Mercredi 27 Avril 2011Solutions pour une gouvernance efficace
Bernard Montel - Directeur Technique
RSA, Division Sécurité d’EMC
Ère de l’entreprise hyper-étendue
2
EntrepriseHyper étendue
Environnement Complexe en terme de
Risque, Sécurité et Conformité
Supply Chain
Consumérisation de l’IT
Services Cclients
InnovationCollaboration
Extension des Identités
Explosion de l’Information
Evolution del’Infrastructure
Augmentation desRéglementations
BUSINESS ISSUES IMPACT
Virtualization etCloud Computing
Répondres aux défis de nos clients
Prouver la Conformité de
manière cohérente et économique
Sécuriser la Virtualisation & le Cloud Computing
Accès Sécurisé pour une
Mobilité & une Collaboration
accrues
Gérer le risques et les menaces à travers toute
l’entreprise
3How?
Répondres aux défis de nos clients
Prouver la Conformité de
manière cohérente et économique
PCI-DSSRéduire les
coûts, réduire le périmètre
4How?
5
L’approche EMC pour répondre aux défis de nos clients
MENU
La GRC – Analogie avec l’application des lois
Gouvernance = Etablir les règles
Risque= S’assurer que les bonnes règles sont en place et fonctionnent
Conformité = Mesurer l’efficacité d’une règle
– Comprendre le processus utilisé pour définir la règle
– Comprendre si les personnes adhèrent parfaitement à la règle
Best Practices d’EMC Consulting/Implementation
L’approche eGRC d’EMC
Business Continuity
Information Governance
GRC Business Solutions
Security Management
Plate-forme de gestion RSA Archer eGRC
Reprise totale des systèmes et passation de tous les tests en xx
heures
Plan de Continuité et de Reprise d’Activité
Panne du système IT1
Des sites de Back-up et network recovery pout
continuer l’activité sur une autre localisation et
d’accéder aux plans BC/DR hébergés dans
Archer.
2
Les systèmes sont à nouveau en ligne et les détenteurs
d’applications démarrent les procédures de reprise/test
stockées sur Archer
L’IT travaille avec les Business Units pour s’assurer que les
systèmes sont via des plans de test et supervise la progression.
4
5
3
Toute révision du processus de reprise peut être mise à
jour et centralisée dans Archer pour utilisation future.
6
Compliance ManagementDocumenter votre modèle de
contrôle, évaluer son efficacité
Policy ManagementGérer Centralement les politiques, les
rapprocher des objectifs.
Threat ManagementSuivre les menaces avec un système centralisé d’alertes.
Enterprise ManagementGérer les actifs de l’entreprise
Risk ManagementIdentifier les risques pour votre
activité, les mesurer.
Incident ManagementRapporter les incidents et les
violations d’éthique, gérer leur escalade, suivre leur
investigations et analyser leurs résolutions.
Business Continuity ManagementAutomatiser l’approche de la
continuité d’activité et le planning de la reprise.
Audit ManagementGérer Centralement le planning,
la priorité, les équipes et procédures d’audits.
Vendor ManagementCentraliser les données
fournisseurs, et assurer la conformité avec vos politiques et
contrôles.
RSA ArcherSolution de Gouvernance, Risque & Conformité pour l’entreprise
10
Une Approche Flexible
Import de données
Incidents, Ressources, Processus, Scans de Vulnérabilité
Gestion de la conformité et des Incidents
Des exigences de conformité croissantes
12
PCI DSSISOITIL
COBIT
Nous l’avons fait pour SOX, puis
PCI. Mais je fais face à de plus en plus de réglementations. Nous avons
besoin d’un moyen plus efficace de gérer la conformité vis à vis de multiples réglementations et
standards.
”
“
Contrôles Internes et Politique de
Sécurité
Prévision d’augmentation
des réglementations
Impacts Business
Les initiatives de conformité sont traitées comme
des projets individuels
“
”
Les managers ont du mal à prioriser les
menaces en fonction de leur impact sur le
business.
