3

James FerrenburgIron Castle Solutionsjferrenburg@IronCaSol.com

•Asset Security•Data Management: Determine and Maintain Ownership•Data Standards•Longevity and Use•Classify Information and Supporting Assets•Asset Management•Protect Privacy•Ensure Appropriate Retention•Determine Data Security Controls •Standards Selections

•The concepts, principles, structures, and standards•To  monitor and secure assets•Controls used to enforce various levels of 

–Confidentiality–Integrity–Availability

•In short, Operations Security

•Data Policy•Roles and Responsibilities•Data Ownership•Data Custodianship •Data Quality•Data Documentation and Organization

•Data Policy is the principles used to build a framework for data management•Data Policy incudes:

–Cost–Ownership–Custodianship–Privacy–Liability–Sensitivity–Legal and Policy Requirements–Policy and Process

•Clearly define roles associated with functions•Establish data ownership through all phases of a project•Data accountability•Ensure adequate, agreed‐upon data and metadata quality metrics are maintained 

•Information Phases–Creation–Use–Destruction

•Key – identify the Information Owners 

•Information Owners responsibilities–Determine the impact of the information on the mission of the organization–Understand the replacement cost if the information is lost–Determine who inside and outside of the organization has a need for access and under what circumstances should it be released–Know when the information is inaccurate or is not longer needed and should be destroyed

•Not the owners but the maintainers•To ensure that important datasets are

–Developed–Maintained–Accessible

In accordance with their defined specifications

•Fitness for use or potential use•Poor data quality reduces the value of the database•Quality Control

–Frequency of incorrect data fields or records–Significance of errors within a data field

•Fundamental types of errors–Errors of commission: data entry, transcription, malfunctioning equipment–Errors of omission: data not included, specifications missing data that is needed

•Missing from the book is hostile data.

•Data Documentation•Dataset Titles and Filenames•File Contents

–Parameters•Names that describe contents•Units defined (Metric or English or?)

–Coded Fields v. Free Text Fields–Missing Values

•What options when encountered?•Metadata – data about data

•Data Lifecycle Control•Data Specification and Modeling•Database Maintenance•Data Audit•Data Storage and Archiving 

Whole data lifecycle includes:•Data specification and modeling processing and database maintenance and security•Ongoing data audit, to monitor the use and continued effectiveness of existing data•Archiving, to ensure data is maintained effectively, including periodic snapshots to allow rolling back to previous versions in the event that primary copies and backups are corrupted. 

•Critical steps in building a database, and most of the work includes:

–User requirements analysis–Data modeling (methods to meet user requirements)

•Review of protocols and reference materials on data to be modeled shows

–Entities–Relationships–Flow of information

•Things will change–Major changes in hardware typically every 1‐2 years–Major changes in software typically every 1‐3 years

•Datasets have to be migrated continuously to new platforms•Datasets typically have changes requested

–Additions–Modifications–Deletions–Frequency of updates

•Need for ongoing data audits–Monitor usage of data–Monitor effectiveness of data

•Benefits of ongoing audits;–Promote capacity planning–Facilitate data sharing and reuse–Monitor data holding and avoid data leaks–Promote effective use of resources and improved workflows–Increase ability to manage risks – data loss, inaccessibility, compliance–Enable development/refinement of a data strategy 

Considerations for data storage and archiving:•Server hardware and software•Network infrastructure•Size and format of datasets•Database maintenance and updating•Database backup and recovery requirements

•Data Security•Data Access, Sharing and Dissemination•Data Publishing

•Security: Systems processes and procedures to protect a database from unintended activities

–Misuse–Malicious attacks–Inadvertent mistakes–Improper access by people or processes–Physical equipment theft or sabotage–Natural accidents (fire, flood, earthquakes, etc.)

