Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Cómo armonizar cumplimiento, seguridad y objetivos empresariales

Anuncio 
INFORME OFICIAL
Cómo armonizar cumplimiento,
­seguridad y objetivos empresariales
El cumplimiento normativo se ha convertido en una importante iniciativa
empresarial de la mano del aumento continuo de la complejidad y el
ámbito del entorno regulador. Si a esto se suma el incremento de los
ataques cibernéticos y de las amenazas internas, se comprende que las
organizaciones estén buscando un método más efectivo, sostenible y
ampliable para lograr sus objetivos de cumplimiento al tiempo que mejoran
su seguridad global.
En este informe oficial, se examinarán algunos de los retos a los que se
enfrentan las organizaciones modernas en su empeño por desarrollar
y adaptar un programa de cumplimiento que resuelva sus necesidades
actuales y facilite la incorporación de nuevos requisitos en el futuro.
INFORME OFICIAL
Índice
El reto presente...............................................................................................................................................1
Las necesidades de cumplimiento continúan condicionando los prepuestos de seguridad.......................1
Aumento de la presión por cumplir con las crecientes obligaciones normativas........................................1
Los tipos de amenazas para la seguridad evolucionan rápidamente.........................................................1
La seguridad de las TI no ha seguido el mismo ritmo que la evolución de la tecnología
y de los modelos empresariales..............................................................................................................2
Consecución de un cumplimiento sostenible..................................................................................................2
Armonización empresarial...........................................................................................................................2
Controles armonizados................................................................................................................................3
Una seguridad correcta favorece el cumplimiento .....................................................................................3
Automatización, integración y optimización.................................................................................................4
Adaptación a un entorno de amenazas en rápida evolución..........................................................................4
Tecnología en evolución..............................................................................................................................4
El nuevo pirata informático..........................................................................................................................5
Modelos empresariales en evolución..........................................................................................................5
Armonización del cumplimiento, la seguridad y los objetivos empresariales con las soluciones
de gestión de identidades y seguridad de NetIQ.........................................................................................6
Conclusión.......................................................................................................................................................7
Acerca de NetIQ..............................................................................................................................................8
INFORME OFICIAL: Cómo armonizar cumplimiento, seguridad y objetivos empresariales
El reto presente
En el complejo entorno regulador actual, son muchas las organizaciones que se esfuerzan por integrar los programas de
cumplimiento normativo con las operaciones de seguridad cotidianas. Esta circunstancia puede dar lugar a conclusiones de
auditoría y vulneraciones de la seguridad informática que se traducen en costosas migraciones, o incluso en multas y sanciones.
Según el estudio 2010 Annual Study: U.S. Cost of a Data Breach (Estudio anual de 2010 sobre el coste de las vulneraciones
de la seguridad informática en EE. UU.) llevado a cabo por Ponemon, el coste medio de una vulneración de este tipo para una
organización asciende a unos 7,2 millones de dólares, un incremento del 7% con respecto a 2009.1
Los programas de cumplimiento normativo plantean exigencias cada vez mayores para los recursos de TI, por lo que las empresas
se ven en la necesidad urgente de buscar un método más efectivo, sostenible y ampliable que les permita alcanzar sus objetivos
en materia de cumplimiento y mejorar al mismo tiempo la seguridad general de la organización. En este informe oficial, se
examinarán algunos de los retos a los que se enfrentan las organizaciones modernas en su empeño por desarrollar y adaptar
un programa de cumplimiento para sus necesidades actuales y futuras.
Las necesidades de cumplimiento continúan condicionando los prepuestos de seguridad
El carácter obligatorio del cumplimiento normativo, sumado a las sanciones específicas y cuantificables derivadas del
incumplimiento de las normas, ha desviado una gran cantidad de recursos económicos previstos para la seguridad general hacia
las iniciativas en materia de cumplimiento normativo. No es fácil disentir de este objetivo, puesto que la meta de la inversión en
cumplimiento normativo es proteger la rentabilidad de la empresa y evitar los altos costes derivados del incumplimiento de las
normas y del posible daño a la imagen de marca. Sin embargo, cuando los proyectos de seguridad se centran exclusivamente
en cumplir con una serie mínima de criterios de auditoría en lugar de minimizar los riesgos, se desaprovecha buena parte de los
posibles beneficios de este desembolso económico.
El desafío al que se enfrentan los equipos de seguridad consiste en asegurar que los recursos económicos dedicados a la
seguridad se inviertan en un completo programa de mitigación de los riesgos acorde con la tolerancia de riesgos y los objetivos
empresariales de la organización. Permitir que las prioridades de seguridad se rijan por el método de “cumplir y olvidarse” es
como estudiar el día antes de un examen. Es posible que aprobemos el examen (o la auditoría), pero es poco probable que
retengamos los beneficios que habríamos conseguido de haber estudiado y planificado con dedicación. Superar una auditoría de
PCI DSS, por ejemplo, es todo un logro. Pero incluso PCI DSS, considerada una de las normativas más rígidas, es apenas una
norma de seguridad mínima y no garantiza la protección contra las vulneraciones de la seguridad informática. Caso ilustrativo:
tanto Heartland Payment Systems como T.J. Maxx habían logrado (o estaban a punto de hacerlo) la conformidad con PCI cuando
sus sistemas fueron objeto de un ataque de usurpación de identidades global, causando dos de las mayores vulneraciones de
uso de datos de tarjetas de crédito de la historia. Hágase esta pregunta: ¿Su programa de seguridad está condicionado por el
cumplimiento de las normas, pero no siempre se traduce en una mejora de la seguridad?
