SlideShare una empresa de Scribd logo

Automatización de controles de cumplimiento y métricas

Javier Antunez / CISSP / LA27001 / IA9001
Javier Antunez / CISSP / LA27001 / IA9001

Presentación brindada en septiembre del 2013 en ADACSI. Sirve como disparador para pensar en que controles que se realizan en la organización pueden automaizarse y cuales no, la importancia de generar la información correcta y colocar a la persona en el punto donde agrega valor. Ademas de tomar en cuenta aspectos que normalmente no se analizan frente a proyectos de este tipo.

Tecnología
1 de 18
Descargar para leer sin conexión
Automatización de controles de cumplimiento ADACSI 25 de septiembre de 2013
Agenda •Qué entendemos por controles de cumplimiento. •Identificación de controles fáciles vs difíciles de automatizar. •Aspectos a tener en cuenta para la automatización. •Integración de las herramientas seleccionadas. •Métricas de cumplimiento. •Prueba de concepto (demo). •Beneficios y conclusiones.
Controles de Cumplimiento Controles aplicados por un área (en general Seguridad Informática) para asegurar que cumplimos con: •Normativa aplicable (BCRA, ISO, PCI, SOX) •Buenas Prácticas •Requisitos de la Dirección •Contratos •SLAs Se hacen *antes* de que nos caigan las auditorías internas, las inspecciones, las auditorías externas, las de sistemas, de nuestros clientes, de certificación, etc.
Controles Automatizables •Controles sobre ítems configurables (con suerte 100% automatizables). •Controles sobre los cambios (80%). •Controles sobre actividades de usuarios y administradores (50%). •Cuando hay un valor o rango aceptable constante y/o específico contra el cual contrastar. •Cuando el inventario de ítems configurables está bien controlado. •Cuando es posible obtener suficientes datos de entrada de buena calidad.
Controles No Automatizables 100% •“No automatizable” es un concepto práctico. •Depende de las circunstancias particulares de la organización. •Mala calidad de la información de entrada. •Cambios muy dinámicos de la configuración. •Situaciones que requieren criterio humano (apoyarse en el dueño / usuario)
Automatización vs Criterio Humano Alarma Alarma Situación normal Warning
Aspectos a tener en cuenta •Porcentaje de automatización vs criterio humano. •Costo en términos de ancho de banda, almacenamiento, cpu, etc. •Integración de información obtenida de distintas fuentes. •Soporte técnico y mantenimiento de las herramientas y de su propia configuración (skills).
Aspectos a tener en cuenta •Disponibilidad de tiempo para asegurar la operación de la herramienta (evitar el efecto “arbolito de navidad”). •Relación costo/beneficio a medida que aumenta la profundidad o funcionalidad del control. •Calidad y audiencia de los reportes (“el producto”).
Integración de las herramientas •Scheduler y obtención de los datos. •Procesamiento y correlación. •Generación de resultados inmediatos: alarmas, warnings y/o semáforos. •Generación de reportes y métricas de cumplimiento.
Integración de las herramientas Hay que tener presentes •Sistemas Operativos. •Plataformas soportadas. •Componentes de terceras partes. •Protocolos de interconexión. •Lenguajes de scripting y programación. •Necesidad de agentes en los ítems configurables. •Licenciamiento. •Diseño!
Métricas de Cumplimiento -Nuestro CEO sólo tiene 5 minutos. ¿Es suficiente tiempo para tu presentación powerpoint? -No. Una explicación incompleta de la situación causará una cantidad masiva de errores estratégicos. -¿Y qué nos pueden dar por 4 minutos y medio?
Métricas de Cumplimiento -Para tomar una decisión informada necesitarías conocer tanto como yo -Eso es imposible, así que en vez de eso, por un acuerdo mutuo e implícito, voy a decirte algunas mentiras para indicarte la decisión correcta. -Si no actualizamos nuestros servidores, una manada de trolls va a atacar nuestros headquarters. -¡No quiero trolls!
DEMO •Mejoras al diseño gráfico. •Ejemplos de controles (cumplimiento unix, integrity checker windows/unix, cumplimiento routers, control de inventario, inactividad de usuarios). •Ejemplos de métricas automáticas de cumplimiento.
Beneficios ALCANCE •Mejora la frecuencia de los controles. •Mejora la cobertura. •Mejora repetitividad. VISIBILIDAD •Visibilidad de los desvíos (efecto sobre la conducta de los administradores). •Visibilidad de la gestión de seguridad.
Beneficios OPORTUNIDAD •Disminución de los errores y tiempo de incumplimiento. •Permite enfocar el tiempo de las personas en tareas de mayor aporte (efecto sobre la conducta de los analistas de seguridad). •Mantiene a los analistas de seguridad preparados técnicamente.
Conclusiones “Lo que no se mide no se puede controlar” “Alinearnos con el negocio” “Hoy estamos, mañana no estamos”
¿Preguntas? ?
Contacto www.portoyasociados.com.ar contacto@portoyasociados.com.ar