•Use layered defenses!–Layered network protections–Alternate power sources–Alternate Internet connections (north and south)

•Risk Management–Risk Assessment–Risk Mitigation–Evaluation and Assessment

•Data and information should be readily accessible to those who need it and are authorized access•Decisions to withhold data should be based solely on:

–Privacy–Commercial‐in‐confidence–National security consideration–Legislative/Judicial restrictions

•Decisions to withhold should be transparent and the criteria derived from a stated policy position

•Establish Handling Requirements–Media–Marking–Handling–Storing–Destruction–Record Retention

•Data remanence is the residual signal after the data is erased. This is often recoverable•Remanence is found on magnetic disks, SSDs and even RAM•Three commonly accepted countermeasure

–Clearing–Purging–Destruction

•Overwriting–1’s and 0’s or another pattern, multiple times–Problem: spare tracks on disks–Problem: slow

•Degaussing–AC erasure–DC erasure–Problem: makes the disk unusable

•Encryption–Encrypting the data before being stored on the disk–Destroy the key and the data is gone–Problem: can slow disk operations

Destruction methods:•Physical – grinding, shredding•Chemical – acids, caustics•Phase transition (liquefaction or vaporization)•For magnetic media, raising the temperature above the Curie point (1043K for Iron)

•Classifying Information•Which Classification?•Who Decides?•Data Destruction•Asset Management•Software Licensing•Equipment Lifecycle

•Classification is primarily access issues•Categorization is primarily impact issues•Purpose of a Classification System is to ensure only those with the proper clearance can access the information•Purpose of a Categorization System is to determine the impact of loss of Confidentiality, integrity or availability  

•US Government Standards and Guidelines for classification of information:

–FIPS 199 Standards for Security Categorization of Federal Information and Information Systems–NIST SP800‐60 Guide for Mapping Types of Information and Information Systems to Security Categories

•Canada: Security of Information Act•China: Guarding State Secrets•UK: Official Secrets Act

•Data Owner–Best qualified because they have the most knowledge about the use of the data and its value to the organization–Should review at least yearly to make sure all data is properly classified

•DBA (Data Base Administrator) should be a checkpoint to ensure that the data is properly classified and protected

•Data must be securely destroyed as a critical part of the data lifecycle•Organizations should document retention schedules in their administrative policies, triggering on a set date, a given period or non‐use. Advantages

–Storage costs are reduced–Only relevant information is kept and this can speed up searching and indexing–Litigation holds and eDiscovery actions are less burdensome. 

•Inventory management–What assets are on hand–Where are they–Who owns them

•Configuration management•IT Asset Management (ITAM) is broader than CM•Inventory, CM and ITAM build on each other•CMDB – Configuration Management Database

•Software is an important asset in need of protection•Original licensed copies of software have to be controlled•Software is frequently stolen or illegal copies made•All software copies should be controlled by a software librarian who is responsible for this.

Typical equipment lifecycle•Define requirement•Acquire and implement•Operations and maintenance•Disposal and decommission

–Common error is to not destroy sensitive or classified information when disposing equipment

•History of Privacy Laws•Privacy Laws today•Privacy Data Protection Requirements•Safe Harbor 

•Earliest law: 1361 Justices of the Peace Act in England•1776 Swedish Access to Public Records Act•1792 French Declaration of the Rights of Man and the Citizen•1890 US Right to Privacy as a tort action•1948 UN Universal Declaration of Human Rights (protection of territorial and communications privacy)

•Council of Europe 1981 Convention for the Protection of Individuals with regard to the Automatic Processing of Personal Data•Organization for Economic Cooperation and Development 1980 Guidelines Governing the Protection of Privacy and Transborder Data Flows for Personal Data•European Commission 1998 Directive on Data Protection (see Safe Harbor)

•General requirements for protection of privacy data:•Obtained fairly and lawfully•Used only for the original specified purpose•Adequate, relevant and not excessive to purpose•Accurate and up to date•Accessible to the subject•Kept secure•Destroyed after its purpose is completed 

•A safe harbor is a provision of a statute or a regulation that specifies that certain conduct will be deemed not to violate a given rule. It is usually found in connection with a vaguer, overall standard.•International Safe Harbor Principles are designed to prevent accidental information disclosure or loss. US companies can opt into the program as long as they adhere to the 7 principles and the 15 frequently asked questions and answers (FAQs) outlined in the Directive.•DMCA Safe Harbor, aka Online Copyright Infringement Liability Limitation Act, OCILLA attempts to strike a balance between the competing interests of copyright owners and digital users.

Allows US companies to register their certification if they meet the European Union requirements.•Notice ‐ Individuals must be informed that their data is being collected and about how it will be used.•Choice ‐ Individuals must have the option to opt out of the collection and transfer of the data to third parties.•Onward Transfer ‐ Transfers of data to third parties may only occur to other organizations that follow adequate data protection principles.•Security ‐ Reasonable efforts must be made to prevent loss of collected information.•Data Integrity ‐ Data must be relevant and reliable for the purpose it was collected for.•Access ‐ Individuals must be able to access information held about them, and correct or delete it if it is inaccurate.•Enforcement ‐ There must be effective means of enforcing these rules.