Aumento de la presión por cumplir con las crecientes obligaciones normativas
El elevado número de directivas sobre cumplimiento normativo está motivado en buena medida por una creciente concienciación
social acerca de las malas prácticas empresariales y de los riesgos que supone el robo de datos. Los organismos reguladores e
industriales han dado respuesta a esta preocupación social imponiendo la notificación de las vulneraciones y aplicando controles
cada vez más amplios que incorporan sanciones más estrictas para los casos de incumplimiento. Por otra parte, mientras
las organizaciones tratan de implantar estándares de cumplimiento en sus estructuras de negocio, podrían imponer objetivos
suplementarios o incluso contradictorios a administradores y responsables.
Muchas de las organizaciones actuales se esfuerzan por implementar un programa de cumplimiento normativo sostenible capaz
de acomodar el conjunto de obligaciones normativas y de adaptarse rápidamente a la evolución de estas obligaciones o a la
aparición de obligaciones nuevas. ¿Su organización puede adaptarse rápidamente a las obligaciones normativas nuevas y
cambiantes?
Los tipos de amenazas para la seguridad evolucionan rápidamente
Las amenazas externas han evolucionado desde los piratas informáticos que actúan solos hasta los grupos organizados y
sofisticados movidos por beneficios económicos y políticos. Muchas veces, estos ataques cuentan con financiación de empresas
internacionales, crimen organizado e incluso gobiernos. Con este nivel de apoyo, no sorprende que las vulneraciones de la
seguridad se lleven a cabo con tecnologías cada vez más sofisticadas y que a menudo exista la intervención de una persona
perteneciente a la organización atacada. Las personas que actúan desde dentro reciben sobornos, coacciones o incluso se
contratan de forma específica para que se incorporen a la organización con el propósito de robar información confidencial.
Teniendo esto en cuenta, ¿sabe si su equipo está preparado para defenderse de estos ataques sofisticados, y sabe en qué
personas de su organización puede confiar?
______________________
1
2
010 Annual Study: U.S. Cost of a Data Breach (Estudio anual de 2010 sobre el coste de las vulneraciones de la seguridad informática
en EE. UU.), The Ponemon Institute, marzo de 2011.
INFORME OFICIAL: Cómo armonizar cumplimiento, seguridad y objetivos empresariales | 1
La seguridad de las TI no ha seguido el mismo ritmo que la evolución de la tecnología
y de los modelos empresariales
La contratación de personal es una de las categorías de mayor dimensión y que más rápido está creciendo en los presupuestos
de TI. En un intento por ralentizar este crecimiento y controlar los costes, se ha generado una presión constante en favor de la
externalización siempre que resulte posible y, sobre todo, cuando se precisen conjuntos de habilidades especializadas. De hecho,
han transcurrido varios años desde que la empresa media se componía únicamente de empleados internos. Como resultado de
esta tendencia, la mayoría de las organizaciones cuentan con políticas y medidas de control dirigidas al personal provisional,
colaboradores internos e incluso visitantes.
En su intención de reducir los costes, muchas organizaciones no han sabido entender que la externalización no implica una
transferencia de responsabilidad. Si el colaborador externo incumple los objetivos de control, la responsabilidad sigue recayendo
sobre la organización. Externalizar significa delegar, no abdicar. Debido a que muchas organizaciones no han asumido a tiempo
esta condición, sus políticas y controles no se han ajustado a la externalización, ya se trate de un proveedor de servicios o
de nube. ¿Sabe quién es la persona de su organización que tiene la responsabilidad de asegurar que los proveedores de
servicios y de nube cumplan con sus objetivos de control? ¿Está adoptando las medidas necesarias para proteger la información
confidencial?
Consecución de un cumplimiento sostenible
La base de un programa de seguridad y cumplimiento normativo sostenible es una estructura común, acorde con el negocio,
que integre todas las obligaciones normativas e industriales al tiempo que minimice los riesgos para la seguridad subyacentes.
Decirlo es más fácil que hacerlo, pero la alternativa a esto es un programa costoso y a veces ineficaz que no consigue mejorar la
seguridad general de la organización. La armonización empresarial es fundamental para garantizar que los gastos de seguridad
se inviertan en el riesgo que corresponda, atendiendo a la clase de negocio y a la tolerancia al riesgo de este.
Sin armonización, resulta difícil demostrar la eficacia de los gastos actuales o justificar nuevas inversiones. Se necesita una
estructura común y armonizada de objetivos de control a fin de reducir el coste y la complejidad que genera la concurrencia
de normativas. Sin embargo, la armonización de un conjunto común de objetivos de control no resulta suficiente por sí sola.
Un programa verdaderamente sostenible requiere de automatización para reducir los costes de mano de obra asociados a la
supervisión, la implantación y la verificación de la efectividad de dichos objetivos de control.
