Información sobre seguridad McAfee

Información sobre seguridad McAfee

La guía práctica para el cumplimiento normativo

Las empresas de servicios financieros hoy en día deben aprovechar las tecnologías de seguridad y los productos de gestión de contenidos seguros para que les ayuden a cumplir y mantenerse al día en la normativa vigente, como por ejemplo la Health Insurance Portability and Accountability Act (HIPAA) (Ley de portabilidad y responsabilidad sobre seguros sanitarios), la Ley Sarbanes-Oxley o la Ley Gramm-Leach-Bliley Act (GLBA). Las empresas de servicios, como las empresas de inversiones, los bancos comerciales y minoristas, y las compañías de seguros -o incluso las empresas que ofrecen servicios como hosting al sector de los servicios financieros- deben cumplir esta normativa.

Cada normativa regula una cuestión distinta y tiene sus propios requisitos de cumplimiento básicos; sin embargo, la normativa no dice exactamente a las empresas de servicios financieros lo que tienen que hacer para poder cumplirlas.

El triángulo "CID"

La normativa actual se centra en distintas áreas del “triángulo CIA”—, por las siglas en inglés de confidencialidad, integridad y disponibilidad. Por ejemplo, la Ley Sarbanes-Oxley, aprobada por el Congreso de Estados Unidos en 2002, fija a los primeros ejecutivos y a los primeros ejecutivos financieros como responsables de la exactitud de los informes de cuentas.

“La Ley Sarbanes-Oxley se basa en la integridad al hacer que los informes de cuentas sean completos y exactos, o al menos, en asegurar que los controles de esos informes sean precisos”, afirma Peter Schawacker, departamento de formación en seguridad de McAfee.

Por otro lado, la Ley Gramm-Leach-Bliley, aprobada en 1999, regula lo que las empresas de servicios financieros pueden hacer con la información confidencial de los clientes y los datos que pueden recopilar como parte de sus funciones de asesoramiento en materia de inversión. “Esta ley también incluye la confidencialidad, porque se supone que las empresas deben garantizar que se extienda un muro entre el área de fusiones y adquisiciones y la de gestión de activos”, puntualiza Schawacker.

La Ley HIPPA, aprobada en 1996, se centra en la protección de los datos sobre pacientes y cubre los tres puntos del triángulo CID. Esta Ley afecta especialmente a los proveedores de seguros y a otras empresas que trabajan con historias médicas de pacientes. “La privacidad es algo de lo que a todo el mundo le gusta hablar, pero también hay que hablar de integridad y disponibilidad”, apunta Schawacker. “Por ejemplo, es importantísimo evitar la mezcla de medicamentos, pero también es esencial que una persona que acude a realizarse una intervención quirúrgica de emergencia tenga todos sus datos.”

La Ley HIPAA no sólo afecta a proveedores de asistencia sanitaria y a la compañías aseguradoras. De hecho, la legislación obliga a todas las empresas que utilicen información sobre pacientes a cumplir la normativa en materia de privacidad de la HIPAA. Entre estos, encontramos a los empresarios que ofrecen prestaciones de atención sanitaria a sus empleados, a las instituciones financieras que pueden actuar como certificadores de transacciones, lo que convierte a las transacciones no convencionales en transacciones convencionales y viceversa, por ejemplo.

En primer lugar, dotarse de una buena seguridad; en segundo lugar, verificar si se cumplen las normativas

A lo largo de los años, muchas de las empresas de servicios financieros han venido realizado acciones para cumplir las normativas, incluso antes de que se aprobaran las leyes. Las empresas más consolidadas han decidido crear primero un buen programa de seguridad y luego comprobar si cumplían la ley, afirma Schawacker. “La normativa sólo dice a la gente que haga lo que ha venido haciendo durante años, y por eso les ha sido tan fácil a las empresas de servicios financieros cumplirla.”

Las leyes son vagas en términos de lo que las empresas deben hacer realmente para cumplirlas. “La razón por la que algunas leyes son tan vagas es porque deben poder aplicarse a empresas de muy distinta índole”, dice Schawacker. “La Ley HIPAA y la Ley GLBA son más precisas porque cada una de ellas afecta a un mercado concreto. Cuanto más específico sea el sector, más específicas serán las exigencias. En su mayoría, las empresas sólo deben demostrar su diligencia en los esfuerzos realizados e inspirarse en la Ley.”

