Expert Forum - Cumplimiento
IT Compliance
Rubén Aparicio
Necesidad de las empresas de Comprobar el
cumplimiento de Normativas
Aspecto Estratégico
¿Porqué hacerlo?


Obligaciones legales (controles y riesgo de penalizaciones)
Muchas empresas están sometidas a varias reglamentaciones (sectoriales, financieras…)
¿Como hacerlo?
Aspecto Operativo
Los equipos de TI deben:
 Identificar los controles necesarios propios de cada reglamentación
 Algunos son propios de varias reglamentaciones de forma simultánea
 Poder efectuar controles de forma automática
Coste: Implantación de controles de configuración “Best Practices”:
•
•
•
•
120 Servidores
1 Vez a la semana por servidor
30 Minutos por servidor
0.5 x 120 x 54 = 3240 Horas (405 Jornadas / año)
2
Algunos objetivos de IT Compliance
Si bien existen varias leyes, normativas y estándares que varían
dependiendo del sector de la empresa, las distintas legislaciones sobre
la información se afanan en cumplir uno o varios de los siguientes
objetivos:
 Integridad de la Información, de Procesos y de Sistemas: puesta en marcha
de procesos de control de sistemas y del uso de información para asegurar
su integridad.
 Acceso Controlado: Gestión del acceso o del uso de información especifica.
 Retención de la Información: Gestión del almacenamiento, la recuperación
y la indexación de la información guardada a lo largo del tiempo
3
Portfolio de Productos Symantec, Compliance:
IT Compliance:
 Symantec Bindview Policy Manager
 Symantec Control Compliance Suite
 Symantec Enterprise Manager
End Point Compliance:
 Sygate
Retención de Información :
 Symantec Enterprise Vault
 IM Logic
4
Algunas definiciones
Conformidad o Compliance:

Capacidad de la empresa de cumplir las normativas en vigor en su sector. Esto implica la capacidad
de demostrar a los auditores la puesta en marcha de los controles necesarios para su cumplimiento.
Regulación :

Ley que define un marco de aplicación, sanciones y las autoridades que la regulan o controlan.
Metodologías o Marcos de Trabajo :

Metodologías definidas por los auditores existentes en el mercado (E&Y, ISACA, ISO,...) resultando
en cuadros de mandos (COBIT, COSO, ISO 27001…)
Estándar:

Definiciones concretas de parametrización formuladas por los mismos organismos anteriores u
otros.
Política :

Marco de uso de los sistemas de T.I. aprobado por la dirección de la empresa y definido por
estándares y procedimientos.
Evidencia de un Control IT :

