Presentación brindada en septiembre del 2013 en ADACSI.
Sirve como disparador para pensar en que controles que se realizan en la organización pueden automaizarse y cuales no, la importancia de generar la información correcta y colocar a la persona en el punto donde agrega valor.
Ademas de tomar en cuenta aspectos que normalmente no se analizan frente a proyectos de este tipo.
2. Agenda
•Qué entendemos por controles de cumplimiento.
•Identificación de controles fáciles vs difíciles de automatizar.
•Aspectos a tener en cuenta para la automatización.
•Integración de las herramientas seleccionadas.
•Métricas de cumplimiento.
•Prueba de concepto (demo).
•Beneficios y conclusiones.
3. Controles de Cumplimiento
Controles aplicados por un área (en general Seguridad Informática) para asegurar que cumplimos con:
•Normativa aplicable (BCRA, ISO, PCI, SOX)
•Buenas Prácticas
•Requisitos de la Dirección
•Contratos
•SLAs
Se hacen *antes* de que nos caigan las auditorías internas, las inspecciones, las auditorías externas, las de sistemas, de nuestros clientes, de certificación, etc.
4. Controles Automatizables
•Controles sobre ítems configurables (con suerte 100% automatizables).
•Controles sobre los cambios (80%).
•Controles sobre actividades de usuarios y administradores (50%).
•Cuando hay un valor o rango aceptable constante y/o específico contra el cual contrastar.
•Cuando el inventario de ítems configurables está bien controlado.
•Cuando es posible obtener suficientes datos de entrada de buena calidad.
5. Controles No Automatizables 100%
•“No automatizable” es un concepto práctico.
•Depende de las circunstancias particulares de la organización.
•Mala calidad de la información de entrada.
•Cambios muy dinámicos de la configuración.
•Situaciones que requieren criterio humano (apoyarse en el dueño / usuario)
7. Aspectos a tener en cuenta
•Porcentaje de automatización vs criterio humano.
•Costo en términos de ancho de banda, almacenamiento, cpu, etc.
•Integración de información obtenida de distintas fuentes.
•Soporte técnico y mantenimiento de las herramientas y de su propia configuración (skills).
8. Aspectos a tener en cuenta
•Disponibilidad de tiempo para asegurar la operación de la herramienta (evitar el efecto “arbolito de navidad”).
•Relación costo/beneficio a medida que aumenta la profundidad o funcionalidad del control.
•Calidad y audiencia de los reportes (“el producto”).
9. Integración de las herramientas
•Scheduler y obtención de los datos.
•Procesamiento y correlación.
•Generación de resultados inmediatos: alarmas, warnings y/o semáforos.
•Generación de reportes y métricas de cumplimiento.
10. Integración de las herramientas
Hay que tener presentes
•Sistemas Operativos.
•Plataformas soportadas.
•Componentes de terceras partes.
•Protocolos de interconexión.
•Lenguajes de scripting y programación.
•Necesidad de agentes en los ítems configurables.
•Licenciamiento.
•Diseño!
11. Métricas de Cumplimiento
-Nuestro CEO sólo tiene 5 minutos. ¿Es suficiente tiempo para tu presentación powerpoint?
-No. Una explicación incompleta de la situación causará una cantidad masiva de errores estratégicos.
-¿Y qué nos pueden dar por 4 minutos y medio?
12. Métricas de Cumplimiento
-Para tomar una decisión informada necesitarías conocer tanto como yo
-Eso es imposible, así que en vez de eso, por un acuerdo mutuo e implícito, voy a decirte algunas mentiras para indicarte la decisión correcta.
-Si no actualizamos nuestros servidores, una manada de trolls va a atacar nuestros headquarters.
-¡No quiero trolls!
13. DEMO
•Mejoras al diseño gráfico.
•Ejemplos de controles (cumplimiento unix, integrity checker windows/unix, cumplimiento routers, control de inventario, inactividad de usuarios).
•Ejemplos de métricas automáticas de cumplimiento.
14. Beneficios
ALCANCE
•Mejora la frecuencia de los controles.
•Mejora la cobertura.
•Mejora repetitividad.
VISIBILIDAD
•Visibilidad de los desvíos (efecto sobre la conducta de los administradores).
•Visibilidad de la gestión de seguridad.
15. Beneficios
OPORTUNIDAD
•Disminución de los errores y tiempo de incumplimiento.
•Permite enfocar el tiempo de las personas en tareas de mayor aporte (efecto sobre la conducta de los analistas de seguridad).
•Mantiene a los analistas de seguridad preparados técnicamente.
16. Conclusiones
“Lo que no se mide no se puede controlar”
“Alinearnos con el negocio”
“Hoy estamos, mañana no estamos”