04 December 2018
Cumplimiento de Los Requisitos de Auditoría Reglamentaria Con Opmantek
Cumpliendo con los requisitos: Cómo cumplir con los requisitos reglamentarios de auditoría mediante el uso de los productos de Opmantek
Una sopa de letras de siglas, SOX, SSAE, PCI-DSS, HIPPA. Para los no familiarizados con los términos, parecen ser una tontería, para aquellos que tienen que ver con los requisitos reglamentarios federales o de la industria, pueden ser un mar de requisitos difíciles de entender y potencialmente imposibles de aplicar que podrían marcar la diferencia entre un año rentable y (potencialmente) enormes multas o incluso desempleo. Hoy me gustaría abordar cada uno de estos en detalle, discutir desde un punto de vista de TI lo que se debe hacer para cumplir con cada uno de ellos, y luego discutir cuál de los productos de Opmantek ayuda a cumplir esos requisitos. No teman, estamos en esto juntos, así que abróchese el cinturón y asegúrese de que su casco esté ajustado mientras nos sumergimos en los requisitos de auditoría reglamentarios.
¿A quién se aplican estas regulaciones?
En primer lugar vamos a desglosar las principales regulaciones que puede encontrar. Dependiendo de su país e industria, su negocio podría verse afectado por uno o más de estos además de otras regulaciones no cubiertas aquí.
PCI-DSS: el estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) es un estándar de seguridad de la información para organizaciones que manejan tarjetas de crédito de los principales proveedores (es decir, MasterCard, VISA, Discover, American Express, etc.). En pocas palabras, si su empresa maneja la información de la tarjeta de crédito de alguna manera, tal vez a través de un carrito de compras en línea o tomando las tarjetas por teléfono y procesándolas manualmente, tiene que tener el cuenta el PCI-DSS.
HIPAA: La Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA, por sus siglas en inglés) es una legislación de los EE. UU. Que proporciona disposiciones de seguridad y privacidad de datos para proteger la información médica. Es importante tener en cuenta que esta regulación se extiende más allá de los hospitales y consultorios médicos e incluye a cualquier persona que maneje información relacionada con la atención médica de un individuo. Esto incluiría empresas que prestan servicios de facturación y cobro, almacenamiento de registros de atención médica y cualquier cosa relacionada con su mantenimiento o el mantenimiento del registro de atención médica de un individuo (físico o electrónico). Si su empresa maneja cualquier material que incluya información de atención médica que podría identificar a una persona en particular, está expuesto bajo la regulación de HIPAA.
SSAE-16: La Declaración sobre estándares y compromisos de certificación (SSAE) No. 16 (anteriormente el SAS-70 y pronto se convertirá en el SSAE-18) es un estándar de auditoría creado por el Instituto Americano de Contadores Públicos Certificados (AICPA). El SSAE-16 está diseñado para garantizar que una organización de servicios cuente con los procesos y controles de TI adecuados para garantizar la seguridad de la información de sus clientes y la calidad de los servicios que realizan para ellos. El examen SOC-1 se centra principalmente en los controles internos sobre informes financieros (ICFR), pero se ha expandido a lo largo de los años para incluir a menudo la documentación del proceso de prueba. El informe SOC-2 amplía el SOC-1 para incluir no solo la revisión de los procesos y controles, sino también la prueba de esos controles durante el período del informe (generalmente un año). En general, si su empresa realiza un servicio subcontratado que afecta los estados financieros de otra compañía, su compañía tiene exposición bajo el SSAE-16 SOC-1 y si está manejando la nómina, el servicio de préstamos, el centro de datos / ubicación compartida / monitoreo de red, el software como servicio (SaaS), o procesamiento de reclamos médicos (incluida la impresión de extractos y soluciones de pago en línea), también estaría expuesto en el SOC-2.
SOC: la Ley Sarbanes-Oxley de 2002 (SOX), también conocida como “Ley de protección de inversores y reforma de la contabilidad de las empresas públicas”, es una ley federal de los EE. UU. Informes financieros, revelaciones y mantenimiento de registros. Es importante tener en cuenta que si bien la mayor parte de SOX se centra en las empresas públicas, hay disposiciones en la Ley que también se aplican a las empresas privadas. En general, si usted es una empresa pública, está cubierto por la Ley.
¿Qué significan estas regulaciones para usted?
Entonces, una vez que haya determinado cuáles son las regulaciones que su empresa necesita para cumplir, ¿cuáles son las actividades específicas que debe realizar para cumplir con esos requisitos? A continuación, se incluye una breve lista de los elementos necesarios para demostrar el cumplimiento de estas regulaciones. Es importante tener en cuenta que estas son solo las actividades que se pueden monitorear y registrar electrónicamente. Cada uno de estos requisitos de cumplimiento incluye documentación de proceso adicional, es decir, detallar un plan D&R, mantener un libro de contabilidad, un documento sobre un proceso de copia de seguridad y un procedimiento de restauración, etc., que no se enumeran a continuación.
PCI-DSS
Esta lista se enfoca en pequeños y medianos comerciantes que procesan tarjetas de crédito, pero no almacenan datos de tarjetas de crédito. Esta lista se alarga mucho más si su empresa procesa grandes cantidades de transacciones con tarjeta de crédito, procesa transacciones sobre ciertos montos, actúa como cámara de compensación o procesador de CC, o almacena cualquier información de la tarjeta de crédito.
