Inicio
 > Informes e investigaciones > Blog de TEC > ¿Está protegiendo de forma adecuada los componen...

¿Está protegiendo de forma adecuada los componentes de la infraestructura IT dentro de la barrera informática?

Escrito por: Teresa Wingfield
Publicado: agosto 16 2006

¿Por qué la seguridad de los componentes de la infraestructura de tecnología de la información está en riesgo?

Las redes por lo general están protegidas por un software especializado como barreras informáticas, anti-virus, y control de acceso a la red, productos para prevenir el acceso y la actividad no autorizada. Sin embargo otros componentes de la infraestructura de tecnología de la información (IT) como aplicaciones, bases de datos, servicios Web, directorios, y sistemas operativos dependen en su mayoría de los mecanismos de seguridad que forman parte del conjunto de características integradas del producto. Las políticas de seguridad evolucionan y giran alrededor de fortalecer las claves y los privilegios para proteger los datos. Pero, ¿realmente es suficiente?, tomando en cuenta que varios usuarios como los administradores de bases de datos (DBAs) y administradores del sistema tienen grandes privilegios, no hay garantía de que realmente se sigan las políticas de cambio de la compañía.

Sólo porque su organización IT ha desplegado productos de seguridad o componentes IT con las mejores características de seguridad, no significa que se estén utilizando correctamente. Puede ser que no se utilicen en la forma en que se hicieron, o requirieron, para proteger completamente sus valiosos activos IT. Como resultado, su organización puede estar en riesgo, creando un falso sentido de seguridad de que todo está bajo control; para luego darse cuenta, con una llamada de emergencia, de que alguien ilegalmente ha accesado a sus registros.

En el mundo actual conducido por el cumplimiento, cuando existe una falla en proteger la información del cliente y financiera significan carreras dañadas, junto con demandas, multas, y una confianza pública reducida en su empresa, la seguridad de IT necesita ser más granular que nunca. Cada vez, es más importante detectar todas las acciones del usuario en la infraestructura IT, y validar los cambios contra las solicitudes aprobadas de cambio dentro de Remedy, Peregrine, u otros sistemas de gestión de cambios. De otra forma, los usuarios serán capaces de burlar sus mejores prácticas, procedimientos y políticas de seguridad, sin importar que tan robustas sean las características de seguridad de los componentes de su infraestructura IT. Por esta razón, el staff de IT debe considerar una solución de ejecución de política para complementar los conjuntos de características integradas de los componentes IT.

¿Cómo ayudan las soluciones de ejecución de política IT a recuperar el control?

Una solución de ejecución de política detecta, valida y reporta los cambios no autorizados y las acciones fuera del cumplimiento en la infraestructura IT. También le permite saber si se están siguiendo sus políticas de seguridad, procedimientos, y mejores prácticas. Al utilizar una solución de ejecución de política IT le ayudará al staff de seguridad IT a cumplir con los controles clave en la organización, como el control de acceso, la validación de cambios, el monitoreo de cambios de emergencia, el cumplimiento con los procesos de seguridad IT y la división de deberes.

Control de acceso
Las claves y los privilegios se destacan en definir quién puede obtener acceso a sus sistemas y datos. Pero los usuarios privilegiados como los administradores del sistema y los usuarios raíz requieren derechos de acceso completo para poder realizar su trabajo. Esta es la razón por la que necesita entender la actividad de los usuarios además de sólo restringir el acceso. Necesita saber si alguien en IT está observando la información confidencial del cliente o los datos financieros. Y también necesita identificar todos los cambios a las cuentas y los permisos. ¿Algún usuario se está confabulando con otro empleado para violar los controles de segregación de deberes, o con un ladrón externo para intentar obtener un acceso remoto? ¿Un usuario está haciéndole cambios a los sistemas de producción fuera del tiempo de mantenimiento permitido? Tener la habilidad de responder este tipo de preguntas es la razón por la que su organización necesita una solución de ejecución de políticas.

