Oír la palabra "automatización " puede desencadenar imágenes de un robot sustituyendo a trabajadores humanos y haciendo irrelevantes las contribuciones personales a la empresa, ya que las operaciones manuales se sustituyen por procesos automatizados. Si bien es cierto que la tecnología está remodelando nuestra forma de trabajar, no debería eliminar el empleo, sino que la automatización ofrece ventajas clave para las empresas proactivas. Sin embargo, muchas empresas dejan la automatización en el cesto de lo demasiado difícil, pensando que no tienen el tiempo, el dinero o el personal necesarios para automatizar las operaciones en su lugar de trabajo y, por tanto, no consiguen ventajas competitivas.

¿Es usted uno de ellos? El objetivo de este blog es destacar cómo no se debe temer ni evitar la automatización, ya que puede ayudar a las empresas a alcanzar el éxito y la sostenibilidad.

Algunas de las ventajas de la automatización que su empresa puede estar desaprovechando son:

1. Mejora de la velocidad de procesamiento

Cuando un ser humano realiza una tarea manualmente, sólo puede hacer una cantidad determinada de cosas en un tiempo determinado. Cuando se automatizan tareas específicas, los tiempos de procesamiento pueden mejorar drásticamente gracias a la potencia de cálculo y al multihilo. Además, el trabajador o los trabajadores que realizan tareas menores pueden dedicarse a otras cosas, como desarrollar nuevas habilidades, lo que en última instancia contribuye a la productividad, la satisfacción laboral y beneficia a la empresa.

2. Fiabilidad

La automatización de las tareas aumenta la fiabilidad en comparación con las tareas manuales. La automatización de las operaciones garantiza que las tareas se ejecuten a tiempo y en secuencia, que se cumplan los requisitos previos, que todos los datos introducidos sean correctos y, por último, que se realice el procesamiento adecuado.

3. Mejora del seguimiento y la supervisión

La mejora del seguimiento y la supervisión de los procesos es un beneficio empresarial considerable que se produce al automatizar las tareas. El software de inteligencia empresarial permite a las empresas utilizar la automatización para procesar cantidades más significativas de datos y compilar una amplia información basada en los resultados. Esta información permite a las empresas tomar decisiones informadas sobre la base de la información que se recoge, ahora tienen una visión más clara de su rendimiento y de cómo funciona su negocio.

4. Disponibilidad

El aumento de la disponibilidad de los datos recogidos ayudará significativamente a las empresas. Es posible automatizar sus sistemas de guardado y recuperación para garantizar la protección frente a posibles pérdidas de disco o daños involuntarios en los objetos del sistema derivados de errores humanos.

5. Ahorro de costes

La automatización también ahorra dinero a las empresas. Al automatizar los procesos, los trabajadores disponen de más horas para centrarse en tareas más importantes, además de reducirse los costosos errores. Esto puede suponer una diferencia significativa en la cuenta de resultados de una empresa.

6. Reducción de los errores humanos

Aunque ya se ha comentado anteriormente, merece la pena reconocer específicamente el impacto positivo que la automatización puede tener en la reducción de los errores humanos. Incluso el empleado más inteligente y fiable puede cometer costosos errores. La automatización de determinados procesos puede garantizar que las tareas clave se realicen de forma rápida y eficaz, con un riesgo de error muy reducido.

7. Crecimiento empresarial

Por último, es importante reconocer cómo la automatización puede facilitar el crecimiento de su empresa. Cuando un trabajador se libera de una tarea que le consume mucho tiempo y que ha sido automatizada, queda libre para centrarse en otras tareas o departamentos de la empresa. Esto se traduce en un ahorro de costes para las empresas, lo que les permite centrarse en invertir en estrategias dirigidas al crecimiento, la expansión y la asignación de trabajadores a áreas en las que sus capacidades pueden aprovecharse al máximo.

En conclusión, esperamos que este blog le haya hecho reconocer las ventajas de automatizar las operaciones e identificar las áreas en las que la automatización puede contribuir al éxito de su empresa. La automatización no debe percibirse como una molestia o una amenaza para la seguridad laboral, sino como una oportunidad para que las empresas lo hagan mejor.

