Globalisation, new technologies and digital business models are transforming the supply chain. Many businesses rely on organisations and individuals in different regions or countries to own the processes, materials or expertise used to provide a product or service.

However, malicious individuals or groups are increasingly aware that any supply chain is only as strong as its weakest link. If just one participant in a supply chain is lax about security, all businesses and individuals involved may be at risk.

Malicious parties may exploit weaknesses to steal valuable intellectual property, disrupt the creation or delivery of products and services, or threaten businesses or individuals for financial gain.

The United States National Institute of Standards and Technology (NIST) highlighted the importance of a cyber-secure supply chain in its Cybersecurity Framework. The latest version of the Framework – which provides voluntary guidance for organisations to better manage and reduce cyber-security risks – incorporates additional descriptions about how to manage supply chain cybersecurity.

Furthermore, a recent KPMG report points out “organisations that understand and manage the breadth of their interconnected supply chains and their points of vulnerability and weaknesses are better placed to prevent and manage issues.”

So what measures businesses can take to reduce cyber-security risks to their supply chains? Here are some steps that business owners and managers may consider taking:

• Provide security expertise and resources to all participants in their supply chain.
• Review participants’ processes for addressing technology vulnerabilities that attackers may exploit.
• Check participants’ processes and technologies for dealing with infections by malicious software (malware).
• Determine whether background checks are conducted on all workers involved in the business’s supply chain.
• Review processes used to ensure all components used in the supply chain are legitimate and free of malware or vulnerabilities.

By implementing these and other measures through a comprehensive supply chain cyber security plan – that is itself part of an integrated approach to cyber security and physical security – businesses can minimise the risk of infiltration and compromise by attackers. If you would like to learn more, please contact us at info@firstwave.com.au.

Cumpliendo con los requisitos: Cómo cumplir con los requisitos reglamentarios de auditoría mediante el uso de los productos de Opmantek

Una sopa de letras de siglas, SOX, SSAE, PCI-DSS, HIPPA. Para los no familiarizados con los términos, parecen ser una tontería, para aquellos que tienen que ver con los requisitos reglamentarios federales o de la industria, pueden ser un mar de requisitos difíciles de entender y potencialmente imposibles de aplicar que podrían marcar la diferencia entre un año rentable y (potencialmente) enormes multas o incluso desempleo. Hoy me gustaría abordar cada uno de estos en detalle, discutir desde un punto de vista de TI lo que se debe hacer para cumplir con cada uno de ellos, y luego discutir cuál de los productos de Opmantek ayuda a cumplir esos requisitos. No teman, estamos en esto juntos, así que abróchese el cinturón y asegúrese de que su casco esté ajustado mientras nos sumergimos en los requisitos de auditoría reglamentarios.

¿A quién se aplican estas regulaciones?

En primer lugar vamos a desglosar las principales regulaciones que puede encontrar. Dependiendo de su país e industria, su negocio podría verse afectado por uno o más de estos además de otras regulaciones no cubiertas aquí.

PCI-DSS: el estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) es un estándar de seguridad de la información para organizaciones que manejan tarjetas de crédito de los principales proveedores (es decir, MasterCard, VISA, Discover, American Express, etc.). En pocas palabras, si su empresa maneja la información de la tarjeta de crédito de alguna manera, tal vez a través de un carrito de compras en línea o tomando las tarjetas por teléfono y procesándolas manualmente, tiene que tener el cuenta el PCI-DSS.

HIPAA: La Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA, por sus siglas en inglés) es una legislación de los EE. UU. Que proporciona disposiciones de seguridad y privacidad de datos para proteger la información médica. Es importante tener en cuenta que esta regulación se extiende más allá de los hospitales y consultorios médicos e incluye a cualquier persona que maneje información relacionada con la atención médica de un individuo. Esto incluiría empresas que prestan servicios de facturación y cobro, almacenamiento de registros de atención médica y cualquier cosa relacionada con su mantenimiento o el mantenimiento del registro de atención médica de un individuo (físico o electrónico). Si su empresa maneja cualquier material que incluya información de atención médica que podría identificar a una persona en particular, está expuesto bajo la regulación de HIPAA.

SSAE-16: La Declaración sobre estándares y compromisos de certificación (SSAE) No. 16 (anteriormente el SAS-70 y pronto se convertirá en el SSAE-18) es un estándar de auditoría creado por el Instituto Americano de Contadores Públicos Certificados (AICPA). El SSAE-16 está diseñado para garantizar que una organización de servicios cuente con los procesos y controles de TI adecuados para garantizar la seguridad de la información de sus clientes y la calidad de los servicios que realizan para ellos. El examen SOC-1 se centra principalmente en los controles internos sobre informes financieros (ICFR), pero se ha expandido a lo largo de los años para incluir a menudo la documentación del proceso de prueba. El informe SOC-2 amplía el SOC-1 para incluir no solo la revisión de los procesos y controles, sino también la prueba de esos controles durante el período del informe (generalmente un año). En general, si su empresa realiza un servicio subcontratado que afecta los estados financieros de otra compañía, su compañía tiene exposición bajo el SSAE-16 SOC-1 y si está manejando la nómina, el servicio de préstamos, el centro de datos / ubicación compartida / monitoreo de red, el software como servicio (SaaS), o procesamiento de reclamos médicos (incluida la impresión de extractos y soluciones de pago en línea), también estaría expuesto en el SOC-2.