Armonización empresarial
El mayor reconocimiento de la importancia que tienen la seguridad de la infraestructura informática y el cumplimiento de las
normas, así como los notables gastos que representan, ha comenzado a cambiar la función que desempeñan los responsables
de seguridad. Los directores de seguridad de la información (CISO) reportan cada vez con más frecuencia al director general
(CEO) o al director financiero (CFO) en lugar de actuar como un departamento dentro del servicio de TI. En un reciente informe2
de Forrester se indica que el 54% de las organizaciones cuentan con un director de seguridad de la información que reporta
directamente a un ejecutivo de nivel C, mientras que el 42% cuentan con un CISO que reporta a una persona ajena al departa­
mento de TI. La función del CISO seguirá evolucionando con el tiempo, pero el hecho de que los CISO reporten a un responsable
ajeno del departamento de TI, con acceso e influencia sobre la toma de decisiones de la empresa, es un hito y una tendencia que
ha de continuar.
En un reciente artículo3 de CSO Online, Eric Cowperthwaite, CSO de la empresa Providence Health & Services, con sede en
Seattle, también reconocía esta tendencia, y afirmaba lo siguiente:
“[E]l CSO/CISO se ha convertido en un integrante permanente del grupo que se sienta a la mesa para decidir
el modelo de negocio de la empresa. El CSO dirige las cuestiones de seguridad en la empresa; esta función se
considera ahora necesaria en el seno del negocio y no como algo que se debe atender para mantener alejados a
los reguladores y que, en otras circunstancias, se pasaría por alto. En mi opinión, este es un cambio significativo y
trascendente”.
Una armonización empresarial más meticulosa permite integrar la seguridad en nuevas iniciativas desde una etapa inicial. De este
modo, los equipos de seguridad pueden introducir medidas de mitigación del riesgo en la fase de planificación en lugar de tener
que aplicar costosas soluciones de seguridad a posteriori, ralentizando, cuando no directamente obstaculizando, nuevas iniciativas
empresariales.
______________________
2
“Forrsights: The Evolution Of IT Security” (La evolución de la seguridad en las TI), de 2010 a 2011
3
Bill Brenner, editor jefe, The New CISO: How the role has changed in 5 years (El nuevo CISO: Evolución de la función en 5 años), CSO Online,
2 de noviembre de 2010, http://www.csoonline.com/article/632223/the-new-ciso-how-the-role-has-changed-in-5-years (acceso el 15 de marzo
de 2011).
INFORME OFICIAL: Cómo armonizar cumplimiento, seguridad y objetivos empresariales | 2
Un ejemplo reciente en el que la seguridad obstaculizó la consecución de un objetivo de negocio se observó en una gran empresa
estadounidense donde varias unidades de negocio habían adoptado de manera independiente soluciones de software como
servicio (SaaS). Durante una auditoría interna rutinaria de sus controles de provisión, el equipo encargado de llevar a cabo la
auditoría solicitó la documentación de los controles y comenzó a revisar las pruebas que demostraban el seguimiento del proceso.
La revisión discurría correctamente hasta que alguien preguntó cómo se provisionan las aplicaciones SaaS a los usuarios.
Tras una extensa labor, el equipo de la auditoría consiguió por fin recopilar documentación de cada proceso y de los responsables
correspondientes. Se esparció el material, cubriendo por completo una extensa mesa en la sala de conferencias. Tras una
meticulosa revisión de la documentación, hallaron numerosas incoherencias en los procesos, identificaron a responsables que se
habían trasladado a otros puestos e identificaron casos en los que los procesos infringían los controles existentes. Los resultados
de la auditoría interna llevaron al equipo de seguridad a adoptar la medida de prohibir la incorporación de aplicaciones SaaS hasta
nueva orden.
Situaciones como esta pueden evitarse cuando el equipo de seguridad está estrechamente integrado en el negocio y se implica
en las iniciativas de la empresa desde una etapa inicial. Por otra parte, la involucración del equipo de seguridad desde el principio
puede permitir la inclusión de las medidas de mitigación del riesgo necesarias para las iniciativas nuevas en el coste de la
iniciativa, en lugar de incrementar un presupuesto de seguridad ya sobrecargado.
Controles armonizados
Un programa de cumplimiento sostenible debe gestionar de forma eficiente la multitud de obligaciones normativas e industriales
a las que ha de hacer frente la organización y debe poder adaptarse con rapidez para abordar requisitos nuevos y en constante
evolución. También debe evitar la conocida “angustia de auditoría” anual o trimestral. Los primeros programas de cumplimiento
ineficientes (y también muchos de los actuales) no se ajustan a estos criterios. Los programas son reaccionarios e incluyen
proyectos distintos para cada normativa u obligación. La mayoría de las organizaciones han desarrollado su enfoque y en la
actualidad mantienen un equipo centralizado que coordina la seguridad y los controles de cumplimiento de normas.