¿Qué importancia tiene la supervisión de la integridad de los archivos? Esta es una pregunta difícil porque dependiendo del estado de su red puede tener respuestas muy diferentes. Si tiene una red que funciona perfectamente, puede decir que es importante, pero no crítica. Sin embargo, si tiene un dispositivo que no funciona correctamente o incluso se sospecha de una fuga de privacidad, se convierte en algo crítico. Para ambos casos, la respuesta debería ser crítica, siempre es mejor prevenir que curar. Cada semana hay un nuevo informe sobre una base de datos que fue comprometida o un minero de criptomonedas que se instaló sin que nadie lo supiera. Un paso en la prevención de estos eventos es monitorear los archivos y carpetas que son críticos para las operaciones, directorios como C:\Windows\System32 o C:\Windows\Program Files en Windows o /bin/ o /etc/ en Linux. Open-AudIT Enterprise puede detectar automáticamente los cambios de configuración en archivos o carpetas, se trata de una consulta que se incluye en el software. Esta consulta para los usuarios de Open-AudIT Enterprise se puede programar; puede hacer que se ejecute semanalmente, diariamente, cada hora o incluso cada 10 minutos si lo necesita. El proceso es sencillo de iniciar y, si alguna vez se necesita, quedará como un dios por haberlo pensado con antelación. Esto es sólo una idea, para más información, una guía de configuración o para probarlo por ti mismo, sigue los enlaces de abajo.

Cumpliendo con la normativa: Cómo cumplir los requisitos de auditoría reglamentaria con los productos de Opmantek

Es una cadena de acrónimos, SOX, SSAE, PCI-DSS, HIPPA. Para los no iniciados, parecen un galimatías; para los que se ocupan de los requisitos reglamentarios federales o industriales pueden ser un mar de requisitos difíciles de entender y potencialmente imposibles de aplicar que podrían significar la diferencia entre un año rentable y (potencialmente) enormes multas o incluso el desempleo. Hoy me gustaría abordar cada uno de ellos en detalle, discutir desde un punto de vista de TI lo que hay que hacer para cumplir con cada uno, y luego discutir cuál de los productos de Opmantek ayuda a abordar esos requisitos. No teman, estamos juntos en esto, así que abróchense el cinturón y asegúrense de que su casco esté bien ajustado mientras nos sumergimos en los requisitos de auditoría reglamentaria.

¿A quién se aplica esta normativa?

En primer lugar, vamos a desglosar las principales normativas con las que puede encontrarse. Dependiendo de su país y de su sector, su empresa puede verse afectada por una o varias de estas normas, además de otras no contempladas aquí.

PCI-DSS - La Payment Card Industry Data Security Standard (PCI-DSS) es una norma de seguridad de la información para las organizaciones que manejan tarjetas de crédito de los principales proveedores (es decir, MasterCard, VISA, Discover, American Express, etc.). En pocas palabras, si su empresa maneja información de tarjetas de crédito de cualquier manera - tal vez a través de un carrito de compras en línea o tomando tarjetas por teléfono y procesándolas a mano - usted está expuesto a la PCI-DSS.

HIPAA - La Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) es una legislación estadounidense que establece disposiciones de privacidad y seguridad de datos para salvaguardar la información médica. Es importante tener en cuenta que esta normativa va más allá de los hospitales y las consultas médicas e incluye a cualquiera que maneje información relacionada con la atención sanitaria de una persona. Esto incluiría a las empresas que prestan servicios de facturación y cobro, el almacenamiento de registros sanitarios y todo lo que tenga que ver con el mantenimiento o la conservación de los registros sanitarios de una persona (físicos o electrónicos). Si su empresa maneja cualquier material que incluya información sobre la atención sanitaria que pueda identificar a una persona, está expuesta a la HIPAA.

SSAE-16 - La Declaración sobre Normas y Compromisos de Atestado (SSAE) nº 16 (anteriormente la SAS-70 y que pronto se convertirá en la SSAE-18) es una norma de auditoría creada por el Instituto Americano de Contadores Públicos Certificados (AICPA). La SSAE-16 está diseñada para garantizar que una organización de servicios cuenta con los procesos y controles informáticos adecuados para garantizar la seguridad de la información de sus clientes y la calidad de los servicios que les prestan. El examen SOC-1 se centra principalmente en los controles internos sobre la información financiera (ICFR), pero se ha ampliado a lo largo de los años para incluir a menudo la comprobación de la documentación de los procesos. El informe SOC-2 amplía el SOC-1 para incluir no sólo la revisión de los procesos y controles, sino también la comprobación de dichos controles durante el periodo del informe (generalmente un año). En términos generales, si su empresa realiza un servicio externalizado que afecta a los estados financieros de otra empresa, está expuesta a la SSAE-16 SOC-1, y si se ocupa de las nóminas, la gestión de préstamos, la supervisión de centros de datos/co-localización/redes, el software como servicio (SaaS) o el procesamiento de reclamaciones médicas (incluida la impresión de extractos y las soluciones de pago en línea), también estaría expuesta a la SOC-2.

