Ochrona danych medycznych – na dyskach, laptopach i udziałach sieciowych


Published on

Published in: Health & Medicine
  • Be the first to comment

  • Be the first to like this

No Downloads
Total views
On SlideShare
From Embeds
Number of Embeds
Embeds 0
No embeds

No notes for slide
  • Sum it up!So almost half of all corporate data resides on mobile devices (laptops, tablets, smart phones, flash devices, portable HDs, etc)1/3 didn’t report the loss of a device in a timely manner (bottom right corner)1 in 10 devices were lost (middle right column)12k laptops lost per week in airports (bottom row from the left)It’s simply not a case of if a device containing organization data is going to be lost or stolen, but rather when it will be lost or stolen!
  • Slide ObjectiveDiscuss how DLP works to find and clean up “data spills”.This slide: A well meaning insider copying data to a removable storage device.ScriptOne of the other concerns that people have is the vast amount of confidential data stored out on shared network storage and how to prevent that from being exposed to both insiders and outsiders that shouldn’t have access to it. Overly permissive access to confidential data is big problem.[Click]In this example Charles has part of a team writing software and to make it easy to share the file with a colleague, he puts it on a shared department drive, but forgets to remove it.[Click]Charles company has deployed Symantec’s Network Discover which goes out and scans all the network files including email servers, groupware servers, databases and corp websites to find files that match DLP policy. They also use Data Insight, an exclusive Symantec technology that I’ll discuss in more detail in a minute. They’ve also deployed Network Protect, which is the DLP “Fix” capability that complements Network Discover’s “Find” capability.[Click]First, like always, DLP can simply record the fact that an exposed file exists, but the real power of DLP kicks in when you leverage Network Protect to clean up the exposed network data. Because Data Insight has told us that Charles is the owner of the file (because he uses it most often) we’re able to automatically generate an email to Charles telling him of the situation and asking him to move the file—we call this Data Owner Remediation. We can also leverage our FlexResponse feature to encrypt the file via NetShare encryption—as well as use FlexResponse to do any number of custom actions including automatically applying ERM from Oracle, Liquid Machines, GigaTrust of Microsoft.[Click]The result is that Charles learns from the DLP system via the customized email notification that he’s left confidential data in an unprotected location. DLP can also automate protecting the file by moving it for Charles, or by encrypting it. Cleaning up confidential information out on the network is the key to stopping malicious theft. We know that people and malware who are out to steal IP can be very methodical about scanning the network to find confidential data – and DLP can be used to help stop theft by ensuring that confidential data is out of their reach.[Click]The advantages that Symantec brings to protecting confidential data on your network include: We scan the broadest range of file systems With our Data Insight technology, we’re the only DLP provider that identifies the owner of a file based on usage. Like our network and endpoint DLP capability, we can automatically encrypt a file as part of the DLP scanning process. Finally – Symantec is the only provider that brings end user notifications to data stored out on the network, by combining Data Insight owner ID and email notification capability.
  • Slide ObjectiveDiscuss how DLP works on the endpoint to help well meaning insiders protect confidential data.This slide: A well meaning insider copying data to a removable storage device.ScriptI just talked about email, now here’s another typical way confidential data leaves the organization—on removable storage devices.[Click]In my example here, we have Sanjay from the finance department. Sanjay like many others is using a removable storage device to take work with him – in this case it’s pre released financial results, but it could be any confidential financial data. Sanjay’s going to copy the .xls file by dragging and dropping to the removable device.[Click]Before the file is copied to the device, the DLP agent on the PC intercepts the file and analyzes it against the DLP policies. For all DLP modules, detection policies are developed and then can be applied to all detection devices. In this case, the DLP policy has detected corp financials being copied to the storage device – and so any one of a number of actions can occur based on the “response” rules associated with that policy and that user.[Click]The endpoint agent is very flexible in terms of the type of responses it can deliver to the user. I’ll outline a few. First, like always, DLP can simply record the fact that an event took place – and this is how many customers choose to use it. But DLP can be a very powerful tool to alter end user behavior when you choose to implement notifications, or end user pop-ups. I this case, Sanjay could receive a pop up advising him to to copy confidential data to unprotected devices, or he could even be asked to justify his actions. The policy could also specify only certain USB devices as “trusted” devices that are authorized to receive confidential data. The response rule can specify that the file be encrypted with Symantec Endpoint Encryption as it’s written to the device. DLP can also apply different response rules to different groups of people.[Click]The result is that Sanjay learns from the DLP system how to better handle confidential data based on live feedback, and in doing so, leads to a reduction in risk. DLP can also automate encryption to ensure that when confidential data is copied to removable storage that’s its always encrypted.[Click]The advantages that Symantec brings to protecting confidential data from leaving the endpoint include: The agent itself is lightweight, and is used today by millions of DLP users, our largest endpoint DLP covers hundreds of thousands of users Trusted device support means you can let users have the freedom to use these devices while maintaining control of a corporate standard – for example allow only devices that you know enforce hardware encryption, or limit the use of devices to only selected individuals. Apply group-based policies, so that you don’t have to treat everyone equally – you can give different data handling rights to different departments. Finally – Symantec an automated removable storage encryption solution when you team DLP with Symantec Endpoint Encryption.
  • Slide ObjectiveDiscuss how DLP works to help stop malicious insiders from removing confidential data when they leave the company.This slide: A malicious insider trying to copy data onto a USB or emailing over the web.ScriptWhile the well-meaning insider still represents the majority of data loss risk, we know that the malicious insider is on your mind as well. In fact, we did a study with the Ponemon Institute that found, 59% of employees who left or were asked to leave took company data with them. Moreover, 79% of these respondents admitted that their former employer did not permit them to leave with that data. The study found that 67% of the respondents “used their former company’s confidential, sensitive or proprietary information to leverage a new job.” In addition, approximately 68% of the respondents planned to use such information as “email lists, customer contact lists, and employee records” that they took from their employer.[Click]So in this example, we see Mimi who works for a staffing firm, who’s thinking about leaving, and wants to make sure she takes her client lists as well as a copies of resumes that she thinks are particularly promising candidates, she’s going to try to email these to here home email account.[Click]But Mimi’s organization uses Endpoint DLP to monitor all data exiting the PC so when she tried to copy the data to her thumb drive, she got a warning that she was out of compliance. So Mimi tried the next best thing – emailing the data to her home Gmail account.[Click]But unfortunately for Mimi. The DLP system stripped out the confidential data from the email and removed the attachment that had the resumes. It also sent an email to her boss that she was trying to copy the data and to send it to here personal Gmail account.[Click]This gave Mimi’s boss a chance to have a chat with her before she could leave with valuable corporate information assets. [Click]The advantages that Symantec brings to protecting against the malicious insider include: Continuous coverage 24/7 when the Endpoint agent is used to protect PCs Support for iPad (I’ll tell you more about this in a minute) Custom pop-ups in multiple languages let the end user understand their actions are being monitored The ability to strip confidential content from web postings including personal email like Gmail and Yahoo!
  • Data Leakage Prevention (DLP)Encrypt sensitive information on removable devicesEnsure that sensitive data is not stored unencryptedEncrypt sensitive data on file sharesEncrypt outbound email containing sensitive information
  • Ochrona danych medycznych – na dyskach, laptopach i udziałach sieciowych

