Automatización de controles

de cumplimiento

ADACSI

25 de septiembre de 2013

Agenda

• Qué entendemos por controles de cumplimiento.

• Identificación de controles fáciles vs difíciles de automatizar.

• Aspectos a tener en cuenta para la automatización.

• Integración de las herramientas seleccionadas.

• Métricas de cumplimiento.

• Prueba de concepto (demo).

• Beneficios y conclusiones.

Controles de Cumplimiento

Controles aplicados por un área (en general

Seguridad Informática) para asegurar que cumplimos

con:

• Normativa aplicable (BCRA, ISO, PCI, SOX)

• Buenas Prácticas

• Requisitos de la Dirección

• Contratos

• SLAs

Se hacen *antes* de que nos caigan las auditorías

internas, las inspecciones, las auditorías externas, las

de sistemas, de nuestros clientes, de certificación, etc.

Controles Automatizables

• Controles sobre ítems configurables (con suerte 100% automatizables).

• Controles sobre los cambios (80%).

• Controles sobre actividades de usuarios y administradores (50%).

• Cuando hay un valor o rango aceptable constante y/o específico contra el cual contrastar.

• Cuando el inventario de ítems configurables está bien controlado.

• Cuando es posible obtener suficientes datos de entrada de buena calidad.

Controles No Automatizables 100%

• “No automatizable” es un concepto práctico.

• Depende de las circunstancias particulares de la organización.

• Mala calidad de la información de entrada.

• Cambios muy dinámicos de la configuración.

• Situaciones que requieren criterio humano (apoyarse en el dueño / usuario)

Automatización vs Criterio Humano

Alarma

Alarma

Situación

normal

Warning

Aspectos a tener en cuenta

• Porcentaje de automatización vs criterio humano.

• Costo en términos de ancho de banda, almacenamiento, cpu, etc.

• Integración de información obtenida de distintas fuentes.

• Soporte técnico y mantenimiento de las herramientas y de su propia configuración (skills).

Aspectos a tener en cuenta

• Disponibilidad de tiempo para asegurar la

operación de la herramienta (evitar el

efecto “arbolito de navidad”).

• Relación costo/beneficio a medida que

aumenta la profundidad o funcionalidad

del control.

• Calidad y audiencia de los reportes (“el

producto”).

Integración de las herramientas

• Scheduler y obtención de los datos.

• Procesamiento y correlación.

• Generación de resultados inmediatos:

alarmas, warnings y/o semáforos.

• Generación de reportes y métricas de

cumplimiento.

Integración de las herramientas

Hay que tener presentes

• Sistemas Operativos.

• Plataformas soportadas.

• Componentes de terceras partes.

• Protocolos de interconexión.

• Lenguajes de scripting y programación.

• Necesidad de agentes en los ítems configurables.

• Licenciamiento.

• Diseño!

Métricas de Cumplimiento

- Nuestro CEO sólo tiene 5 minutos. ¿Es suficiente tiempo para tu presentación powerpoint?

- No. Una explicación incompleta de la situación causará una cantidad masiva de errores estratégicos.

- ¿Y qué nos pueden dar por 4 minutos y medio?

Métricas de Cumplimiento

- Para tomar una decisión informada necesitarías conocer tanto como yo

- Eso es imposible, así que en vez de eso, por un acuerdo mutuo e implícito, voy a decirte algunas mentiras para indicarte la decisión correcta.

- Si no actualizamos nuestros servidores, una manada de trolls va a atacar nuestros headquarters.

- ¡No quiero trolls!

DEMO

• Mejoras al diseño gráfico.

• Ejemplos de controles (cumplimiento unix,

integrity checker windows/unix,

cumplimiento routers, control de

inventario, inactividad de usuarios).

• Ejemplos de métricas automáticas de

cumplimiento.

Beneficios

ALCANCE

• Mejora la frecuencia de los controles.

• Mejora la cobertura.

• Mejora repetitividad.

VISIBILIDAD

• Visibilidad de los desvíos (efecto sobre la conducta de los administradores).

• Visibilidad de la gestión de seguridad.

Beneficios

OPORTUNIDAD

• Disminución de los errores y tiempo de

incumplimiento.

• Permite enfocar el tiempo de las personas

en tareas de mayor aporte (efecto sobre la

conducta de los analistas de seguridad).

• Mantiene a los analistas de seguridad

preparados técnicamente.

Conclusiones

“Lo que no se mide no se puede controlar”

“Alinearnos con el negocio”

“Hoy estamos, mañana no estamos”

¿Preguntas?

?

Contacto

www.portoyasociados.com.ar

contacto@portoyasociados.com.ar