La globalización, las nuevas tecnologías y los modelos empresariales digitales están transformando la cadena de suministro. Muchas empresas dependen de organizaciones y personas de diferentes regiones o países para poseer los procesos, los materiales o los conocimientos técnicos utilizados para ofrecer un producto o servicio.

Sin embargo, los individuos o grupos maliciosos son cada vez más conscientes de que cualquier cadena de suministro es tan fuerte como su eslabón más débil. Si un solo participante en una cadena de suministro es negligente en materia de seguridad, todas las empresas y personas implicadas pueden estar en peligro.

Las partes malintencionadas pueden aprovechar las debilidades para robar propiedad intelectual valiosa, interrumpir la creación o la entrega de productos y servicios, o amenazar a las empresas o a los individuos para obtener beneficios económicos.

El Instituto Nacional de Normas y Tecnología de Estados Unidos (NIST) destacó la importancia de una cadena de suministro cibersegura en su Marco de Ciberseguridad. La última versión del Marco -que proporciona orientación voluntaria para que las organizaciones gestionen y reduzcan mejor los riesgos de ciberseguridad- incorpora descripciones adicionales sobre cómo gestionar la ciberseguridad de la cadena de suministro.

Además, un reciente informe de KPMG señala que "las organizaciones que comprenden y gestionan la amplitud de sus cadenas de suministro interconectadas y sus puntos vulnerables y débiles están mejor situadas para prevenir y gestionar los problemas".

Entonces, ¿qué medidas pueden tomar las empresas para reducir los riesgos de ciberseguridad en sus cadenas de suministro? He aquí algunas medidas que los propietarios y directivos de las empresas pueden considerar:

• Proporcionar conocimientos y recursos de seguridad a todos los participantes en su cadena de suministro.
• Revisar los procesos de los participantes para abordar las vulnerabilidades tecnológicas que los atacantes pueden explotar.
• Comprobar los procesos y tecnologías de los participantes para hacer frente a las infecciones por software malicioso (malware).
• Determine si se comprueban los antecedentes de todos los trabajadores que participan en la cadena de suministro de la empresa.
• Revisar los procesos utilizados para garantizar que todos los componentes utilizados en la cadena de suministro son legítimos y están libres de malware o vulnerabilidades.

Aplicando estas y otras medidas a través de un plan global de ciberseguridad de la cadena de suministro -que forma parte a su vez de un enfoque integrado de la ciberseguridad y la seguridad física- las empresas pueden minimizar el riesgo de infiltración y compromiso por parte de los atacantes. Si desea obtener más información, póngase en contacto con nosotros en info@firstwave.com.au.

Cumpliendo con los requisitos: Cómo cumplir con los requisitos reglamentarios de auditoría mediante el uso de los productos de Opmantek

Una sopa de letras de siglas, SOX, SSAE, PCI-DSS, HIPPA. Para los no familiarizados con los términos, parecen ser una tontería, para aquellos que tienen que ver con los requisitos reglamentarios federales o de la industria, pueden ser un mar de requisitos difíciles de entender y potencialmente imposibles de aplicar que podrían marcar la diferencia entre un año rentable y (potencialmente) enormes multas o incluso desempleo. Hoy me gustaría abordar cada uno de estos en detalle, discutir desde un punto de vista de TI lo que se debe hacer para cumplir con cada uno de ellos, y luego discutir cuál de los productos de Opmantek ayuda a cumplir esos requisitos. No teman, estamos en esto juntos, así que abróchese el cinturón y asegúrese de que su casco esté ajustado mientras nos sumergimos en los requisitos de auditoría reglamentarios.

¿A quién se aplican estas regulaciones?

En primer lugar vamos a desglosar las principales regulaciones que puede encontrar. Dependiendo de su país e industria, su negocio podría verse afectado por uno o más de estos además de otras regulaciones no cubiertas aquí.

PCI-DSS: el estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) es un estándar de seguridad de la información para organizaciones que manejan tarjetas de crédito de los principales proveedores (es decir, MasterCard, VISA, Discover, American Express, etc.). En pocas palabras, si su empresa maneja la información de la tarjeta de crédito de alguna manera, tal vez a través de un carrito de compras en línea o tomando las tarjetas por teléfono y procesándolas manualmente, tiene que tener el cuenta el PCI-DSS.

