generación de informes sobre conformidad y

Anuncio
DOCUMENTACIÓN
Generación de informes sobre conformidad y actividad de los usuarios: imperativos empresariales | Agosto de 2010
generación de informes
sobre conformidad
y actividad de los
usuarios: imperativos
empresariales
Gedeon Hombrebueno
Gestión de la seguridad
CA Technologies
we can
Generación de informes sobre conformidad y actividad de los usuarios: imperativos empresariales
índice
resumen ejecutivo
SECCIÓN 1
Retos de la generación de informes sobre
conformidad y actividad de los usuarios
04
SECCIÓN 2
La conformidad es el factor principal
06
SECCIÓN 3
Justificación de la inversión en la
generación de informes sobre
conformidad y actividad de los usuarios
09
SECCIÓN 4
Necesidad de soluciones para la
generación de informes sobre
conformidad y actividad de los usuarios
11
SECCIÓN 5
Conclusiones
15
SECCIÓN 6
Acerca del autor
15
Generación de informes sobre conformidad y actividad de los usuarios: imperativos empresariales
resumen ejecutivo
Reto
Los requisitos normativos de generación de informes de conformidad siguen suponiendo una enorme carga
económica y operativa para las organizaciones. A pesar de que los requisitos normativos cambian de manera
periódica, las bases del cumplimiento de las demandas de conformidad siguen siendo las mismas; implementar
controles y comprobar su eficacia. El reto reside en que la organización debe comprobar de manera continua los
controles en todo el entorno de TI, desde el mainframe hasta la nube. La realización de informes y análisis de
actividades es un ámbito que presenta grandes necesidades y supone un importante reto para organizaciones de
cualquier tamaño. La generación de informes y la investigación de lo que hacen los usuarios con su acceso,
así como la identificación de los puntos débiles de control a lo largo del tiempo pueden ocasionar un desgaste
importante en cuanto a recursos, tiempo y presupuesto.
Oportunidad
Muchas organizaciones han reconocido la oportunidad de comprobar los controles de seguridad a través del uso
eficaz de los registros de actividad de los usuarios. La generación de informes de conformidad y actividad de los
usuarios para averiguar el uso de datos, accesos e identidades permite validar de manera eficaz los controles
y ayuda a responder a preguntas clave que son importantes para los auditores, como: ¿quién ha creado ese
usuario? ¿Cuándo se concedió el acceso privilegiado? ¿Cuándo se eliminó el acceso privilegiado? ¿Quién ha
accedido a estos datos? ¿Ha eliminado alguien el registro de seguridad? ¿Se ha modificado la configuración?
¿Cuándo se ha modificado y quién lo ha hecho? Además, la capacidad de ofrecer tendencias de informes puede
suponer problemas nuevos o fallos de control que se deben gestionar y controlar de manera proactiva.
Beneficios
La generación de informes sobre conformidad y actividad de los usuarios puede convertir los datos de
actividad de usuarios almacenados en informes consolidados y agilizar el análisis de causas raíz. Como resultado,
las organizaciones logran una creación de valor más rápida y son capaces de simplificar la conformidad, así como
de acelerar las investigaciones sobre seguridad. En concreto, la generación de informes sobre conformidad
y actividad de los usuarios permite a las organizaciones:
•lograr una creación de valor más rápida gracias a una ágil implementación, diversos informes predefinidos para
distintas regulaciones, así como una sencilla personalización.
•simplificar la creación de informes sobre conformidad gracias a la reducción de la gran cantidad de datos en
informes que pueden satisfacer a los auditores, así como a la aceleración de la investigación sobre la actividad
de los usuarios.
•ayudar a alcanzar una conformidad continua mediante la recepción de actualizaciones de generación
de informes automáticas, lo que le permite seguir el ritmo de los cambios en los informes normativos.
03
Generación de informes sobre conformidad y actividad de los usuarios: imperativos empresariales
Retos de la generación de informes sobre
conformidad y actividad de los usuarios
Según la encuesta de 2010 de administración de registros de SANS, hoy en día, muchas organizaciones han
“atravesado el abismo” de las prácticas rudimentarias de creación de registros. Esto supone recopilar, almacenar
y revisar los registros de actividad de los usuarios únicamente si resulta necesario. Ahora, se requieren mejores
usos para los registros que se recopilan y almacenan como consecuencia de una infinidad de requisitos
­normativos. Las presiones de conformidad establecen una mayor atención a los problemas de la generación
de informes sobre conformidad y actividad de los usuarios, ya que es importante no sólo contar con políticas
y controles, sino también comprobar qué es lo que sucede en realidad. ¿Alguien que no debería haber obtenido
acceso lo ha hecho? ¿Qué ha hecho ese usuario tras obtener dicho acceso? Sin registros de actividad de los
usuarios que detecten estos eventos de una manera eficaz y útil, las organizaciones no pueden demostrar de
forma adecuada su cumplimiento de las políticas ni verificar que cumplen la normativa. Estudios analíticos
independientes del sector indican que la conformidad y la generación de informes, la investigación de incidentes
y la demostración de la eficacia de los programas de seguridad figuran entre los principales factores para adoptar
tecnologías diseñadas para analizar, generar informes y gestionar la actividad de los usuarios y otros datos de
seguridad en la empresa.
