Cumpliendo con la normativa: Cómo cumplir los requisitos de auditoría reglamentaria con los productos de Opmantek

Es una cadena de acrónimos, SOX, SSAE, PCI-DSS, HIPPA. Para los no iniciados, parecen un galimatías; para los que se ocupan de los requisitos reglamentarios federales o industriales pueden ser un mar de requisitos difíciles de entender y potencialmente imposibles de aplicar que podrían significar la diferencia entre un año rentable y (potencialmente) enormes multas o incluso el desempleo. Hoy me gustaría abordar cada uno de ellos en detalle, discutir desde un punto de vista de TI lo que hay que hacer para cumplir con cada uno, y luego discutir cuál de los productos de Opmantek ayuda a abordar esos requisitos. No teman, estamos juntos en esto, así que abróchense el cinturón y asegúrense de que su casco esté bien ajustado mientras nos sumergimos en los requisitos de auditoría reglamentaria.

¿A quién se aplica esta normativa?

En primer lugar, vamos a desglosar las principales normativas con las que puede encontrarse. Dependiendo de su país y de su sector, su empresa puede verse afectada por una o varias de estas normas, además de otras no contempladas aquí.

PCI-DSS - La Payment Card Industry Data Security Standard (PCI-DSS) es una norma de seguridad de la información para las organizaciones que manejan tarjetas de crédito de los principales proveedores (es decir, MasterCard, VISA, Discover, American Express, etc.). En pocas palabras, si su empresa maneja información de tarjetas de crédito de cualquier manera - tal vez a través de un carrito de compras en línea o tomando tarjetas por teléfono y procesándolas a mano - usted está expuesto a la PCI-DSS.

HIPAA - La Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) es una legislación estadounidense que establece disposiciones de privacidad y seguridad de datos para salvaguardar la información médica. Es importante tener en cuenta que esta normativa va más allá de los hospitales y las consultas médicas e incluye a cualquiera que maneje información relacionada con la atención sanitaria de una persona. Esto incluiría a las empresas que prestan servicios de facturación y cobro, el almacenamiento de registros sanitarios y todo lo que tenga que ver con el mantenimiento o la conservación de los registros sanitarios de una persona (físicos o electrónicos). Si su empresa maneja cualquier material que incluya información sobre la atención sanitaria que pueda identificar a una persona, está expuesta a la HIPAA.

SSAE-16 - La Declaración sobre Normas y Compromisos de Atestado (SSAE) nº 16 (anteriormente la SAS-70 y que pronto se convertirá en la SSAE-18) es una norma de auditoría creada por el Instituto Americano de Contadores Públicos Certificados (AICPA). La SSAE-16 está diseñada para garantizar que una organización de servicios cuenta con los procesos y controles informáticos adecuados para garantizar la seguridad de la información de sus clientes y la calidad de los servicios que les prestan. El examen SOC-1 se centra principalmente en los controles internos sobre la información financiera (ICFR), pero se ha ampliado a lo largo de los años para incluir a menudo la comprobación de la documentación de los procesos. El informe SOC-2 amplía el SOC-1 para incluir no sólo la revisión de los procesos y controles, sino también la comprobación de dichos controles durante el periodo del informe (generalmente un año). En términos generales, si su empresa realiza un servicio externalizado que afecta a los estados financieros de otra empresa, está expuesta a la SSAE-16 SOC-1, y si se ocupa de las nóminas, la gestión de préstamos, la supervisión de centros de datos/co-localización/redes, el software como servicio (SaaS) o el procesamiento de reclamaciones médicas (incluida la impresión de extractos y las soluciones de pago en línea), también estaría expuesta a la SOC-2.

SOC - La Ley Sarbanes-Oxley de 2002 (SOX), también conocida como "Ley de reforma de la contabilidad de las empresas públicas y de protección de los inversores", es una ley federal estadounidense que establece requisitos para todos los consejos de administración de las empresas públicas de Estados Unidos, la dirección y las empresas de contabilidad pública en materia de información financiera, divulgación y mantenimiento de registros. Es importante tener en cuenta que, aunque la mayor parte de la SOX se centra en las empresas públicas, hay disposiciones en la Ley que también se aplican a las empresas privadas. En términos generales, si usted es una empresa pública está cubierta por la Ley.

