Cumplimiento de Normativas: Una realidad para las TI

Transcripción

1 Cumplimiento de Normativas: Una realidad para las TI Juan Miguel Haddad Principal System Engineer

2 El Escenario Actual Fenómeno de moda? Asistencia Sanitaria HIPAA* Sector Público FISMA (US) NIST Canadian and Asian Privacy Laws ESCENARIO REGULATORIO Sector Financiero GLBA* and USA Patriot Act Basel II PCI/DSS* NASD 3010/3110 SEC 17 a-4 Industria NERC CIP 1300 Energy Bill of 2005 Empresas Farmacéuticas y Científicas FDA 21 CFR 11 INICIATIVAS PRIVADAS CONTROL INTERNO PLANES DIRECTORES ANÁLISIS DE RIESGOS ITIL Regulaciones Multisectoriales SOX PIPEDA Canada Multilateral Instrument CA SB-1386 EU Data Protection Directive / LOPD / RMS

3 La necesidad de las empresas de Comprobar el cumplimiento de Normativas Porqué hacerlo? Aspecto Estratégico Obligaciones legales (controles y riesgo de penalizaciones) El 70% de las empresas están sometidas a varias reglamentaciones (sectoriales, financieras ) Como hacerlo? Aspecto Operativo Los equipos de TI deben: Identificar los controles necesarios propios de cada reglamentación Algunos son propios de varias reglamentaciones de forma simultánea Poder efectuar controles de forma automática Coste: Implantación de controles de configuración Best Practices : 120 Servidores 1 Vez a la semana por servidor 30 Minutos por servidor.5 x 120 x 54 = 3240 Horas (405 Jornadas / año)

4 Algunos objetivos de IT Compliance Si bien existen varias leyes, normativas y estándares que varían dependiendo del sector de la empresa, las distintas legislaciones sobre la información se afanan en cumplir uno o varios de los siguientes objetivos: Integridad de la Información, de Procesos y de Sistemas: puesta en marcha de procesos de control de sistemas y del uso de información para asegurar su integridad. Acceso Controlado: Gestión del acceso o del uso de información especifica. Retención de la Información: Gestión del almacenamiento, la recuperación y la indexación de la información guardada a lo largo del tiempo

5 Algunas definiciones Conformidad o Compliance: Capacidad de la empresa de cumplir las normativas en vigor en su sector. Esto implica la capacidad de demostrar a los auditores la puesta en marcha de los controles necesarios para su cumplimiento. Regulación : Ley que define un marco de aplicación, sanciones y las autoridades que la regulan o controlan. Framework : Metodologías definidas por los auditores existentes en el mercado (E&Y, ISACA, ISO,...) resultando en cuadros de mandos (COBIT, COSO, ISO ) Estándar: Definiciones concretas de parametrización formuladas por los mismos organismos anteriores u otros. Política : Marco de uso de los sistemas de T.I. aprobado por la dirección de la empresa y definido por estándares y procedimientos. Evidencia de un Control IT : Resultado de un control. Utilizado como prueba durante una auditoria.

6 La aproximación de Symantec Definir Controlar Mantener REGULACIONES FRAMEWORKS ESTÁNDARES POLÍTICAS CORPORATIVAS CONTROLES IT MEDIR REMEDIAR SOX HIPAA COSO COBIT Políticas internas PCI-DSS Sistemas Operativos Bases de Datos INFORMAR GUARDAR GLBA ISO17799 CIS Aplicaciones FISMA NIST NIST Directorios Basel ll NSA Personas Crear, distribuir y administrar políticas basadas en regulaciones y estándares Comprobar las políticas definidas con las políticas aplicadas en los sistemas IT a través de las diferentes plataformas y aplicaciones Medir el cumplimiento de las normativas y remediar las desviaciones de las políticas; guardar e informar del estado del cumplimiento de las normativas.

7 Cumplimiento de Políticas IT

8 Definir 1.a Definición de la Política Definición y Difusión de políticas IT y no IT Documentar y llevar un control de versión las políticas Cumplir las obligaciones legales que requieren la difusión y aceptación de las políticas por parte de los usuarios. Controlar vía WEB la conformidad de los usuarios. Controlar las excepciones y sus clarificaciones.