Variedad y cambios en los requisitos de generación de informes normativos
Los gobiernos y las normativas del sector que se extienden a través de diversos ámbitos geográficos a menudo
requieren no sólo la implementación de controles de seguridad adecuados, sino también la capacidad de
demostrar la eficacia de dichos controles. El estándar Payment Card Industry Data Security Standard (PCI DSS)
requiere que las organizaciones realicen un seguimiento y controlen el acceso a los datos de los titulares de las
tarjetas. La ley Sarbanes-Oxley Act de 2002 (SOX) exige específicamente el control de las actividades de usuarios
con privilegios para garantizar la integridad de registros financieros confidenciales. La ley Federal Information
Security Management Act (FISMA) destaca la necesidad de que cada agencia federal implemente controles de
seguridad, como la creación de registros, para proteger los sistemas de información que ofrecen soporte a sus
operaciones y activos. La National Energy and Reliability Corporation Critical Information Protection (NERC) exige
una gestión del acceso de usuarios y de lo que hacen los usuarios con dicho acceso para proteger la información
de los activos informáticos principales. La ley de responsabilidad y portabilidad del seguro médico (HIPAA por
sus siglas en inglés) indica la necesidad de realizar controles de acceso y auditoría en la información sanitaria
protegida. Del mismo modo, controles normativos y de privacidad regionales, como Basel II, EU Privacy Directive,
JSOX, Garante entre otros, solicitan la protección de la privacidad y la integridad de la información confidencial.
Para verificar los controles de manera eficaz, las organizaciones deben obtener una completa visibilidad de las
actividades de los usuarios y de los sistemas en los entornos físico, virtual y de nube. Normalmente, muchas de
estas actividades de TI se producen en aplicaciones y sistemas de hosts físicos. Hoy en día, la necesidad de contar
con una visibilidad de “lo que ha ocurrido”, ya sea para mejorar la seguridad, las operaciones o los programas de
conformidad, se expande rápidamente en los entornos virtualizados y de nube. La aplicación de tecnologías de
virtualización o el desplazamiento de los activos principales a la nube no reduce las obligaciones de conformidad
normativa de la organización; aún deberá controlar quién tiene acceso a qué y qué hace cada usuario.
Hace mucho que se terminó aquello de ignorar los registros y consultarlos únicamente en caso de necesidad.
Normativas como PCI DSS, SOX, FISMA o NERC, entre otras, han provocado que todo esto cambie. Las
organizaciones deben guardar registros de múltiples sistemas y aplicaciones durante largos períodos de tiempo.
Deberán analizarlos y controlarlos al menos una vez al día. Según la encuesta de 2010 de administración
de registros de SANS, más de la mitad de los encuestados recopilan registros para apoyar las iniciativas de
conformidad normativa. Evidentemente, las organizaciones se basan en los datos de los registros para demostrar
que cumplen con diversas normativas. El reto de cualquier proyecto de creación de informes sobre conformidad
no reside únicamente en continuar con la modificación de los requisitos de creación de informes normativos, sino
04
Generación de informes sobre conformidad y actividad de los usuarios: imperativos empresariales
(lo que es más importante) en crear informes que satisfagan a múltiples interesados, en especial a los auditores,
de un modo eficaz en cuanto a tiempo y costes.
Complejidad de la generación de informes sobre conformidad y actividad de los usuarios
No resulta sencillo recopilar y generar informes sobre actividades relativas al acceso a recursos y usuarios,
cambios en la configuración, segregación de obligaciones y otros controles. Ya resulta bastante difícil responder
a la pregunta “¿Qué ha ocurrido?” y llegar al fondo de un problema, que puede llevar horas de trabajo tedioso y
-casi siempre- manual para conectar entre sí los registros de actividad de los usuarios. Sin embargo, si lo hace,
es aún más difícil averiguar quién es el usuario responsable del evento, qué hizo y cuándo lo hizo.
Por ello, muchas organizaciones han implementado una estrategia de defensa en profundidad mediante el
desarrollo de capas de protección de seguridad. A su vez, este enfoque ha aumentado la complejidad del entorno
de TI de las empresas. Cada dispositivo de seguridad nuevo supone una gran cantidad de datos de registros de
actividad con su propia idiosincrasia. Con cada dispositivo nuevo, resulta cada vez más complicado responder
a preguntas como: ¿quién ha tratado de acceder a información confidencial de la tarjeta de crédito?, ¿quién ha
manipulado los registros financieros?, ¿quién ha descargado la lista de clientes?, etc. No obstante, conocer la
respuesta al “quién” y al “qué ha pasado” es vital para los programas de conformidad y seguridad de una
organización. La mejora de los procesos relacionados con la consolidación de los registros de actividad de los
usuarios ayudará a ofrecer mejores resultados de investigación e informes de conformidad.
Coste muy elevado de la conformidad
Las organizaciones también deben enfrentarse a los elevados costes relacionados con la conformidad continua.
Según encuestas y estudios realizados por organismos independientes, una empresa normal destina entre 400.000
y 600.000 dólares estadounidenses al año en personal que trabaja en proyectos relacionados con la conformidad
normativa. Gran parte de lo que llevan a cabo en estos proyectos de conformidad se reduce a generar informes de
conformidad y actividad de los usuarios, así como realizar análisis de actividades e investigaciones de incidentes.
La realización de estas tareas suele requerir mucho tiempo y esfuerzo.
El volumen real de registros de actividad de los usuarios al que se enfrentan grandes organizaciones de manera
continua puede convertir en una pesadilla la investigación y la generación de informes sobre conformidad
y actividad de los usuarios. Por ejemplo, una organización que suele funcionar en un entorno de TI heterogéneo
de tipo empresarial puede generar terabytes de datos de registros en muy poco tiempo, de los que únicamente
un pequeño porcentaje sería relevante en realidad. Esta enorme cantidad de datos puede resultar muy difícil
de analizar. Como resultado, los analistas de seguridad dedican una gran cantidad de tiempo a la realización de
tediosas tareas de análisis de registros en sus quehaceres diarios. Es evidente que este empleo de tiempo y dinero
en concepto de personal de seguridad no es óptimo, ya que gran parte del trabajo se puede automatizar.