¿Qué significan estos reglamentos para usted?

Así pues, una vez que haya determinado qué normativas debe cumplir su empresa, ¿cuáles son las actividades específicas que debe realizar para cumplir esos requisitos?

A continuación se ofrece una breve lista de los elementos necesarios para demostrar el cumplimiento de esta normativa. Es importante tener en cuenta que estas son sólo las actividades que pueden ser supervisadas y registradas electrónicamente. Cada uno de estos requisitos de cumplimiento incluye documentación de proceso adicional, es decir, detallar un plan de D&R, mantener un libro de contabilidad, documentar un proceso de copia de seguridad fuera del sitio y un procedimiento de restauración, etc., que no se enumeran a continuación.

PCI-DSS

Esta lista se centra en los pequeños y medianos comerciantes que procesan tarjetas de crédito, pero no almacenan datos de tarjetas de crédito. Esta lista es mucho más larga si su empresa procesa un gran número de transacciones con tarjeta de crédito, procesa transacciones por encima de ciertos importes, actúa como cámara de compensación o procesador de cc, o almacena cualquier información de tarjetas de crédito.

  • Recoge los registros de eventos de todos los dispositivos relevantes (cortafuegos, enrutadores y servidores) dentro de la zona PCI-DSS, o de toda la red si el procesamiento de tarjetas no está segmentado, y alerta/informa sobre la actividad "inusual".
  • Recoger las configuraciones de los dispositivos y alertar/informar sobre los cambios en todos los dispositivos relevantes (cortafuegos, enrutadores y servidores) dentro de la zona PCI-DSS, o en toda la red si el procesamiento de tarjetas no está segmentado.
  • Confirme que todas las bases de datos que almacenan datos de tarjetas están encriptadas a nivel de unidad o de base de datos; los datos de las tarjetas de crédito deben estar encriptados tanto en reposo como en movimiento.

HIPAA

  • Recoger los registros de eventos de todos los servidores/estaciones de trabajo que almacenan información o registros sanitarios y cualquier equipo de red por el que pase esta información, y alertar/informar sobre la actividad "inusual".
  • Confirme que todas las bases de datos en las que se almacenan los datos sanitarios están cifradas a nivel de unidad o de base de datos; la información sanitaria debe estar cifrada tanto en reposo como en movimiento.

SSAE-16 SOC1/2

Esta lista cubre la mayoría de los requisitos de los proveedores de servicios. Sin embargo, las empresas que alojan o desarrollan software tendrían requisitos adicionales.

  • Proporcionar NMS/NPM de los dispositivos y servidores de la red, esto puede incluir el procesamiento de los registros de eventos; alertar sobre los problemas de rendimiento; demostrar el proceso de escalamiento; registrar todos los cambios de configuración de NMS/NPM con fines de auditoría.
  • Recoger las configuraciones de los dispositivos; alertar sobre los cambios de configuración no autorizados; demostrar el proceso de escalada.
  • Asegúrese de que todos los servidores/estaciones de trabajo están siendo parcheados a nivel de sistema operativo y para cada aplicación crítica.
  • Asegúrese de que todos los servidores/estaciones de trabajo tengan un antivirus con las actualizaciones más recientes.
  • Compruebe los criterios de las contraseñas (longitud, complejidad y caducidad corta y larga); esto debería gestionarse de forma centralizada a través de AD/MS-LDAP.
  • Compruebe que no hay cuentas locales de administrador, que todas las cuentas de invitado están deshabilitadas y que cualquier cuenta local con nombre cumple con los requisitos de contraseña.
  • Report on user account access, all users have limited access (<Admin) and for those that need Admin, they have both a regular account and a separate Admin account.