Recomendados

Meditas de mantenimiento en los computadores
Meditas de mantenimiento en los computadoresMeditas de mantenimiento en los computadores
Meditas de mantenimiento en los computadoresconstante-wilmer
 
Movilización de Servicios en Campo
Movilización de Servicios en CampoMovilización de Servicios en Campo
Movilización de Servicios en CampoATE MOBILE
 
Control interno informatico (1)
Control interno informatico (1)Control interno informatico (1)
Control interno informatico (1)alvarezjeffer
 
Tarea de auditoria
Tarea de auditoriaTarea de auditoria
Tarea de auditoriaJaqueline Dominguez
 
1. sistemas de información
1. sistemas de información1. sistemas de información
1. sistemas de informaciónKharen Yackeline Andrade
 
Presentacion auditoria informatica
Presentacion auditoria informaticaPresentacion auditoria informatica
Presentacion auditoria informaticajairogordon
 
S6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesS6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesLuis Fernando Aguas Bucheli
 
Informatica alcance y objetivos de
Informatica alcance y objetivos deInformatica alcance y objetivos de
Informatica alcance y objetivos deISTELAM
 

Recomendados

Meditas de mantenimiento en los computadores
Meditas de mantenimiento en los computadoresMeditas de mantenimiento en los computadores
Meditas de mantenimiento en los computadoresconstante-wilmer
 
Movilización de Servicios en Campo
Movilización de Servicios en CampoMovilización de Servicios en Campo
Movilización de Servicios en CampoATE MOBILE
 
Control interno informatico (1)
Control interno informatico (1)Control interno informatico (1)
Control interno informatico (1)alvarezjeffer
 
Tarea de auditoria
Tarea de auditoriaTarea de auditoria
Tarea de auditoriaJaqueline Dominguez
 
1. sistemas de información
1. sistemas de información1. sistemas de información
1. sistemas de informaciónKharen Yackeline Andrade
 
Presentacion auditoria informatica
Presentacion auditoria informaticaPresentacion auditoria informatica
Presentacion auditoria informaticajairogordon
 
S6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesS6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesLuis Fernando Aguas Bucheli
 
Informatica alcance y objetivos de
Informatica alcance y objetivos deInformatica alcance y objetivos de
Informatica alcance y objetivos deISTELAM
 
Auditoria explotacion
Auditoria explotacionAuditoria explotacion
Auditoria explotacionmariadiazsandoval
 
COBIT E ITIL SISTEMAS DE INFORMACIÓN
COBIT E ITIL SISTEMAS DE INFORMACIÓNCOBIT E ITIL SISTEMAS DE INFORMACIÓN
COBIT E ITIL SISTEMAS DE INFORMACIÓNdian1103
 
Control interno (ci)
Control interno (ci)Control interno (ci)
Control interno (ci)Jose Alvarado Robles
 
Unidad iii tema 10 monitorización (2) - cad
Unidad iii tema 10 monitorización (2) - cadUnidad iii tema 10 monitorización (2) - cad
Unidad iii tema 10 monitorización (2) - cadUDO Monagas
 
TECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICO
TECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICOTECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICO
TECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICORosa Barba
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
PLC - PLATAFORMA PARA IMPLANTAR SISTEMAS DE SUPERVISIÓN Y CONTROL (EAI)
PLC - PLATAFORMA PARA IMPLANTAR SISTEMAS DE SUPERVISIÓN Y CONTROL (EAI)PLC - PLATAFORMA PARA IMPLANTAR SISTEMAS DE SUPERVISIÓN Y CONTROL (EAI)
PLC - PLATAFORMA PARA IMPLANTAR SISTEMAS DE SUPERVISIÓN Y CONTROL (EAI)UDO Monagas
 
Software para auditoría informática
Software para auditoría informáticaSoftware para auditoría informática
Software para auditoría informáticameme694
 
Identificacion del entorno de un centro de computo
Identificacion del entorno de un centro de computoIdentificacion del entorno de un centro de computo
Identificacion del entorno de un centro de computoCorp. Weapon's
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datosMohamed Noo Noo
 
CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles...
CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles...CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles...
CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles...Javier Antunez / CISSP / LA27001 / IA9001
 
Trabajo fases de un sistema
Trabajo fases de un sistemaTrabajo fases de un sistema
Trabajo fases de un sistemagrupoinformaticauts
 
Memorias webCast Aranda DASHBOARD
Memorias webCast Aranda DASHBOARDMemorias webCast Aranda DASHBOARD
Memorias webCast Aranda DASHBOARDAranda Software
 
Charla de auditoria de sistema
Charla de auditoria de sistemaCharla de auditoria de sistema
Charla de auditoria de sistemaDayalia Portugal
 
Funcionalidades SAE Mosaq (3.0)
Funcionalidades SAE Mosaq (3.0)Funcionalidades SAE Mosaq (3.0)
Funcionalidades SAE Mosaq (3.0)Rafael Arriagada
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaJaider Quintero
 
Trabajo de controles eléctricos y automatizacion
Trabajo de controles eléctricos y automatizacionTrabajo de controles eléctricos y automatizacion
Trabajo de controles eléctricos y automatizacionAlonso Huamani
 
AutomatizacióN
AutomatizacióNAutomatizacióN
AutomatizacióNRafa Fdez.
 
Automatizacion industrial
Automatizacion industrialAutomatizacion industrial
Automatizacion industrialJessica Zelaya Minaya
 
Conceptos basicos de automatizacion
Conceptos basicos de automatizacionConceptos basicos de automatizacion
Conceptos basicos de automatizacionluislavi
 
Diapositivas -automatizacion
Diapositivas -automatizacionDiapositivas -automatizacion
Diapositivas -automatizacionhernandezpalaciofigueroa
 
Automatización y control
Automatización y controlAutomatización y control
Automatización y controlRafael Lizcano
 

Más contenido relacionado

La actualidad más candente

COBIT E ITIL SISTEMAS DE INFORMACIÓN
COBIT E ITIL SISTEMAS DE INFORMACIÓNCOBIT E ITIL SISTEMAS DE INFORMACIÓN
COBIT E ITIL SISTEMAS DE INFORMACIÓNdian1103
 
Unidad iii tema 10 monitorización (2) - cad
Unidad iii tema 10 monitorización (2) - cadUnidad iii tema 10 monitorización (2) - cad
Unidad iii tema 10 monitorización (2) - cadUDO Monagas
 
TECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICO
TECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICOTECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICO
TECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICORosa Barba
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
PLC - PLATAFORMA PARA IMPLANTAR SISTEMAS DE SUPERVISIÓN Y CONTROL (EAI)
PLC - PLATAFORMA PARA IMPLANTAR SISTEMAS DE SUPERVISIÓN Y CONTROL (EAI)PLC - PLATAFORMA PARA IMPLANTAR SISTEMAS DE SUPERVISIÓN Y CONTROL (EAI)
PLC - PLATAFORMA PARA IMPLANTAR SISTEMAS DE SUPERVISIÓN Y CONTROL (EAI)UDO Monagas
 