05
Generación de informes sobre conformidad y actividad de los usuarios: imperativos empresariales
La conformidad es el factor principal de la empresa
El efecto principal de la conformidad en la creación de registros de actividad de los usuarios es su conversión
en requisito, y no una simple recomendación o práctica recomendada. La conformidad requiere responsabilidad
y un método principal para probar la responsabilidad es a través de la investigación y generación eficaces de
informes de actividad de los usuarios. El requisito explícito relativo a la generación de registros y la revisión de las
actividades de los usuarios en regulaciones importantes, como PCI DSS, SOX, FISMA o NERC entre otras, permite
destacar la gran importancia que esto tiene para la seguridad empresarial, así como para necesidades de gestión
con un riesgo más amplio.
Payment Card Insurance Data Security Standard (PCI-DSS)
El estándar PCI-DSS se aplica en organizaciones que gestionan transacciones de tarjetas de crédito. Este estándar
exige el registro de detalles específicos y procedimientos de revisión de los registros diarios para evitar fraudes con
tarjetas de crédito, así como otros problemas relacionados en organizaciones que almacenan, procesan o transmiten datos de tarjetas de crédito. El requisito 10 del estándar PCI DSS hace referencia al seguimiento y el control
de las actividades de TI. Según este requisito, los registros de actividades de todos los componentes del sistema
deben revisarse al menos una vez al día, y estas revisiones de registros deben incluir los servidores que efectúan
funciones de seguridad, como los servidores de protocolos de responsabilidad, autenticación y autorización.
Además, requiere que los registros de los sistemas de PCI DSS incluidos se almacenen durante al menos un año.
PCI DSS se centra en quién ha hecho qué y cuándo lo ha hecho. Por lo tanto, el principal componente de la
generación de registros de PCI DSS implica el registro de la actividad de los usuarios en un entorno de titulares
de tarjetas de crédito, así como la creación de una pista de auditoría de dicha actividad. La solicitud de generación
de registros de actividad de los usuarios y de revisiones diarias de los registros ofrece información vital para las
investigaciones forenses y la gestión del riesgo de seguridad general. Además, PCI DSS exige que los datos estén
disponibles para fines forenses, que requieren que los auditores e investigadores puedan acceder a los datos de
todo un año. Si no se presta una atención especial a la investigación y generación de informes de actividad de los
usuarios, resultará más difícil cumplir con los requisitos de conformidad de PCI DSS.
Ley Sarbanes-Oxley Act (SOX)
La ley Sarbanes-Oxley Act (SOX) de 2002 establece un estándar de responsabilidad corporativa que requiere la
definición y la aplicación de procesos y controles de TI internos. SOX exige que las empresas revisen de forma
periódica los registros de actividad de los usuarios y que mantengan un registro de los archivos durante siete años.
SOX destaca especialmente la necesidad de controlar, generar informes e investigar actividades de los usuarios,
como accesos no autorizados, uso indebido o fraude, para garantizar la precisión de la información empresarial
y financiera de la empresa.
El análisis, generación de informes y alertas con respecto a la actividad de los usuarios puede ayudar a evitar
sorpresas desagradables. Una vez que se recopilen todas las actividades de los usuarios, las TI pueden comenzar
a realizar los informes y análisis de control de cambios y accesos que requiere SOX. Es necesario analizar con
regularidad los registros de acceso y otras actividades de los usuarios para realizar un seguimiento de los cambios
realizados en los niveles de privilegios de cada usuario, así como para ofrecer al cuadro directivo informes
periódicos sobre los resultados. Las tareas deben incluir, entre otros, la revisión y validación de inicios de sesión
correctos e incorrectos, así como intentos correctos e incorrectos de acceder a archivos y directorios.
06
Generación de informes sobre conformidad y actividad de los usuarios: imperativos empresariales
Ley Federal Information Security Management Act (FISMA)
La ley FISMA destaca la necesidad de que cada agencia federal desarrolle e implemente un programa de seguridad
para controlar los sistemas de información que soportan sus operaciones y activos.
El NIST (National Institute of Standards and Technology), en su norma SP 800-53: Recommended Security Controls
for Federal Information Systems (Controles de seguridad recomendados para sistemas de información federal),
describe los controles de generación de informes, incluida la generación, revisión, protección y retención
de registros de actividad de los usuarios.
El NIST, en su norma 800-92: Guide to Computer Security Log Management (Guía para la gestión de registros de
seguridad informáticos), ofrece directrices y prácticas recomendadas sobre la generación de informes, el análisis
y la revisión de registros de actividad de los usuarios. El NIST, en su norma 800-92, describe la necesidad y los
métodos para establecer una infraestructura eficaz de generación de registros de actividad de los usuarios en
agencias federales. También describe la importancia de analizar los diferentes tipos de registros de distintas
fuentes, así como de definir claramente las responsabilidades y los roles específicos de los equipos y usuarios
implicados en este proceso. Es importante indicar que en la sección 4.2 de esta norma se destaca la necesidad de
que las agencias federales definan claramente los requisitos de sus políticas para llevar a cabo el almacenamiento,
la generación de informes y el análisis de registros. Según la norma SP 800-92 del NIST, la mayor parte de los
registros contiene eventos que resultan importantes desde el punto de vista de la seguridad. También establece
que “el análisis de registros de rutinas es beneficioso para identificar incidentes de seguridad, infracciones de
políticas, actividades fraudulentas y problemas operativos”.
North American Electric Reliability Corporation (NERC)
El sector de la energía de los EE. UU. ha elaborado los estándares de Critical Infrastructure Protection (Protección
de infraestructuras críticas; CIP por sus siglas en inglés) gracias a la North American Electric Corporation (NERC).