9 Definir 1.b Relacionar Políticas Regulations Relacione las políticas internas con los controles IT (SOX, FISMA, GLBA, HIPAA, Cobit, ISO17799, NIST) 4 HIPAA SOX Framework ej. Para cumplir SOX 404 compliance, usando COBIT como referencia, el antivirus tiene que estar instalado 3 2 ISO CobiT Control Activities Malware Policy 1 Compliance Mapping Created Policy

10 Controlar 2. Recolección de evidencias La solución de Symantec comprueba el cumplimiento de Políticas en los Sistemas: Cumplimiento de Políticas de Seguridad: Análisis de permisos: Quien puede ejecutar una aplicación?, Cuando se han cambiado dichos permisos? Análisis de vulnerabilidades: Está mi entorno protegido frente a ataques? Cumplimiento de Políticas IT: Análisis de Configuración: Cómo están configurados los sistemas?, Qué parches están instalados?, Cómo están definidos mis grupos de usuarios?... Análisis de Datos (información): Qué tipo de datos están almacenados?, Qué sistemas los almacenan?...

11 Controlar 2. Recolección de evidencias Auditoría Exportar Formatos Módulos Integración HP Open View MOM 2005 Monitor HP Service Desk Remedy Help Desk Recolección UNIX Linux Windows Exchange MS-SQL

12 Mantener 3. Auditar el Cumplimiento Conocimiento de las políticas Chequea e informa de la aceptación por parte del usuario de las políticas vigentes. Cobertura de las políticas Informa de la falta de cobertura de las diferentes regulaciones y de los Entornos Cumplimiento de las políticas Informa del cumplimiento de los estándares técnicos a través de la incorporación de información de terceros productos

13 La Visión Completa de Symantec Symantec reduce el coste del cumplimiento de normativas automatizando el chequeo políticas contra las mejores practicas de la industria. Symantec asegura la cobertura de políticas en todos los aspectos reguladores de las siguientes tres formas: 1. a. Definición de la Política: Definir y distribuir política. Chequeo de la aceptación del usuario. b. Relacionar Políticas: Utiliza una serie controles para relacionar políticas a través de múltiples regulaciones. 2. Recolección de evidencias: Mediante un motor de recolección que actua sobre los distintos sistemas de la empresa. 3. Auditar Cumplimiento: Proporciona evidencias del cumplimiento de políticas a través de la colección de información de otras fuentes.

14 Conformidad de los puestos de usuario

15 Y los puestos de trabajo de los usuarios? En su opinión cuales son las fuentes más comunes de Ataques por Gusanos en Internet? El PC de un empleado 28% Directamente por Internet a través del Firewall 24% El Portátil de una persona Ajena a la empresa 22% A través de un sistema en casa Conectado a la VPN 16% No Sabe 5% Otros 5% Source: Enterprise Security Group, January 2005 ESG Research Report, Network Security And Intrusion Prevention

16 Conformidad de los puestos de usuario Paso 1 El PC se conecta a la red Se determina la configuración Paso 4 Se monitoriza el PC para asegurarse que es compliant Paso 2 Se comprueba el cumplimiento de la Configuración Contra la Política Definida Paso 3 Se actúa en base al resultado Parche Cuarentena Desktop Virtual

17 Retención de la Información

18 Retención de datos Código de Comercio: Artículo 30 - Ámbito corporativo El Código de Comercio impone a empresarios individuales y sociedades mercantiles la obligación de conservar los libros, correspondencia, documentación y justificantes concernientes a su negocio, debidamente ordenados, durante seis años a partir del último asiento realizado en los libros. Esta obligación implica el deber de conservar la citada información durante dicho periodo desde que cese la relación negocial que la justifique. - Ámbito fiscal La Ley 230/1963 General Tributaria y la Ley 1/1998 que regula los Derechos y Garantías de los Contribuyentes disponen que el plazo de prescripción de las deudas tributarias, durante el cual deberá conservarse toda la documentación acreditativa al efecto, es de cuatro años. Asimismo, en materia del Impuesto sobre el Valor Añadido (Ley 30/1985), se obliga a los sujetos pasivos, por un lado, a expedir y entregar facturas o documentos equivalentes de sus operaciones y conservar duplicado de los mismos y, por otro, a conservar las facturas recibidas, los justificantes contables y los duplicados de las facturas emitidas durante su correspondiente periodo de regularización y los cinco años siguientes. Estatuto de los Trabajadores: Artículo 18 Sólo podrán realizarse registros sobre la persona del trabajador, en sus taquillas y efectos particulares, cuando sean necesarios para la protección del patrimonio empresarial y del de los demás trabajadores de la empresa, dentro del centro de trabajo y en horas de trabajo. En su realización se respetará al máximo la dignidad e intimidad del trabajador y se contará con la asistencia de un representante legal de los trabajadores o, en su ausencia del centro de trabajo, de otro trabajador de la empresa, siempre que ello fuera posible. Ley 34/2002 de Servicios de la Sociedad de la Información dota a los contratos celebrados por vía electrónica de los mismos efectos que los contratos celebrados de forma física, siempre y cuando concurran el consentimiento y los demás requisitos necesarios para su validez, sin que sea necesario un acuerdo previo de las partes sobre la utilización de medios electrónicos. Asimismo, esta norma establece que, cuando se exija legalmente que un contrato o cualquier información relacionada con el mismo conste por escrito, este requisito se entenderá satisfecho si el contrato o la información se contiene en soporte electrónico.