El siguiente paso para lograr un programa sostenible emplea un conjunto armonizado de controles de TI. Este conjunto se crea a
partir de una estructura de mejores prácticas y los objetivos de control se definen para abordar de manera colectiva la totalidad de
las obligaciones normativas, industriales e internas de la empresa. Este método permite a los equipos de seguridad y cumplimiento
centrarse en un único conjunto específico de controles, evitando así la confusión, la incompatibilidad entre controles y los gastos
innecesarios.
El aprovechamiento de un conjunto común de controles simplifica las auditorías y proporciona una estructura para la elaboración
de informes de auditoría basada en la asignación de controles a una determinada obligación. A medida que el entorno normativo
evoluciona, es posible agregar controles a este conjunto común, lo que permite a la organización adaptar rápidamente su
programa de cumplimiento.
Una seguridad correcta favorece el cumplimiento
Organizar las actividades de cumplimiento normativo en una estructura común no es tarea sencilla. Los equipos de seguridad y
cumplimiento pueden estar formados por varios grupos de una misma organización, sin diferenciación de límites organizativos y
geográficos.
Gestionar la seguridad y el cumplimiento normativo con un conjunto de controles armonizados solo es efectivo si los controles
seleccionados son apropiados para hacer frente a los riesgos de seguridad de la organización. Es importante recordar que las
obligaciones normativas e industriales son pautas mínimas y no garantizan que se vayan a atender los riesgos para la seguridad
de la organización. El caso de vulneración que protagonizó Heartland Payment Systems, Inc. en enero de 2009 es un buen
ejemplo. Heartland acababa de superar una auditoría PCI DSS cuando se produjo la vulneración.
Un método más efectivo consiste en centrarse en la forma de abordar el riesgo para la seguridad de la organización y dejar que el
cumplimiento se produzca como consecuencia de lo primero. Es evidente que Heartland ha aprendido este enfoque, puesto que
Kris Herrin, CTO de Heartland, comentó recientemente que “una de las cosas más importantes para la organización es garantizar
que nuestros controles de seguridad sean sostenibles y que se apliquen de una forma que podamos aportar sostenibilidad al
control… No podemos adoptar una medida en un trimestre porque parece una buena idea y un año después, comprobar que no
está disminuyendo el riesgo como creíamos que haría”.4 Para mejorar su seguridad a corto y a largo plazo, las organizaciones
deben definir los controles y las herramientas apropiados para abordar el riesgo de seguridad e incluirlos en un completo
programa de mitigación del riesgo que establezca el despliegue, la contratación de personal y la planificación del proceso de
seguridad; además, debe ser acorde con la tolerancia al riesgo y los objetivos empresariales de la organización. Por ejemplo,
______________________
4
Beth Schultz, What’s Next for SIEM? SIEM platforms can deliver, if implemented correctly (El siguiente paso de SIEM: Lo que SIEM puede ofrecer
si se implementa correctamente), SC Magazine ebook (2011).
INFORME OFICIAL: Cómo armonizar cumplimiento, seguridad y objetivos empresariales | 3
un sorprendente porcentaje del 86% de las víctimas de casos de vulneración de la seguridad informática poseían indicios en sus
archivos de registro antes de que se produjera la vulneración, según el informe Data Breach Investigations Report (Informe sobre
investigaciones de vulneración de la seguridad informática), elaborado en 2010. Al no revisar los registros, estas organizaciones
quedaron expuestas a una vulneración. Esta conducta es un ejemplo del peligro que conlleva el enfoque del cumplimiento
normativo basado en tachar elementos de una lista.
Las organizaciones que buscan el cumplimiento de las normas por el mero hecho de cumplirlas son como las personas que
emprenden una dieta de choque. Es posible que les vaya bien durante un tiempo, pero seguramente su salud no mejorará ni
mantendrán un verdadero compromiso de llevar un estilo de vida más saludable. Además, es probable que la pérdida de peso no
se mantenga durante mucho tiempo. Del mismo modo, la mejor forma de lograr un cumplimiento sostenible es centrándose en las
mejoras de la seguridad general de la organización.
Automatización, integración y optimización
La automatización de las tareas rutinarias que requieren un gran trabajo es fundamental para reducir el coste del cumplimiento
de las normas y evitar la “angustia de la auditoría” anual o trimestral. La automatización contribuye a asegurar la fiabilidad y la
repetibilidad de los procesos, así como una estricta adherencia a las directivas de la organización. Algunos ejemplos de tareas
que resultan apropiadas para la automatización son la recopilación y evaluación de datos y la supervisión y aplicación de controles
técnicos y manuales. La automatización también se puede aprovechar para la obtención y utilización de conocimientos de la
empresa y derivados de las mejores prácticas; de este modo, el personal cualificado puede dedicarse a tareas más importantes.
Al liberar recursos sobrecargados, la automatización puede ayudar a reducir errores humanos y a disminuir los costes de formación
de nuevos empleados. Este tipo de automatización de la seguridad y del cumplimiento normativo es lo que tratan de ofrecer
Identity and Access Governance, SIEM, programas de evaluación de seguridad y otras soluciones de software empresarial.
Cerciórese de que las soluciones que seleccione ofrezcan el nivel de automatización que su organización necesita.