Estos estándares se conocen como NERC-CIP y ofrecen prácticas y estándares que deben aplicar los propietarios
u operadores para proteger sus propios sistemas de distribución y generación de energía. Los estándares NERC
CIP constan de ocho estándares específicos, cada uno de los cuales es obligatorio para las empresas de centros
y energía eléctrica. El objetivo de los estándares NERC CIP es garantizar que todos los centros eléctricos afectados
que sean responsables del suministro continuado y estable de electricidad en los EE. UU. protejan adecuadamente
sus activos de TI más importantes. NERC, como muchos otros estándares de conformidad, exige que se realicen
controles de gestión de seguridad e informes de incidentes.
NERC CIP 003 exige específicamente que se gestione el acceso a información sobre activos informáticos vitales
protegidos. Esto incluye controlar quién tiene acceso a información protegida y generar informes sobre lo que
hacen con dicho acceso. Además, NERC CIP-005 y CIP-007 requieren que se generen registros de actividad para los
sistemas y los dispositivos del perímetro. Estos requisitos incluyen la capacidad de generar informes e investigar
las actividades de los usuarios, así como almacenar registros de actividades durante hasta tres años.
07
Generación de informes sobre conformidad y actividad de los usuarios: imperativos empresariales
Ejemplo: asignación de informes de conformidad
y actividad de los usuarios para NERC CIP
N.º NERC CIP
Requisito
Informes relevantes
CIP-003-1-R5
La entidad responsable deberá
documentar e implementar
un programa para gestionar el
acceso a información protegida
sobre activos informáticos
vitales.
• Actividad de acceso al sistema de administración
CIP-003-1-R6
• Actividad de acceso al sistema
• Actividad de gestión de privilegios de la base de datos
• Actividad de escalado de privilegios
• Actividad de acceso a recursos
• Actividad de cambio de configuración
CIP-005-1-R3
CIP-005-1-R4
CIP-007-1-R2
CIP-007-1-R4
CIP-007-1-R5
CIP-007-1-R6
Implementación y
documentación de procesos
electrónicos y manuales para
controlar y registrar el acceso
a los puntos de acceso en
los perímetros de seguridad
electrónica las 24 horas del día,
todos los días de la semana.
• Actividad del cortafuegos
Establecimiento y
documentación de un proceso
para asegurarse de que
únicamente se habilitan los
puertos y servicios requeridos
para operaciones normales y de
urgencia.
• Actividad del cortafuegos
CIP-007-1-R8
• Actividad de la red
• Actividad de autorización de red
• Vulnerabilidades
• Actividad de evaluación de vulnerabilidades
• Actividad de acceso al sistema
• Actividad de la red
• Actividad de software maligno
• Virus
• Actividad de gestión de cuentas
• Actividad de acceso al sistema
• Actividad de cambios de contraseñas
• Registro de seguridad borrado
• Alertas
• Ejecución de consultas
• Actividad del cortafuegos
• Vulnerabilidades
• Actividad de evaluación de vulnerabilidades
• Actividad de la red
CIP-009-1-R4
Los planes de recuperación deben
incluir procesos y procedimientos
para efectuar la copia de
seguridad y el almacenamiento
de la información requerida
para restaurar correctamente
los activos informáticos vitales.
Por ejemplo, las copias de
seguridad pueden incluir equipos
o componentes electrónicos de
repuesto, documentación escrita
de ajustes de configuración,
copia de seguridad en cinta, etc.
08
• Actividad de gestión de copias de seguridad
• Actividad de copia de seguridad de bases de datos
• Actividad de restauración de bases de datos
Generación de informes sobre conformidad y actividad de los usuarios: imperativos empresariales
Administración de identidades: ¿realidad o ficción?
Según una reciente encuesta organizada por CA Technologies a directores de seguridad de la información y TI1,
una de cada tres empresas no ha superado con éxito una auditoría externa en los tres últimos años, mientras que
un porcentaje similar no ha superado una auditoría interna. El origen de muchos requisitos de conformidad
y actividades de mitigación de riesgos es el deseo de saber quién tiene acceso a qué y asegurarse de que dicho
acceso es adecuado. Por ejemplo, los importantes cambios de personal que acompañan a las reorganizaciones
suelen hacer que las empresas deban aclararse para saber quién tiene acceso a qué y, lo que es más importante,
saber también quién debe tener acceso a qué. Estos eventos también desencadenan una combinación de tareas
de administración de identidades, cada una de las cuales debe llevarse a cabo de manera inmediata. Las estructuras de roles existentes deben actualizarse rápidamente en función de los cambios de personal, mientras que
los procesos de conformidad, como la certificación de acceso y la generación de informes sobre conformidad
y actividad de los usuarios, suelen convertirse en procesos necesarios para mantener una seguridad adecuada
en estos momentos de cambios.
¿Puede permitirse no cumplir la normativa?
Aunque no se produzcan penalizaciones, las supuestas infracciones de las normas pueden tener consecuencias
financieras. Aunque el cumplimiento de las reglas y normas es costoso, el precio por no cumplirlas es mucho
más elevado. Puede incluir penas de prisión, multas, despidos, daños en la marca, depreciación del activo, etc.
El mundo ha cambiado tras la implantación de Enron y SOX. El gobierno estadounidense ha iniciado más
procedimientos judiciales sobre casos administrativos y ha aumentado el número de ajustes financieros. El coste
total derivado de las acciones no conformes puede ser significativo y debilitante. Las empresas que tienen la
suerte de no resultar acusadas de llevar a cabo acciones incorrectas aún pueden terminar gastando millones para
controlar los daños. Las organizaciones deben ser más cuidadosas y atentas que nunca, y no únicamente en cuanto
a las normativas externas, sino también en referencia a su administración interna.