HIPAA: La Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA, por sus siglas en inglés) es una legislación de los EE. UU. Que proporciona disposiciones de seguridad y privacidad de datos para proteger la información médica. Es importante tener en cuenta que esta regulación se extiende más allá de los hospitales y consultorios médicos e incluye a cualquier persona que maneje información relacionada con la atención médica de un individuo. Esto incluiría empresas que prestan servicios de facturación y cobro, almacenamiento de registros de atención médica y cualquier cosa relacionada con su mantenimiento o el mantenimiento del registro de atención médica de un individuo (físico o electrónico). Si su empresa maneja cualquier material que incluya información de atención médica que podría identificar a una persona en particular, está expuesto bajo la regulación de HIPAA.

SSAE-16: La Declaración sobre estándares y compromisos de certificación (SSAE) No. 16 (anteriormente el SAS-70 y pronto se convertirá en el SSAE-18) es un estándar de auditoría creado por el Instituto Americano de Contadores Públicos Certificados (AICPA). El SSAE-16 está diseñado para garantizar que una organización de servicios cuente con los procesos y controles de TI adecuados para garantizar la seguridad de la información de sus clientes y la calidad de los servicios que realizan para ellos. El examen SOC-1 se centra principalmente en los controles internos sobre informes financieros (ICFR), pero se ha ampliado a lo largo de los años para incluir a menudo la documentación del proceso de prueba. El informe SOC-2 ampliaba el SOC-1 para incluir no sólo la revisión de los procesos y controles, sino también la prueba de esos controles durante el período del informe (generalmente un año). En general, si su empresa realiza un servicio subcontratado que afecta a los estados financieros de otra compañía, su compañía tiene exposición bajo el SSAE-16 SOC-1 y si está manejando la nómina, el servicio de préstamos, el centro de datos / ubicación compartida / monitoreo de red, el software como servicio (SaaS), o procesamiento de reclamos médicos (incluida la impresión de extractos y soluciones de pago en línea), también estaría expuesto en el SOC-2.

SOC: la Ley Sarbanes-Oxley de 2002 (SOX), también conocida como "Ley de protección de inversores y reforma de la contabilidad de las empresas públicas", es una ley federal de los EE. UU. Informes financieros, revelaciones y mantenimiento de registros. Es importante tener en cuenta que si bien la mayor parte de SOX se centra en las empresas públicas, hay disposiciones en la Ley que también se aplican a las empresas privadas. En general, si usted es una empresa pública, está cubierto por la Ley.

¿Qué significan estas regulaciones para usted?

Entonces, una vez que haya determinado cuáles son las regulaciones que su empresa necesita para cumplir, ¿cuáles son las actividades específicas que debe realizar para cumplir con esos requisitos? A continuación, se incluye una breve lista de los elementos necesarios para demostrar el cumplimiento de estas regulaciones. Es importante tener en cuenta que éstas son sólo las actividades que se pueden monitorear y registrar electrónicamente. Cada uno de estos requisitos de cumplimiento incluye documentación de proceso adicional, es decir, detallar un plan D&R, mantener un libro de contabilidad, un documento sobre un proceso de copia de seguridad y un procedimiento de restauración, etc., que no se enumeran a continuación.

PCI-DSS

Esta lista se enfoca en pequeños y medianos comerciantes que procesan tarjetas de crédito, pero no almacenan datos de tarjetas de crédito. Esta lista se alarga mucho más si su empresa procesa grandes cantidades de transacciones con tarjeta de crédito, procesa transacciones sobre ciertos montos, actúa como cámara de compensación o procesador de CC, o almacena cualquier información de la tarjeta de crédito.

• Recopila registros de eventos de todos los dispositivos relevantes (firewalls, enrutadores y servidores) dentro de la zona PCI-DSS, o de toda la red si el procesamiento de la tarjeta no está segmentado, y avisa / informa sobre actividades "inusuales".
• Recopile configuraciones de dispositivos y avise / informe sobre cambios en todos los dispositivos relevantes (firewalls, enrutadores y servidores) dentro de la zona PCI-DSS, o en toda la red si el procesamiento de la tarjeta no está segmentado.
• Confirme que todas las DB que almacenan datos de la tarjeta están encriptados en el nivel de la unidad o DB; Los datos de la tarjeta de crédito deben cifrarse tanto en reposo como en movimiento.

