Ahora más que nunca, los equipos de tecnología y de cumplimiento de normativas deben trabajar juntos para proteger la integridad de sus organizaciones. La información sensible se almacena y transfiere en formato digital y las normativas asociadas son cada vez más estrictas y complejas. Mientras que el departamento de conformidad es responsable de identificar las normativas relativas a la seguridad de la información, los equipos tecnológicos deben identificar y aplicar las soluciones más sólidas para cumplir dichas normativas.
Active Directory es una aplicación clave para mantener la conformidad porque actúa como una ventana a las actividades y políticas de TI de una organización: debe protegerse para mantener la integridad y la conformidad corporativas. Cualquier empresa que maneje datos confidenciales de clientes, como registros financieros o sanitarios, debe garantizar la seguridad de su entorno de Active Directory y realizar auditorías periódicas para detectar riesgos para la seguridad de la información. Cuando no se supervisan de forma activa, las cuentas de usuario obsoletas y los controles poco rigurosos en torno al acceso administrativo suponen amenazas para la seguridad de Active Directory y ponen a las organizaciones en riesgo de incumplimiento.
Cumplimiento de la seguridad de la información
Las normativas, como SOX e HIPAA, se crearon para proteger a los consumidores y accionistas, obligando a las organizaciones a auditar Active Directory en busca de comportamientos sospechosos, proteger los registros digitales de usos indebidos y asegurar la información privada de los clientes. Aunque la normativa específica puede variar según el sector, la regla general es la misma: establecer procedimientos y controles que aseguren la información sensible de su empresa. Con tantas leyes que cumplir, es difícil saber qué normativa se aplica a su empresa, así que hemos descifrado las siglas de la normativa para que el cumplimiento sea un poco más fácil de seguir.
SOX: S de Accionista - La Ley Sarbanes-Oxley (SOX) obliga a las empresas que cotizan en bolsa a establecer procedimientos para proteger los registros financieros de la destrucción, pérdida y uso indebido, con el fin de proteger a los accionistas de la empresa y reducir la posibilidad de fraude corporativo. La SOX también exige que la empresa audite e informe sobre estos controles.
PCI: P de Pagos - La normativa Payment Card Industry Data Security Standard (PCI DSS) establece que cualquier empresa que acepte pagos con tarjeta, a través del almacenamiento, procesamiento y transmisión de datos de titulares de tarjetas, debe alojar estos datos de forma segura utilizando un proveedor de alojamiento que cumpla la normativa PCI. Para cumplir la normativa PCI, debe supervisar todos los accesos a los recursos de la red, probar periódicamente los sistemas de seguridad y mantener una política de seguridad de la información.
GLBA: La Ley Gramm-Leach-Bliley (GLBA ), también conocida como Ley de Modernización Financiera de 1999, controla la forma en que las instituciones financieras manejan la información privada de sus clientes. La Norma de Salvaguardias de la GLBA obliga a todas las instituciones financieras a crear, ejecutar y mantener salvaguardias para proteger la información de los clientes. En virtud de esta norma, las instituciones financieras deben identificar los riesgos operativos para los datos de los clientes, aplicar un programa de seguridad de la información y auditar periódicamente el programa de salvaguardias.
HIPAA: H de Salud - HIPAA, la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios, se creó inicialmente para proteger la cobertura sanitaria de las personas que pierden o cambian de trabajo, y ahora ha evolucionado hasta convertirse en un conjunto de normas para asegurar los datos de los pacientes. La HIPAA exige que toda empresa que maneje información sanitaria protegida (PHI) aplique y respete medidas de seguridad físicas, de red y de proceso. La PHI transmitida electrónicamente, o e-PHI, está protegida por la Regla de Seguridad de la HIPAA y las organizaciones deben asegurar esta información identificando y protegiendo contra las amenazas.
FISMA: F de Gobierno Federal - La Ley Federal de Gestión de la Seguridad de la Información (FISMA) fue establecida por el Departamento de Seguridad Nacional con el fin de proteger la información, las operaciones y los activos del gobierno frente a todas las amenazas, naturales o provocadas por el hombre. También establece que las agencias gubernamentales deben implantar herramientas para auditar sus programas de seguridad de la información, probar los procedimientos de seguridad y realizar evaluaciones periódicas de los riesgos.
Auditoría y cumplimiento de Active Directory
Independientemente del sector, este tipo de normativas obligan a las organizaciones a supervisar su entorno de TI para detectar y corregir posibles amenazas. Active Directory State Manager (ADSM) de Semperis ayuda a las organizaciones a mantener la conformidad mediante auditorías en tiempo real y la generación de informes sobre posibles deficiencias, entre otras:
- Auditoría de los cambios de Active Directory : las auditorías gubernamentales exigen que las organizaciones sepan qué cambios se están realizando y quién los está haciendo.
- Identificación de cuentas inactivas habilitadas - Las cuentas obsoletas y no utilizadas suponen un riesgo para la seguridad de Active Directory porque estas cuentas pueden ser explotadas y utilizadas como vectores de violación.
- Seguimiento de las cuentas de usuarios sensibles y con privilegios: el seguimiento de las modificaciones de las cuentas de usuarios sensibles y con privilegios le permite asegurarse de que su empresa cumple las políticas de seguridad de la información implantadas como parte de la normativa de seguridad de la información.
La mayoría de estas normas de seguridad de la información se crearon a raíz de la crisis financiera y los escándalos empresariales que tuvieron lugar a principios de siglo. A medida que aumentan la frecuencia y la escala de los ciberataques, y a la luz de las importantes infracciones del año pasado, las organizaciones se han vuelto más sensibles a las cuestiones de ciberseguridad. Se están estableciendo nuevas normativas para garantizar que las empresas adopten medidas de ciberseguridad para proteger los datos confidenciales de las filtraciones de datos. Para adelantarse a los acontecimientos, es esencial empezar a auditar activamente Active Directory y protegerse contra las amenazas y remediarlas.