Conformidade RBI

Mantenha um inventário atualizado de Ativos, incluindo dados/informações comerciais, incluindo dados/informações do cliente, aplicações comerciais, infraestrutura e instalações de TI de suporte — dispositivos de hardware/software/rede, pessoal-chave, serviços, etc., indicando sua criticidade comercial. Os bancos podem ter sua própria estrutura/critérios para identificar ativos críticos.

Obtenha insights abrangentes de hardware e software sobre laptops, desktops e dispositivos móveis do gerenciamento e relatórios de inventário do Endpoint Central.

Ao integrar com a solução de helpdesk-ServiceDesk Plus (SDP), a criticidade dos dispositivos pode ser atribuída.

Mantenha um inventário atualizado e preferencialmente centralizado de software(s) autorizado(s)/não autorizado(s). Considere implementar a lista de permissões de aplicações/software/bibliotecas autorizados, etc.

O inventário de software no Endpoint Central fornece controle de aplicações proibindo software indesejado/malicioso.

Tenha um mecanismo para controlar centralmente/de outra forma a instalação de software/aplicações em PCs, laptops, estações de trabalho, servidores, dispositivos móveis, etc. do usuário final e um mecanismo para bloquear/prevenir e identificar a instalação e execução de software/aplicações não autorizados em tais dispositivos/sistemas.

O gerenciamento de software do Endpoint Central e o recurso Self Service Portal podem ser aproveitados para obter instalação/desinstalação de um console central.

Além disso, bloquear executáveis e proibir software pode impedir que software desnecessário seja instalado na rede.

Monitore continuamente o lançamento de patches por vários fornecedores/OEMs, avisos emitidos pelo CERT-in e outras agências semelhantes e aplique rapidamente os patches de segurança de acordo com a política de gerenciamento de patches do banco. Se um patch/série de patches for/forem lançados pelo OEM/fabricante/fornecedor para proteção contra ataques bem conhecidos/bem divulgados/relatados que exploram a vulnerabilidade corrigida, os bancos devem ter um mecanismo para aplicá-los rapidamente após um processo de gerenciamento de patches de emergência.

Todas as informações de patch são coletadas de sites de fornecedores e são alimentadas no banco de dados de patch após uma análise completa e esse banco de dados de patch é então sincronizado com o servidor Endpoint Central.

Ao usar o recurso de gerenciamento de patch automatizado, o processo de gerenciamento de patch de A a Z é automatizado - desde a sincronização do banco de dados de vulnerabilidades, a varredura de todas as máquinas na rede para detectar patches ausentes, a implantação dos patches ausentes e também o fornecimento de atualizações periódicas sobre o status da implantação do patch. Usando esse recurso, vulnerabilidades de zero day também podem ser corrigidas. Teste e aprove patches automaticamente em um ambiente de teste antes de implementá-los em ambientes críticos de negócios.

Tenha uma estrutura claramente definida, incluindo requisitos que justifiquem a(s) exceção(ões), duração da(s) exceção(ões), processo de concessão de exceções e autoridade para aprovação, autoridade para revisão de exceções concedidas periodicamente por oficial(ais), preferencialmente em níveis seniores que estejam bem equipados para entender o contexto comercial e técnico da(s) exceção(ões)

O Endpoint Central fornece a possibilidade de proibir software de toda a rede. A exclusão global também pode ser configurada para um grupo específico de usuários ou exclusões por aplicativo também podem ser configuradas.

O executável de bloco pode ser aplicado para selecionar um grupo de usuários ou ativos.

Documente e aplique requisitos/configurações de segurança de linha de base a todas as categorias de dispositivos (endpoints/estações de trabalho, dispositivos móveis, sistemas operacionais, bancos de dados, aplicações, dispositivos de rede, dispositivos de segurança, sistemas de segurança, etc.), durante todo o ciclo de vida (da concepção à implantação) e realize revisões periodicamente,

O Endpoint Central fornece uma configuração dedicada para políticas de segurança empregáveis em toda a organização ou apenas para endpoints/usuários selecionados. A personalização das regras de firewall também é oferecida. O gerenciamento de patches é coberto pelo Endpoint Central para todos os principais sistemas operacionais, drivers e mais de 250 aplicações de terceiros para retificar aplicações ou sistemas operacionais vulneráveis, desempenha um papel importante na segurança do dispositivo.

O rastreamento geográfico pode ajudar a localizar dispositivos perdidos e, assim, evitar a perda de dados.

A funcionalidade de bloqueio de dispositivo pode ser obtida com o Endpoint Central. Políticas de segurança adicionais também estão disponíveis para MDM.

