Nociones de seguridad de McAfee

Nociones de seguridad de McAfee

Una guía práctica para cumplir niveles de conformidad

Hoy en día, las empresas de servicios financieros deben sacar partido de las tecnologías de seguridad y de los productos de administración segura de contenido para lograr y mantener el cumplimiento de las regulaciones actuales como la Ley de Portabilidad y Contabilidad de los Seguros de Salud (HIPAA), la ley Sarbanes-Oxley y la ley Gramm-Leach-Bliley (GLBA). Las empresas de servicios financieros como firmas de inversiones, bancos minoristas y comerciales y proveedores de seguros, o incluso empresas que ofrecen servicios como hosting para la industria de servicios financieros, deben cumplir con estas regulaciones.

Cada regulación aborda un asunto diferente y tiene sus propios requisitos básicos para el cumplimiento; sin embargo, las regulaciones no indican explícitamente a las organizaciones de servicios financieros qué hacer con exactitud para lograr el cumplimiento.

El triángulo CID

Las regulaciones actuales se concentran en diferentes áreas de lo que se denomina el “triángulo CID”: confidencialidad, integridad y disponibilidad. Por ejemplo, la legislación Sarbanes-Oxley aprobada por el congreso de Estados Unidos en 2002 sostiene que los CEO y los CFO de una empresa son personalmente responsables de la exactitud de sus informes financieros.

“La ley Sarbanes-Oxley trata acerca de la integridad, pues garantiza que los informes financieros sean completos y precisos o al menos se asegura de que los controles que los producen sean precisos”, señala Peter Schawacker, evangelista de seguridad de McAfee.

Por otra parte, la ley Gramm-Leach-Bliley, aprobada en 1999, regula lo que las empresas de servicios financieros pueden hacer con la información personal confidencial que recopilan como parte de sus actividades de asesoría de inversiones. “Esto abarca la confidencialidad, porque se supone que, por ejemplo, las empresas deben asegurarse de que haya una muralla entre M&A y las áreas de corretaje”, afirma Schawacker.

La ley HIPAA, aprobada en 1996, se concentra en la protección de los datos del paciente y abarca los tres puntos del triángulo CID. HIPPA es particularmente pertinente para los proveedores de seguros y otras empresas que procesan registros médicos de pacientes. “A todos les gusta hablar sobre la privacidad, pero también están presentes la integridad y la disponibilidad”, señala Schawacker. “Por ejemplo, es esencial evitar que se mezclen los medicamentos y también hacer que alguien que ingrese a una cirugía de emergencia pueda recibir todos sus exámenes.”

No sólo los proveedores de salud y las empresas de seguros se ven afectadas por la HIPAA. De hecho, la legislación exige que cualquier empresa que maneje información sobre pacientes cumpla con la regla de privacidad de la HIPAA. Esto incluye a los empleadores que ofrecen beneficios de atención de salud a sus empleados, al igual que a las instituciones financieras que pueden actuar como cámaras de compensación para las transacciones, convirtiendo las transacciones no tradicionales en transacciones estándar y viceversa, por ejemplo.

Primero construya una buena seguridad, luego preocúpese del cumplimiento

Muchas empresas de servicios financieros se han preocupado del cumplimiento de las regulaciones durante bastante tiempo antes de la promulgación de estas leyes. Las organizaciones más maduras han hecho suyo el enfoque de construir un sólido programa de seguridad primero y luego hacerse cargo del cumplimiento, declara Schawacker. “Las regulaciones sólo le dicen a la gente que hagan lo que deberían haber hecho durante años, y esa es la razón por la cual es más fácil el cumplimiento para las empresas de servicios financieros.”

Las leyes son imprecisas en términos de qué tienen que hacer las empresas para alcanzar verdaderamente el cumplimiento. “La razón por la que algunas regulaciones son así de imprecisas es que tienen que aplicarse a muchos tipos distintos de organizaciones”, afirma Schawacker. “HIPAA y GLBA son más específicas porque abordan un mercado vertical. Mientras más específica la industria, más específicos serán los requisitos. En su mayoría, las organizaciones simplemente necesitan mostrar la debida diligencia en sus esfuerzos y regirse por el espíritu de la ley.”