Mientras que la normativa actual es dispar en términos de sus propuestas y sus exigencias de cumplimiento, no tienen nada en común: Las empresas que quieran cumplir estas leyes necesitan, indiscutiblemente, sistemas seguros.

En lo que tendría que centrarse una empresa —en cualquier sector— es en garantizar que cuenta con una cantidad suficiente de controles de seguridad implantados par empezar y, a continuación, lo único que debe hacer es, en materia de cumplimiento de las leyes Sarbanes-Oxley y GLBA es documentar esos controles. La Ley HIPAA es otra historia, porque no es un problema de cumplimiento basado en auditorías. Necesita una empresa que controle su seguridad.

Sea lo que sea lo que las empresas decidan hacer para cumplir y seguir cumpliendo esta normativa, todas ellas deben ser capaces de justificar sus esfuerzos mediante documentación, informes fiables y una buena auditoría de su contenido. “Se trata de documentación, documentación y documentación”, puntualiza Schawacker, “y puede adoptar la forma de archivo de mensajes, informes sobre uso y la capacidad de generar algún tipo de documentación sobre el estado de la configuración de los controles en un momento dado.”

Las empresas también deberían desarrollar estrategias de gestión de riesgos para que puedan priorizar sus recursos en centrarse en las grandes amenazas para su negocio. Los equipos de seguridad pueden medir el riesgo estimando el valor de los activos de información y su vulnerabilidad, y evaluando la amenaza real para el propio activo.

En realidad, se trata de mostrar que has hecho todo lo que has podido por cumplir la normativa, afirma Mark Harris, director de ingeniería de McAfee. “McAfee ® ePolicy Orchestrator ® (ePO™) puede realizar informes sobre la cobertura para garantizar que todo el mundo está actualizado. El System Compliance Profiler (SCP), que forma parte integral de ePO, puede buscar las últimas versiones de los parches instalados”, afirma. “De nuevo, es cuestión de ser capaces de probar que estamos haciendo todo lo que podemos por mantener nuestros ordenadores y nuestra sala de control en cumplimiento y que producimos datos que dan fe de ello.”

Es cuestión de cumplimiento, añade Harris, es trazabilidad y ser capaces de controlar de lo que se informa y de lo que no se informa. “Tenemos la gama de productos para mensajería segura. Todos los productos comparten alguna función común que permite entrar y buscar en mensajes de correo electrónico, archivos adjuntos, documentos de Word y hojas de cálculo, y escudriñar el texto para buscar palabras clave", puntualiza Harris.

“Puede configurar normas que eviten que esa información salga de sus empresas o puede entrar en cualquier correo electrónico que se envíe con alguna palabra o frase clave en el mensaje del correo o en el archivo adjunto”, explica Harris. “Puede hacerlo para una empresa entera o para ciertas personas dentro de ella.”

Schawacker añade que toda la tecnología que pueda producir informes completos de configuración va a ayudar a las empresas de servicios financieros a conseguir mayores niveles de responsabilidad, transparencia y medición, todos ellos conceptos esenciales para el cumplimiento de la normativa. “En toda la normativa es necesario algún tipo de matriz de activos que hay que unir, y una protección robusta del sistema —de lo que ePO forma parte— es ideal para ello”, afirma.

Otro programa que ofrece McAfee, la solución para gestión de las vulnerabilidades McAfee® Foundstone® Enterprise, también es muy útil para las empresas de servicios financieros que quieran cumplir la normativa. Esta solución de seguridad para empresas, diseñada para gestionar y solucionar los riesgos asociados a las vulnerabilidades digitales, trabaja para proteger la infraestructura de la red mediante el descubrimiento, inventario y priorización de activos, la información y correlación de amenazas y el seguimiento y generación de informes de reparaciones. El módulo de correlación de amenazas de Foundstone Enterprise permite a los clientes realizar un seguimiento del progreso contra una amenaza concreta a lo largo del tiempo, lo que les permite garantizar que cumplen las políticas internas y las legales.

Desde que se redactó este artículo, McAfee ha presentado nuevos productos que ofrecen capacidades parecidas. Si desea más información, consulte nuestros productos.

Obtenga más información

Infórmese de cómo las soluciones de gestión de la vulnerabilidad McAfee Foundstone Enterprise pueden ayudarle a cumplir la normativa.