Adaptación a un entorno de amenazas en rápida evolución
Un programa de seguridad y cumplimiento sostenible debe estar estructurado para adaptarse a las obligaciones de cumplimiento
cambiantes y a un entorno de riesgo en evolución. Esto incluye cambios en el tipo de ataques y en la motivación de los mismos,
así como nuevos riesgos surgidos de la evolución de las tecnologías y de los modelos de negocio.
Tecnología en evolución
La naturaleza de los ataques ha evolucionado de manera sistemática en una especie de “carrera armamentística” entre los
responsables de seguridad y los piratas informáticos. Esta tendencia no ha dejado de acelerarse, puesto que en la actualidad,
las principales motivaciones de los ataques son económicas y políticas. La parte buena de todo esto es que los responsables de
seguridad se han ganado el derecho a llamarse profesionales de la seguridad. Algunas de las personas con más talento en el
campo de las TI integran grupos de seguridad, y los programas de seguridad son cada vez más elaborados.
Lo malo es que los piratas informáticos también son cada vez más profesionales y están mejor organizados. Reclutan a personas
con talento, invierten en investigación y desarrollo, y crean nuevas herramientas más avanzadas. El gusano “Stuxnet” es un
ejemplo destacado de lo que son capaces los grupos que cuentan con una buena fuente de financiación. Según el informe
Data Breach Investigations Report (Informe sobre la investigación de vulneraciones de la seguridad informática), elaborado en
2010 por el equipo RISK de Verizon Business, el 32% de los ataques los cometieron grupos organizados, incluido un 24% a cargo
de organizaciones criminales.5 En lo que respecta a los registros comprometidos, el informe concluyó que el 85% se atribuían a
organizaciones criminales bien financiadas; este porcentaje abarca el crimen organizado y los gobiernos.
Uno de los motivos por los que los profesionales de TI acceden a este campo es para trabajar con las últimas tecnologías.
El sector, que responde a las expectativas, se caracteriza por desarrollar sistemáticamente oleadas de nuevas tecnologías;
con cada ola llega un riesgo de seguridad y, en algunas, nuevos modelos de negocio. Los más recientes han sido la virtualización,
el uso de dispositivos y servicios de consumo en el ámbito de la empresa, y la infraestructura y servicios de software en nube.
El ahorro operativo asociado a la virtualización y a los servicios basados en nube es tal que, en algunas organizaciones, la
adopción de la tecnología se ha impuesto a la comprensión de los riesgos asociados y los equipos de seguridad se ven obligados
a ponerse al día. Asegúrese de que su organización esté continuamente informada de estas tendencias y obtenga ayuda exterior
cuando sea necesario. La mayoría de los ataques, incluso los más sofisticados, se pueden ralentizar o detener mediante controles
relativamente sencillos, siempre y cuando se implementen de manera uniforme.
______________________
5
Equipo Business RISK de Verizon en colaboración con el Servicio Secreto de los Estados Unidos, “2010 Data Breach Investigations Report”
(Informe sobre investigaciones de vulneración de la seguridad informática), Verizon Business, julio de 2010, http://www.verizonbusiness.com/
resources/reports/rp_2010-data-breach-report_en_xg.pdf?&src=/worldwide/resources/index.xml&id (acceso el 15 de marzo de 2011).
INFORME OFICIAL: Cómo armonizar cumplimiento, seguridad y objetivos empresariales | 4
El nuevo pirata informático
En la actualidad, muchas vulneraciones de la seguridad informática no las cometen piratas informáticos externos, sino personas
de dentro de la organización con motivaciones económicas y/o políticas. Según se recoge en Data Breach Investigations Report
(Informe sobre investigaciones de vulneración de la seguridad informática), elaborado en 2010, el 27% de las vulneraciones de
la seguridad informática las cometieron exclusivamente personas pertenecientes a la organización, un 1% correspondieron a
colaboradores y un 27% fueron agentes múltiples.6 Con este elevado porcentaje de vulneraciones atribuidas a ataques internos,
la pregunta es: ¿quiénes son estas personas que atacan a la organización desde dentro?
Los entornos empresariales actuales cuentan con una plantilla diversa y dinámica en la que un número cada vez mayor de
personas tienen acceso (directo o indirecto) a información y sistemas confidenciales. En este entorno dinámico, el riesgo de que la
actividad de los usuarios derive en una vulneración de la seguridad informática está cada vez más presente. En el mismo informe
de Verizon, se comprobó que el 90% de la actividad interna atribuida a una vulneración de la seguridad informática correspondía a
acciones deliberadas, un 6% a actividades inadecuadas y un 4% a actividades accidentales.7
A menudo, la actividad accidental también puede provocar inactividad de los sistemas, pérdida de ingresos y disconformidades en
las auditorías. Por ejemplo, una importante empresa minorista de EE. UU. experimentó recientemente una interrupción de servicio
cuando un administrador nuevo efectuó cambios en las directivas de grupo de Active Directory al margen del proceso de control
de cambios. Posteriormente, el administrador trató de ocultar su rastro cuando se dio cuenta de que él había causado el percance.
Sus acciones ocasionaron una interrupción de los envíos de productos durante varios días mientras se intentaban restablecer las
operaciones. Esta acción no fue malintencionada, pero sí inapropiada y tuvo importantes consecuencias negativas.