O complemento Browser Security Plus ajuda a prevenir ameaças baseadas em navegador e a proteger dados corporativos contra roubos de credenciais, ataques de phishing e vazamento acidental de dados.

Avalie periodicamente as configurações de dispositivos críticos (como firewall, switches de rede, dispositivos de segurança, etc.) e os níveis de patch para todos os sistemas na rede do banco, incluindo em Data Centers, em sites hospedados por terceiros, locais de infraestrutura compartilhada

O Endpoint Central verifica periodicamente os ativos na rede para determinar os sistemas e aplicações vulneráveis, status do firewall, status do antivírus e status do FileVault/Bitlocker. A frequência de verificação pode ser configurada.

Considere implementar medidas como instalar aplicações "contêineres" em celulares/smartphones para uso comercial exclusivo, criptografados e separados de outros dados/aplicações do smartphone; medidas para iniciar uma limpeza remota na aplicação em contêiner, tornando os dados ilegíveis, em caso de necessidade, também podem ser consideradas.

A conteinerização de dados corporativos pode ser obtida usando o Endpoint Central, com capacidade de impedir o acesso à área de transferência.

Políticas, restrições e agrupamentos com base na propriedade do dispositivo (BYOD e COPE) podem ser configurados.

Capacidade de executar limpeza corporativa para Bring Your Own Devices e limpeza completa para dispositivos de propriedade corporativa e habilitados pessoalmente durante o cancelamento da inscrição é possível.

Capacidades de geofencing hospedadas pelo Endpoint Central capacitam a organização a implementar o gerenciamento de acesso.

Siga uma estratégia documentada baseada em risco para inventariar componentes de TI que precisam ser corrigidos, identificar patches e aplicar patches para minimizar o número de sistemas vulneráveis e a janela de tempo de vulnerabilidade/exposição.

O gerenciamento de patches do Endpoint Central ajuda a implantá-los em todos os principais sistemas operacionais de dispositivos - Windows, Mac, Linux e mais de 250 aplicações de terceiros. A solução de patch também inclui atualizações de driver para vários componentes.

Varredura periódica dos ativos de TI na rede para identificar sistemas e aplicações vulneráveis.

O recurso Automatize a Implantação de Patches (APD) do Endpoint Central oferece aos administradores de sistema o poder de implantar patches ausentes automaticamente.

Políticas de implantação dedicadas podem ser configuradas para todos os tipos de dispositivos com a capacidade de ligar dispositivos para aplicar patches durante horas não produtivas, para evitar reinicialização durante o horário comercial ou para dispositivos de missão crítica, como servidores, e desligar após a aplicação de patches/atualização.

Implementar sistemas e processos para identificar, rastrear, gerenciar e monitorar o status de patches para sistemas operacionais e softwares de aplicações em execução em dispositivos de usuários finais conectados diretamente à Internet e em relação a sistemas operacionais de servidores/bancos de dados/aplicações/middleware, etc.

Alterações em aplicações de negócios, tecnologia de suporte, componentes de serviço e instalações devem ser gerenciadas usando processos robustos de gerenciamento de configuração, linha de base de configuração que garantam a integridade de quaisquer alterações a eles

As configurações e coleções pré-construídas do Endpoint Central podem ser usadas para linha de base de configuração de ativos de TI.

Novos dispositivos registrados são automaticamente linha de base de acordo com a UO/grupo em que são colocados.

A linha de base de configuração pode ser forçada durante cada inicialização para garantir maior segurança usando o Endpoint Central.

Implementar medidas para controlar o uso de VBA/macros em documentos do Office, controlar tipos de anexos permitidos em sistemas de e-mail.

Mais de 200 scripts personalizados estão presentes na biblioteca de scripts do Endpoint Central, que podem ser usados para uma infinidade de atividades de personalização e segurança, incluindo o controle do uso de VBA/Macros em documentos do Office

Não autorize direitos administrativos em estações de trabalho/PCs/laptops de usuários finais e forneça direitos de acesso conforme a necessidade e por uma duração específica quando necessário, seguindo um processo estabelecido.

Grupos de usuários podem ser gerenciados usando o Endpoint Central para adicionar ou remover usuários de domínio e locais (novos e existentes) de grupos de privilégios administrativos locais. Contas de administrador local também podem ser desativadas usando recursos no Endpoint Central.

O recurso exaustivo de gerenciamento de permissões do Endpoint Central capacita os usuários a permitir/restringir o acesso a arquivos/pastas/registro para usuários ou grupos específicos.