Un sistema de ejecución de políticas IT monitorea el acceso a todos los datos restringidos. Para disminuir el fraude o la actividad maliciosa, el sistema también puede revisar que el nivel de acceso concedido a un usuario sea el indicado para el propósito comercial, y que el nivel de acceso no comprometa la segregación de deberes. También se asegurará que los administradores sigan los conceptos de seguridad de la información, como el menor privilegio posible y la necesidad de saber.

Validación de cambios
Descubrir las deficiencias del control de gestión de cambios y resolverlas es importante debido a que los cambios no autorizados, no planificados y no probados son la causa principal de un tiempo de inactividad costoso. Mientras que su organización IT puede haber desarrollado métodos estandarizados y procedimientos de uso para un manejo inmediato y eficiente de los cambios para minimizar el impacto de cualquier incidente relacionado con el servicio, no sabe si realmente se están siguiendo estos procedimientos.

Las soluciones de ejecución de políticas IT automáticamente identifican los cambios no autorizados en la infraestructura IT al comparar las actividades detectadas con las solicitudes de cambio aprobadas en un sistema de gestión de cambios. La solución de ejecución de política IT le ayudará a contestar varias preguntas:

  • ¿Existe una solicitud de cambio aprobada para el cambio?
  • ¿El cambio ocurrió en el dispositivo o dispositivos adecuados?
  • ¿El cambio se hizo durante el plazo de tiempo aprobado?
  • ¿El individuo indicado realizó el cambio?

Si la respuesta a cualquiera de estas preguntas es “no”, el cambio no está cumpliendo con las políticas de control de cambio de la organización IT, y la solución de ejecución de políticas IT inmediatamente enviará una alerta al staff adecuado.

Cambio de emergencia
Para la mayoría de las empresas, los cambios de emergencia se privan del proceso normal de aprobación de cambio. Cuando ocurre un incidente, se debe resolver lo antes posible sobretodo si está interrumpiendo las operaciones comerciales. Durante la reparación, los usuarios de la llave maestra (usuarios con acceso de emergencia) han reinado libremente en el componente IT al que han ingresado. Pero ¿sólo están tomando las acciones necesarias para resolver el incidente, o están tomando ventaja del acceso de emergencia para otros propósitos? Necesita saber, debido a que los requisitos de cumplimiento IT ahora ordenan una mayor documentación de los cambios reales asociados con un cambio de emergencia. Las soluciones de ejecución de política IT rastrean y reportan las entradas y salidas de las cuentas de la llave maestra y monitorean su actividad de cambios.

Cumplimiento de los procesos de seguridad IT
Las herramientas de antivirus, respaldo y recuperación son componentes clave de la mayoría de las políticas de seguridad. Estas soluciones se han estado desplegando, pero ¿realmente están operando y siendo utilizadas de acuerdo a sus políticas de seguridad corporativa? Las soluciones de ejecución de políticas IT le dice si sus procedimientos operacionales se adhieren o no a los procedimientos corporativos, para que las tecnologías de seguridad que tiene, se desplieguen para hacer el trabajo para el que fueron diseñados.

Sus componentes IT pueden venir equipados con un conjunto sobresaliente de características de seguridad IT, pero no le harán ningún bien si no se utilizan de acuerdo con las políticas de seguridad. Otro beneficio valioso de un producto de ejecución de política IT es su habilidad de detectar qué componentes IT no se adhieren a las políticas de configuración manejadas por una base de datos de gestión de configuración. De este modo, sabe dónde se encuentra la mayor exposición a riesgo de seguridad, y puede tomar las acciones necesarias para priorizar las mejoras de los procesos de seguridad.

Segregación de deberes
La segregación de deberes no sólo es para los usuarios comerciales. Por ejemplo, dada la habilidad de un desarrollador para migrar los cambios a un ambiente de producción es en general una mala idea. Entre más recursos el miembro del staff IT tenga acceso (como programas de producción, documentación de la programación, utilidades del sistema y el sistema operativo en sí) será mayor el riesgo para la organización. En la realidad, segregar los deberes a lo largo de estos recursos es muy difícil.

