Juan Miguel Haddad - Fundación DINTEL · ... resultando en cuadros de mandos (COBIT, COSO, ISO 27001 ... Chequeo de la aceptación del usuario. b. ... Para cumplimiento de normativas

Cumplimiento de Normativas: Una realidad para las TIJuan Miguel Haddad Principal System Engineer

© 2006 Symantec Corporation

El Escenario Actual… ¿Fenómeno de moda?

Asistencia Sanitaria

► HIPAA*

Sector Público► FISMA (US)► NIST 800-53► Canadian and

Asian PrivacyLaws

Sector Financiero

► GLBA* and USA Patriot Act

► Basel II► PCI/DSS*► NASD 3010/3110 ► SEC 17 a-4

Industria► NERC CIP 1300► Energy Bill of

2005

Empresas Farmacéuticas y

Científicas► FDA 21 CFR 11

Regulaciones Multisectoriales► SOX

► PIPEDA► Canada Multilateral Instrument 52-111

► CA SB-1386► EU Data Protection Directive / LOPD / RMS

ESCENARIO REGULATORIO

INICIATIVAS PRIVADAS

► CONTROL INTERNO► PLANES DIRECTORES► ANÁLISIS DE RIESGOS► ITIL


La necesidad de las empresas de Comprobar el cumplimiento de Normativas► ¿Porqué hacerlo?

Obligaciones legales (controles y riesgo de penalizaciones)El 70% de las empresas están sometidas a varias reglamentaciones (sectoriales, financieras…)

► ¿Como hacerlo?

Los equipos de TI deben:Identificar los controles necesarios propios de cada reglamentaciónAlgunos son propios de varias reglamentaciones de forma simultáneaPoder efectuar controles de forma automática

Coste: Implantación de controles de configuración “Best Practices”:

• 120 Servidores• 1 Vez a la semana por servidor• 30 Minutos por servidor• .5 x 120 x 54 = 3240 Horas (405 Jornadas / año)

• 120 Servidores• 1 Vez a la semana por servidor• 30 Minutos por servidor• .5 x 120 x 54 = 3240 Horas (405 Jornadas / año)

Aspecto Estratégico

Aspecto Operativo


Algunos objetivos de IT Compliance

►Si bien existen varias leyes, normativas y estándares que varían dependiendo del sector de la empresa, las distintas legislaciones sobre la información se afanan en cumplir uno o varios de los siguientes objetivos:

Integridad de la Información, de Procesos y de Sistemas: puesta en marcha de procesos de control de sistemas y del uso de información para asegurar su integridad.

Acceso Controlado: Gestión del acceso o del uso de información especifica.

Retención de la Información: Gestión del almacenamiento, la recuperación y la indexación de la información guardada a lo largo del tiempo


Algunas definiciones► Conformidad o Compliance:

Capacidad de la empresa de cumplir las normativas en vigor en su sector. Esto implica la capacidad de demostrar a los auditores la puesta en marcha de los controles necesarios para su cumplimiento.

► Regulación :Ley que define un marco de aplicación, sanciones y las autoridades que la regulan o controlan.

► Framework :Metodologías definidas por los auditores existentes en el mercado (E&Y, ISACA, ISO,...) resultando en cuadros de mandos (COBIT, COSO, ISO 27001…)

► Estándar:Definiciones concretas de parametrización formuladas por los mismos organismos anteriores u otros.

► Política :Marco de uso de los sistemas de T.I. aprobado por la dirección de la empresa y definido por estándares y procedimientos.

► Evidencia de un Control IT : Resultado de un control. Utilizado como prueba durante una auditoria.


La aproximación de Symantec

Mantener

Medir el cumplimiento de las normativas y remediar las desviaciones de las políticas; guardar e informar del estado del cumplimiento de las normativas.

MEDIR

GUARDAR

REMEDIAR

INFORMAR

Comprobar las políticas definidas con las políticas aplicadas en los sistemas IT a través de las diferentes plataformas y aplicaciones

Sistemas Operativos

Bases de Datos

Aplicaciones

Directorios

Personas

POLÍTICAS CORPORATIVAS

Controlar

CONTROLES IT

Crear, distribuir y administrar políticas basadas en regulaciones y estándares

SOX

HIPAA

GLBA

FISMA

Basel ll

COSO

COBIT

ISO17799

NIST

Políticas internas

PCI-DSS

CIS

NIST

NSA

REGULACIONES FRAMEWORKS ESTÁNDARES

Definir


Cumplimiento de Políticas IT


1.a Definición de la PolíticaDefinir

► Definición y Difusión de políticas IT y no IT

Documentar y llevar un control de versión las políticasCumplir las obligaciones legales que requieren la difusión y aceptación de las políticas por parte de los usuarios. Controlar vía WEB la conformidad de los usuarios.Controlar las excepciones y sus clarificaciones.