SOC - La Ley Sarbanes-Oxley de 2002 (SOX), también conocida como "Ley de reforma de la contabilidad de las empresas públicas y de protección de los inversores", es una ley federal estadounidense que establece requisitos para todos los consejos de administración de las empresas públicas de Estados Unidos, la dirección y las empresas de contabilidad pública en materia de información financiera, divulgación y mantenimiento de registros. Es importante tener en cuenta que, aunque la mayor parte de la SOX se centra en las empresas públicas, hay disposiciones en la Ley que también se aplican a las empresas privadas. En términos generales, si usted es una empresa pública está cubierta por la Ley.

¿Qué significan estos reglamentos para usted?

Así pues, una vez que haya determinado qué normativas debe cumplir su empresa, ¿cuáles son las actividades específicas que debe realizar para cumplir esos requisitos?

A continuación se ofrece una breve lista de los elementos necesarios para demostrar el cumplimiento de esta normativa. Es importante tener en cuenta que estas son sólo las actividades que pueden ser supervisadas y registradas electrónicamente. Cada uno de estos requisitos de cumplimiento incluye documentación de proceso adicional, es decir, detallar un plan de D&R, mantener un libro de contabilidad, documentar un proceso de copia de seguridad fuera del sitio y un procedimiento de restauración, etc., que no se enumeran a continuación.

PCI-DSS

Esta lista se centra en los pequeños y medianos comerciantes que procesan tarjetas de crédito, pero no almacenan datos de tarjetas de crédito. Esta lista es mucho más larga si su empresa procesa un gran número de transacciones con tarjeta de crédito, procesa transacciones por encima de ciertos importes, actúa como cámara de compensación o procesador de cc, o almacena cualquier información de tarjetas de crédito.

• Recoge los registros de eventos de todos los dispositivos relevantes (cortafuegos, enrutadores y servidores) dentro de la zona PCI-DSS, o de toda la red si el procesamiento de tarjetas no está segmentado, y alerta/informa sobre la actividad "inusual".
• Recoger las configuraciones de los dispositivos y alertar/informar sobre los cambios en todos los dispositivos relevantes (cortafuegos, enrutadores y servidores) dentro de la zona PCI-DSS, o en toda la red si el procesamiento de tarjetas no está segmentado.
• Confirme que todas las bases de datos que almacenan datos de tarjetas están encriptadas a nivel de unidad o de base de datos; los datos de las tarjetas de crédito deben estar encriptados tanto en reposo como en movimiento.

HIPAA

• Recoger los registros de eventos de todos los servidores/estaciones de trabajo que almacenan información o registros sanitarios y cualquier equipo de red por el que pase esta información, y alertar/informar sobre la actividad "inusual".
• Confirme que todas las bases de datos en las que se almacenan los datos sanitarios están cifradas a nivel de unidad o de base de datos; la información sanitaria debe estar cifrada tanto en reposo como en movimiento.

SSAE-16 SOC1/2

Esta lista cubre la mayoría de los requisitos de los proveedores de servicios. Sin embargo, las empresas que alojan o desarrollan software tendrían requisitos adicionales.

• Proporcionar NMS/NPM de los dispositivos y servidores de la red, esto puede incluir el procesamiento de los registros de eventos; alertar sobre los problemas de rendimiento; demostrar el proceso de escalamiento; registrar todos los cambios de configuración de NMS/NPM con fines de auditoría.
• Recoger las configuraciones de los dispositivos; alertar sobre los cambios de configuración no autorizados; demostrar el proceso de escalada.
• Asegúrese de que todos los servidores/estaciones de trabajo están siendo parcheados a nivel de sistema operativo y para cada aplicación crítica.
• Asegúrese de que todos los servidores/estaciones de trabajo tengan un antivirus con las actualizaciones más recientes.
• Compruebe los criterios de las contraseñas (longitud, complejidad y caducidad corta y larga); esto debería gestionarse de forma centralizada a través de AD/MS-LDAP.
• Compruebe que no hay cuentas locales de administrador, que todas las cuentas de invitado están deshabilitadas y que cualquier cuenta local con nombre cumple con los requisitos de contraseña.
• Report on user account access, all users have limited access (<Admin) and for those that need Admin, they have both a regular account and a separate Admin account.