A pesar de que las actuales regulaciones son diferentes en términos de sus propósitos y requisitos de cumplimiento, sí tienen algo en común: las empresas que buscan cumplir con estas regulaciones necesitan indiscutiblemente contar con sistemas seguros.

En lo que una empresa debería enfocarse, en cualquier industria, es asegurarse de tener implementado un buen conjunto de controles de seguridad y luego todo lo que debe hacer respecto a las regulaciones centradas en auditorías, como Sarbanes-Oxley y GLBA, es documentar aquellos controles. HIPAA es otra historia, porque no es un problema de cumplimiento orientado a la auditoría. Exige que la empresa operacionalice su seguridad.

Sin importar lo que la empresa decida hacer para alcanzar y mantener el cumplimiento de las normas, es necesario que pueda justificar sus esfuerzos a través de documentación, informes confiables y una buena auditoría de contenido. “En realidad, todo gira en torno a la documentación”, indica Schawacker, “y esto se puede realizar al archivar mensajes, redactar informes sobre el uso y poder generar algún tipo de documentación sobre el estado de la configuración de controles de un momento a otro”.

Las empresas también deben desarrollar estrategias de administración de riesgos de modo que prioricen sus recursos para concentrase en las grandes amenazas para sus negocios. Los equipos de seguridad pueden medir el riesgo al considerar el valor y vulnerabilidad de los activos de información y evaluar la amenaza real para dichos activos.

"Verdaderamente se trata de demostrar que se ha hecho el mayor esfuerzo por cumplir", explica Mark Harris, Director de ingeniería de McAfee. “McAfee ® ePolicy Orchestrator ® (ePO™) puede mostrar informes de cobertura para asegurarse de que todos estén al día. System Compliance Profiler (SCP), parte integral de ePO, puede analizar las versiones más recientes de los parches instalados”, declara. “Nuevamente, se trata de poder comprobar que está haciendo el mayor esfuerzo para mantener sus equipos y su sala de control en cumplimiento y producir los datos para probarlo.”

Parte del cumplimiento, agrega Harris, es la capacidad de rastreo y poder controlar lo que se comunica y lo que no. “Tenemos la línea de productos de mensajería de contenido seguro. Todos los productos comparten una funcionalidad que puede analizar el contenido de mensajes de correo electrónico, archivos adjuntos, documentos de Word y hojas de cálculo y extraer el texto y buscar palabras clave”, indica Harris.

“Puede establecer reglas que bloqueen la salida de dicha información de la organización o puede registrar cualquier correo electrónico saliente que contenga palabras clave o frases en el mensaje de correo electrónico mismo o en el archivo adjunto”, explica Harris. “Puede hacerlo para una organización completa o para individuos clave dentro de la empresa.”

Schawacker agrega que cualquier tecnología que pueda producir informes de configuración integrales ayudará a las empresas de servicios financieros a lograr mayores niveles de responsabilidad, transparencia y capacidad de medición, todos elementos clave para el cumplimiento. “En cada una de estas regulaciones, deberá recopilar una especie de matriz de activos y la protección contra sistemas engañosos, parte de ePO, es ideal para ello”, declara.

Otra oferta de McAfee, la solución de administración de vulnerabilidades de McAfee® Foundstone®Enterprise, también es valiosa para las iniciativas de cumplimiento de las empresas de servicios financieros. La solución de seguridad de clase empresarial, diseñada para administrar y mitigar los riesgos comerciales asociados a las vulnerabilidades digitales, funciona para proteger la infraestructura de la red a través del descubrimiento, inventario y priorización de activos, la inteligencia para manejar las amenazas y el registro y generación de informes sobre correlación y reparación. El Módulo de correlación de amenazas de Foundstone Enterprise permite a los clientes llevar un registro del progreso contra amenazas específicas en el tiempo y con esto asegurarse de cumplir las políticas de cumplimiento internas y regulatorias.

Desde que se escribió este artículo, McAfee introdujo nuevos productos que ofrecen capacidades similares. Consulte la información adicional en la sección de productos.

Obtenga más información

Aprenda cómo las Soluciones de administración de vulnerabilidades de McAfee Foundstone Enterprise pueden ayudarlo a lograr el cumplimiento.