    1. 1. Ochrona danych medycznych na dyskach, laptopach i udziałach sieciowych Maciej Iwanicki 1
    2. 2. Ochrona danych medycznych 2
    3. 3. Ochrona danych medycznych - ochrona danych wrażliwych • Ochrona danych osobowych • Ochrona tajemnicy lekarskiej • Ochrona elektronicznej dokumentacji medycznej 3
    4. 4. Dlaczego jeszcze? 4
    5. 5. 5
    6. 6. Regulacje? Rekomendacje? 6
    7. 7. Ochrona danych medycznych poprzez szyfrowanie 7
    8. 8. Szyfrowanie informacji Systemy medyczne Centrum danych Oddziały Punkty medyczne Ludzie Recepcja
    9. 9. Ochrona danych na dysku oraz urządzeniach USB Sytuacja Rozwiązanie Wynik Zgubienie/kradzież komputera lub klucza USB gdzie znajdują się informacje o pacjentach. Symantec Drive Encryption: szyfruje dane na laptopach, desktopach oraz kluczach USB (integracja z DLP). Laptop został zaszyfrowany i dane znajdujące się na nim będą niedostępne dla osób nieupoważnionych. Przekazywanie sprzętu do naprawy. Wycofanie komputera z eksploatacji. Ponieważ dane były zaszyfrowane, byd może nie będzie potrzeby raportowad o utracie danych. 9
    10. 10. Ochrona plików na komputerach i serwerach Sytuacja Rozwiązanie Wynik Dokumentacja medyczna/wyniki medyczne przechowywane na serwerze plików lub komputerach - do których osoby nieuprawnione nie powinni mied dostępu. Symantec File Share Encryption: Szyfruje pliki oraz foldery zarówno przechowywane lokalnie jaki i na udziałach sieciowych (integracja z DLP). Wszystkie dane przetrzymywane na komputerach oraz na udziałach sieciowych są zaszyfrowane. Dostęp do danych uzyskują tylko wskazane osoby. 10
    11. 11. Ochrona wiadomości pocztowych Sytuacja Rozwiązanie Wynik Wymiana wiadomości pocztowych zawierających dokumentację medyczną – brak możliwości podglądnięcia wiadomości przez osoby niepowołane. Symantec Desktop Email Encryption lub Gateway Email: szyfruje/deszyfruje wiadomości pocztowe na desktopie lub też na wyjściu wiadomości z sieci (integracja z DLP). Wiadomości pocztowe zabezpieczone są przed opuszczeniem komputera. Administratorzy pocztowi nadal mają do nich dostęp na serwerze pocztowym, ale nie mogą ich odczytad. Kopia zapasowa wiadomości z serwera tez jest zabezpieczona. 11
    12. 12. Ochrona kopii danych Sytuacja Rozwiązanie Wynik Transport kopii bezpieczeostwa poza siedzibę szpitala/jednostki medycznej. Symantec PGP Command Line: szyfruje/deszyfruje pliki z linii komend – umożliwia integrację z innymi aplikacjami medycznymi. Pliki kopii bezpieczeostwa pozostają zaszyfrowane. Wymiana plików lub informacji elektronicznych poprzez niezabezpieczone protokoły, np. ftp. Pliki przesyłane w sieci są również zaszyfrowane, niedostępne dla osób nie posiadających właściwego klucza. 12
    13. 13. Dodatkowy klucz deszyfrujący • Czym jest DKD? – Zapewnia alternatywną metodę odszyfrowywania jeśli użytkownik jest niedostępny Alicja Administratorzy danych Kierownicy placówki 13
    14. 14. Ochrona danych medycznych poprzez system Data Loss Prevention 14
    15. 15. Czym jest Data Loss Prevention (DLP)? 15