Implementar controles para minimizar contagens de logon inválido, desativar contas inativas.

O Endpoint Central fornece relatórios abrangentes sobre usuários do AD, que incluem contas de usuário não utilizadas, contas de usuário inativas, contas de usuário desabilitadas, contas de usuário expiradas, contas de usuário com senha expirada, pelas quais contas inativas na rede podem ser identificadas.

O Endpoint Central fornece relatórios de logon de usuário prontos para uso para monitorar o histórico de logon do usuário.

Monitore qualquer alteração anormal no padrão de logon.

Implemente medidas para controlar a instalação de software em PCs/laptops, etc.

O módulo de gerenciamento de software dedicado para instalar/desinstalar software está disponível.

O software pode ser proibido na rede e esse software proibido pode ser desinstalado automaticamente dos dispositivos.

Executáveis não confiáveis/desconhecidos podem ser bloqueados usando o recurso Bloquear executável no Endpoint Central.

Implemente controles para gerenciamento/limpeza/bloqueio remoto de dispositivos móveis, incluindo laptops, etc.

A administração remota, o bloqueio e a limpeza remotos de dispositivos móveis podem ser obtidos usando o Endpoint Central.

Defina e implemente a política para restrição e uso seguro de mídia removível/BYOD em vários tipos/categorias de dispositivos, incluindo, mas não se limitando a estações de trabalho/PCs/laptops/dispositivos móveis/servidores, etc. e apagamento seguro de dados em tais mídias após o uso.

O recurso Secure USB do Endpoint Central permite que os administradores de rede limitem seletivamente o escopo do uso da instância USB restringindo ou permitindo o uso total. A capacidade de definir a restrição no nível do computador ou no nível do usuário ajuda a reunir segurança com a flexibilidade para criar e aplicar políticas para acesso USB com base em funções e departamentos de funcionários.

Considere implementar políticas centralizadas por meio de sistemas de gerenciamento do Active Directory ou de endpoints para colocar na lista de permissões/listas de bloqueio/restringir o uso de mídia removível.

Como regra padrão, o uso de dispositivos e mídias removíveis não deve ser permitido no ambiente bancário, a menos que especificamente autorizado para uso e duração de uso definidos.

As instâncias USB podem ser definidas para serem bloqueadas por padrão em toda a rede, a restrição pode ser revogada no nível do usuário ou do dispositivo, fornecendo flexibilidade na permissão de uso USB.

Implementar proteção antimalware e antivírus, incluindo sistemas de detecção comportamental para todas as categorias de dispositivos — (endpoints como PCs/laptops/dispositivos móveis etc.), servidores (sistemas operacionais, bancos de dados, aplicativos etc.), gateways da Web/Internet, gateways de e-mail, redes sem fio, servidores SMS etc., incluindo ferramentas e processos para gerenciamento e monitoramento centralizados.

Gerenciamento de atualização de antivírus para Windows Defender, Microsoft Security Essentials, Microsoft Forefront Endpoint Protection 2010 Server Management, Microsoft Forefront Client Security e Mcafee VirusScan Enterprise são fornecidos.

Considere implementar a lista de permissões de sites/sistemas da internet.

Usando o complemento Browser Security Plus, os administradores de TI podem obter listas de permissões e listas de bloqueio de URLs.

Implemente e valide periodicamente as configurações para capturar logs/trilhas de auditoria apropriados de cada dispositivo, software de sistema e software de aplicações, garantindo que os logs incluam informações mínimas para identificar exclusivamente o log, por exemplo, incluindo uma data, registro de data e hora, endereços de origem, endereços de destino e vários outros elementos úteis de cada pacote e/ou evento e/ou transação.

Hardware e software adicionados/removidos são registrados junto com o registro de data e hora, data, nome do dispositivo USB e nome de usuário para fins de auditoria. Além disso, essas alterações também podem ser alertadas para a autoridade envolvida como uma mensagem de e-mail para reparação imediata, em caso de contingências.

Algumas métricas ilustrativas incluem cobertura de software antimalware e sua porcentagem de atualização, latência de patch, extensão do treinamento de conscientização do usuário, métricas relacionadas à vulnerabilidade, etc.

O Endpoint Central fornece insights e infográficos abrangentes e interativos que podem ser usados para vasculhar uma grande quantidade de dados do dispositivo para identificar e abordar vulnerabilidades. Além disso, há relatórios que ajudam a se aprofundar em atualizações críticas, status de instalação, atualizações com falha, atualizações de banco de dados de vulnerabilidade e muito mais.