SOC: la Ley Sarbanes-Oxley de 2002 (SOX), también conocida como “Ley de protección de inversores y reforma de la contabilidad de las empresas públicas”, es una ley federal de los EE. UU. Informes financieros, revelaciones y mantenimiento de registros. Es importante tener en cuenta que si bien la mayor parte de SOX se centra en las empresas públicas, hay disposiciones en la Ley que también se aplican a las empresas privadas. En general, si usted es una empresa pública, está cubierto por la Ley.

¿Qué significan estas regulaciones para usted?

Entonces, una vez que haya determinado cuáles son las regulaciones que su empresa necesita para cumplir, ¿cuáles son las actividades específicas que debe realizar para cumplir con esos requisitos? A continuación, se incluye una breve lista de los elementos necesarios para demostrar el cumplimiento de estas regulaciones. Es importante tener en cuenta que estas son solo las actividades que se pueden monitorear y registrar electrónicamente. Cada uno de estos requisitos de cumplimiento incluye documentación de proceso adicional, es decir, detallar un plan D&R, mantener un libro de contabilidad, un documento sobre un proceso de copia de seguridad y un procedimiento de restauración, etc., que no se enumeran a continuación.

PCI-DSS

Esta lista se enfoca en pequeños y medianos comerciantes que procesan tarjetas de crédito, pero no almacenan datos de tarjetas de crédito. Esta lista se alarga mucho más si su empresa procesa grandes cantidades de transacciones con tarjeta de crédito, procesa transacciones sobre ciertos montos, actúa como cámara de compensación o procesador de CC, o almacena cualquier información de la tarjeta de crédito.

• Recopile registros de eventos de todos los dispositivos relevantes (firewalls, enrutadores y servidores) dentro de la zona PCI-DSS, o de toda la red si el procesamiento de la tarjeta no está segmentado, y avise / informe sobre actividades “inusuales”.
• Recopile configuraciones de dispositivos y avise / informe sobre cambios en todos los dispositivos relevantes (firewalls, enrutadores y servidores) dentro de la zona PCI-DSS, o en toda la red si el procesamiento de la tarjeta no está segmentado.
• Confirme que todas las DB que almacenan datos de la tarjeta están encriptados en el nivel de la unidad o DB; Los datos de la tarjeta de crédito deben cifrarse tanto en reposo como en movimiento.

HIPAA

• Recopile registros de eventos de todos los servidores / estaciones de trabajo que almacenan información o registros de atención médica y cualquier equipo de red a través del cual pase esta información, y avise / informe sobre actividades “inusuales”.
• Confirme que todas las DB en los que se almacenan los datos de atención médica están encriptados en la unidad o en el nivel de la DB; La información sanitaria debe cifrarse tanto en reposo como en movimiento.

SSAE-16 SOC1 / 2  – Sarbanes-Oxley (SOX) (SOX Sección-404)

Esta lista cubre la mayoría de los requisitos del proveedor de servicios. Sin embargo, las empresas que alojan o desarrollan software tendrían requisitos adicionales.

• Proporcionar detalles de dispositivos y servidores de red, esto puede incluir el procesamiento de registros de eventos; alerta sobre problemas de rendimiento; demostrar proceso de escalada; registrar todos los cambios de configuración de NMS/NPM para fines de auditoría.
• Recoger configuraciones de dispositivos; alerta sobre cambios de configuración no autorizados; demostrar proceso de escalada.
• Asegúrese de que todos los servidores / estaciones de trabajo con los ultimos parches de seguridad a nivel del sistema operativo y para cada aplicación crítica.
• Asegúrese de que todos los servidores / estaciones de trabajo estén ejecutando antivirus con las actualizaciones de antivirus más recientes.
• Verifique los criterios de la contraseña (longitud, complejidad y vencimiento a corto y largo plazo); Esto debe ser administrado centralmente a través de AD / MS-LDAP.
• Compruebe que no haya cuentas de administrador locales, que todas las cuentas de invitado estén deshabilitadas y que las cuentas locales con nombre cumplan con los requisitos de contraseña.
• Informe sobre el acceso a la cuenta de usuario, todos los usuarios tienen acceso limitado (<Admin) y, para aquellos que necesitan Admin, tienen una cuenta regular y una cuenta de administrador separada.

Por otro lado, la Ley SOX se centra en la información financiera y la rendición de cuentas, pero la Sección 404 cubre los requisitos desde una perspectiva de TI. En general, los requisitos SSAE-16 SOC-2 enumerados anteriormente a menudo cumplirán la Sección SOX-404.