- Recopile registros de eventos de todos los dispositivos relevantes (firewalls, enrutadores y servidores) dentro de la zona PCI-DSS, o de toda la red si el procesamiento de la tarjeta no está segmentado, y avise / informe sobre actividades “inusuales”.
- Recopile configuraciones de dispositivos y avise / informe sobre cambios en todos los dispositivos relevantes (firewalls, enrutadores y servidores) dentro de la zona PCI-DSS, o en toda la red si el procesamiento de la tarjeta no está segmentado.
- Confirme que todas las DB que almacenan datos de la tarjeta están encriptados en el nivel de la unidad o DB; Los datos de la tarjeta de crédito deben cifrarse tanto en reposo como en movimiento.
HIPAA
- Recopile registros de eventos de todos los servidores / estaciones de trabajo que almacenan información o registros de atención médica y cualquier equipo de red a través del cual pase esta información, y avise / informe sobre actividades “inusuales”.
- Confirme que todas las DB en los que se almacenan los datos de atención médica están encriptados en la unidad o en el nivel de la DB; La información sanitaria debe cifrarse tanto en reposo como en movimiento.
SSAE-16 SOC1 / 2 – Sarbanes-Oxley (SOX) (SOX Sección-404)
Esta lista cubre la mayoría de los requisitos del proveedor de servicios. Sin embargo, las empresas que alojan o desarrollan software tendrían requisitos adicionales.
- Proporcionar detalles de dispositivos y servidores de red, esto puede incluir el procesamiento de registros de eventos; alerta sobre problemas de rendimiento; demostrar proceso de escalada; registrar todos los cambios de configuración de NMS/NPM para fines de auditoría.
- Recoger configuraciones de dispositivos; alerta sobre cambios de configuración no autorizados; demostrar proceso de escalada.
- Asegúrese de que todos los servidores / estaciones de trabajo con los ultimos parches de seguridad a nivel del sistema operativo y para cada aplicación crítica.
- Asegúrese de que todos los servidores / estaciones de trabajo estén ejecutando antivirus con las actualizaciones de antivirus más recientes.
- Verifique los criterios de la contraseña (longitud, complejidad y vencimiento a corto y largo plazo); Esto debe ser administrado centralmente a través de AD / MS-LDAP.
- Compruebe que no haya cuentas de administrador locales, que todas las cuentas de invitado estén deshabilitadas y que las cuentas locales con nombre cumplan con los requisitos de contraseña.
- Informe sobre el acceso a la cuenta de usuario, todos los usuarios tienen acceso limitado (<Admin) y, para aquellos que necesitan Admin, tienen una cuenta regular y una cuenta de administrador separada.
Por otro lado, la Ley SOX se centra en la información financiera y la rendición de cuentas, pero la Sección 404 cubre los requisitos desde una perspectiva de TI. En general, los requisitos SSAE-16 SOC-2 enumerados anteriormente a menudo cumplirán la Sección SOX-404.
¿Cómo lo haces?
Bien.
Entonces, llegó tan lejos y descubrió qué regulaciones se aplican a su empresa y tiene una lista de las actividades que necesita monitorear. Pero, ¿cómo lo haces realmente?
Lista de dispositivos: en casi todos los reglamentos, deberá proporcionar una lista de todos sus equipos: estaciones de trabajo y servidores. Esto se puede manejar fácilmente a través de Open-AudIT, que proporciona métodos automatizados para descubrir y auditar todos los dispositivos en su red, incluyendo informes sobre cuentas de usuarios locales y grupos de usuarios, e instalaciones de antivirus. Esto también incluye informes programados que pueden proporcionar toda la información relevante en el momento que lo necesite.
Diagramas de topología: debe tener disponible un diagrama de topología detallado que esté siempre actualizado. Esto se puede hacer usando una combinación de NMIS para recopilar información de conectividad de Capa 2 y 3 y opCharts para crear los diagramas de topología.
Monitoreo de rendimiento y fallas: el NMIS de Opmantek puede proporcionar capacidades de monitoreo de fallas y rendimiento muy robustas, así como manejar la escalada de eventos y notificaciones.
Monitoreo de Syslog y registro de aplicaciones: puede ampliar el Monitoreo de fallas y rendimiento de NMIS agregando opEvents, que pueden analizar los registros de Syslog y aplicaciones, generar notificaciones e incluso realizar remediación de eventos
Monitoreo de cambios en la configuración del dispositivo: más allá de los informes básicos de rendimiento y problemas de fallas, viene la necesidad de monitorear los dispositivos para detectar cambios de configuración no autorizados o inapropiados. opConfig puede recopilar configuraciones de dispositivos, generar eventos para cambios e incluso ayudarlo a administrar centralmente sus dispositivos de red.
Próximos pasos
Bueno, aquí estamos al final. Hemos cubierto las regulaciones principales, hemos proporcionado una lista de lo que se debe hacer e incluso hemos revisado cada uno de los productos de Opmantek y cómo pueden ayudarlo a cumplir esos requisitos. A donde vayas desde aquí depende de ti. Si todavía tiene preguntas, por favor comuníquese. Estamos aquí para ayudarlo a navegar estos requisitos reglamentarios mediante la entrega de soluciones que le facilitan la vida y lo ayudan a dormir más profundamente.