IT Compliance

1
IT Compliance
Expert Forum - Cumplimiento

• Rubén Aparicio

2
Necesidad de las empresas de Comprobar el
cumplimiento de Normativas
Aspecto Estratégico

• Porqué hacerlo?
• Obligaciones legales (controles y riesgo de
  penalizaciones)
• Muchas empresas están sometidas a varias
  reglamentaciones (sectoriales, financieras)
• Como hacerlo?
• Los equipos de TI deben
• Identificar los controles necesarios propios de
  cada reglamentación
• Algunos son propios de varias reglamentaciones de
  forma simultánea
• Poder efectuar controles de forma automática
• Coste Implantación de controles de
  configuración Best Practices

Aspecto Operativo

• 120 Servidores
• 1 Vez a la semana por servidor
• 30 Minutos por servidor
• 0.5 x 120 x 54 3240 Horas (405 Jornadas / año)

3
Algunos objetivos de IT Compliance

• Si bien existen varias leyes, normativas y
  estándares que varían dependiendo del sector de
  la empresa, las distintas legislaciones sobre la
  información se afanan en cumplir uno o varios de
  los siguientes objetivos
• Integridad de la Información, de Procesos y de
  Sistemas puesta en marcha de procesos de control
  de sistemas y del uso de información para
  asegurar su integridad.
• Acceso Controlado Gestión del acceso o del uso
  de información especifica.
• Retención de la Información Gestión del
  almacenamiento, la recuperación y la indexación
  de la información guardada a lo largo del tiempo

4
Portfolio de Productos Symantec, Compliance

• IT Compliance
• Symantec Bindview Policy Manager
• Symantec Control Compliance Suite
• Symantec Enterprise Manager
• End Point Compliance
• Sygate
• Retención de Información
• Symantec Enterprise Vault
• IM Logic

5
Algunas definiciones

• Conformidad o Compliance
• Capacidad de la empresa de cumplir las normativas
  en vigor en su sector. Esto implica la capacidad
  de demostrar a los auditores la puesta en marcha
  de los controles necesarios para su cumplimiento.
• Regulación
• Ley que define un marco de aplicación, sanciones
  y las autoridades que la regulan o controlan.
• Metodologías o Marcos de Trabajo
• Metodologías definidas por los auditores
  existentes en el mercado (EY, ISACA, ISO,...)
  resultando en cuadros de mandos (COBIT, COSO, ISO
  27001)
• Estándar
• Definiciones concretas de parametrización
  formuladas por los mismos organismos anteriores u
  otros.
• Política
• Marco de uso de los sistemas de T.I. aprobado por
  la dirección de la empresa y definido por
  estándares y procedimientos.
• Evidencia de un Control IT
• Resultado de un control. Utilizado como prueba
  durante una auditoria.

6
La aproximación de Symantec
7
Symantec Bindview Policy Manager
8
1. Definición de la Política
Definir

• Definición y Difusión de políticas IT y no IT
• Documentar y llevar un control de versión las
  políticas
• Cumplir las obligaciones legales que requieren la
  difusión y aceptación de las políticas por parte
  de los usuarios.
• Controlar vía WEB la conformidad de los usuarios.
• Controlar las excepciones y sus clarificaciones.

9
Policy Web Interface
10
Policy Reports
11
2. Relacionar Políticas
Definir
Regulaciones

• Relacione las políticas internas con los
  controles IT (SOX, LOPD, Cobit, ISO17799, NIST)
• ej. Para cumplir SOX 404 compliance, usando COBIT
  como referencia , el antivirus tiene que estar
  instalado

4
Marco de Trabajo
3
CobiT
ISO
Actividades de Control
2
Malware Policy
Política Creada
Mapa de Cumplimiento
1
12
(No Transcript)
13
Policy Mapping Enhanced
14
3. Probar el Cumplimiento
Controlar

• Policy Awareness
• Chequea e informa de la aceptación por parte del
  usuario de las políticas vigentes.
• Cobertura de las políticas
• Informa de la falta de cobertura de las
  diferentes regulaciones y de los Entornos
• Policy Compliance
• Informa del cumplimiento de los estándares
  técnicos a través de la incorporación de
  información de terceros productos

15
Measure Evidence
16
Asegurar que los sistemas cumplen con la Política
de Seguridad
17
Symantec Bindview Policy Manager

• Symantec reduce el coste del cumplimiento de
  normativas automatizando el chequeo de políticas
  contra las mejores practicas de la industria.
• Symantec asegura la cobertura de políticas en
  todos los aspectos reguladores de las siguientes
  tres formas
• Definición de la Política Definir y distribuir
  política. Chequeo de la aceptación del usuario.
• Relacionar Políticas Utiliza una serie controles
  para relacionar políticas a través de múltiples
  regulaciones.
• Auditar Cumplimiento Proporciona evidencias del
  cumplimiento de políticas a través de la
  colección de información de otras fuentes.

18
Control Compliance Suite Enterprise Security
Manager
19
Control Compliance Suite Enterprise Security
Manager
Controlar

• CCS ESM comprueban el cumplimiento de Políticas
  en los Sistemas
• Cumplimiento de Políticas de Seguridad
• Análisis de permisos Quien puede ejecutar una
  aplicación?, Cuando se han cambiado dichos
  permisos?
• Análisis de vulnerabilidades Está mi entorno
  protegido frente a ataques?
• Cumplimiento de Políticas IT
• Análisis de Configuración Cómo están
  configurados los sistemas?, Qué parches están
  instalados?, Cómo están definidos mis grupos de
  usuarios?...
• Análisis de Datos (información) Qué tipo de
  datos están almacenados?, Qué sistemas los
  almacenan?...

20
Control Compliance Suite Enterprise Security
Manager
Controlar
21
Control Compliance Suite Enterprise Security
Manager
Controlar

• Las soluciones de Symantec
• Recogen evidencias de diferentes sistemas
• Monitorizan la cobertura de las diferentes
  políticas de la empresa
• Detectan las desviaciones técnicas de los
  estándares y proporcionan soluciones

22
La Visión Completa de Symantec
23
GRACIAS!