19 Escenario Actual: Almacenamiento, Retención y Búsqueda de la Información - Los riesgos de hoy en día Archivo/Correo editado o borrado antes de realizarse el Backup Puede que no se haga backup del Archivo/Correo Ficheros PST: Los datos se pueden perder en caso de robo/perdida de maquina Tiempo y coste asociados Imposibilidad de verificar la integridad de la información La información puede no ser recuperable Imposibilidad de demostrar la retención o la supervisión de los procesos de mensajes Imposibilidad de verificar la integridad de la información Perdida de datos: borrado antes de cumplir el periodo de retención No borrar incluso la información que contiene ordenes no compliant Crecimiento desmesurado del almacenamiento Buzones Gestionados por los usuarios Búsqueda y recuperación de backups en cinta Sin mecanismos de Auditoria y Reporte Sin Políticas de retención y Borrado Definidas

20 Archiving: Almacenamiento, Retención y Búsqueda de la Información Exchange Exchange SMTP SMTP Lotus Lotus Notes Notes SharePoint SharePoint Ficheros Ficheros Proteger Racionalizar Retener Expirar Indexar Categorizar M. M. Instantánea Instantánea Archive Store Aplicaciones De Conformidad Motores de Búsqueda Primario Secundario Terciario

21 Archivado de y Datos no Estructurados: Retención y Control de la Información Necesario Captura del correo en un formato inalterado cuando se envía o recibe Se mantiene copia de toda la información, incluso la que el usuario quiera localmente (.PST) Proceso automatizado Proceso de Localización y Recuperación puntual Reducción del tiempo y coste de localización Verificación de la integridad de la información Proceso compliant : sistema único para auditar e informar Permite ver una muestra parcial o la totalidad de la información Evita el riesgo de perdida de datos antes de que el periodo de retención finalice Gestión por póliticas desde la creación hasta el borrado Gestiona el crecimiento del almacenamiento Control sobre la retención de la Información La localización no depende del backup en cinta Mecanismo de Auditoria e Informes Políticas de retención y borrado

22 CONCLUSIÓN: Symantec Facilita la Gestión del Cumplimiento de Normativas Mediante procesos automáticos de control: Con monitores en la Infraestructura de TI Con informes, históricos y cuadros de mando Relacionando los controles técnicos con las normativas y vice versa : Capacidad de relacionar los controles técnicos con diversas normativas Capacidad de crear políticas propias de TI de la empresa Soporte de multitud de plataformas, aplicativos y fuentes externas de información Conformidad de Sistemas Servidores así como Puestos de Usuario Almacenamiento, Retención y Búsqueda de la Información: Para cumplimiento de normativas y protección de información de negocio

23 Nuestro Compromiso Symantec crea un líder en market share en el sector Symantec - $120M, siguiente Fabricante ~ $40M Symantec proporciona controles end-to-end compliance. Único fabricante capaz de ofrecer policy management, server compliance, data protection y endpoint compliance. Creación de una unidad de negocio específica de Compliance Más de 400 desarrolladores especializados y focalizados en el compliance management Creación de Security Compliance research organization para garantizar la continuidad de liderazgo en el futuro Symc + Institute of Internal Auditors + Computer Security Institute Lideran la búsqueda de necesidades de cumplimiento IT por parte de las Empresas

24 GRACIAS!