HIPAA

• Recopila registros de eventos de todos los servidores / estaciones de trabajo que almacenan información o registros de atención médica y cualquier equipo de red a través del cual pase esta información, y avisa / informa sobre actividades "inusuales".
• Confirme que todas las DB en los que se almacenan los datos de atención médica están encriptados en la unidad o en el nivel de la DB; La información sanitaria debe cifrarse tanto en reposo como en movimiento.

SSAE-16 SOC1 / 2 - Sarbanes-Oxley (SOX) (SOX Sección-404)

Esta lista cubre la mayoría de los requisitos del proveedor de servicios. Sin embargo, las empresas que alojan o desarrollan software tendrían requisitos adicionales.

• Proporcionar detalles de dispositivos y servidores de red, esto puede incluir el procesamiento de registros de eventos; alerta sobre problemas de rendimiento; demostrar proceso de escalada; registrar todos los cambios de configuración de NMS/NPM para fines de auditoría.
• Recoger configuraciones de dispositivos; alerta sobre cambios de configuración no autorizados; demostrar proceso de escalado.
• Asegúrese de que todos los servidores / estaciones de trabajo con los últimos parches de seguridad a nivel del sistema operativo y para cada aplicación crítica.
• Asegúrese de que todos los servidores / estaciones de trabajo estén ejecutando antivirus con las actualizaciones de antivirus más recientes.
• Verifique los criterios de la contraseña (longitud, complejidad y vencimiento a corto y largo plazo); Esto debe ser administrado centralmente a través de AD / MS-LDAP.
• Compruebe que no haya cuentas de administrador locales, que todas las cuentas de invitado estén deshabilitadas y que las cuentas locales con nombre cumplan con los requisitos de contraseña.
• Informe sobre el acceso a la cuenta de usuario, todos los usuarios tienen acceso limitado (<Admin) y, para aquellos que necesitan Admin, tienen una cuenta regular y una cuenta de administrador separada.

Por otro lado, la Ley SOX se centra en la información financiera y la rendición de cuentas, pero la Sección 404 cubre los requisitos desde una perspectiva de TI. En general, los requisitos SSAE-16 SOC-2 enumerados anteriormente a menudo cumplirán la Sección SOX-404.

¿Cómo lo haces?

Bien.

Entonces, llegó tan lejos y descubrió qué regulaciones se aplican a su empresa y tiene una lista de las actividades que necesita monitorear. Pero, ¿cómo lo hace realmente?

Lista de dispositivos: en casi todos los reglamentos, deberá proporcionar una lista de todos sus equipos: estaciones de trabajo y servidores. Esto se puede manejar fácilmente a través de Open-AudIT, que proporciona métodos automatizados para descubrir y auditar todos los dispositivos en su red, incluyendo informes sobre cuentas de usuarios locales y grupos de usuarios, e instalaciones de antivirus. Esto también incluye informes programados que pueden proporcionar toda la información relevante en el momento que lo necesite.

Diagramas de topología: debe tener disponible un diagrama de topología detallado que esté siempre actualizado. Esto se puede hacer usando una combinación de NMIS para recopilar información de conectividad de Capa 2 y 3 y opCharts para crear los diagramas de topología.

Monitoreo de rendimiento y fallas: el NMIS de Opmantek puede proporcionar capacidades de monitoreo de fallas y rendimiento muy robustas, así como manejar la escalada de eventos y notificaciones.

Monitoreo de Syslog y registro de aplicaciones: puede ampliar el Monitoreo de fallas y rendimiento de NMIS agregando opEvents, que pueden analizar los registros de Syslog y aplicaciones, generar notificaciones e incluso realizar remediación de eventos

Monitoreo de cambios en la configuración del dispositivo: más allá de los informes básicos de rendimiento y problemas de fallas, viene la necesidad de monitorear los dispositivos para detectar cambios de configuración no autorizados o inapropiados. opConfig puede recopilar configuraciones de dispositivos, generar eventos para cambios e incluso ayudarlo a administrar centralmente sus dispositivos de red.

