Cumpliendo con los requisitos: Cómo cumplir con los requisitos reglamentarios de auditoría mediante el uso de los productos de Opmantek

Una sopa de letras de siglas, SOX, SSAE, PCI-DSS, HIPPA. Para los no familiarizados con los términos, parecen ser una tontería, para aquellos que tienen que ver con los requisitos reglamentarios federales o de la industria, pueden ser un mar de requisitos difíciles de entender y potencialmente imposibles de aplicar que podrían marcar la diferencia entre un año rentable y (potencialmente) enormes multas o incluso desempleo. Hoy me gustaría abordar cada uno de estos en detalle, discutir desde un punto de vista de TI lo que se debe hacer para cumplir con cada uno de ellos, y luego discutir cuál de los productos de Opmantek ayuda a cumplir esos requisitos. No teman, estamos en esto juntos, así que abróchese el cinturón y asegúrese de que su casco esté ajustado mientras nos sumergimos en los requisitos de auditoría reglamentarios.

¿A quién se aplican estas regulaciones?

En primer lugar vamos a desglosar las principales regulaciones que puede encontrar. Dependiendo de su país e industria, su negocio podría verse afectado por uno o más de estos además de otras regulaciones no cubiertas aquí.

PCI-DSS: el estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) es un estándar de seguridad de la información para organizaciones que manejan tarjetas de crédito de los principales proveedores (es decir, MasterCard, VISA, Discover, American Express, etc.). En pocas palabras, si su empresa maneja la información de la tarjeta de crédito de alguna manera, tal vez a través de un carrito de compras en línea o tomando las tarjetas por teléfono y procesándolas manualmente, tiene que tener el cuenta el PCI-DSS.

HIPAA: La Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA, por sus siglas en inglés) es una legislación de los EE. UU. Que proporciona disposiciones de seguridad y privacidad de datos para proteger la información médica. Es importante tener en cuenta que esta regulación se extiende más allá de los hospitales y consultorios médicos e incluye a cualquier persona que maneje información relacionada con la atención médica de un individuo. Esto incluiría empresas que prestan servicios de facturación y cobro, almacenamiento de registros de atención médica y cualquier cosa relacionada con su mantenimiento o el mantenimiento del registro de atención médica de un individuo (físico o electrónico). Si su empresa maneja cualquier material que incluya información de atención médica que podría identificar a una persona en particular, está expuesto bajo la regulación de HIPAA.

SSAE-16: La Declaración sobre estándares y compromisos de certificación (SSAE) No. 16 (anteriormente el SAS-70 y pronto se convertirá en el SSAE-18) es un estándar de auditoría creado por el Instituto Americano de Contadores Públicos Certificados (AICPA). El SSAE-16 está diseñado para garantizar que una organización de servicios cuente con los procesos y controles de TI adecuados para garantizar la seguridad de la información de sus clientes y la calidad de los servicios que realizan para ellos. El examen SOC-1 se centra principalmente en los controles internos sobre informes financieros (ICFR), pero se ha expandido a lo largo de los años para incluir a menudo la documentación del proceso de prueba. El informe SOC-2 amplía el SOC-1 para incluir no solo la revisión de los procesos y controles, sino también la prueba de esos controles durante el período del informe (generalmente un año). En general, si su empresa realiza un servicio subcontratado que afecta los estados financieros de otra compañía, su compañía tiene exposición bajo el SSAE-16 SOC-1 y si está manejando la nómina, el servicio de préstamos, el centro de datos / ubicación compartida / monitoreo de red, el software como servicio (SaaS), o procesamiento de reclamos médicos (incluida la impresión de extractos y soluciones de pago en línea), también estaría expuesto en el SOC-2.

SOC: la Ley Sarbanes-Oxley de 2002 (SOX), también conocida como “Ley de protección de inversores y reforma de la contabilidad de las empresas públicas”, es una ley federal de los EE. UU. Informes financieros, revelaciones y mantenimiento de registros. Es importante tener en cuenta que si bien la mayor parte de SOX se centra en las empresas públicas, hay disposiciones en la Ley que también se aplican a las empresas privadas. En general, si usted es una empresa pública, está cubierto por la Ley.