Sarbanes-Oxley (SOX) (Sección 404 de la SOX)

La Ley SOX se centra en la información financiera y la rendición de cuentas, pero la Sección-404 cubre los requisitos desde una perspectiva de TI. En general, los requisitos de la SSAE-16 SOC-2 enumerados anteriormente suelen cumplir con la Sección 404 de la SOX.

• Proporcionar NMS/NPM de los dispositivos y servidores de la red, esto puede incluir el procesamiento de los registros de eventos; alertar sobre los problemas de rendimiento; demostrar el proceso de escalamiento; registrar todos los cambios de configuración de NMS/NPM con fines de auditoría.
• Recoger las configuraciones de los dispositivos; alertar sobre los cambios de configuración no autorizados; demostrar el proceso de escalada.
• Asegúrese de que todos los servidores/estaciones de trabajo están siendo parcheados a nivel de sistema operativo y para cada aplicación crítica.
• Asegúrese de que todos los servidores/estaciones de trabajo tengan un antivirus con las actualizaciones más recientes.
• Compruebe los criterios de las contraseñas (longitud, complejidad y caducidad corta y larga); esto debería gestionarse de forma centralizada a través de AD/MS-LDAP.
• Compruebe que no hay cuentas locales de administrador, que todas las cuentas de invitado están deshabilitadas y que cualquier cuenta local con nombre cumple con los requisitos de contraseña.
• Report on user account access, all users have limited access (<Admin) and for those that need Admin, they have both a regular account and a separate Admin account.

¿Cómo se hace?

Vale, bien.

Así que ha llegado hasta aquí y ha averiguado qué normativas se aplican a su empresa y tiene una lista de las actividades que debe supervisar. Pero, ¿cómo hacerlo realmente?

Lista de dispositivos - En casi todos los reglamentos tendrá que proporcionar una lista de todos sus equipos: estaciones de trabajo y servidores. Esto se puede manejar fácilmente a través de Open-AudIT, que proporciona métodos automatizados para descubrir y auditar todos los dispositivos de su red, incluyendo la presentación de informes sobre las cuentas de usuarios locales y grupos de usuarios, y las instalaciones de antivirus. Esto también incluye informes programados que pueden proporcionar toda la información relevante la mañana que la necesite.

Diagramas de topología - Debe disponer de un diagrama de topología detallado y siempre actualizado. Esto se puede hacer utilizando una combinación de NMIS para recopilar información de conectividad de Capa 2 y 3 y opCharts para crear los diagramas de topología.

Supervisión del rendimiento y de los fallos: el NMIS de Opmantek puede proporcionar capacidades muy sólidas de supervisión del rendimiento y de los fallos, así como gestionar la escalada de eventos y las notificaciones.

Monitorización de Syslog y de Registros de Aplicaciones - Puede ampliar la monitorización de Rendimiento y de Fallos de NMIS añadiendo opEvents, que puede analizar los registros de Syslog y de aplicaciones, generar notificaciones e incluso realizar la corrección de eventos.

Monitorización de cambios en la configuración de los dispositivos - Más allá de la información básica sobre problemas de rendimiento y fallos, existe la necesidad de monitorizar los dispositivos para detectar cambios de configuración no autorizados o inadecuados. opConfig puede recopilar las configuraciones de los dispositivos, generar eventos para los cambios e incluso ayudarle a gestionar de forma centralizada sus dispositivos de red.

Próximos pasos

Pues bien, aquí estamos al final. Hemos cubierto las principales normativas, hemos proporcionado una lista de lo que hay que hacer, e incluso hemos repasado cada uno de los productos de Opmantek y cómo pueden ayudarle a cumplir esos requisitos. El camino a seguir depende de usted.

Si todavía tiene preguntas, póngase en contacto con nosotros. Estamos aquí para ayudarle a cumplir estos requisitos normativos mediante soluciones que le faciliten la vida y le ayuden a dormir más tranquilo.

Lo mejor,

Marca H

Charlotte, NC