Justificación de la inversión en la generación de
informes sobre conformidad y actividad de los
usuarios
Los registros de actividad de los sistemas y los usuarios son fuentes completas -aunque a menudo sin explotarde información vital sobre la salud de los controles de TI y el estado general de la seguridad de TI. Estos registros
indican la actividad diaria de los usuarios del sistema; los cambios administrativos realizados por quienes
gestionan los sistemas principales de TI; al tiempo que detectan pruebas de la eficacia o ineficacia de los controles
de seguridad existentes. Cuando un sistema de generación de informes sobre conformidad y actividad de los
usuarios funciona, puede revisar los cambios realizados por usuarios con privilegios en los sistemas de seguridad,
así como en el entorno de TI de operaciones y controles. Puede visualizar actividad inusual de los usuarios
autorizados, generar informes sobre lo que hacen y actuar en consecuencia si se producen infracciones de
las políticas.
Si se plantea aplicar un sistema de generación de informes sobre conformidad y actividad de los usuarios, deberá
comenzar por reunir a los miembros de los equipos de seguridad, conformidad y operaciones de TI. Los tres
departamentos pueden beneficiarse de la automatización de gran parte de estos procesos, así que debe generar
apoyos para asegurarse de que elige la solución adecuada para todos. En este momento, también deberá
identificar los escenarios de aplicación que ayudarán a justificar la inversión realizada en esta solución.
09
Generación de informes sobre conformidad y actividad de los usuarios: imperativos empresariales
Inicio
Comience respondiendo a las preguntas siguientes. ¿Qué normativas son aquellas cuya conformidad lleva más
tiempo demostrar y por qué? ¿Cómo verifica la eficacia y eficiencia de los controles de seguridad? ¿Cuánto tiempo
le lleva crear un informe de conformidad o investigar actividades? ¿Cómo genera informes de lo que hacen los
usuarios con su acceso a datos confidenciales? ¿Su organización recibe cada vez más presión por parte de los
auditores para hacer frente a estos asuntos?
Una vez instalada, la solución de generación de informes sobre conformidad y actividad de los usuarios puede
informar de manera eficaz de lo que hacen los usuarios en todos los sistemas en cuanto a los controles de
seguridad que ha implantado. Además, la solución ofrece un método más sencillo, rápido y seguro de realizar
investigaciones forenses sobre lo que ha hecho un determinado usuario a lo largo de un período de tiempo
específico. Al reducir los costes de la demostración de conformidad, y al ayudar a reducir los riesgos de seguridad y
mejorar la eficacia operativa, el proyecto debería obtener de inmediato el apoyo necesario por parte de los equipos
de conformidad, seguridad y operaciones para crear una presentación en los sistemas de la empresa.
Escenarios de usuarios clave que se deben destacar
A menudo, los casos de usuarios más importantes están relacionados con la generación de informes y la
investigación del uso inadecuado de cuentas con privilegios. Encuestas recientes indican que un informe clave que
desean realizar las organizaciones es el relativo a los intentos fallidos de acceder a cuentas y recursos (en especial,
acceso administrativo) y a los cambios en usuarios y grupos. Los "superusuarios" disfrutan de un amplio acceso a
sistemas y aplicaciones para realizar funciones administrativas. Esto resulta de gran importancia, ya que las
cuentas de usuarios privilegiados suelen tener acceso a datos confidenciales como números de la seguridad social,
números de tarjetas de crédito y registros médicos, así como a registros financieros y corporativos de la empresa.
Una solución de generación de informes de conformidad y actividad de los usuarios complementa un sólido
programa Identity and Access Management (IAM) para ayudar a garantizar que estos derechos de acceso no
se utilicen de forma inadecuada.
Los casos de uso de la gestión de identidades y la administración de identidades también deberían beneficiarse
de la generación de informes sobre conformidad y actividad de los usuarios. Los informes sobre lo que hacen los
usuarios con los sistemas de aprovisionamiento y gestión de cuentas, o el uso de las cuentas en general son
vitales para los programas de administración de identidades. No debemos olvidar que nuestra preocupación es
la cuenta de un usuario con privilegios. Esta cuenta puede tener la capacidad de modificar registros, ocultando
así el rastro que, de otro modo, identificaría rápidamente las acciones inadecuadas. Diversas normativas requieren
la realización de revisiones diarias de los registros de actividades y solicitan que se emprendan acciones de
saneamiento.
Cómo avanzar
Identifique las acciones que debe emprender cuando las acciones de los usuarios infrinjan los controles y políticas.
Para cumplir con los requisitos normativos, debe implantar un proceso coherente y constante para identificar las
infracciones de controles, generar informes sobre lo que han hecho los usuarios, dónde, cuándo y cómo, con el
objetivo de poder abordar cada asunto de manera adecuada. Cuando este proceso se automatice, deberá diseñar
la solución para la generación de informes sobre conformidad y actividad de los usuarios para agilizar y apoyar
de manera eficaz estos procesos.
10
Generación de informes sobre conformidad y actividad de los usuarios: imperativos empresariales
Necesidad de soluciones para la generación
de informes sobre conformidad y actividad
de los usuarios
Las organizaciones necesitan herramientas sencillas y automatizadas que puedan reducir la enorme cantidad
de datos en forma de informes y gráficos con diferentes niveles de detalle que no sólo resulten útiles para los
distintos departamentos y personas interesadas, sino que también satisfagan a los auditores. Deben agilizar
la investigación sobre la actividad de los usuarios, averiguar "qué ha ocurrido" antes y reducir drásticamente los
ciclos de revisión de los registros diarios. La buena noticia es que existen soluciones que pueden ayudar a las
organizaciones a mejorar su eficacia en cuando a la gestión de estos procesos.
