutions pour une gouvernance efficace Bernard Montel - Directeur Technique RSA, Division Sécurité dEMC."

Présentations similaires


Annonces Google