Próximos pasos

Bueno, aquí estamos al final. Hemos cubierto las regulaciones principales, hemos proporcionado una lista de lo que se debe hacer e incluso hemos revisado cada uno de los productos de Opmantek y cómo pueden ayudarlo a cumplir esos requisitos. A donde vayas desde aquí depende de ti. Si todavía tiene preguntas, por favor comuníquese. Estamos aquí para ayudarlo a navegar estos requisitos reglamentarios mediante la entrega de soluciones que le facilitan la vida y lo ayudan a dormir más profundamente.

Miles de organizaciones de todo el mundo confían en Opmantek Software para garantizar que sus entornos de TI rindan al máximo en todo momento, incluidos algunos de los mayores proveedores de servicios gestionados y de telecomunicaciones del mundo.

Como actual exportador australiano de TIC del año, a menudo nos preguntan cómo una organización relativamente pequeña es capaz de dar soporte a una base de clientes tan enorme con tantas organizaciones de primer orden: ¿cómo competimos contra los pesos pesados del sector con grandes presupuestos y enormes equipos de ventas?

Nos basamos en nuestra cultura de código abierto para hacer más con menos. En Opmantek nos regimos por el mantra Automate, Control, Lead. Este es nuestro motor interno y los resultados que nos comprometemos a ofrecer a nuestros clientes también.

Automatizar.

La automatización siempre ha sido fundamental para Opmantek. No sólo creemos que cualquier tarea que deba hacerse más de una vez debe ser automatizada, sino que, debido a nuestra historia de lanzamiento de productos de código abierto, sabemos lo importante que es tener un software intuitivo que los usuarios puedan instalar, configurar y actualizar de forma remota sin la ayuda de un equipo de soporte.

Control.

Nosotros se los damos. No creemos en encerrar tus datos, deben ser tuyos para extraerlos, transformarlos, analizarlos e interpretarlos como quieras. También le facilitamos la introducción de nuevas fuentes de datos en nuestra plataforma. Puede correlacionar, comparar y digerir la información de otras aplicaciones y fuentes de datos a través de nuestras API, lo que significa que puede seguir utilizando su actual solución de monitorización de registros de aplicaciones en la nube, por ejemplo, y luego introducir la información en Opmantek Software para profundizar, analizar y gestionar mejor los eventos.

Plomo.

Escuchamos a nuestros clientes y desarrollamos rápidamente, asegurándonos de estar siempre a la vanguardia cuando se trata de abordar las últimas necesidades de los clientes. Con un enfoque en el servicio personal de nuestro equipo de soporte técnico altamente comunicativo, usted obtiene información sobre el ciclo de vida del producto, puede proporcionar retroalimentación directa al equipo de desarrollo y puede, por lo tanto, dar forma al software para que su organización pueda liderar el paquete sobre aquellos que utilizan soluciones de corte de galletas.

¿Quiere saber más sobre cómo Opmantek puede ayudar a su organización a hacer más gastando menos?

Descargue hoy mismo la máquina virtual y empiece a trabajar.

A todo el mundo le ocurre de alguna manera, un número desconocido que llama, un correo electrónico de una agencia gubernamental o el día marcado en rojo para una auditoría informática. La sensación de temor está asociada a estos casos, con las herramientas adecuadas, esto puede ser mitigado.

En lo que respecta a una auditoría de TI, esto induciría la sensación de temor si no tiene visibilidad o control sobre sus activos de TI.

Esto se puede contrarrestar con herramientas de código abierto que se instalan en menos de 10 minutos.

Una vez que tenga todo configurado, obtendrá información de auditoría fiable que abarque su entorno informático.

Si da este paso, invirtiendo sólo tiempo y atención, cambiará la forma de ver su calendario de auditorías. Comenzará a desarrollar una relación de trabajo positiva con sus auditores y empezará a mejorar la visibilidad de su red. Combine esto con NMIS y podrá obtener información sobre el rendimiento de su red y tener una gestión de eventos.

Para obtener más información sobre las soluciones de código abierto de Opmantek, hay un magnífico seminario web próximamente, cuya inscripción está disponible aquí.

Si se ha perdido el registro, hay una versión a la carta disponible para ver aquí.

Si desea probar todos nuestros productos, tenemos una máquina virtual que es extremadamente fácil de configurar, que incluye tanto Open-AudIT como NMIS, está disponible para su descarga aquí.