Software para auditoría informática
Software para auditoría informáticaSoftware para auditoría informática
Software para auditoría informáticameme694
 
Identificacion del entorno de un centro de computo
Identificacion del entorno de un centro de computoIdentificacion del entorno de un centro de computo
Identificacion del entorno de un centro de computoCorp. Weapon's
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datosMohamed Noo Noo
 
CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles...
CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles...CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles...
CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles...Javier Antunez / CISSP / LA27001 / IA9001
 
Memorias webCast Aranda DASHBOARD
Memorias webCast Aranda DASHBOARDMemorias webCast Aranda DASHBOARD
Memorias webCast Aranda DASHBOARDAranda Software
 
Charla de auditoria de sistema
Charla de auditoria de sistemaCharla de auditoria de sistema
Charla de auditoria de sistemaDayalia Portugal
 
Funcionalidades SAE Mosaq (3.0)
Funcionalidades SAE Mosaq (3.0)Funcionalidades SAE Mosaq (3.0)
Funcionalidades SAE Mosaq (3.0)Rafael Arriagada
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaJaider Quintero
 

La actualidad más candente (16)

Auditoria explotacion
Auditoria explotacionAuditoria explotacion
Auditoria explotacion
 
COBIT E ITIL SISTEMAS DE INFORMACIÓN
COBIT E ITIL SISTEMAS DE INFORMACIÓNCOBIT E ITIL SISTEMAS DE INFORMACIÓN
COBIT E ITIL SISTEMAS DE INFORMACIÓN
 
Control interno (ci)
Control interno (ci)Control interno (ci)
Control interno (ci)
 
Unidad iii tema 10 monitorización (2) - cad
Unidad iii tema 10 monitorización (2) - cadUnidad iii tema 10 monitorización (2) - cad
Unidad iii tema 10 monitorización (2) - cad
 
TECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICO
TECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICOTECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICO
TECNICAS DE LA AUDITORIA DEL SISTEMA INFORMATICO
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
PLC - PLATAFORMA PARA IMPLANTAR SISTEMAS DE SUPERVISIÓN Y CONTROL (EAI)
PLC - PLATAFORMA PARA IMPLANTAR SISTEMAS DE SUPERVISIÓN Y CONTROL (EAI)PLC - PLATAFORMA PARA IMPLANTAR SISTEMAS DE SUPERVISIÓN Y CONTROL (EAI)
PLC - PLATAFORMA PARA IMPLANTAR SISTEMAS DE SUPERVISIÓN Y CONTROL (EAI)
 
Software para auditoría informática
Software para auditoría informáticaSoftware para auditoría informática
Software para auditoría informática
 
Identificacion del entorno de un centro de computo
Identificacion del entorno de un centro de computoIdentificacion del entorno de un centro de computo
Identificacion del entorno de un centro de computo
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datos
 
CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles...
CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles...CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles...
CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles...
 
Trabajo fases de un sistema
Trabajo fases de un sistemaTrabajo fases de un sistema
Trabajo fases de un sistema
 
Memorias webCast Aranda DASHBOARD
Memorias webCast Aranda DASHBOARDMemorias webCast Aranda DASHBOARD
Memorias webCast Aranda DASHBOARD
 
Charla de auditoria de sistema
Charla de auditoria de sistemaCharla de auditoria de sistema
Charla de auditoria de sistema
 
Funcionalidades SAE Mosaq (3.0)
Funcionalidades SAE Mosaq (3.0)Funcionalidades SAE Mosaq (3.0)
Funcionalidades SAE Mosaq (3.0)
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informática
 

Destacado

Trabajo de controles eléctricos y automatizacion
Trabajo de controles eléctricos y automatizacionTrabajo de controles eléctricos y automatizacion
Trabajo de controles eléctricos y automatizacionAlonso Huamani
 
AutomatizacióN
AutomatizacióNAutomatizacióN
AutomatizacióNRafa Fdez.
 