Sarbanes-Oxley (SOX) (Sección 404 de la SOX)

La Ley SOX se centra en la información financiera y la rendición de cuentas, pero la Sección-404 cubre los requisitos desde una perspectiva de TI. En general, los requisitos de la SSAE-16 SOC-2 enumerados anteriormente suelen cumplir con la Sección 404 de la SOX.

  • Proporcionar NMS/NPM de los dispositivos y servidores de la red, esto puede incluir el procesamiento de los registros de eventos; alertar sobre los problemas de rendimiento; demostrar el proceso de escalamiento; registrar todos los cambios de configuración de NMS/NPM con fines de auditoría.
  • Recoger las configuraciones de los dispositivos; alertar sobre los cambios de configuración no autorizados; demostrar el proceso de escalada.
  • Asegúrese de que todos los servidores/estaciones de trabajo están siendo parcheados a nivel de sistema operativo y para cada aplicación crítica.
  • Asegúrese de que todos los servidores/estaciones de trabajo tengan un antivirus con las actualizaciones más recientes.
  • Compruebe los criterios de las contraseñas (longitud, complejidad y caducidad corta y larga); esto debería gestionarse de forma centralizada a través de AD/MS-LDAP.
  • Compruebe que no hay cuentas locales de administrador, que todas las cuentas de invitado están deshabilitadas y que cualquier cuenta local con nombre cumple con los requisitos de contraseña.
  • Report on user account access, all users have limited access (<Admin) and for those that need Admin, they have both a regular account and a separate Admin account.

 

¿Cómo se hace?

Vale, bien.

Así que ha llegado hasta aquí y ha averiguado qué normativas se aplican a su empresa y tiene una lista de las actividades que debe supervisar. Pero, ¿cómo hacerlo realmente?

Lista de dispositivos - En casi todos los reglamentos tendrá que proporcionar una lista de todos sus equipos: estaciones de trabajo y servidores. Esto se puede manejar fácilmente a través de Open-AudIT, que proporciona métodos automatizados para descubrir y auditar todos los dispositivos de su red, incluyendo la presentación de informes sobre las cuentas de usuarios locales y grupos de usuarios, y las instalaciones de antivirus. Esto también incluye informes programados que pueden proporcionar toda la información relevante la mañana que la necesite.

Diagramas de topología - Debe disponer de un diagrama de topología detallado y siempre actualizado. Esto puede hacerse utilizando una combinación de NMIS para reunir información de conectividad de capa 2 y 3 y opCharts para crear los diagramas de topología.

Supervisión del rendimiento y de los fallos: el NMIS de Opmantek puede proporcionar capacidades muy sólidas de supervisión del rendimiento y de los fallos, así como gestionar la escalada de eventos y las notificaciones.

Monitorización de Syslog y de Registros de Aplicaciones - Puede ampliar la monitorización de Rendimiento y de Fallos de NMIS añadiendo opEvents, que puede analizar los registros de Syslog y de aplicaciones, generar notificaciones e incluso realizar la corrección de eventos.

Monitorización de cambios en la configuración de los dispositivos - Más allá de la información básica sobre problemas de rendimiento y fallos, existe la necesidad de monitorizar los dispositivos para detectar cambios de configuración no autorizados o inadecuados. opConfig puede recopilar las configuraciones de los dispositivos, generar eventos para los cambios e incluso ayudarle a gestionar de forma centralizada sus dispositivos de red.

Próximos pasos

Pues bien, aquí estamos al final. Hemos cubierto las principales normativas, hemos proporcionado una lista de lo que hay que hacer, e incluso hemos repasado cada uno de los productos de Opmantek y cómo pueden ayudarle a cumplir esos requisitos. El camino a seguir depende de usted.

 

Si todavía tiene preguntas, póngase en contacto con nosotros. Estamos aquí para ayudarle a cumplir estos requisitos normativos mediante soluciones que le faciliten la vida y le ayuden a dormir más tranquilo.

 

Lo mejor,

 

Marca H

Charlotte, NC