1.b Relacionar PolíticasDefinir

HIPAA SOX

Compliance Mapping

CobiTISO

“Malware Policy”

Framework

Regulations

Control Activities

Created Policy

1

2

3

4►Relacione las políticas

internas con los controles IT (SOX, FISMA, GLBA, HIPAA, Cobit, ISO17799, NIST)

►ej. Para cumplir SOX 404 compliance, usando COBIT como referencia , el antivirus tiene que estar instalado


2. Recolección de evidenciasControlar

►La solución de Symantec comprueba el cumplimiento de Políticas en los Sistemas:

Cumplimiento de Políticas de Seguridad:• Análisis de permisos: ¿Quien puede ejecutar una aplicación?,

¿Cuando se han cambiado dichos permisos?…• Análisis de vulnerabilidades: ¿Está mi entorno protegido frente

a ataques?Cumplimiento de Políticas IT:• Análisis de Configuración: ¿Cómo están configurados los

sistemas?, ¿Qué parches están instalados?, ¿Cómo están definidos mis grupos de usuarios?...

• Análisis de Datos (información): ¿Qué tipo de datos están almacenados?, ¿Qué sistemas los almacenan?...


2. Recolección de evidenciasControlar

Auditoría

HP Open View

Módulos Integración

MOM 2005

Remedy

HP Service Desk

Mon

itor

Hel

p D

esk

Exportar Formatos

LinuxUNIX MS-SQLExchangeWindows

Recolección


3. Auditar el CumplimientoMantener

► Conocimiento de las políticasChequea e informa de la aceptación por parte del usuario de las políticas vigentes.

► Cobertura de las políticasInforma de la falta de cobertura de las diferentes regulaciones y de los Entornos

► Cumplimiento de las políticasInforma del cumplimiento de los estándares técnicos a través de la incorporación de información de terceros productos


La Visión Completa de Symantec► Symantec reduce el coste del cumplimiento de normativas

automatizando el chequeo políticas contra las mejores practicas de la industria.

► Symantec asegura la cobertura de políticas en todos los aspectos reguladores de las siguientes tres formas:1.

a. Definición de la Política: Definir y distribuir política. Chequeo de la aceptación del usuario.

b. Relacionar Políticas: Utiliza una serie controles para relacionar políticas a través de múltiples regulaciones.

2. Recolección de evidencias: Mediante un motor de recolección que actua sobre los distintos sistemas de la empresa.

3. Auditar Cumplimiento: Proporciona evidencias del cumplimiento de políticas a través de la colección de información de otras fuentes.


Conformidad de los puestosde usuario


¿Y los puestos de trabajo de los usuarios?

“¿En su opinión cuales son las fuentes más comunes de Ataques por Gusanos en Internet?”“¿En su opinión cuales son las fuentes más comunes de Ataques por Gusanos en Internet?”

El PC de un empleado

Directamente por Internet a través del Firewall

El Portátil de una personaAjena a la empresa

A través de un sistema en casaConectado a la VPN

No Sabe

Otros

28%

24%

22%

16%

5%

5%

Source: Enterprise Security Group, January 2005 ESG Research Report, Network Security And Intrusion Prevention


Conformidad de los puestos de usuario

El PC se conecta a la redSe determina la configuración

Paso 1

Se comprueba el cumplimiento de la Configuración

Contra la Política Definida

Paso 2

✗

Se actúa en base al resultado

Paso 3 ParcheCuarentenaDesktop Virtual

Se monitoriza el PC paraasegurarse que es “compliant”

Paso 4


Retención de la Información


Retención de datos► Código de Comercio: Artículo 30

- Ámbito corporativo“El Código de Comercio impone a empresarios individuales y sociedades mercantiles la obligación de conservar los libros, correspondencia, documentación y justificantes concernientes a su negocio, debidamente ordenados, durante seis años a partir del último asiento realizado en los libros. Esta obligación implica el deber de conservar la citada información durante dicho periodo desde que cese la relación negocial que la justifique. “- Ámbito fiscal“La Ley 230/1963 General Tributaria y la Ley 1/1998 que regula los Derechos y Garantías de los Contribuyentes disponen que el plazo de prescripción de las deudas tributarias, durante el cual deberá conservarse toda la documentación acreditativa al efecto, es de cuatro años. Asimismo, en materia del Impuesto sobre el Valor Añadido (Ley 30/1985), se obliga a los sujetos pasivos, por un lado, a expedir y entregar facturas o documentos equivalentes de sus operaciones y conservar duplicado de los mismos y, por otro, a conservar las facturas recibidas, los justificantes contables y los duplicados de las facturas emitidas durante su correspondiente periodo de regularización y los cinco años siguientes.”