•Health Insurance Portability and Accountability Act of 1996 (HIPAA; Pub.L. 104–191, 110 Stat. 1936, enacted August 21, 1996)

•HIPAA Privacy Rule regulates the use and disclosure of Protected Health Information (PHI) held by "covered entities" (generally, health care clearinghouses, employer sponsored health plans, health insurers, and medical service providers that engage in certain transactions.)

•Final Rule on Security Standards was issued on February 20, 2003. It took effect on April 21, 2003 with a compliance date of April 21, 2005 for most covered entities and April 21, 2006 for "small plans". 

–The Security Rule complements the Privacy Rule.

•Media, Hardware and Personnel

Different data types have different retention requirements•Understand where data exists•Classify and define the data

–What needs to be archived?–How long?–Base this on business needs

•Archive and manage data

•Involve all stakeholders in process of aligning business and legal requirements for data retention policies•Establish common objectives for supporting archiving and data retention best practices within the organization•Monitor, review and update documented data retention policies and archiving procedures

1.Evaluate Statutory requirements, litigation obligations and business needs2.Classify types of records3.Determine retention periods and destruction practices4.Draft and justify record retention policy5.Train staff6.Audit retention and destruction practices7.Periodically review policy8.Document policy, implementation, training and audits 

•Data at Rest•Data in Transit•Baselines•Scoping and Tailoring

•Stored data. On disk, tape, optical platter, etc.•Biggest risk is if hostile users gain logical or physical access to storage media•Recommendations for protection include encrypting all mobile and removable devices (laptops, tablets, USB drives, wearables, etc.)

–Major complication is BYOD (Bring Your Own Device) companies

•Link Encryption•End‐to‐End Encryption•Secure and Insecure Network Protocols

Action: Instead of: Use these:Web Access HTTP HTTPSFile Transfer FTP, RCP FTPS, SFTP, SCPRemote Shell telnet SSH3Remote Desktop VNC radmin, RDPWireless WEP WPA2

Questions to consider when designing baseline security for the company•Which parts of the enterprise or systems can be protected by the same baseline•Should the same baseline be applied throughout the whole enterprise?•What security level should the baseline aim at?•How will the controls forming the baseline(s) be determined?

•International and national standards–NIST SP800 series

•Industry sector standards or  recommendations–PCI for credit cards

•Some other company, preferably with similar business objectives and of comparable size

•Scoping and tailoring is used to avoid unneeded costs from excessive security controls•Scoping guidance allows selection of the applicability and implementation of individual security controls•Tailoring involves scoping assessment procedures to more closely match needs of the company

•United States Resources•International Resources•National Cyber Security Framework Manual•Framework for Improving Critical Infrastructure Cyber Security 

•DoD 8510.01•US NSA IA Mitigation Guidance•NIST Computer Security Division

–FIPS – Federal Information Processing Standards–SP800 – Special Publications–Risk Management Framework–National Checklist Program

•CESG – 10 Steps to Cybersecurity•Cybersecurity Strategy of the European Union•ENISA – European Network and Information Security Agency•National Cyber Security Strategies: An Implementation Guide•ISO – International Organization for Standards

–27001–27002

•ITU‐T – International Telecommunications Union‐Telecommunications 

–X.800 – X.849–X.1205

•Critical Tenets–Offense Informs Defense–Prioritization–Metrics–Continuous Monitoring–Automation

•Critical Security Controls v5 (20)•SCAP‐Security Content Automation Protocol

–Languages–Reporting Formats–Enumerations–Measurement and Scoring Systems–Integrity

•NIST released the first version on 2014‐02‐12•Collaborative industry/government effort•Built from standards, guidelines, and practices•Framework:

–Core–Implementation Tiers–Profile (expected outcomes)

•For tests that have multiple choice answers•Generally (4 answer question)

–One right answer–Two almost right–One way off

•Always three kinds of answers–The right answer–The wrong answer–ISC2’s answer  use this one!

121

Q & A

James FerrenburgIron Castle Solutionsjferrenburg@IronCaSol.com