La capacidad de alcanzar esta eficacia se basa principalmente en la automatización, el valor listo para usar,
así como en una instalación de investigación y generación de informes interactiva y fácil de usar. La obtención
de una creación de valor rápida comienza por la capacidad de realizar una implementación rápida. Cuanto antes
instale el sistema y lo ponga en funcionamiento, mejor. Es primordial poder ofrecer informes predefinidos sobre
conformidad y actividad de los usuarios que ya estén asignados a diversas estructuras de control y normativas
para lograr también una creación de valor rápida. Las herramientas de análisis de registros visuales permiten
realizar una búsqueda rápida de actividades de accesos a recursos y usuarios, mientras que el análisis detallado
acelera en gran medida las investigaciones de seguridad sobre lo que han hecho los usuarios a lo largo de las
últimas semanas, meses, etc.
Ilustración 1
Funcionamiento
La implementación de un sistema de generación de informes sobre conformidad y actividad de los
usuarios comienza por recopiladores de registros que consolidan los registros de actividad de los usuarios
de múltiples fuentes de datos de registros. Estos registros se normalizan y se guardan en un almacén
de datos. Los datos almacenados pueden consultarse y emplearse fácilmente para generar informes de
conformidad de las actividades de los usuarios, así como para analizar los registros de manera visual
y detallada. Si se produce una posible infracción de políticas, se puede activar una alerta de acción.
11
Generación de informes sobre conformidad y actividad de los usuarios: imperativos empresariales
Mientras tanto, es esencial detectar tendencias que sacan a relucir las deficiencias a lo largo del tiempo, así como
poder seguir el ritmo de los cambios que se dan en los requisitos de la generación de informes para poder lograr
una conformidad continua. Estos y otros componentes de una solución para la generación de informes sobre
conformidad y actividad de los usuarios resultan esenciales, pero es igual de importante contar con una sólida
integración entre la herramienta de generación de informes y los controles que gestionan los distintos aspectos
de la seguridad, en especial la infraestructura de identidades y accesos.
Algunas de las capacidades específicas que debería buscar en una posible solución para la generación de informes
sobre conformidad y actividad de los usuarios son las siguientes:
Generación de informes sobre conformidad y actividad de los usuarios. Esto implica contar con informes
predefinidos y personalizables asignados a diversos marcos de control de seguridad y normativas que se pueden
ejecutar según una planificación o a petición, son de fácil acceso y llegan a múltiples interesados.
•Informes predefinidos. El fácil acceso a informes predefinidos que ya están asignados a diversas normativas
como PCI, SOX, FISMA, NERC, HIPAA, SAS70, Basel II, COBIT, COSO o ISO27001/2, entre otras, pueden aliviar
a las organizaciones en cuanto a las tareas de investigación y creación de informes que tanto tiempo
consumían y que, además, pueden ayudar a satisfacer a los auditores.
•Informes personalizables. La personalización de informes no requiere servicios adicionales o una importante
generación de scripts. La capacidad de modificar informes listos para su uso mediante una sencilla herramienta
de personalización puede ahorrar tiempo y esfuerzo.
•Tendencias de los informes. Las tendencias de los informes pueden comprobar la eficacia de los controles de
seguridad a lo largo del tiempo. Estos informes pueden detectar fallos de control que quizá requieran ajustes
de los controles existentes o la implementación de controles nuevos. Pueden sacar a relucir patrones que
muestran un problema emergente que se debe gestionar y controlar de manera proactiva.
•Entrega de informes automatizada y flexible. Si el Chief Security Officer (CSO) puede acceder fácilmente a los
informes, así como a otras mediciones de seguridad del portal web personalizado de la organización, contará
con material adicional para tomar decisiones. La automatización de los informes, tanto en cuanto a su
generación como en cuanto a su entrega a los auditores, ya sea a petición o según una programación, facilita
la obtención de una respuesta rápida.
Ilustración 2

12
Generación de informes sobre conformidad y actividad de los usuarios: imperativos empresariales
EJEMPLO: GENERACIÓN DE INFORMES EN CUMPLIMIENTO CON EL ESTÁNDAR PCI. PCI 10.2.2 requiere que las
organizaciones supervisen de manera periódica los controles de TI. Resulta extremadamente importante generar
informes con respecto a estos controles de TI de manera periódica. Un ejemplo es la generación de informes sobre
actividades de usuarios con privilegios. La facilidad de acceso a un "informe de actividad de los recursos de
administración" puede ayudarle a ver todas las actividades de los administradores. La posibilidad de filtrar los
resultados por "autor" y ver los datos a los que ha intentado acceder ese usuario en concreto, así como cuándo y
qué acciones ha llevado a cabo con dichos datos puede agilizar la investigación de las actividades de los usuarios.
Además, para cumplir con el estándar PCI 10.6, debe controlar las actividades de los usuarios en los servidores PCI
incluidos al menos una vez al día, así como probar al auditor que realmente lo hace. El fácil acceso a informes
predefinidos, como el informe detallado de revisión de actividades de TI, le permitirá comprobar que los analistas
de seguridad realmente revisan las consultas, los informes y los registros de actividades como deben hacerlo.
Investigación de actividad de los usuarios. Esto hace referencia a la posibilidad de entregar herramientas
de análisis de registros visuales con capacidades detalladas que agilizan la investigación de las actividades
de recursos y usuarios, así como la identificación de infracciones de políticas.
•Análisis de registros visual y detallado. Cualquier infracción de controles y cualquier actividad de los usuarios
que resulte de interés deben poder investigarse fácilmente mediante herramientas de análisis de registros
interactivas y visuales. La capacidad de buscar rápidamente múltiples parámetros, como direcciones IP
específicas, números de puerto o nombres de usuarios, así como resultados de filtros de diversas maneras
a través de funciones detalladas, puede ayudarle a encontrar la causa subyacente de un modo más rápido.