Tanto si la actividad la realiza un usuario final, un responsable o un administrador con privilegios, los riesgos asociados a una
acción deliberada, inapropiada o accidental pueden reducirse considerablemente por medio de controles relativamente sencillos.
Un ejemplo de estos controles sería una directiva dirigida a asegurar la desactivación inmediata de las cuentas de los empleados
que dejan la empresa, evitar la existencia de cuentas administrativas compartidas y supervisar la actividad de usuarios con
privilegios, ya sean administradores o usuarios finales. La filtración de documentos del Departamento de Estado de EE. UU. a
Wikileaks es un ejemplo de actividad no autorizada por parte de un usuario autorizado. La vulneración presuntamente cometida
por el soldado Bradley Manning ilustra el conflicto existente entre el libre acceso a la información para mejorar la comunicación y
la restricción estricta del acceso por motivos de seguridad. Al parecer, se produjeron varios indicios que sugerían la conveniencia
de no facilitar al soldado Bradley Manning información confidencial, pero aun así, tenía acceso a ella. Por ejemplo, mientras estuvo
destinado en Fort Huachuca, Arizona, el soldado Manning fue amonestado por enviar mensajes de vídeo de contenido trivial a sus
amigos a través de YouTube en los que se revelaba información confidencial de manera negligente. Sin embargo, pronto logró
completar su formación como analista de inteligencia con acreditación en seguridad.8 El primer paso es proporcionar el acceso
mínimo requerido. El segundo y determinante es controlar cómo se utilizan los privilegios de acceso.
Modelos empresariales en evolución
Además de la naturaleza cambiante de los ataques, en lo que atañe a la seguridad, las organizaciones se enfrentan además a los
retos que plantea un perímetro cada vez más dinámico y sin límites definidos. Las personas que hoy en día se consideran posibles
amenazas internas en la mayoría de las organizaciones no se limitan únicamente a empleados y contratistas. Este concepto
se extiende a los empleados de los socios, proveedores de servicios gestionados, proveedores de servicios de alojamiento y
proveedores de servicios en nube. Cualquier persona que maneje directa o indirectamente información confidencial, o los sistemas
y aplicaciones donde esta se aloja, constituye una posible amenaza interna. Muchas organizaciones han pasado por alto esta
circunstancia hasta hace poco.
Las organizaciones están aprendiendo que, cuando subcontratan, están delegando tareas, pero no responsabilidades. Por ello,
cada vez se presta más atención a negociar controles específicos y a exigir auditorías de seguridad independientes. La certificación
SAS 70 no es suficiente. Los proveedores de servicios que en su día consideraron la seguridad como algo que se situaba fuera del
ámbito de los servicios que prestaban se han visto obligados a introducir procesos de seguridad básicos y auditorías rutinarias en
su oferta de servicios esenciales para mantener su competitividad.
En un mundo que gira alrededor de los datos, con amenazas cambiantes y perímetros poco definidos, se produce un debate y un
esfuerzo cada vez más intensos hacia la adopción de lo que Forrester describe como “la arquitectura de red de confianza cero”.9
______________________
Equipo Business RISK de Verizon en colaboración con el Servicio Secreto de los Estados Unidos, “2010 Data Breach Investigations Report”
(Informe sobre la investigación de vulneraciones de la seguridad informática).
7
Equipo Business RISK de Verizon en colaboración con el Servicio Secreto de los Estados Unidos, “2010 Data Breach Investigations Report”
(Informe sobre la investigación de vulneraciones de la seguridad informática).
8
Denver Nicks, Private Manning and the Making of Wikileaks (El soldado Manning y los inicios de Wikileaks), This Land, 23 de septiembre de
2010, http://thislandpress.com/09/23/2010/private-manning-and-the-making-of-wikileaks-2/ (acceso el 15 de marzo de 2010).
9
John Kindervag con Stephanie Balaouras y Lindsey Coit, “Build Security Into Your Network’s DNA: The Zero Trust Network Architecture” (Integre
la seguridad en su red: La arquitectura de red de confianza cero), Forrester Research, Inc., 5 de noviembre de 2010, http://www.forrester.com/rb/
research.