Resultado de un control. Utilizado como prueba durante una auditoria.
5
La aproximación de Symantec
Definir
REGULACIONES
FRAMEWORKS
Controlar
ESTÁNDARES
POLÍTICAS CORPORATIVAS
Mantener
CONTROLES IT
MEDIR
REMEDIAR
INFORMAR
SOX
COSO
Políticas internas
Sistemas Operativos
LOPD
COBIT
PCI-DSS
Bases de Datos
GLBA
ISO17799 CIS
Aplicaciones
FISMA
NIST
NIST
Directorios
NSA
Personas
HIPAA
Crear, distribuir y administrar políticas
basadas en regulaciones y estándares
Comprobar las políticas definidas con
las políticas aplicadas en los sistemas
IT a través de las diferentes
plataformas y aplicaciones
GUARDAR
Medir el cumplimiento de las
normativas y remediar las
desviaciones de las políticas;
guardar e informar del estado del
cumplimiento de las normativas.
6
Symantec Bindview
Policy Manager
7
Definir
1. Definición de la Política
Definición y Difusión de
políticas IT y no IT
 Documentar y llevar un
control de versión las
políticas
 Cumplir las obligaciones
legales que requieren la
difusión y aceptación de
las políticas por parte de
los usuarios.
 Controlar vía WEB la
conformidad de los
usuarios.
 Controlar las excepciones
y sus clarificaciones.
8
Policy Web Interface
9
Policy Reports
10
Definir
2. Relacionar Políticas
Regulaciones
Relacione las políticas
internas con los
controles IT (SOX,
LOPD, Cobit,
ISO17799, NIST)
ej. Para cumplir SOX
404 compliance,
usando COBIT como
referencia , el antivirus
tiene que estar
instalado
4
LOPD
SOX
Marco de Trabajo
3
ISO
CobiT
Actividades de
Control
2
“Malware Policy”
Política Creada
1
Mapa de Cumplimiento
11
12
Policy Mapping Enhanced
13
Controlar
3. Probar el Cumplimiento
Policy Awareness
 Chequea e informa de la
aceptación por parte del
usuario de las políticas
vigentes.
Cobertura de las políticas
 Informa de la falta de
cobertura de las diferentes
regulaciones y de los Entornos
Policy Compliance
 Informa del cumplimiento de
los estándares técnicos a
través de la incorporación de
información de terceros
productos
14
Measure Evidence
15
Asegurar que los sistemas cumplen con la Política
de Seguridad
Select
Standard
Report
Detect
Deviations
Remediate
Includes Technical Standards From CIS, NSA …Covers Windows, UNIX, Linux, Oracle, SQL…
16
Symantec Bindview Policy
Manager
Symantec reduce el coste del cumplimiento de normativas
automatizando el chequeo de políticas contra las mejores
practicas de la industria.
Symantec asegura la cobertura de políticas en todos los
aspectos reguladores de las siguientes tres formas:
1. Definición de la Política: Definir y distribuir política. Chequeo de
la aceptación del usuario.
2. Relacionar Políticas: Utiliza una serie controles para relacionar
políticas a través de múltiples regulaciones.
3. Auditar Cumplimiento: Proporciona evidencias del cumplimiento
de políticas a través de la colección de información de otras
fuentes.
17
Control Compliance Suite
Enterprise Security Manager
18
Controlar
Control Compliance Suite &
Enterprise Security Manager
CCS & ESM comprueban el cumplimiento de Políticas
en los Sistemas:
 Cumplimiento de Políticas de Seguridad:
• Análisis de permisos: ¿Quien puede ejecutar una aplicación?,
¿Cuando se han cambiado dichos permisos?…
• Análisis de vulnerabilidades: ¿Está mi entorno protegido frente a
ataques?
 Cumplimiento de Políticas IT:
• Análisis de Configuración: ¿Cómo están configurados los sistemas?,
¿Qué parches están instalados?, ¿Cómo están definidos mis grupos
de usuarios?...
• Análisis de Datos (información): ¿Qué tipo de datos están
almacenados?, ¿Qué sistemas los almacenan?...
19
Control Compliance Suite &
Enterprise Security Manager
Controlar
Policy Manager
MOM 2005
HP Service Desk
Remedy
Help Desk
HP Open View
Monitoring
Integration Modules
Exports - Formats
CCS / ESM
UNIX
Linux
Windows
Exchange
MS-SQL
20
Controlar
Control Compliance Suite &
Enterprise Security Manager
Las soluciones de Symantec:
Recogen evidencias de diferentes sistemas
Monitorizan la cobertura de las diferentes
políticas de la empresa
Detectan las desviaciones técnicas de los
estándares y proporcionan soluciones
21
La Visión Completa de Symantec
Policy Manager
CCS\ESM
Vista de Políticas
Vista de Activos
Asset Console
Política Interna
Vista de Servidor
ISO 17799
Vista de BBDD
Vista de Riesgos
Vista de Cambios
Controles Clave
Autorizados
No Gestionados
Controles Financieros
Repositorio
Motor de Recolección de Evidencias
Política
Anti-Virus
Backup
Endpoint
Sys Config
Incidentes
(SAV)
(NetBackup)
(Sygate)
(CCS\ESM)
(SSIM)
…
Evidencia
22
¡GRACIAS!
Descargar

FY05 Plan