•Alertas de infracciones automatizadas. Los administradores deben obtener alertas de forma rápida cuando
se produzca una infracción o un incidente. Las alertas por correo electrónico y otros mecanismos de alerta,
como la posibilidad de envío de alertas a un sistema de operaciones de red o un departamento de asistencia
técnica, son un elemento fundamental. No hace falta decir que, antes de emitir la alerta, el sistema debe
identificar la infracción de forma precisa. Si se cuenta con alertas predefinidas para una actividad excesiva
de los usuarios, cuando se borran registros de seguridad o cuando se producen cambios no autorizados en las
políticas de auditoría de Windows, por ejemplo, se puede acelerar la respuesta ante incidentes.
Actualizaciones automáticas de informes sobre conformidad. Esto implica realizar investigaciones continuas
y enviar actualizaciones automáticas de contenido y programas para adaptarse a los cambios en los requisitos
de la generación de informes normativos.
•Actualizaciones de contenido. A medida que cambian los requisitos de generación de informes sobre
conformidad, el acceso a consultas e informes sobre conformidad nuevos y actualizados puede ayudarle a lograr
una conformidad continua.
•Actualizaciones de programas. La posibilidad de obtener actualizaciones automáticas de programas, como
parches, integraciones y actualizaciones del sistema operativo, así como actualizaciones de versiones de
soluciones, entre otras, puede reducir los gastos generales de mantenimiento y gestión del sistema.
•Investigación. La realización de copias de seguridad y el apoyo que ofrecen los expertos en el ámbito
de la seguridad y la conformidad, que se dedican a investigar requisitos de generación de informes sobre
conformidad nuevos o actualizados, así como a ofrecer actualizaciones de informes automáticas y periódicas,
puede hacer que su organización pueda reducir esas tareas tediosas y de larga duración.
•Integraciones clave. Esto implica la integración uniforme de la solución de generación de informes sobre
conformidad y actividad de los usuarios con controles de seguridad fundamentales, como los sistemas Identity
and Access Management (IAM), los sistemas de gestión de infraestructuras, los sistemas de escritorio de
servicios, los sistemas de mainframe y otros sistemas empresariales fundamentales, así como aplicaciones
empresariales.
13
Generación de informes sobre conformidad y actividad de los usuarios: imperativos empresariales
•Herramientas de administración de identidades. El análisis de proyectos de administración de identidades
en el contexto más amplio de la implementación de seguridad general permitirá detectar las oportunidades
de ofrecer un mayor valor incremental con el mismo nivel de inversión. Las soluciones de generación de
informes sobre conformidad y actividad de los usuarios son un complemento natural, ya que, a menudo,
aceptan la misma base de usuarios y los mismos objetivos que las iniciativas de administración de identidades.
Un ejemplo para saber dónde se puede lograr esto es mediante el reflejo de la actividad de los usuarios en los
procesos de certificación. La visualización del empleo de recursos de una solución de generación de informes
sobre conformidad y actividad de los usuarios en el contexto de la certificación de atribuciones ayuda a las
organizaciones a determinar si un usuario realmente requiere acceso a determinado recurso.
•Herramientas de aprovisionamiento, gestión de usuarios privilegiados y otros sistemas de IAM. La
comprobación de "lo que ha pasado" y "quién lo ha hecho" puede realizarse de manera óptima al poder conectar
registros de actividad de los usuarios con amplios datos de actividad relacionados con IAM. Esta integración con
sistemas de IAM permite generar informes completos sobre la actividad de usuarios privilegiados (incluidas
cuentas compartidas). Además, permite investigar y generar informes detallados sobre las acciones de los
usuarios en cuanto a la gestión de cuentas, el aprovisionamiento o la anulación del aprovisionamiento de
usuarios, cambios en las políticas, etc.
•Sistemas de operaciones de red. Las organizaciones deben activar la garantía de los servicios y aumentar
la eficacia relacionada con las investigaciones sobre actividades de TI. Los sistemas de generación de informes
sobre conformidad y actividad de los usuarios que pueden enviar automáticamente alertas o incidentes que
podrían afectar negativamente a la disponibilidad de los servicios y las operaciones de red directamente en los
sistemas o las consolas de operaciones de red pueden ayudar a alcanzar estos objetivos.
•Sistemas de departamentos de asistencia técnica. Cuando se identifican posibles infracciones de controles
y se detectan actividades de usuarios sospechosas, el sistema de generación de informes sobre conformidad
y actividad de los usuarios debería poder notificar la alerta al personal de seguridad de TI para agilizar la
determinación de la solución adecuada. Se trata de una actividad de investigación común que suele aplicarse
como rutina y que se adapta bien a la automatización. La integración con un sistema del departamento de
asistencia técnica de la empresa le permite automatizar la creación de solicitudes para ofrecer soluciones
adecuadas tras una alerta o una actividad de usuario sospechosa. De este modo, el personal de seguridad
de TI no se verá obligado a realizar tareas repetitivas e ineficaces, y podrá centrarse únicamente en los
asuntos más importantes.
•Sistemas de mainframe. Las grandes organizaciones suelen tener un entorno de TI variado, que consta de
sistemas y aplicaciones que se ejecutan en plataformas distribuidas, así como en el mainframe. Una verdadera
solución de generación de informes sobre conformidad y actividad de los usuarios para empresas cubre no sólo
diversos tipos de aplicaciones y sistemas operativos distribuidos, sino también los sistemas de seguridad de
mainframe utilizados con mayor frecuencia, como ACF2, Top Secret y RACF.
•Aplicaciones empresariales. Las actividades de usuarios no autorizadas que se producen en una aplicación
empresarial fundamental, como SAP, podrían pasar desapercibidas o, aunque se detectaran, la respuesta podría
ser manual o retrasarse si no se integra o controla de manera eficaz con el proceso de gestión de riesgos
empresariales de la empresa. La integración de una solución de generación de informes sobre conformidad
y actividad de los usuarios con SAP, en este caso, ofrece la posibilidad de activar los indicadores clave de riesgo
(KRI) según las actividades de los usuarios. Un ejemplo es la activación de un KRI cuando se identifica el
empleo de cuentas SAP predeterminadas. El empleo de cuentas predeterminadas es una clara infracción del
estándar PCI y otras normativas, y supone un importante riesgo de seguridad para la empresa. Una solución
de generación de informes sobre conformidad y actividad de los usuarios puede identificar rápidamente esta
infracción de control. Puede ofrecer una investigación detallada y obtener el historial de informes de lo que han
realizado estas infracciones en SAP y en otros sistemas vitales a los que puedan haber afectado.