6
INFORME OFICIAL: Cómo armonizar cumplimiento, seguridad y objetivos empresariales | 5
La virtualización y la disponibilidad de ancho de banda están dando una nueva dimensión a la subcontratación, ya que el
cloud computing permite tanto a pequeñas como a grandes organizaciones reducir sus costes y aumentar la flexibilidad de
su infraestructura de TI. Como ocurre con la subcontratación, estos cambios tecnológicos no siempre se implantan teniendo
en cuenta la seguridad. A medida que las organizaciones adquieren una mayor consciencia de los riesgos relacionados con
la fusión de los centros de datos y el cloud computing, estos negocios y agencias con un bajo nivel de tolerancia al riesgo se
muestran cada vez más reacios a utilizar estas tecnologías. Por suerte, los expertos del sector se han asociado en grupos como
Cloud Security Alliance (CSA) para colaborar en la resolución de este problema. En la publicación “Security Guidance for Critical
Areas of Focus in Cloud Computing” (Guía de seguridad para áreas críticas del cloud computing), la CSA recomienda a las
organizaciones que adopten varias medidas esenciales para proteger los activos presentes en la nube. En este modelo, el centro
de atención se sitúa en los datos desde una perspectiva interna, y consiste en desarrollar la seguridad directamente en la red
y en los sistemas, en lugar de aplicar las medidas de protección a posteriori. Con objeto de mejorar la seguridad, el perímetro
se cierra en torno a los propios datos. Si bien llevará tiempo dirigir los entornos de las empresas hacia un modelo como este,
el concepto esencial se puede aplicar hoy mismo cambiando el enfoque de dónde se encuentran los sistemas y la información
críticos por el del reconocimiento de que los individuos que pueden representar una amenaza interna y que tienen acceso a la
información podrían ser no solo los empleados, y que se deben controlar todas las actividades. No se fíe de nadie.10 En primer
lugar, las organizaciones que contemplen la posibilidad de utilizar el cloud computing deberían identificar los activos que serían
más apropiados para este tipo de implantación e identificar también su tolerancia al riesgo en relación con estos activos antes
de decidir si el ahorro de costes compensa los riesgos. Si se decide recurrir al cloud computing, la organización debe invertir una
parte del ahorro de costes que ofrece esta solución para financiar el desarrollo, la implantación y la supervisión de los controles de
seguridad específicos de los activos en la nube. Y quizás lo más importante, antes de firmar un contrato con un proveedor de cloud
computing, es fundamental alcanzar acuerdos de nivel de servicio, controles exigidos y derechos de auditoría, e incorporarlos al
contrato definitivo.
Armonización del cumplimiento, la seguridad y los objetivos
empresariales con las soluciones de gestión de identidades y
seguridad de NetIQ
NetIQ ofrece numerosas gamas de productos en su cartera de gestión de identidades y seguridad para dar respuesta a las
necesidades de organizaciones que desean alcanzar sus objetivos en materia de cumplimiento normativo, sin renunciar a
mantener un entorno seguro y cumplir los objetivos empresariales fijados:
NetIQ® Directory and Resource Administrator™ gestiona el acceso a Microsoft Active Directory, limitando al usuario a acciones
concretas de vistas específicas del directorio general. Como parte de la oferta de gestión de identidades y accesos de NetIQ,
se incluye la provisión de usuarios y otras tareas y procesos automatizados. También facilita las tareas de fusión de directorios y
ayuda a instaurar directivas de seguridad y separación de responsabilidades.
Los productos de NetIQ® Change Guardian™ ofrecen monitorización y notificación en tiempo real de los cambios que se
­producen en su entorno distribuido, aportando información detallada sobre archivos, directorios, recursos compartidos, claves
de registro (en Windows) y procesos del sistema, entre otros. También ofrecen datos de auditoría mejorados para brindar una
información más fiable y clara que la que pueden aportar los eventos de registro nativos; permiten además registrar información
anterior y posterior a los cambios para mejorar el análisis de los incidentes.
NetIQ® Sentinel™ es una solución de SIEM (Gestión de la información y los eventos de seguridad) con funcionalidad completa
que simplifica la implantación, gestión y uso diario de SIEM, se adapta inmediatamente a los entornos empresariales dinámicos y
proporciona la auténtica “inteligencia procesable” que los profesionales de la seguridad necesitan para entender rápidamente su
estado respecto a las amenazas y priorizar las respuestas.
NetIQ® Secure Configuration Manager™ permite realizar evaluaciones e informes periódicos de los cambios en la configuración
del sistema y compara dicha configuración con los requisitos normativos y las directivas de mejores prácticas para asegurar la
conformidad con SOX, PCI DSS, HIPAA/HITECH, FISMA y NERC CIP, entre otras normas. Además, los informes de autorización
de usuarios de NetIQ Secure Configuration Manager evalúan los permisos de acceso de los usuarios a información crítica,
ofreciendo a la organización respuestas sobre quién ha accedido a información crítica y cuál es su nivel de acceso; de este modo,
se contribuye a reducir las amenazas internas.
NetIQ ofrece otros productos para gestionar la protección de los datos y las necesidades de cumplimiento normativo. Para obtener
más información, visite www.netiq.com.
______________________
10
Cloud Security Alliance, “Security Guidance for Critical Areas of Focus in Cloud Computing” (Guía de seguridad para áreas críticas del cloud
computing), http://www.cloudsecurityalliance.org/guidance/csaguide.v2.1.pdf (acceso el 15 de marzo de 2011).
INFORME OFICIAL: Cómo armonizar cumplimiento, seguridad y objetivos empresariales | 6
Conclusión
El reto de crear un programa de cumplimiento normativo eficaz, que le ayude a alcanzar sus objetivos de cumplimiento,
seguridad y empresariales al mismo tiempo, nunca había sido tan abrumador. La tarea de cumplir con las exigencias industriales
y reguladoras (a menudo con el mismo conjunto de recursos de TI), que en muchas ocasiones se solapan, es compleja y requiere
mucho tiempo. Con demasiada frecuencia, los equipos de seguridad, superados por el trabajo, recurren al concepto de “cumplir y
olvidarse”, dejando que sea un conjunto mínimo de criterios de auditoría los que guíen sus prioridades en materia de seguridad,
en lugar de centrarse en gestionar el riesgo de acuerdo con los objetivos empresariales y la tolerancia al riesgo de la organización.