    16. 16. Rozwiązanie Symantec chroni to co istotne Informacje o pacjentach Informacje jednostki medycznej Karty kredytowe Własnośd intelektualna Dokumentacja medyczna M&A i strategia Dane osobowe Badania Materiały finansowe Dane kadrowe 16
    17. 17. Jak działa Symantec DLP Polityka chroniąca przed wyciekiem danych Detekcja Odpowiedź Zawartość Kontekst Akcja Powiadomienie Dane osobowe Kto? Poinformuj Użytkownik Dane medyczne Co? Uzasadnij Bezpieczeostwo Zdjęcia np. RTG Gdzie? Zaszyfruj Eskaluj Zapobiegnij Znajdz to. Napraw to. 17
    18. 18. Praktyczne przykłady działania systemu DLP 18
    19. 19. DLP to ludzie Tomasz N. Nierozważny użytkownik wewnętrzny SYTUACJA: Dane o pacjentach w niewłaściwym miejscu Detekcja i odpowiedź Odpowiedź DLP Problem Tomasz przypadkowo zapisuje dane osobowe/dane medyczne na niechronionym udziale sieciowym Tomasz przechowuje na swoim komputerze dane, które nie powinny się tam znajdowad Network/Endpoint Discover skanując znajduje wyeksponowane dane osobowe, Data Insight identyfikuje Tomasza jako właściciela danych Akcja Network/Endpoint Protect może: • Poinformowad Tomasza • Zaszyfrowad dane • Przenieśd dane Wynik Zabezpiecz swoje najbardziej wrażliwe dane – zatrzymaj złośliwego użytkownika przed ich znalezieniem Nie przechowuj danych o istotnym znaczeniu w miejscach do tego nieprzeznaczonych Szeroki zasięg skanowania danych Identyfikacja właściciela Szyfrowanie Naprawa przez właściciela 19
    20. 20. DLP to ludzie Katarzyna W. Nierozważny użytkownik wewnętrzny Sytuacja: Kopiowanie danych poufnych na urządzenie przenośne Edukacja pracowników Detekcja i odpowiedź Problem Katarzyna kopiuje dane medyczne na urządzenie przenośne Katarzyna próbuje nieświadomie wysład dane poufne Odpowiedź DLP Agent na komputerze analizuje informacje na podstawie polityk Akcja Monitorowanie, zapisanie zdarzenia, powiadomienie Automatycznie zaszyfruj korzystając z szyfrowania Wynik Automatycznie zaszyfrowany plik Zrozumienie dokąd wędrują dane Zmiana zachowania użytkownika Lekki agent Zaufane urządzenie Polityki per grupa Automatyczne szyfrowanie 20
    21. 21. DLP to ludzie Anna L. Użytkownik wewnętrzny o złych intencjach SYTUACJA: Próba kopiowania danych medycznych Detekcja i odpowiedź Problem Niezadowolony lub odchodzący pracownik kopiuje lub udostępnia dane medyczne poprzez email lub urządzenia zewnętrzne Odpowiedź DLP DLP monitoruje komputer i aktywnośd sieciową Akcja Wynik Informuje (ostrzega) użytkownika o jego czynach Dane medyczne nie opuszczają jednostki medycznej. Informuje przełożonego, bezpieczeostwo, i/lub kadry Ludzie wiedzą, że są monitorowani Zatrzymuje transmisje lub kopiowanie Ciągłe monitorowanie PC Własne komunikaty Eskalacja incydentu Usunięcie zawartości 21
    22. 22. Podsumowując Idealne połącznie: DLP i szyfrowanie Brama DLP: Znajdź Urządzenia zewnętrzne Szyfrowanie: Napraw Pliki, foldery 22
    23. 23. Dlaczego Symantec? 23
    24. 24. Architektura referencyjna dla opieki zdrowotnej 24
    25. 25. Pytania? Thank you! Dziękuję! Maciej Iwanicki Maciej_Iwanicki@symantec.com Copyright © 2013 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. 25