“
”
Les données de conformité sont réparties sur de multiples silos
“
”
Les exceptions à la politique ne sont
pas suivies et exposent un
risque
“
”Le reporting de
conformité est stocké dans des feuilles
Excel et ne représente qu’un moment précis
“
”
Construire votre programme d’IT-GRC
14
Policy Management Incident Management
Réglementations
ObjectifsBusiness
Frameworks
Lois
Gérer Centralement les
politiques, les rapprocher des
objectifs et feuilles de route, et
promouvoir leur connaissance
pour encourager une culture de
gouvernance d’entreprise
PCI
SOLVENCY II
PHI
Rapporter les incidents et les
violations d’éthique, gérer leur
escalade, suivre leurs
investigations et analyser leurs
résolutions.
Comment nous procédons – Solutions RSA Archer IT-GRC
15
Rapprocher des sources qui font autorité
Exploiter les standards de Best-Practice de Contrôle
Créer les politiques
Documenter les Procédures de contrôle
Communiquer aux Employés Traquer les demandes d’Exception
RSA Archer Policy Management Gérer Centralement les politiques, les rapprocher des objectifs et feuilles de route, et
promouvoir leur connaissance pour encourager une culture de gouvernance d’entreprise.
“”
La solution [RSA] Archer Policy Management nous fournit un outil encore plus complet pour gérer efficacement les standards et réglementations pendant que nous continuons à maintenir le plus haut niveau de conformité de notre entreprise et pour nos clients.
Senior VP of Information Security, Financial Services Client
Comment nous procédons – Solutions RSA Archer IT-GRC
16
Résoudre les Incidents Produire des rapports sur les tendances d’Incident
Identifier les Incidents Evaluer les IncidentsGérer les
Investigations
Traquer les Procédures de réponse
“”
Nous sommes maintenant capables de traquer automatiquement tous les incidents relatifs à la
confidentialité et toute information qui pourrait être mal utilisée. Notre équipe de confidentialité peut aisément
rechercher, traquer le statut et produire des rapport avec la solution RSA Archer incident tracking solution.
Information Security Consultant, Insurance Client
RSA Archer Incident Management Report Rapporter les incidents et les violations d’éthique, gérer leur escalade, suivre leurs
investigations et analyser leurs résolutions.
Cas d’utilisation RSA Incident Management
Context Policy
SIEM / DLPDonnées Formatées XML sortant de enVision Task Triage – détails
sur les Incident avec notes associées
Integration Framework Alimentation temps – vers
Archerdes incidents pour le suivi de la
conformité
Incident Dashboards and Workflow
Les Incidents sont assignés à des files d’attente, un workflow
automatise le processus de gestion du case. Des métriques
sont remontées dan un Tableaux de bord dirigeants
“Nous avons économisé 1,500Heures par mois grâce à
l’intégration.”Source: EMC CIRC
Enterprise and Policy MgrLes alertes enVision sont mises
en contexte avec les actifs, risques, processus, équipes, etc.
