Automatizacón de controles de cumplimiento - ADACSI 2013

18

Click here to load reader

description

Presentación brindada en septiembre del 2013 en ADACSI. Sirve como disparador para pensar en que controles que se realizan en la organización pueden automaizarse y cuales no, la importancia de generar la información correcta y colocar a la persona en el punto donde agrega valor. Ademas de tomar en cuenta aspectos que normalmente no se analizan frente a proyectos de este tipo.

Transcript of Automatizacón de controles de cumplimiento - ADACSI 2013

Page 1: Automatizacón de controles de cumplimiento - ADACSI 2013

Automatización de controles

de cumplimiento

ADACSI

25 de septiembre de 2013

Page 2: Automatizacón de controles de cumplimiento - ADACSI 2013

Agenda

• Qué entendemos por controles de cumplimiento.

• Identificación de controles fáciles vs difíciles de automatizar.

• Aspectos a tener en cuenta para la automatización.

• Integración de las herramientas seleccionadas.

• Métricas de cumplimiento.

• Prueba de concepto (demo).

• Beneficios y conclusiones.

Page 3: Automatizacón de controles de cumplimiento - ADACSI 2013

Controles de Cumplimiento

Controles aplicados por un área (en general

Seguridad Informática) para asegurar que cumplimos

con:

• Normativa aplicable (BCRA, ISO, PCI, SOX)

• Buenas Prácticas

• Requisitos de la Dirección

• Contratos

• SLAs

Se hacen *antes* de que nos caigan las auditorías

internas, las inspecciones, las auditorías externas, las

de sistemas, de nuestros clientes, de certificación, etc.

Page 4: Automatizacón de controles de cumplimiento - ADACSI 2013

Controles Automatizables

• Controles sobre ítems configurables (con suerte 100% automatizables).

• Controles sobre los cambios (80%).

• Controles sobre actividades de usuarios y administradores (50%).

• Cuando hay un valor o rango aceptable constante y/o específico contra el cual contrastar.

• Cuando el inventario de ítems configurables está bien controlado.

• Cuando es posible obtener suficientes datos de entrada de buena calidad.

Page 5: Automatizacón de controles de cumplimiento - ADACSI 2013

Controles No Automatizables 100%

• “No automatizable” es un concepto práctico.

• Depende de las circunstancias particulares de la organización.

• Mala calidad de la información de entrada.

• Cambios muy dinámicos de la configuración.

• Situaciones que requieren criterio humano (apoyarse en el dueño / usuario)

Page 6: Automatizacón de controles de cumplimiento - ADACSI 2013

Automatización vs Criterio Humano

Alarma

Alarma

Situación

normal

Warning

Page 7: Automatizacón de controles de cumplimiento - ADACSI 2013

Aspectos a tener en cuenta

• Porcentaje de automatización vs criterio humano.

• Costo en términos de ancho de banda, almacenamiento, cpu, etc.

• Integración de información obtenida de distintas fuentes.

• Soporte técnico y mantenimiento de las herramientas y de su propia configuración (skills).

Page 8: Automatizacón de controles de cumplimiento - ADACSI 2013

Aspectos a tener en cuenta

• Disponibilidad de tiempo para asegurar la

operación de la herramienta (evitar el

efecto “arbolito de navidad”).

• Relación costo/beneficio a medida que

aumenta la profundidad o funcionalidad

del control.

• Calidad y audiencia de los reportes (“el

producto”).

Page 9: Automatizacón de controles de cumplimiento - ADACSI 2013

Integración de las herramientas

• Scheduler y obtención de los datos.

• Procesamiento y correlación.

• Generación de resultados inmediatos:

alarmas, warnings y/o semáforos.

• Generación de reportes y métricas de

cumplimiento.

Page 10: Automatizacón de controles de cumplimiento - ADACSI 2013

Integración de las herramientas

Hay que tener presentes

• Sistemas Operativos.

• Plataformas soportadas.

• Componentes de terceras partes.

• Protocolos de interconexión.

• Lenguajes de scripting y programación.

• Necesidad de agentes en los ítems configurables.

• Licenciamiento.

• Diseño!

Page 11: Automatizacón de controles de cumplimiento - ADACSI 2013

Métricas de Cumplimiento

- Nuestro CEO sólo tiene 5 minutos. ¿Es suficiente tiempo para tu presentación powerpoint?

- No. Una explicación incompleta de la situación causará una cantidad masiva de errores estratégicos.

- ¿Y qué nos pueden dar por 4 minutos y medio?

Page 12: Automatizacón de controles de cumplimiento - ADACSI 2013

Métricas de Cumplimiento

- Para tomar una decisión informada necesitarías conocer tanto como yo

- Eso es imposible, así que en vez de eso, por un acuerdo mutuo e implícito, voy a decirte algunas mentiras para indicarte la decisión correcta.

- Si no actualizamos nuestros servidores, una manada de trolls va a atacar nuestros headquarters.

- ¡No quiero trolls!

Page 13: Automatizacón de controles de cumplimiento - ADACSI 2013

DEMO

• Mejoras al diseño gráfico.

• Ejemplos de controles (cumplimiento unix,

integrity checker windows/unix,

cumplimiento routers, control de

inventario, inactividad de usuarios).

• Ejemplos de métricas automáticas de

cumplimiento.

Page 14: Automatizacón de controles de cumplimiento - ADACSI 2013

Beneficios

ALCANCE

• Mejora la frecuencia de los controles.

• Mejora la cobertura.

• Mejora repetitividad.

VISIBILIDAD

• Visibilidad de los desvíos (efecto sobre la conducta de los administradores).

• Visibilidad de la gestión de seguridad.

Page 15: Automatizacón de controles de cumplimiento - ADACSI 2013

Beneficios

OPORTUNIDAD

• Disminución de los errores y tiempo de

incumplimiento.

• Permite enfocar el tiempo de las personas

en tareas de mayor aporte (efecto sobre la

conducta de los analistas de seguridad).

• Mantiene a los analistas de seguridad

preparados técnicamente.

Page 16: Automatizacón de controles de cumplimiento - ADACSI 2013

Conclusiones

“Lo que no se mide no se puede controlar”

“Alinearnos con el negocio”

“Hoy estamos, mañana no estamos”

Page 17: Automatizacón de controles de cumplimiento - ADACSI 2013

¿Preguntas?

?

Page 18: Automatizacón de controles de cumplimiento - ADACSI 2013

Contacto

www.portoyasociados.com.ar

[email protected]