¿Qué significan estas regulaciones para usted?

Entonces, una vez que haya determinado cuáles son las regulaciones que su empresa necesita para cumplir, ¿cuáles son las actividades específicas que debe realizar para cumplir con esos requisitos? A continuación, se incluye una breve lista de los elementos necesarios para demostrar el cumplimiento de estas regulaciones. Es importante tener en cuenta que estas son solo las actividades que se pueden monitorear y registrar electrónicamente. Cada uno de estos requisitos de cumplimiento incluye documentación de proceso adicional, es decir, detallar un plan D&R, mantener un libro de contabilidad, un documento sobre un proceso de copia de seguridad y un procedimiento de restauración, etc., que no se enumeran a continuación.

PCI-DSS

Esta lista se enfoca en pequeños y medianos comerciantes que procesan tarjetas de crédito, pero no almacenan datos de tarjetas de crédito. Esta lista se alarga mucho más si su empresa procesa grandes cantidades de transacciones con tarjeta de crédito, procesa transacciones sobre ciertos montos, actúa como cámara de compensación o procesador de CC, o almacena cualquier información de la tarjeta de crédito.

• Recopile registros de eventos de todos los dispositivos relevantes (firewalls, enrutadores y servidores) dentro de la zona PCI-DSS, o de toda la red si el procesamiento de la tarjeta no está segmentado, y avise / informe sobre actividades “inusuales”.
• Recopile configuraciones de dispositivos y avise / informe sobre cambios en todos los dispositivos relevantes (firewalls, enrutadores y servidores) dentro de la zona PCI-DSS, o en toda la red si el procesamiento de la tarjeta no está segmentado.
• Confirme que todas las DB que almacenan datos de la tarjeta están encriptados en el nivel de la unidad o DB; Los datos de la tarjeta de crédito deben cifrarse tanto en reposo como en movimiento.

HIPAA

• Recopile registros de eventos de todos los servidores / estaciones de trabajo que almacenan información o registros de atención médica y cualquier equipo de red a través del cual pase esta información, y avise / informe sobre actividades “inusuales”.
• Confirme que todas las DB en los que se almacenan los datos de atención médica están encriptados en la unidad o en el nivel de la DB; La información sanitaria debe cifrarse tanto en reposo como en movimiento.

SSAE-16 SOC1 / 2  – Sarbanes-Oxley (SOX) (SOX Sección-404)

Esta lista cubre la mayoría de los requisitos del proveedor de servicios. Sin embargo, las empresas que alojan o desarrollan software tendrían requisitos adicionales.

• Proporcionar detalles de dispositivos y servidores de red, esto puede incluir el procesamiento de registros de eventos; alerta sobre problemas de rendimiento; demostrar proceso de escalada; registrar todos los cambios de configuración de NMS/NPM para fines de auditoría.
• Recoger configuraciones de dispositivos; alerta sobre cambios de configuración no autorizados; demostrar proceso de escalada.
• Asegúrese de que todos los servidores / estaciones de trabajo con los ultimos parches de seguridad a nivel del sistema operativo y para cada aplicación crítica.
• Asegúrese de que todos los servidores / estaciones de trabajo estén ejecutando antivirus con las actualizaciones de antivirus más recientes.
• Verifique los criterios de la contraseña (longitud, complejidad y vencimiento a corto y largo plazo); Esto debe ser administrado centralmente a través de AD / MS-LDAP.
• Compruebe que no haya cuentas de administrador locales, que todas las cuentas de invitado estén deshabilitadas y que las cuentas locales con nombre cumplan con los requisitos de contraseña.
• Informe sobre el acceso a la cuenta de usuario, todos los usuarios tienen acceso limitado (<Admin) y, para aquellos que necesitan Admin, tienen una cuenta regular y una cuenta de administrador separada.

Por otro lado, la Ley SOX se centra en la información financiera y la rendición de cuentas, pero la Sección 404 cubre los requisitos desde una perspectiva de TI. En general, los requisitos SSAE-16 SOC-2 enumerados anteriormente a menudo cumplirán la Sección SOX-404.