Donde sea factible, las soluciones de ejecución de política IT soportan la segregación de deberes. En otras instancias, las soluciones de ejecución de políticas IT proporcionan auditorias que sirven con el propósito de un control de compensación aceptable. Los auditores tienen acceso a los detalles de la actividad incluyendo el quién, qué, cuándo y dónde de todas las acciones de los usuarios.

Atrapar las violaciones de la política IT y confirmar el cumplimiento

Ojalá que después de leer el presente artículo, vea que depender solamente de las características de seguridad incluidas de los componentes IT pone a su compañía en un riesgo significativo. Las claves y los privilegios no lo llevarán muy lejos; necesita entender que el comportamiento de los usuarios de los componentes IT al igual que los usuarios que son responsables de asegurarse de que se sigan los procedimientos de seguridad para el componente IT.

¿Todavía no se convence? Supongamos que sus medidas de seguridad IT están haciendo el trabajo para lo que están hechas. Aún así tendrá que demostrar el cumplimiento de seguridad con las reglas gubernamentales y de la industria, y las mejores prácticas a sus auditores internos y externos. Con millones de eventos en cientos de servidores en docenas de locaciones en toda su empresa, la tarea de validar y hacer cumplir los controles de seguridad es muy grande, muy costosa y propensa a errores para realizarla sin automatización. Y el acercamiento común para dirigir el trabajo de cumplimiento es dedicar a más personal al problema, mucha, mucha gente. Aunque este método de fuerza bruta lo puede ayudar en las auditorias de regulación, lo distrae de sus responsabilidades IT centrales mientras que hace poco o nada por mejorar su negocio.

Una solución de ejecución de políticas IT no sólo le brinda un grado extra de control de seguridad a su infraestructura IT, también le ayuda a confirmar el cumplimiento de las políticas de seguridad. Una forma automatizada para detectar, validar y reportar los cambios no autorizados y las acciones fuera del cumplimiento en la infraestructura IT le puede ayudar a evitar fuertes dolores de cabeza debidos al cumplimiento.

CONTROL IT Ejecución de políticas IT
Control de acceso
  • Monitorea la actividad de los usuarios privilegiados
  • Identifica los cambios a las cuentas y los permisos
  • Hace cumplir los plazos de mantenimiento.
Validación de cambios
  • Valida los cambios reales en el ambiente IT contra las solicitudes de cambios planificados e identifica los cambios que sucedieron sin su aprobación.
Cambio de emergencia
  • Rastrea las entradas de las cuentas con llave maestra
  • Monitorea la actividad de cambio de la misma
Cumplimiento de los procesos de seguridad IT
  • Asegura que se sigan los procedimientos de recuperación y respaldo.
  • Asegura que los procesos de antivirus se adhieran a las políticas corporativas.
  • Identifica las desviaciones de una línea base de la configuración deseada
Segregación de deberes
  • Controla el acceso del desarrollador a los sistemas de producción.

Acerca del autor

Como directora de la mercadotecnia de producto de Active Reasoning, Teresa Wingfield es responsable de definir las nuevas oportunidades del mercado para su solución de ejecución de política IT. Anteriormente, Wingfield sostuvo posiciones de mercadotecnia a nivel superior en TIBCO Software, Niku Corporation (adquirido por Computer Associates), y Netfish Technologies (adquirido por IONA Technologies). Wingfield también ha sido analista industrial en Current Analysis y Giga Information Group (adquirido por Forrester Research). Sostiene títulos profesionales en administración por parte de Sloan School of Management de MIT, y en ingeniería de software en Harvard. Se le puede localizar en el correo electrónico teresa.wingfield@activereasoning.com.

 
comments powered by Disqus