¿Cómo lo haces?

Bien.

Entonces, llegó tan lejos y descubrió qué regulaciones se aplican a su empresa y tiene una lista de las actividades que necesita monitorear. Pero, ¿cómo lo haces realmente?

Lista de dispositivos: en casi todos los reglamentos, deberá proporcionar una lista de todos sus equipos: estaciones de trabajo y servidores. Esto se puede manejar fácilmente a través de Open-AudIT, que proporciona métodos automatizados para descubrir y auditar todos los dispositivos en su red, incluyendo informes sobre cuentas de usuarios locales y grupos de usuarios, e instalaciones de antivirus. Esto también incluye informes programados que pueden proporcionar toda la información relevante en el momento que lo necesite.

Diagramas de topología: debe tener disponible un diagrama de topología detallado que esté siempre actualizado. Esto se puede hacer usando una combinación de NMIS para recopilar información de conectividad de Capa 2 y 3 y opCharts para crear los diagramas de topología.

Monitoreo de rendimiento y fallas: el NMIS de Opmantek puede proporcionar capacidades de monitoreo de fallas y rendimiento muy robustas, así como manejar la escalada de eventos y notificaciones.

Monitoreo de Syslog y registro de aplicaciones: puede ampliar el Monitoreo de fallas y rendimiento de NMIS agregando opEvents, que pueden analizar los registros de Syslog y aplicaciones, generar notificaciones e incluso realizar remediación de eventos

Monitoreo de cambios en la configuración del dispositivo: más allá de los informes básicos de rendimiento y problemas de fallas, viene la necesidad de monitorear los dispositivos para detectar cambios de configuración no autorizados o inapropiados. opConfig puede recopilar configuraciones de dispositivos, generar eventos para cambios e incluso ayudarlo a administrar centralmente sus dispositivos de red.

Próximos pasos

Bueno, aquí estamos al final. Hemos cubierto las regulaciones principales, hemos proporcionado una lista de lo que se debe hacer e incluso hemos revisado cada uno de los productos de Opmantek y cómo pueden ayudarlo a cumplir esos requisitos. A donde vayas desde aquí depende de ti. Si todavía tiene preguntas, por favor comuníquese. Estamos aquí para ayudarlo a navegar estos requisitos reglamentarios mediante la entrega de soluciones que le facilitan la vida y lo ayudan a dormir más profundamente.

Thousands of organisations worldwide rely on Opmantek Software to ensure that their IT environments are performing at their peak at all times including some of the biggest managed service and telecommunications providers in the world.

As the current Australian ICT Exporter of the year we are often asked how a relatively small organization is able to support such an enormous client base with so many blue-chip organisations – how do we compete against the industry heavyweights with big budgets and huge sales teams?

We draw on our open source culture to do more with less.  At Opmantek we live by the mantra Automate, Control, Lead.  This is our internal driver and the outcomes that we are committed to delivering to our customers too.

Automate.

Automation has always been critical to Opmantek.  Not only do we believe that any task that needs to be done more than once should be automated, but because of our history of releasing open source products, we know how important it is to have intuitive software that users can install, configure and update remotely without the assistance of a support team.

Control.

We give it to you.  We don’t believe in locking your data away, it should be yours to extract, transform, analyse and interpret in whatever way you like.  We also make it easy for you to introduce new data sources into our platform.  You can correlate, compare and digest information from other applications and data sources through our API’s, meaning that you can continue to use your existing cloud Application Log monitoring solution for example AND THEN feed the information into Opmantek Software in order to better deep dive, analyse and manage events.

Lead.

We listen to our customers and develop rapidly, making sure that we are always leading the way when it comes to addressing the latest customer needs.  With a focus on personal service from our highly communicative technical support team, you get insights into the product lifecycle, can provide direct feedback to the development team and can, therefore, shape the software so that your organization can lead the pack over those using cookie cutter solutions.

Want to find out more about how Opmantek can help your organization do more while spending less?

Download the VM today and get started!

It happens to everyone in some form, an unknown number calling, an email from a Government agency or the day circled in red for an IT audit. The feeling of dread is associated with these instances, with the rights tools, this can be mitigated.

Regarding an IT audit, this would induce the dread feeling if you have no visibility or control over your IT assets.

This can be countered using open-source tools that require less than 10 minutes to install.

Once you have everything configured you will get reliable audit information that encompasses your IT environment.

Taking this one step, investing time and focus only, will shift how you view your audit calendar. You will start to develop a positive working relationship with your auditors and start improving the visibility into your network. Combine this with NMIS and you can gain insights into your network performance and have event management.

For more information about Opmantek’s open-source solutions, there is a terrific webinar coming up, registration is available here.

If you have missed the registration, there is an on-demand version available to watch here.

If you would like to trial all our products, we have a Virtual Machine that is extremely easy to set up, which includes both Open-AudIT and NMIS, this is available for download here.