Automatización de controles
de cumplimiento
ADACSI
25 de septiembre de 2013
Agenda
• Qué entendemos por controles de cumplimiento.
• Identificación de controles fáciles vs difíciles de automatizar.
• Aspectos a tener en cuenta para la automatización.
• Integración de las herramientas seleccionadas.
• Métricas de cumplimiento.
• Prueba de concepto (demo).
• Beneficios y conclusiones.
Controles de Cumplimiento
Controles aplicados por un área (en general
Seguridad Informática) para asegurar que cumplimos
con:
• Normativa aplicable (BCRA, ISO, PCI, SOX)
• Buenas Prácticas
• Requisitos de la Dirección
• Contratos
• SLAs
Se hacen *antes* de que nos caigan las auditorías
internas, las inspecciones, las auditorías externas, las
de sistemas, de nuestros clientes, de certificación, etc.
Controles Automatizables
• Controles sobre ítems configurables (con suerte 100% automatizables).
• Controles sobre los cambios (80%).
• Controles sobre actividades de usuarios y administradores (50%).
• Cuando hay un valor o rango aceptable constante y/o específico contra el cual contrastar.
• Cuando el inventario de ítems configurables está bien controlado.
• Cuando es posible obtener suficientes datos de entrada de buena calidad.
Controles No Automatizables 100%
• “No automatizable” es un concepto práctico.
• Depende de las circunstancias particulares de la organización.
• Mala calidad de la información de entrada.
• Cambios muy dinámicos de la configuración.
• Situaciones que requieren criterio humano (apoyarse en el dueño / usuario)
Automatización vs Criterio Humano
Alarma
Alarma
Situación
normal
Warning
Aspectos a tener en cuenta
• Porcentaje de automatización vs criterio humano.
• Costo en términos de ancho de banda, almacenamiento, cpu, etc.
• Integración de información obtenida de distintas fuentes.
• Soporte técnico y mantenimiento de las herramientas y de su propia configuración (skills).
Aspectos a tener en cuenta
• Disponibilidad de tiempo para asegurar la
operación de la herramienta (evitar el
efecto “arbolito de navidad”).
• Relación costo/beneficio a medida que
aumenta la profundidad o funcionalidad
del control.
• Calidad y audiencia de los reportes (“el
producto”).
Integración de las herramientas
• Scheduler y obtención de los datos.
• Procesamiento y correlación.
• Generación de resultados inmediatos:
alarmas, warnings y/o semáforos.
• Generación de reportes y métricas de
cumplimiento.
Integración de las herramientas
Hay que tener presentes
• Sistemas Operativos.
• Plataformas soportadas.
• Componentes de terceras partes.
• Protocolos de interconexión.
• Lenguajes de scripting y programación.
• Necesidad de agentes en los ítems configurables.
• Licenciamiento.
• Diseño!
Métricas de Cumplimiento
- Nuestro CEO sólo tiene 5 minutos. ¿Es suficiente tiempo para tu presentación powerpoint?
- No. Una explicación incompleta de la situación causará una cantidad masiva de errores estratégicos.
- ¿Y qué nos pueden dar por 4 minutos y medio?
Métricas de Cumplimiento
- Para tomar una decisión informada necesitarías conocer tanto como yo
- Eso es imposible, así que en vez de eso, por un acuerdo mutuo e implícito, voy a decirte algunas mentiras para indicarte la decisión correcta.
- Si no actualizamos nuestros servidores, una manada de trolls va a atacar nuestros headquarters.
- ¡No quiero trolls!
DEMO
• Mejoras al diseño gráfico.
• Ejemplos de controles (cumplimiento unix,
integrity checker windows/unix,
cumplimiento routers, control de
inventario, inactividad de usuarios).
• Ejemplos de métricas automáticas de
cumplimiento.
Beneficios
ALCANCE
• Mejora la frecuencia de los controles.
• Mejora la cobertura.
• Mejora repetitividad.
VISIBILIDAD
• Visibilidad de los desvíos (efecto sobre la conducta de los administradores).
• Visibilidad de la gestión de seguridad.
Beneficios
OPORTUNIDAD
• Disminución de los errores y tiempo de
incumplimiento.
• Permite enfocar el tiempo de las personas
en tareas de mayor aporte (efecto sobre la
conducta de los analistas de seguridad).
• Mantiene a los analistas de seguridad
preparados técnicamente.
Conclusiones
“Lo que no se mide no se puede controlar”
“Alinearnos con el negocio”
“Hoy estamos, mañana no estamos”
¿Preguntas?
?