Automatizacón de controles de cumplimiento - ADACSI 2013
Click here to load reader
-
Upload
javier-antunez-cissp-la27001-ia9001 -
Category
Technology
-
view
76 -
download
0
description
Transcript of Automatizacón de controles de cumplimiento - ADACSI 2013
![Page 1: Automatizacón de controles de cumplimiento - ADACSI 2013](https://reader038.fdocuments.ec/reader038/viewer/2022100500/558bd6b3d8b42ab9308b45c4/html5/thumbnails/1.jpg)
Automatización de controles
de cumplimiento
ADACSI
25 de septiembre de 2013
![Page 2: Automatizacón de controles de cumplimiento - ADACSI 2013](https://reader038.fdocuments.ec/reader038/viewer/2022100500/558bd6b3d8b42ab9308b45c4/html5/thumbnails/2.jpg)
Agenda
• Qué entendemos por controles de cumplimiento.
• Identificación de controles fáciles vs difíciles de automatizar.
• Aspectos a tener en cuenta para la automatización.
• Integración de las herramientas seleccionadas.
• Métricas de cumplimiento.
• Prueba de concepto (demo).
• Beneficios y conclusiones.
![Page 3: Automatizacón de controles de cumplimiento - ADACSI 2013](https://reader038.fdocuments.ec/reader038/viewer/2022100500/558bd6b3d8b42ab9308b45c4/html5/thumbnails/3.jpg)
Controles de Cumplimiento
Controles aplicados por un área (en general
Seguridad Informática) para asegurar que cumplimos
con:
• Normativa aplicable (BCRA, ISO, PCI, SOX)
• Buenas Prácticas
• Requisitos de la Dirección
• Contratos
• SLAs
Se hacen *antes* de que nos caigan las auditorías
internas, las inspecciones, las auditorías externas, las
de sistemas, de nuestros clientes, de certificación, etc.
![Page 4: Automatizacón de controles de cumplimiento - ADACSI 2013](https://reader038.fdocuments.ec/reader038/viewer/2022100500/558bd6b3d8b42ab9308b45c4/html5/thumbnails/4.jpg)
Controles Automatizables
• Controles sobre ítems configurables (con suerte 100% automatizables).
• Controles sobre los cambios (80%).
• Controles sobre actividades de usuarios y administradores (50%).
• Cuando hay un valor o rango aceptable constante y/o específico contra el cual contrastar.
• Cuando el inventario de ítems configurables está bien controlado.
• Cuando es posible obtener suficientes datos de entrada de buena calidad.
![Page 5: Automatizacón de controles de cumplimiento - ADACSI 2013](https://reader038.fdocuments.ec/reader038/viewer/2022100500/558bd6b3d8b42ab9308b45c4/html5/thumbnails/5.jpg)
Controles No Automatizables 100%
• “No automatizable” es un concepto práctico.
• Depende de las circunstancias particulares de la organización.
• Mala calidad de la información de entrada.
• Cambios muy dinámicos de la configuración.
• Situaciones que requieren criterio humano (apoyarse en el dueño / usuario)
![Page 6: Automatizacón de controles de cumplimiento - ADACSI 2013](https://reader038.fdocuments.ec/reader038/viewer/2022100500/558bd6b3d8b42ab9308b45c4/html5/thumbnails/6.jpg)
Automatización vs Criterio Humano
Alarma
Alarma
Situación
normal
Warning
![Page 7: Automatizacón de controles de cumplimiento - ADACSI 2013](https://reader038.fdocuments.ec/reader038/viewer/2022100500/558bd6b3d8b42ab9308b45c4/html5/thumbnails/7.jpg)
Aspectos a tener en cuenta
• Porcentaje de automatización vs criterio humano.
• Costo en términos de ancho de banda, almacenamiento, cpu, etc.
• Integración de información obtenida de distintas fuentes.
• Soporte técnico y mantenimiento de las herramientas y de su propia configuración (skills).
![Page 8: Automatizacón de controles de cumplimiento - ADACSI 2013](https://reader038.fdocuments.ec/reader038/viewer/2022100500/558bd6b3d8b42ab9308b45c4/html5/thumbnails/8.jpg)
Aspectos a tener en cuenta
• Disponibilidad de tiempo para asegurar la
operación de la herramienta (evitar el
efecto “arbolito de navidad”).
• Relación costo/beneficio a medida que
aumenta la profundidad o funcionalidad
del control.
• Calidad y audiencia de los reportes (“el
producto”).