► Estatuto de los Trabajadores: Artículo 18“Sólo podrán realizarse registros sobre la persona del trabajador, en sus taquillas y efectos particulares, cuando sean necesarios para la protección del patrimonio empresarial y del de los demás trabajadores de la empresa, dentro del centro de trabajo y en horas de trabajo. En su realización se respetará al máximo la dignidad e intimidad del trabajador y se contará con la asistencia de un representante legal de los trabajadores o, en su ausencia del centro de trabajo, de otro trabajador de la empresa, siempre que ello fuera posible.”

► Ley 34/2002 de Servicios de la Sociedad de la Información“dota a los contratos celebrados por vía electrónica de los mismos efectos que los contratos celebrados de forma física, siempre y cuando concurran el consentimiento y los demás requisitos necesarios para su validez, sin que sea necesario un acuerdo previo de las partes sobre la utilización de medios electrónicos. Asimismo, esta norma establece que, cuando se exija legalmente que un contrato o cualquier información relacionada con el mismo conste por escrito, este requisito se entenderá satisfecho si el contrato o la información se contiene en soporte electrónico. “


Escenario Actual: Almacenamiento, Retención y Búsqueda de la Información - Los riesgos de hoy en día

•Archivo/Correo editado o borrado antes de realizarse el Backup

•Puede que no se haga backup del Archivo/Correo

•Ficheros PST: Los datos se pueden perder en caso de robo/perdida de maquina

•Tiempo y coste asociados

•Imposibilidad de verificar la integridad de la información

•La información puede no ser recuperable

•Imposibilidad de demostrar la retención o la supervisión de los procesos de mensajes

•Imposibilidad de verificar la integridad de la información

•Perdida de datos: borrado antes de cumplir el periodo de retención

•“No borrar” incluso la información que contiene ordenes no compliant

•Crecimiento desmesurado del almacenamiento

Buzones Gestionados por

los usuarios

Sin Políticas de retención y

Borrado Definidas

Búsqueda y recuperación de backups en cinta

Sin mecanismos de Auditoria y

Reporte


Archiving: Almacenamiento, Retención y Búsqueda de la Información

PrimarioPrimario TerciarioTerciarioSecundarioSecundario

ProtegerRacionalizarRetenerExpirarIndexarCategorizar

1010101010101010101010110101010101010101010101101010101010101010101011010101010101010101010110101010101010101010101101010101010101010101011010101010101010101010110101010101010101010101

ArchiveArchiveStoreStore

Motores deMotores deBBúúsqueda squeda

AplicacionesAplicacionesDe ConformidadDe Conformidad

ExchangeExchange

SMTPSMTP

Lotus NotesLotus Notes

SharePointSharePoint

FicherosFicheros

M. InstantáneaM. Instantánea


Archivado de email y Datos no Estructurados: Retención y Control de la Información Necesario

•Captura del correo en un formato inalterado cuando se envía o recibe

•Se mantiene copia de toda la información, incluso la que el usuario quiera localmente (.PST)

•Proceso automatizado

• Proceso de Localización y Recuperación puntual

•Reducción del tiempo y coste de localización

•Verificación de la integridad de la información

•Proceso “compliant”: sistema único para auditar e informar

•Permite ver una muestra parcial o la totalidad de la información

•Evita el riesgo de perdida de datos antes de que el periodo de retención finalice

•Gestión por póliticasdesde la creación hasta el borrado

•Gestiona el crecimiento del almacenamiento

Control sobre la retención de la Información

La localización no depende del backup en cinta

Mecanismo de Auditoria e Informes

Políticas de retención y

borrado


CONCLUSIÓN: Symantec Facilita la Gestión del Cumplimiento de Normativas►Mediante procesos automáticos de control:

Con monitores en la Infraestructura de TICon informes, históricos y cuadros de mando

►Relacionando los controles técnicos con las normativas y viceversa :

Capacidad de relacionar los controles técnicos con diversas normativasCapacidad de crear políticas propias de TI de la empresa

►Soporte de multitud de plataformas, aplicativos y fuentes externas de información

►Conformidad de Sistemas Servidores así como Puestos de Usuario►Almacenamiento, Retención y Búsqueda de la Información:

Para cumplimiento de normativas y protección de información de negocio


Nuestro Compromiso►Symantec crea un líder en market share en el sector

Symantec - $120M, siguiente Fabricante ~ $40M► Symantec proporciona controles end-to-end compliance.

Único fabricante capaz de ofrecer policy management, servercompliance, data protection y endpoint compliance.

►Creación de una unidad de negocio específica de ComplianceMás de 400 desarrolladores especializados y focalizados en el compliance management

►Creación de “Security Compliance research organization” para garantizar la continuidad de liderazgo en el futuro

Symc + Institute of Internal Auditors + Computer Security InstituteLideran la búsqueda de necesidades de cumplimiento IT por parte de las Empresas

¡GRACIAS!

Documents

Juan Miguel Haddad - Fundación DINTEL · ... resultando en cuadros de mandos (COBIT, COSO, ISO 27001 ... Chequeo de la aceptación del usuario. b. ... Para cumplimiento de normativas