¿Cómo lo haces?

Bien.

Entonces, llegó tan lejos y descubrió qué regulaciones se aplican a su empresa y tiene una lista de las actividades que necesita monitorear. Pero, ¿cómo lo haces realmente?

Lista de dispositivos: en casi todos los reglamentos, deberá proporcionar una lista de todos sus equipos: estaciones de trabajo y servidores. Esto se puede manejar fácilmente a través de Open-AudIT, que proporciona métodos automatizados para descubrir y auditar todos los dispositivos en su red, incluyendo informes sobre cuentas de usuarios locales y grupos de usuarios, e instalaciones de antivirus. Esto también incluye informes programados que pueden proporcionar toda la información relevante en el momento que lo necesite.

Diagramas de topología: debe tener disponible un diagrama de topología detallado que esté siempre actualizado. Esto se puede hacer usando una combinación de NMIS para recopilar información de conectividad de Capa 2 y 3 y opCharts para crear los diagramas de topología.

Monitoreo de rendimiento y fallas: el NMIS de Opmantek puede proporcionar capacidades de monitoreo de fallas y rendimiento muy robustas, así como manejar la escalada de eventos y notificaciones.

Monitoreo de Syslog y registro de aplicaciones: puede ampliar el Monitoreo de fallas y rendimiento de NMIS agregando opEvents, que pueden analizar los registros de Syslog y aplicaciones, generar notificaciones e incluso realizar remediación de eventos

Monitoreo de cambios en la configuración del dispositivo: más allá de los informes básicos de rendimiento y problemas de fallas, viene la necesidad de monitorear los dispositivos para detectar cambios de configuración no autorizados o inapropiados. opConfig puede recopilar configuraciones de dispositivos, generar eventos para cambios e incluso ayudarlo a administrar centralmente sus dispositivos de red.

Próximos pasos

Bueno, aquí estamos al final. Hemos cubierto las regulaciones principales, hemos proporcionado una lista de lo que se debe hacer e incluso hemos revisado cada uno de los productos de Opmantek y cómo pueden ayudarlo a cumplir esos requisitos. A donde vayas desde aquí depende de ti. Si todavía tiene preguntas, por favor comuníquese. Estamos aquí para ayudarlo a navegar estos requisitos reglamentarios mediante la entrega de soluciones que le facilitan la vida y lo ayudan a dormir más profundamente.

Thousands of organisations worldwide rely on Opmantek Software to ensure that their IT environments are performing at their peak at all times including some of the biggest managed service and telecommunications providers in the world.

As the current Australian ICT Exporter of the year we are often asked how a relatively small organization is able to support such an enormous client base with so many blue-chip organisations – how do we compete against the industry heavyweights with big budgets and huge sales teams?

We draw on our open source culture to do more with less.  At Opmantek we live by the mantra Automate, Control, Lead.  This is our internal driver and the outcomes that we are committed to delivering to our customers too.

Automate.

Automation has always been critical to Opmantek.  Not only do we believe that any task that needs to be done more than once should be automated, but because of our history of releasing open source products, we know how important it is to have intuitive software that users can install, configure and update remotely without the assistance of a support team.

Control.

We give it to you.  We don’t believe in locking your data away, it should be yours to extract, transform, analyse and interpret in whatever way you like.  We also make it easy for you to introduce new data sources into our platform.  You can correlate, compare and digest information from other applications and data sources through our API’s, meaning that you can continue to use your existing cloud Application Log monitoring solution for example AND THEN feed the information into Opmantek Software in order to better deep dive, analyse and manage events.

Lead.

We listen to our customers and develop rapidly, making sure that we are always leading the way when it comes to addressing the latest customer needs.  With a focus on personal service from our highly communicative technical support team, you get insights into the product lifecycle, can provide direct feedback to the development team and can, therefore, shape the software so that your organization can lead the pack over those using cookie cutter solutions.

Want to find out more about how Opmantek can help your organization do more while spending less?

Download the VM today and get started!

It happens to everyone in some form, an unknown number calling, an email from a Government agency or the day circled in red for an IT audit. The feeling of dread is associated with these instances, with the rights tools, this can be mitigated.