Además de las presiones para cumplir las múltiples normativas y asegurar una utilización efectiva del presupuesto de seguridad,
las organizaciones tienen que hacer frente en la actualidad a un panorama de amenazas que cambia rápidamente. A medida
que los modelos empresariales como la subcontratación y el cloud computing hacen que el perímetro de las redes sea más
permeable, y teniendo en cuenta que los ataques con motivaciones económicas o políticas son cometidos por grupos sofisticados
y organizados o por agentes internos, las organizaciones deben desarrollar rápidamente un programa de seguridad maduro que
evite las vulneraciones. Las organizaciones actuales deben estar en disposición de desarrollar, implementar y supervisar controles
de seguridad apropiados para su información e infraestructura críticas, independientemente del entorno en el que se encuentren.
Debe reconocer que los agentes internos que tienen acceso a la información crítica podrían no ser quienes parecen y, por este
motivo, toda la actividad debe ser supervisada sin que nadie sea objeto de una confianza plena.
En este entorno complejo y lleno de desafíos, el mejor modo de lograr el cumplimiento normativo es aplicar correctamente las
reglas básicas de seguridad. En primer lugar, implemente y gestione un conjunto de controles armonizados que cumplan con las
exigencias normativas y empresariales en constante evolución. Cuando implemente estos controles de seguridad, cerciórese
de que las soluciones que seleccione ofrezcan el nivel de automatización que precisa su organización. La automatización de
las tareas rutinarias que requieren un gran trabajo es fundamental para reducir el coste del cumplimiento normativo y evitar la
“angustia de la auditoría” porque garantiza la repetibilidad de los procesos y una estricta adherencia a las directivas. Solamente
un enfoque integrado y automatizado del cumplimiento normativo, cimentado en principios sólidos de seguridad, resulta efectivo,
sostenible y ampliable; gracias a esto, podrá alcanzar sus objetivos de cumplimiento normativo y mejorar la seguridad general de
su organización.
INFORME OFICIAL: Cómo armonizar cumplimiento, seguridad y objetivos empresariales | 7
Acerca de NetIQ
NetIQ es una compañía global de software de TI empresarial con un enfoque intensivo en el éxito del cliente. Los clientes y socios
eligen NetIQ para afrontar de manera rentable los retos que plantean la protección de la información y gestionar la complejidad de
las aplicaciones empresariales, con su carácter altamente distribuido y dinámico.
Nuestra cartera de productos incluye soluciones automatizadas para identidad, seguridad y control, y gestión de operaciones
de TI que ayudan a las empresas a ofrecer, medir y gestionar servicios informáticos en entornos físicos, virtuales y de nube.
Estas soluciones y nuestro enfoque práctico centrado en el cliente para resolver desafíos persistentes de TI, garantizan que las
empresas sean capaces de reducir el gasto, la complejidad y el riesgo.
Si desea más información sobre nuestras prestigiosas soluciones de software, visite www.netiq.com.
Este documento puede incluir imprecisiones técnicas o errores tipográficos. La presente información se actualiza de forma periódica. Los cambios efectuados podrían incorporarse en ediciones
posteriores de este documento. NetIQ Corporation puede realizar en cualquier momento mejoras o cambios en el software descrito en el presente documento.
Copyright© 2012 NetIQ Corporation y sus filiales. Reservados todos los derechos.
562-ES1006-001 DS 07/12
ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, el diseño del logotipo del cubo, Directory and Resource Administrator, Directory Security
Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge
Scripts, NetConnect, NetIQ, el logotipo de NetIQ, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server
Consolidator, VigilEnt y Vivinet son marcas comerciales o marcas comerciales registradas de NetIQ Corporation o sus subsidiarias en los EE. UU. Los demás nombres de compañías y productos
que se mencionan en el presente documento se utilizan solamente a efectos de identificación y pueden ser marcas comerciales o marcas comerciales registradas de sus respectivas empresas.
España
C/ José Echegaray, 8
Edificio III Planta 1
Oficinas 5 y 6
28230 Las Rozas (Madrid)
Telefono: +34 91 640 25 00
Fax: +34 91 640 25 25
Email: [email protected]
[email protected]
www.netiq.com
http://community.netiq.com
Para obtener una lista completa
de nuestras oficinas en América del
Norte, Europa, Oriente Medio, África,
Asia-Pacífico y América Latina, visite
www.netiq.com/contacts.
Síganos:
INFORME OFICIAL: Cómo armonizar cumplimiento, seguridad y objetivos empresariales | 8
Documentos relacionados
Inteligencia de seguridad en tiempo real para aumentar la
Inteligencia de seguridad en tiempo real para aumentar la
Plano de Ubicación
Plano de Ubicación
informe sobre la gestión del Registro Civil
informe sobre la gestión del Registro Civil
Guía de resolución de problemas de eDirectory 8.8 SP8 de NetIQ
Guía de resolución de problemas de eDirectory 8.8 SP8 de NetIQ
Descargar
Anuncio
Anuncio