de l’entreprise
Employee
Business Continuity & Incident Management Use Case #3 Critical Application Crash Recovery
Help Desk
Manual Incident Creation
Communication to all employees
Business ContinuityTeam
Qualify severity, Provide recovery procedure Staff
Close Incident
IT
Auto Incident Creation
Request Business Continuity Support
Major Site Crash
Auto detection
Notificationof application problem
Communicationto all employees
Get Procedure from ArcherExecute Procedure
Recover CrashNotify
Major Site Up Again
PCI-DSS Réduire les coûts, réduire le périmètre
Le Cycle de vie de la conformité PCI
Objectif : définir le périmètre
Impact : évaluer l’impact
Dommages : perte ou fuite de
données sensibles
Pertes : Image
avantages compétifis
Effort: Audit réguliers
Cout : élevé et
difficile à maintenir
Etre conformeà la norme
Sécuriser les Données sensibles
Maintenir le niveau de sécurité
Maintenir la sécurité et
gouverner la mise en
Conformité
Données bancaires et
associées PCI
21
Améliorer la sécurité des données des cartes de paiement
Quelle solution pour réduire le périmètre PCI-DSS ? RSA Data Protection Manager
Protection de la donnée de bout-en-bout
Augmenter la sécurité de la donnée
Réduire le coût opérationnel
Données sensible et
séquestre des clés
Permissions d’accès
Le cycle de vie des clés et des tokens “alias”
Sur l’ensemble du périmètre
PROTEGER RENFORCER GERER ETENDRE
Quelle solution ? RSA Data Protection Manager
RSA Data Protection Manager
Chiffrement applicatif
Protection de bout-en-bout
Performances reconnues (RSA BSAFE)
Support de nombreux algorithmes
Tokenization
Protection de bout-en-bout
Format de donnée préservé
Format de token “alias” paramétrable
Chiffrement données résidentes
Gestion de clés mutualisée dans
l’entreprise
Replication automatique
Sequestre des clés
Protéger Réduction du périmètre PCI par tokenisation
6011-2548-5246-7563
Valeur originale 6011-5872-6325-5564
Tokenization
KJaSA^)(#E&HLghrS$Lja(*&gf
be$%634Hdc
ChiffrementRSA Data Protection Manager
Capacité d’offrir une solution “hybride” pour des deploiements ayant besoin de chiffrement et de tokenisation : RSA Data Protection Manager
Gérer Le cycle de vie des clés et des tokens “alias”
Data Protection Manager prend en compte la génération, distribution, et l’ensemble de la gestion du cycle de vie des clés et
tokens
RSA DPM
Génération de clés et token sécurisée
Distribution sécurisée aux applications
La rotation des clés et des tokens n’est pas seulement nécessaire pour la mise en conformité, mais augmente également la sécurité en réduisant l’exposition des données
Actif
désactivé
compromis
suprrimé
Tokenization versus chiffrement avec RSA DPMOu : comment réduire le périmètre de sensibilité
Tokenization Chiffrement
Performance Modèle centralisé – plus d’effort u niveau serveur
Modème distribué - certaines commandes de protection peuvent être executée au niveau du client
Utilisation “Off-line”
Necessite une connection établie avec le serveur
Peut être executé sans connection au serveur pour une courte durée
Opération fléxible Le format des tokens peut être facilement paramétrable
Les utilisateurs n’ont pas le contrôle du format de la donnée chiffrée
Impact sur le déploiement
Préservation du format de la donnée. Pas d’impact sur la structure des bases de données
Le format des données chiffrées change et doit être manipulé avec attention
Utilisation de la donnée protégée
D’autres applications peuvent utiliser une partie de la donnée du token
Les utilisateurs n’ont pas le contrôle du format de la donnée chiffrée
Protéger les données financières de ses clients résidentes dans le DataCenter
Conformité A Payment Card Industry Data Security Standard (PCI DSS)
OBJECTIFS: SOLUTION: RESULTATS:
Une société Internationale de Transport de colis et lettres a choisit RSA Data Protection Manager pour protéger les données sensibles et réduire le coût de mise en conformité
Référence
RSA Data Protection Manager avec Tokenization
Gérer et réduire the le risque et le coût de mise en conformité vis-à-vis d’un client dans le monde de la finance (plus de $420 Milliards d’actifs)
Déploiement rapide with avec une mise en production en 6 mois
La solution RSA a permis de mettre en conformité ce client et d’appréhender de nouveaux clients
Les solutions RSA pour une meilleure gestion de la conformité à PCI DSS
Governance, Compliance & Risk (GRC) Platform
Manage policies, audits, processes and more
Data Loss Prevention
Identify sensitive data & prevent
leakage
Security Incident & Event Management
Simplify Security operations
Policy Exception Use Case: Archer and DLP
By selecting one of these exception requests, we can see a description and additional detailsand by selecting the details
Thank you!
Top Related