Las 10 acciones más importantes para el compliance en seguridad IT

Muchos de vosotros os preguntaréis qué es eso del “compliance”. Pues bien, se trata de un conjunto de acciones que cualquier organización debe desarrollar para cumplir con las obligaciones legales o contractuales con los requisitos de seguridad derivados de las mismas, todo ello dentro de los procesos corporativos de gestión de los sistemas de información. Es algo más que un conjunto de procedimientos y políticas ideadas para cumplir unas determinadas normas.

Si nos centramos en nuestros clientes debemos atender, en primer lugar, a lo firmado en el contrato con nuestro cliente. Hay muchos servicios con sus herramientas asociadas incluidos en dicho contrato a los que debemos dar cumplimiento, pero en líneas generales existen una serie de puntos que debemos prestar atención en cualquier contrato.

Francisco Javier Miluy Chavez
Francisco Javier Miluy ChavezSecurity and Compliance Leader en Viewnext

A continuación contaremos los 10 puntos más comunes:

1.-Control primario de usuarios, donde:

    • Cualquier definición de usuarios debe llevar consigo una autorización del manager.
    • La concesión de privilegios también debe ser aprobado por un propietario del privilegio.
    • Cualquier usuario no nominal debe tener un responsable asociado. Los usuarios compartidos deben tener trazabilidad y su contraseña debe cambiarse tras cada uso.
    • Las contraseñas no deben ser triviales y nunca deben estar en claro. Igualmente deben caducar como regla general, salvo excepciones y no debe haber contraseñas por defecto.

2.-Control secundario de usuarios: los usuarios deben ser revalidados o recertificados con la periodicidad acordada para garantizar que el control primario se ha realizado de manera correcta.

3.-Los ítems de configuración (sistemas, subsistemas, elementos de red, almacenamiento…) deben estar securizados en base a lo indicado en el contrato, bien mediante acuerdos con el cliente o bien siguiendo el bastionado del mismo. Los cambios en la configuración de los parámetros de seguridad deben ser gestionado mediante el proceso de gestión de cambios. Debe haber un buen sistema de gestión de desviaciones incluyendo las posibles excepciones que pudiera haber.

4.-Dicho bastionado debe chequearse regularmente para garantizar que los parámetros acordados siguen estando vigentes. En caso de desviaciones se han de analizar si la corrección de los mismos tiene riesgo e impacto y tratarlo con el cliente.

5.-Cualquier nuevo ítem de configuración o baja del mismo debe seguir una serie de tareas a realizar para garantizar el proceso del mismo: instalación antivirus, bastionado, parcheado, alta en inventario… en caso de alta o borrado de datos, baja en inventario, backup… en caso de bajas.

6.-Se debe seguir un proceso de escaneo de vulnerabilidades en base a una periodicidad.

7.-Se debe seguir un proceso de parcheado acordado con el cliente en base a una planificación y unas ventanas preacordadas.

8.-Identificación y gestión de riesgos de seguridad con el cliente. Durante la vida del contrato surgen situaciones de riesgo que se han de documentar y crear un plan de acción para mitigarlos. Algunos ejemplos de ellos pueden ser:

  • SW/HW fuera de soporte
  • Ausencia de parcheado
  • Existencia de administración compartida entre dos organizaciones
  • Existencia de servicios activos inseguros como FTP, TELNET
  • Máquinas sin antivirus

9.-Identificación y control de posibles defectos surgidos en los procesos comentados anteriormente. Se ha de crear un plan de acción para regularizar o corregir dichos defectos.

10.-Un punto relativamente nuevo al que hay que prestar atención son las medidas técnicas y organizacionales cuando hay datos de carácter personal por medio. Se han de tener en cuenta una serie de controles adicionales cuando tratamos datos de carácter personal, identificando, en primer lugar, dónde existe este tipo de información. Estos controles pueden referirse por ejemplo a la encriptación de la información, realización de copias de seguridad diaria en soporte cifrado, pruebas de recuperación de desastre, segmentando la red…

Espero que con estas pinceladas os haya quedado claro algunos aspectos que debemos tener siempre presente. Muchas veces obviamos la seguridad para dar prioridad al día a día del servicio, pero os recomiendo que nunca dejéis de lado esta parte tan importante, ya que más tarde o temprano pasaremos por auditorías que nos van a evaluar el estado de la seguridad y es ahí cuando nos daremos cuenta de la importancia del compliance.

2020-12-03T18:52:57+02:003 diciembre, 2020|

¡Compártelo en tus redes sociales!

Ir a Arriba