![Page 9: Automatizacón de controles de cumplimiento - ADACSI 2013](https://reader038.fdocuments.ec/reader038/viewer/2022100500/558bd6b3d8b42ab9308b45c4/html5/thumbnails/9.jpg)
Integración de las herramientas
• Scheduler y obtención de los datos.
• Procesamiento y correlación.
• Generación de resultados inmediatos:
alarmas, warnings y/o semáforos.
• Generación de reportes y métricas de
cumplimiento.
![Page 10: Automatizacón de controles de cumplimiento - ADACSI 2013](https://reader038.fdocuments.ec/reader038/viewer/2022100500/558bd6b3d8b42ab9308b45c4/html5/thumbnails/10.jpg)
Integración de las herramientas
Hay que tener presentes
• Sistemas Operativos.
• Plataformas soportadas.
• Componentes de terceras partes.
• Protocolos de interconexión.
• Lenguajes de scripting y programación.
• Necesidad de agentes en los ítems configurables.
• Licenciamiento.
• Diseño!
![Page 11: Automatizacón de controles de cumplimiento - ADACSI 2013](https://reader038.fdocuments.ec/reader038/viewer/2022100500/558bd6b3d8b42ab9308b45c4/html5/thumbnails/11.jpg)
Métricas de Cumplimiento
- Nuestro CEO sólo tiene 5 minutos. ¿Es suficiente tiempo para tu presentación powerpoint?
- No. Una explicación incompleta de la situación causará una cantidad masiva de errores estratégicos.
- ¿Y qué nos pueden dar por 4 minutos y medio?
![Page 12: Automatizacón de controles de cumplimiento - ADACSI 2013](https://reader038.fdocuments.ec/reader038/viewer/2022100500/558bd6b3d8b42ab9308b45c4/html5/thumbnails/12.jpg)
Métricas de Cumplimiento
- Para tomar una decisión informada necesitarías conocer tanto como yo
- Eso es imposible, así que en vez de eso, por un acuerdo mutuo e implícito, voy a decirte algunas mentiras para indicarte la decisión correcta.
- Si no actualizamos nuestros servidores, una manada de trolls va a atacar nuestros headquarters.
- ¡No quiero trolls!
![Page 13: Automatizacón de controles de cumplimiento - ADACSI 2013](https://reader038.fdocuments.ec/reader038/viewer/2022100500/558bd6b3d8b42ab9308b45c4/html5/thumbnails/13.jpg)
DEMO
• Mejoras al diseño gráfico.
• Ejemplos de controles (cumplimiento unix,
integrity checker windows/unix,
cumplimiento routers, control de
inventario, inactividad de usuarios).
• Ejemplos de métricas automáticas de
cumplimiento.
![Page 14: Automatizacón de controles de cumplimiento - ADACSI 2013](https://reader038.fdocuments.ec/reader038/viewer/2022100500/558bd6b3d8b42ab9308b45c4/html5/thumbnails/14.jpg)
Beneficios
ALCANCE
• Mejora la frecuencia de los controles.
• Mejora la cobertura.
• Mejora repetitividad.
VISIBILIDAD
• Visibilidad de los desvíos (efecto sobre la conducta de los administradores).
• Visibilidad de la gestión de seguridad.
![Page 15: Automatizacón de controles de cumplimiento - ADACSI 2013](https://reader038.fdocuments.ec/reader038/viewer/2022100500/558bd6b3d8b42ab9308b45c4/html5/thumbnails/15.jpg)
Beneficios
OPORTUNIDAD
• Disminución de los errores y tiempo de
incumplimiento.
• Permite enfocar el tiempo de las personas
en tareas de mayor aporte (efecto sobre la
conducta de los analistas de seguridad).
• Mantiene a los analistas de seguridad
preparados técnicamente.
![Page 16: Automatizacón de controles de cumplimiento - ADACSI 2013](https://reader038.fdocuments.ec/reader038/viewer/2022100500/558bd6b3d8b42ab9308b45c4/html5/thumbnails/16.jpg)
Conclusiones
“Lo que no se mide no se puede controlar”
“Alinearnos con el negocio”
“Hoy estamos, mañana no estamos”
![Page 17: Automatizacón de controles de cumplimiento - ADACSI 2013](https://reader038.fdocuments.ec/reader038/viewer/2022100500/558bd6b3d8b42ab9308b45c4/html5/thumbnails/17.jpg)
¿Preguntas?
?