O Servidor FTP Fornece Conformidade Regulatória?

Em um webinar recente, "Qual é o futuro do seu FTP? ", Olhei para os principais recursos de conformidade regulatória dentro das soluções de transferência de arquivos. Os requisitos para proteger os dados que são transferidos interna ou externamente variam, mas há semelhanças entre as regulamentações do setor, leis nacionais e estaduais e especificações de segurança.

Identifiquei os grupos de controle ISO 27001 relevantes para a transferência de arquivos e mapeei-os para os seguintes regulamentos: PCI DSS, HIPAA (seção 164), SOX, Basileia II/III e FFEIC (Página do Manual do Exame).  A tecnologia de transferência de arquivos certa pode ajudar as organizações a satisfazer requisitos em uma série de controles, incluindo política, controle de acesso, criptografia e continuidade de negócios.

Avaliação de riscos justifica gastos

Uma avaliação de risco ajudará a priorizar as fraquezas organizacionais e justificar os gastos com tecnologia para melhor atender às necessidades críticas.  Sua avaliação de risco provavelmente identificará:

• Tipos de dados que requerem proteção, como informações pessoalmente identificáveis ou dados financeiros corporativos
• Vulnerabilidades comuns como falta de criptografia ou confirmação do recebimento de uma transferência de arquivo
• Riscos típicos associados a transferências de arquivos, como falhas de transferência, perda de dados ou violação de dados

Seu próximo passo pode ser identificar os maiores riscos para sua infraestrutura. Em seguida, avalie e classifique os riscos identificados. Por fim, defina controles mitigadores para os maiores riscos prioritários.

Os recursos mais úteis da tecnologia de transferência de arquivos gerenciados

Considere o que a transferência de arquivos gerenciada pode fazer (abaixo) para identificar controles de mitigação econômicos para riscos priorizados.  Ao avaliar a importância relativa de cada recurso, considere a facilidade de uso (tanto para administradores quanto para usuários finais) e capacidade para se integrar com outros sistemas.

• Autorização, autenticação e controle de acesso: Considere a necessidade de não repúdio, login único e integração a serviços de gerenciamento de usuários como Active Directory/LDAP ou SAML (duas soluções de provedor de identidade).
• Registro e emissão de relatórios: Implemente um repositório escalável centralizado para geração e distribuição automatizada de relatórios e proteja o acesso do usuário final a logs e relatórios.
• Encriptação: Para criptografia em trânsito e criptografia em repouso, considere usar a integridade dos arquivos AES 256 bits e SHA 512. Use TLS em vez de protocolos SSL, já que o PCI DSS não reconhece mais as versões SSL ou TLS iniciais como criptografia forte devido a vulnerabilidades identificadas como Heartbleed
• Gerenciamento e disposição de arquivos: Use regras de eliminação automatizadas, como compactação de arquivos e criptografia antes de uma transferência e exclusão de arquivos após um prazo especificado após uma transferência
• Digitalização de dados: Adicionar integração às soluções antivírus (AV) ou DLP (Data Loss Prevention) ou prevenção de perda de dados
• Aplicação de políticas: Ditar e aplicar políticas de senha, regras de bloqueio e alertas/notificações
• Failover e recuperação de desastres: Use failover de servidor único e failover automatizado para locais remotos, a fim de atender aos SLAs de tempo de inatividade zero e para evitar a perda de dados
• Flexibilidade do cliente: Configure suporte ao cliente FTP, cliente de e-mail e navegadores da Web

Assista ao webinar completo para mais detalhes como:

• Lista completa dos recursos de tecnologia de transferência de arquivos gerenciados como opções para controles de mitigação de riscos
• Visão geral das recentes mudanças regulatórias
• Controles de TI DA ISO 27001 mapeados para as principais regulamentações e especificações