Regarding an IT audit, this would induce the dread feeling if you have no visibility or control over your IT assets.

This can be countered using open-source tools that require less than 10 minutes to install.

Once you have everything configured you will get reliable audit information that encompasses your IT environment.

Taking this one step, investing time and focus only, will shift how you view your audit calendar. You will start to develop a positive working relationship with your auditors and start improving the visibility into your network. Combine this with NMIS and you can gain insights into your network performance and have event management.

For more information about Opmantek’s open-source solutions, there is a terrific webinar coming up, registration is available here.

If you have missed the registration, there is an on-demand version available to watch here.

If you would like to trial all our products, we have a Virtual Machine that is extremely easy to set up, which includes both Open-AudIT and NMIS, this is available for download here.

Organisations continue to be at risk from cybersecurity incidents – with each incident potentially costing millions of dollars.

This risk – and cost – is only likely to increase as the social engineering and technical elements of cyber-attacks become more sophisticated. To help organisations respond effectively to these threats, the Australian Cyber Security Centre and the Australian Signals Directorate have developed the “Essential 8” baseline mitigation strategies. According to the ACSC, these strategies can be customised according to each organisation’s risk profile and the cyber threats they are most concerned about.

The “Essential 8” incorporates four mitigation strategies to prevent the delivery and execution of malware. We’ve summarised these here:

• Application whitelisting: By “whitelisting” approved applications, organisations can stop unapproved or malicious programs from executing.
• Patch applications: Patching computers with “extreme risk” application vulnerabilities within 48 hours – and using the latest version of applications – can reduce the risk of malicious code executing.
• Configure Microsoft Office macro settings to block macros from the internet – and apply strict rules to approved macros – to reduce the risk of delivery and execution of malicious code.
• Apply user application hardening: Blocking certain applications and disabling unneeded features in others can remove popular methods of delivering and executing malicious code.

The “Essential 8” also features three strategies to limit the extent of cyber security incidents. These are summarised below:

• Only giving users operating system and application administrator rights if their role warrants it – avoiding giving away the “keys to the kingdom”, thus increasing risk to systems and information.
• Patch computers with “extreme risk” operating system vulnerabilities within 48 hours and use the latest version of these systems, to avoid being compromised.
• Apply multi-factor authentication for remote access, and for all users when they perform a privileged action or access an important data repository – providing a bigger obstacle for adversaries that want to infiltrate systems or information.

Finally, the “Essential 8” incorporates – as a mitigation strategy to recover data and system availability – backing up important new or changed data, software and configuration settings daily and keeping the backups for three months. This will help an organisation recover from a cyber security incident.

Your organisation should strongly consider applying the “Essential 8” as the foundation of a mature, robust cybersecurity strategy. If you would like to learn more, please contact us at info@firstwave.com.au.

A common pain point that some organizations have expressed to us is the inability to prepare for or counter software license audits. There are two major concerns for any organization that are experiencing these occurrences, there is a lack of information regarding the network and there is not enough information to challenge a software vendor when given a bill.

Knowing what software is installed on your devices is more than a good practice for managing your network, but good practice for managing your budget. There are a lot of vendors who take an aggressive stance on license audits, an example of a bill for one extra license for a contract length of 6 years is below;

To be over licensed by one unit and get a bill that high should act as a clear deterrent and should provide motivation for organizations to ensure they are maintaining their license levels.

The best way to stay ahead of these surprises is to have extensive information about your network and be able to monitor the software licenses that you have entitled to your organizations. Open-AudIT can do this with very little information and at a very manageable cost, especially compared to the figures mentioned above. Once devices are discovered using Open-AudIT they can then be audited if licensing levels are configured then reports can be generated daily/weekly/monthly on software levels giving you genuine insight into your levels; this will mitigate the surprises that can occur if there have been three years between license audits.

Above is a demonstration of what the result can look like and of course, this process can be scheduled and a monthly report is generated. The process to configure this and get ahead of license audits is outlined in this wiki article. If you would like more information how to configure these features, you would like to see a demo of this in action or want a discussion on how to optimize your network, contact us and we will be happy to help.