14
Generación de informes sobre conformidad y actividad de los usuarios: imperativos empresariales
Apoyo para la virtualización y en la nube. Este apartado hace referencia a la capacidad de ofrecer apoyo a las
tendencias emergentes en cuanto a virtualización e informática en la nube.
•Nube. Con la promesa de lograr importantes beneficios operativos y financieros, las organizaciones están cada
vez más cerca de decantarse por el empleo de la informática en la nube. Las dudas en cuanto a la seguridad son
una de las principales razones que les impide dar el paso. El desplazamiento de los activos vitales a la nube
no evita que la organización tenga que cumplir con los requisitos de conformidad normativa. Seguirán teniendo
que controlar quién tiene acceso a qué y qué acciones llevan a cabo los usuarios. En este aspecto, la capacidad
de generar informes e investigar lo que realizan los usuarios, en especial los que cuentan con mayores
privilegios, en los entornos de la nube es un aspecto esencial.
•Virtualización. Del mismo modo, la virtualización ofrece una potencial eficacia en cuanto a costes
y operatividad. No obstante, su propia naturaleza implica un aumento de la complejidad y de los retos de
seguridad. La solución de generación de informes sobre conformidad y actividad de los usuarios debe aceptar
las plataformas de virtualización empleadas con mayor frecuencia, como VMware, Citrix, Microsoft, Cisco, etc.
Es muy importante la recopilación de registros sobre actividad de los usuarios en el entorno virtual, incluidos
sistemas virtuales de servidores, redes, almacenamiento y gestión. De este modo, se podrá visualizar las
actividades de los usuarios en el centro de datos virtual y ofrecer un informe detallado sobre el acceso
de usuarios y recursos, así como facilitar la investigación de hosts e invitados de virtualización.
Conclusiones
Los requisitos normativos de generación de informes sobre conformidad siguen suponiendo una enorme carga
económica y operativa para las organizaciones. La generación de informes y la investigación de lo que hacen los
usuarios con su acceso, así como la identificación de los puntos débiles de control a lo largo del tiempo pueden
ocasionar un desgaste importante en cuanto a recursos financieros y de personal. La generación de informes sobre
conformidad y actividad de los usuarios para averiguar el uso de datos, accesos e identidades permite validar de
manera eficaz los controles y ayuda a responder a preguntas clave que son importantes para los auditores y para
usted. Las soluciones de investigación y generación de informes sobre conformidad y actividad de los usuarios
pueden ayudar a su organización a simplificar la generación de informes sobre conformidad, así como a acelerar
la investigación de actividades de los usuarios. La solución puede ayudarle a alcanzar una conformidad continua
con los cambiantes requisitos normativos de la generación de informes; asimismo, puede permitirle obtener una
creación de valor rápida y menores costes totales de la adquisición.
Acerca del autor
Gedeon Hombrebueno lleva más de 10 años relacionado con la gestión y el marketing de productos de software
de seguridad. Ha dirigido equipos en el ámbito técnico y empresarial como jefe de producto, puesto en el que
ha desarrollado estrategias de productos y ha ayudado a definir y entregar soluciones integradas de gestión de
seguridad para empresas. Gedeon es ahora el principal director de marketing de productos en CA Technologies,
donde desempeña un papel estratégico en el desarrollo de la estrategia de comercialización y posicionamiento
de las soluciones de seguridad de gestión de accesos e identidades de CA Technologies.
15
Acerca de CA Technologies
CA Technologies es una empresa de software y soluciones de gestión de TI con experiencia en todos los entornos,
desde el mainframe y los entornos físicos hasta los virtuales y en la nube. CA Technologies gestiona los entornos
de TI y garantiza su seguridad, lo que permite a los clientes prestar unos servicios de TI más flexibles.
CA Technologies ofrece innovadores productos y servicios que aportan la información y el control vitales para
que las organizaciones de TI puedan impulsar la agilidad del negocio. La mayoría de las empresas que figuran
en la lista Global Fortune 500 confían en CA Technologies para gestionar sus ecosistemas de TI en constante
evolución. Para obtener más información, visite el sitio de CA Technologies en ca.com.
1 Gibson Marketing Group, ”Economic Downturn Drives Increased Spending in IT Security Worldwide”, abril de 2009.
Copyright ©2010 CA. Todos los derechos reservados. Todas las marcas comerciales, nombres comerciales, marcas de servicio
y logotipos a los que se haga referencia en la presente documentación pertenecen a sus respectivas compañías. El propósito
de este documento es meramente informativo. CA no se responsabiliza de la exactitud e integridad de la información. En la
medida de lo permitido por la ley vigente, CA proporciona esta documentación “tal cual”, sin garantía de ningún tipo, incluidas,
a título enunciativo y no taxativo, las garantías implícitas de comercialidad, adecuación a un fin específico o no incumplimiento.
CA no responderá en ningún caso en los supuestos de demandas por pérdidas o daños, directos o indirectos, que se deriven del
uso de esta documentación, incluidas, a título enunciativo y no taxativo, la pérdida de beneficios, la interrupción de la actividad
empresarial, la pérdida del fondo de comercio o la fuga de datos, incluso cuando CA hubiera podido ser advertida con antelación
y expresamente de la posibilidad de dichos daños.
2549_080410
Descargar