| Otras Ediciones: |
- HISTORIAS DE EXITO
- CLARO Honduras. Integración estratégica
- 5 DO-VEN Automatización Sistemas de Información
- OPINION
- Incrementando la contribución de TI al éxito de la empresa BPM vs. SOA o BPM + SOA
- Destino del CIO
- TENDENCIAS
- Lean Six Sigma.
- Digitalización de documentos
- ENTREVISTA
- Bases de datos
- HARDWARE - SOFTWARE - SERVICIOS
- Servicios e-learning. Factor clave para incrementar su productividad
- TRIPP LITE
- IBM Systems - Administre su negocio… no su infraestructura
- IBM Tivoli Compliance Insight Manager - Durmiendo con el enemigo
- GBM. Banca regional, su actualidad y su futuro
- IBM Systems. Virtualización
- PORTADA
IBM Tivoli Compliance Insight Manager
Daniel Kawer
dkawer@gbm.net
Especialista de Software
Más que nunca, los negocios luchan para poder proteger su información y cumplir con los requerimientos de muchas regulaciones, tanto internas como externas. En un ambiente de riesgo infinito y recursos limitados, las tendencias recientes han llevado a la implementación de un enfoque basado en administración del riesgo que pragmáticamente pesa el costo de los controles de seguridad contra el potencial costo del daño contra un activo crítico de información. Aunque este simple enfoque ayuda a elevar las defensas contra riesgos externos, deja a las organizaciones muy desprotegidas contra un riesgo mucho mayor, el riesgo de sus propios usuarios. Las organizaciones necesitan un nuevo paradigma y una nueva solución para poder, adecuadamente, tratar con el problema de los usuarios internos.
El término de usuario interno incluye ahora mucho más que simplemente los usuarios que están dentro. En el contexto de seguridad de la información, un “insider” es aquel que está usando la red interna o externa legítimamente. Esto incluye usuarios que están con privilegios más por encima de su respectivo rol, usuarios que están usando credenciales de otras personas, etc. Muchas veces, el término de “insider” se confunde con un usuario de la red interna o externa. Esto no es correcto, una vez que alguien “malo” adquiere privilegios, este debe ser considerado un “insider”.
Según varios estudios realizados en los últimos años, más del 85% de los incidentes son causados por usuarios privilegiados. Muchos de estos son violaciones de los procesos de control de cambios y de las políticas de uso de los sistemas de la organización. También esta el caso de los incidentes causados a propósito ya sea por venganza, espionaje o dinero. En general, se estima que este tipo de incidentes le cuestan a las organizaciones en Estados Unidos más de $400 billones de dólares anualmente.
Al revisar estos números y estadísticas es importante preguntarse porque las organizaciones siguen invirtiendo mucho más en prevenir ataque externos que en los daños que pueda causar un usuario privilegiado.
¿Porqué preocuparse por los usuarios privilegiados?
Sencillamente, la respuesta es porque estos son los que representan una mayor amenaza a los activos de información. Estos son los que pueden causar un mayor daño.
Algunos tipos de ataque pueden ser inocentes:
- Abrir páginas web peligrosas que puedan causar estragos en la red.
- Probar algún tipo de programa de seguridad.
Y algunos otros son causados a propósito
- Un DBA que consulta la base de datos y saca una copia de la lista de clientes de la empresa para venderla a la competencia.
- Un Administrador que crea una cuenta sin autorización para realizar alguna tarea sospechosa.
Es importante contar con una solución que permita mitigar este riesgo y tener control de las acciones de los usuarios privilegiados. Una herramienta que el auditor de la organización pueda utilizar para revisar las acciones de los usuarios, los DBAs y poder generar reportes de cumplimiento con las regulaciones internas y externas.
Para poder resolver esta situación es importante definir lo siguiente:
Política de Uso aceptable
- Estado definido en términos de negocio sobre quien puede hacer algún tipo de acciones.
Sistemas de Autenticación y Control de accesos
- Asegurar que se conocen la identidad de los usuarios.
- Sus derechos y el alcance de sus privilegios.
- Controlar así lo que pueden hacer.
- Proceso de Control de Cambios.
Control de cambios a los sistemas de autenticación
- Control de cambios a los sistemas de control de acceso.
Esta es la base para implementar una solución de auditoria y monitoreo de usuarios privilegiados. Es importante entender que la solución no es implementar una gran cantidad de controles adicionales, ya que esto, lo que causa es una interrupción al negocio como tal.
Tivoli Compliance Insight Manager o TCIM
Es una solución automatizada que provee una infraestructura completa de administración de bitácoras, verificación de cumplimiento de regulaciones y extensivos reportes tanto para personal de TI como los auditores. (Fig#1)
Desde una perspectiva técnica, cada dispositivo, sistema operativo, base de datos y aplicación mantiene una bitácora de actividades. Cada una de estas es diferente, tiene un formato y un contenido específico y se requiere de conocimiento y experiencia para entenderlas. Se presenta adicionalmente otro problema que es el volumen de datos. En conjunto, esto hace que el trabajo de examinar estas bitácoras se vuelva complicado y propenso a errores y ni hablar de lo complejo de preparar reportes de datos y correlación entre varias de estas bitácoras.
Un sistema de administración de bitácoras debe ser automatizado en los procesos de recolección y almacenamiento de las bitácoras, lo cual reduce los costos y permite tener control sobre el proceso que luego es regulado por los auditores.
Más allá de poder recolectar y almacenar las bitácoras, la solución de Tivoli Compliance Insight Manager tiene la capacidad de analizar, correlaciones y entender todo el conjunto de bitácoras para convertirlo en información valiosa que puede ser utilizada para propósitos de auditoria y cumplimiento con regulaciones.
Todas las entradas son traducidas a un lenguaje común que luego puede ser consultado y analizado.
En la Fig. #2 vemos un ejemplo de cómo se ve la solución:
Todas las necesidades de generación de reportes pueden ser resueltas desde la misma herramienta con una interfaz sencilla que ya tiene listo un conjunto de reportes orientados tanto al nivel de negocio como de tecnología. Para reportes que no son estándar, se pueden generar desde la misma herramienta siguiendo unos pocos sencillos pasos. El resultado es menor tiempo y costo para poder sacar información valiosa de las bitácoras.
Adicionalmente, la solución se puede extender con módulos ya listos de regulaciones existentes que incluyen Sarbanes-Oxley, HIPAA, GLBA, Basilea II, ISO17799 y PCI. Estos módulos tienen las consultas ya definidas para satisfacer los puntos de las diferentes regulaciones.
Módulos adicionales para regulaciones específicas pueden ser desarrollados e implementados en la herramienta. (Fig. #3)
En general, esto nos ayuda a cerrar la brecha entre el comportamiento esperado y el comportamiento real que tienen los usuarios.
En resumen, Tivoli Compliance Insight Manager permite mejorar la habilidad de las organizaciones en el monitoreo y cumplimiento con regulaciones y reducir costos y riesgos asociados al no cumplimiento. Ofreciendo un continuo y automatizado monitoreo de las acciones de los usuarios privilegiados, las organizaciones pueden estar más tranquilas y seguras ya que esta solución apoya al negocio permitiendo:
- Monitoreo automatizado de las acciones de los usuarios privilegiados
- Almacenamiento en forma nativa de todas las bitácoras
- Análisis, traducción y correlación de la información contenida en las bitácoras
- Reportes de cumplimiento con regu laciones, acciones, cambios, etc.