Conceptos basicos de automatizacion
Conceptos basicos de automatizacionConceptos basicos de automatizacion
Conceptos basicos de automatizacionluislavi
 
Automatización y control
Automatización y controlAutomatización y control
Automatización y controlRafael Lizcano
 

Destacado (6)

Trabajo de controles eléctricos y automatizacion
Trabajo de controles eléctricos y automatizacionTrabajo de controles eléctricos y automatizacion
Trabajo de controles eléctricos y automatizacion
 
AutomatizacióN
AutomatizacióNAutomatizacióN
AutomatizacióN
 
Automatizacion industrial
Automatizacion industrialAutomatizacion industrial
Automatizacion industrial
 
Conceptos basicos de automatizacion
Conceptos basicos de automatizacionConceptos basicos de automatizacion
Conceptos basicos de automatizacion
 
Diapositivas -automatizacion
Diapositivas -automatizacionDiapositivas -automatizacion
Diapositivas -automatizacion
 
Automatización y control
Automatización y controlAutomatización y control
Automatización y control
 

Similar a Automatización de controles de cumplimiento y métricas

Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasgalactico_87
 
Controles
ControlesControles
Controlesfbogota
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1Andres1dz
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacionjhonsu1989
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosadolfo1608
 
Impacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaImpacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaLion Mendz
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoManuel Medina
 
Areas de la auditoria informatica primera parte
Areas de la auditoria informatica primera parteAreas de la auditoria informatica primera parte
Areas de la auditoria informatica primera parteWASHOISRAEL
 
Auditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoAuditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoEfrain Reyes
 
Auditoria en un Centro de Computo
Auditoria en un Centro de ComputoAuditoria en un Centro de Computo
Auditoria en un Centro de Computo1416nb
 
02 administracion de-centro-de-computo
02 administracion de-centro-de-computo02 administracion de-centro-de-computo
02 administracion de-centro-de-computoJHONPOOL21
 
administracion de-centro-de-computo
administracion de-centro-de-computoadministracion de-centro-de-computo
administracion de-centro-de-computoIris Anali
 
Auditoria+de+la+seguridad
Auditoria+de+la+seguridadAuditoria+de+la+seguridad
Auditoria+de+la+seguridadPaook
 

Similar a Automatización de controles de cumplimiento y métricas (20)

AUDITORIAS.pptx
AUDITORIAS.pptxAUDITORIAS.pptx
AUDITORIAS.pptx
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Controles
ControlesControles
Controles
 
Evaluación de procesos
Evaluación de procesosEvaluación de procesos
Evaluación de procesos
 
15-Auditoria
15-Auditoria15-Auditoria
15-Auditoria
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1
 
Anchali2
Anchali2Anchali2
Anchali2
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacion
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datos
 
Impacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaImpacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoría
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practico
 
Areas de la auditoria informatica primera parte
Areas de la auditoria informatica primera parteAreas de la auditoria informatica primera parte
Areas de la auditoria informatica primera parte
 
Auditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoAuditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimiento
 
Auditoria en un Centro de Computo
Auditoria en un Centro de ComputoAuditoria en un Centro de Computo
Auditoria en un Centro de Computo
 
02 administracion de-centro-de-computo
02 administracion de-centro-de-computo02 administracion de-centro-de-computo
02 administracion de-centro-de-computo
 
administracion de-centro-de-computo
administracion de-centro-de-computoadministracion de-centro-de-computo
administracion de-centro-de-computo
 
Unidad3 tema2 v2
Unidad3 tema2 v2Unidad3 tema2 v2
Unidad3 tema2 v2
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Auditoria+de+la+seguridad
Auditoria+de+la+seguridadAuditoria+de+la+seguridad
Auditoria+de+la+seguridad
 

Último

SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 

Último (20)

SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 

Automatización de controles de cumplimiento y métricas

  • 1. Automatización de controles de cumplimiento ADACSI 25 de septiembre de 2013
  • 2. Agenda •Qué entendemos por controles de cumplimiento. •Identificación de controles fáciles vs difíciles de automatizar. •Aspectos a tener en cuenta para la automatización. •Integración de las herramientas seleccionadas. •Métricas de cumplimiento. •Prueba de concepto (demo). •Beneficios y conclusiones.
  • 3. Controles de Cumplimiento Controles aplicados por un área (en general Seguridad Informática) para asegurar que cumplimos con: •Normativa aplicable (BCRA, ISO, PCI, SOX) •Buenas Prácticas •Requisitos de la Dirección •Contratos •SLAs Se hacen *antes* de que nos caigan las auditorías internas, las inspecciones, las auditorías externas, las de sistemas, de nuestros clientes, de certificación, etc.
  • 4. Controles Automatizables •Controles sobre ítems configurables (con suerte 100% automatizables). •Controles sobre los cambios (80%). •Controles sobre actividades de usuarios y administradores (50%). •Cuando hay un valor o rango aceptable constante y/o específico contra el cual contrastar. •Cuando el inventario de ítems configurables está bien controlado. •Cuando es posible obtener suficientes datos de entrada de buena calidad.
  • 5. Controles No Automatizables 100% •“No automatizable” es un concepto práctico. •Depende de las circunstancias particulares de la organización. •Mala calidad de la información de entrada. •Cambios muy dinámicos de la configuración. •Situaciones que requieren criterio humano (apoyarse en el dueño / usuario)
  • 6. Automatización vs Criterio Humano Alarma Alarma Situación normal Warning
  • 7. Aspectos a tener en cuenta •Porcentaje de automatización vs criterio humano. •Costo en términos de ancho de banda, almacenamiento, cpu, etc. •Integración de información obtenida de distintas fuentes. •Soporte técnico y mantenimiento de las herramientas y de su propia configuración (skills).
  • 8. Aspectos a tener en cuenta •Disponibilidad de tiempo para asegurar la operación de la herramienta (evitar el efecto “arbolito de navidad”). •Relación costo/beneficio a medida que aumenta la profundidad o funcionalidad del control. •Calidad y audiencia de los reportes (“el producto”).
  • 9. Integración de las herramientas •Scheduler y obtención de los datos. •Procesamiento y correlación. •Generación de resultados inmediatos: alarmas, warnings y/o semáforos. •Generación de reportes y métricas de cumplimiento.
  • 10. Integración de las herramientas Hay que tener presentes •Sistemas Operativos. •Plataformas soportadas. •Componentes de terceras partes. •Protocolos de interconexión. •Lenguajes de scripting y programación. •Necesidad de agentes en los ítems configurables. •Licenciamiento. •Diseño!
  • 11. Métricas de Cumplimiento -Nuestro CEO sólo tiene 5 minutos. ¿Es suficiente tiempo para tu presentación powerpoint? -No. Una explicación incompleta de la situación causará una cantidad masiva de errores estratégicos. -¿Y qué nos pueden dar por 4 minutos y medio?
  • 12. Métricas de Cumplimiento -Para tomar una decisión informada necesitarías conocer tanto como yo -Eso es imposible, así que en vez de eso, por un acuerdo mutuo e implícito, voy a decirte algunas mentiras para indicarte la decisión correcta. -Si no actualizamos nuestros servidores, una manada de trolls va a atacar nuestros headquarters. -¡No quiero trolls!
  • 13. DEMO •Mejoras al diseño gráfico. •Ejemplos de controles (cumplimiento unix, integrity checker windows/unix, cumplimiento routers, control de inventario, inactividad de usuarios). •Ejemplos de métricas automáticas de cumplimiento.
  • 14. Beneficios ALCANCE •Mejora la frecuencia de los controles. •Mejora la cobertura. •Mejora repetitividad. VISIBILIDAD •Visibilidad de los desvíos (efecto sobre la conducta de los administradores). •Visibilidad de la gestión de seguridad.
  • 15. Beneficios OPORTUNIDAD •Disminución de los errores y tiempo de incumplimiento. •Permite enfocar el tiempo de las personas en tareas de mayor aporte (efecto sobre la conducta de los analistas de seguridad). •Mantiene a los analistas de seguridad preparados técnicamente.
  • 16. Conclusiones “Lo que no se mide no se puede controlar” “Alinearnos con el negocio” “Hoy estamos, mañana no estamos”