Krypton Solid

La última tecnología en raciones de 5 minutos

Consideraciones sobre el cumplimiento del control de acceso y el gobierno corporativo

Por Stephen J. Bigelow, escritor senior de tecnología

La mayoría de las empresas se ven afectadas por las obligaciones de cumplimiento normativo. Algunas organizaciones están sujetas a regulaciones específicas de la industria, como HIPAA o PCI, mientras que todas las empresas que cotizan en bolsa deben cumplir con Sarbanes-Oxley (SOX) y otras regulaciones generales. Aunque existen más de 10,000 regulaciones diferentes que pueden afectar a su cliente, todas tratan de proteger la seguridad de los datos de su cliente. En consecuencia, los proveedores de soluciones deben incluir consideraciones de cumplimiento en cualquier proyecto de control de acceso.

La primera entrega de este tutorial de Hot Spot presentó los conceptos básicos del control de acceso, las identidades y la autenticación. El segundo capítulo cubrió cuestiones de gestión y consideraciones comerciales para los proveedores de soluciones. Esta sección final se centra en las consideraciones de cumplimiento para el control de acceso.

Demandas de cumplimiento de control de acceso

Los proyectos de control de acceso pueden ser un desafío para los proveedores de soluciones. La implementación exitosa implica el despliegue de tecnologías físicas y la configuración y gestión de reglas y políticas. El sistema resultante debe cumplir con los requisitos de la regulación de cumplimiento que afectan el negocio del cliente. «No puedo pensar en una regulación de cumplimiento específica que no incluya el control de acceso», dijo Robi Papp, gerente de cuentas estratégicas de Accuvant Inc., una consultora de seguridad nacional con sede en Denver. «Todos los marcos de cumplimiento tienen una sección específica sobre autenticación y control de acceso».

Las regulaciones de cumplimiento no afectan la selección e implementación de tecnologías de control de acceso o la configuración o administración del sistema resultante. Más bien, es el resultado final del proyecto de control de acceso el que debe resistir el escrutinio del cumplimiento. Por ejemplo, una regulación puede requerir la inclusión de controles de acceso y delinear los objetivos de ese recurso, pero no especificará productos o configuraciones particulares. Los proveedores de soluciones son libres de adaptarse a las circunstancias únicas de cada cliente, siempre que el sistema de control de acceso resultante cumpla con los objetivos de cada regulación de cumplimiento.

Los proveedores de soluciones dedicados al control de acceso deben conocer y comprender las necesidades de cada regulación, así como las necesidades del cliente, un objetivo difícil incluso para los profesionales de canales más experimentados. Los proveedores también deben ser capaces de resolver posibles conflictos entre normativas superpuestas, que a menudo utilizan el «mínimo común denominador» entre normativas. Por ejemplo, si un cliente se ve afectado por tres regulaciones principales, cada una con diferentes períodos de auditoría, el proveedor puede seleccionar el período de auditoría más frecuente para cumplir con todas las regulaciones.

Los proveedores de soluciones deben conocer la ley de cumplimiento y las posibles sanciones que enfrentan sus clientes. Muchos proveedores emplean a un abogado para aclarar las responsabilidades de cumplimiento. «Es un área en la que simplemente no se puede ser un tecnólogo; hay que profundizar y comprender las ramificaciones legales», dijo Dave Sobel, director ejecutivo de Evolve Technologies, un proveedor de soluciones en Fairfax, Virginia. Sobel dijo que un asesor legal informado se beneficia tanto el proveedor como el cliente. «En general, proteger a su cliente y protegerse a sí mismo no tienen que ser mutuamente excluyentes», dijo Sobel. «En esta área, ciertamente se alinean muy de cerca». Muchos proveedores optan por trabajar con empresas que se especializan en cumplimiento, auditoría y los aspectos legales del gobierno corporativo.

Las herramientas de gobernanza, riesgo y cumplimiento (GRC) ayudan a asignar los controles y procesos comerciales internos a los requisitos reglamentarios, lo que permite a los proveedores (y a sus clientes) identificar anomalías que se pueden abordar. Algunos productos notables incluyen Archer Solutions de Archer Technologies, Polivec EGS de Polivec Inc., Paisley Enterprise GRC de Paisley, software GRC de Kazeon Systems Inc. y ControlPath Compliance Suite de ControlPath Inc.

Responsabilidades de cumplimiento de control de acceso

Entonces, ¿qué sucede si su cliente no pasa una auditoría de cumplimiento o sufre una violación de seguridad a través de los controles de acceso que configuró? Las responsabilidades específicas que enfrentan los proveedores de soluciones son difíciles de medir porque hay muchos factores involucrados y los estatutos pueden variar entre ubicaciones en todo el mundo. «Al actuar como un asesor de confianza informado, está proporcionando orientación a sus clientes, y ellos van a aprovechar eso y potencialmente exponerlo a riesgos», dijo Sobel. Un proveedor de soluciones debe consultar con un asesor legal para obtener orientación sobre todos los aspectos de la responsabilidad empresarial, pero existen algunas consideraciones que pueden ayudar a mitigar sus riesgos.

Como proveedor de soluciones, reconozca cualquier brecha en su experiencia colectiva o conjunto de habilidades que pueda exponerlo a responsabilidades. La mayoría de los proveedores de soluciones tienen poca experiencia tangible en cuestiones de cumplimiento, y esto debe tenerse en cuenta al realizar propuestas de trabajo. «Puedo garantizar que la primera vez que un cliente no cumpla [audit] debido a alguna solución que les vendió, o querrán que les devuelvan su dinero, querrán más servicios o ciertamente no volverán a trabajar con usted «, dijo Andrew Plato, presidente de Anitian Enterprise Security, un proveedor de soluciones de seguridad. con sede en Beaverton, Ore.

Algunos proveedores de soluciones abordan las deficiencias contratando ingenieros de personal que se especializan en ciertas regulaciones de cumplimiento, mientras que otros proveedores miran fuera de su organización. «Si los proveedores de soluciones sienten que no están en condiciones de ser expertos en cumplimiento, busque una empresa que lo sea y asóciese con ellos», dijo Platón, y señaló que los clientes pueden realizar «autocertificaciones» internas para el cumplimiento de rutina. verificaciones, pero es mejor contratar a una firma independiente para que proporcione una auditoría que esté libre de cualquier sesgo interno que pueda tener un proveedor de soluciones. Las auditorías de cumplimiento completas deben realizarse a intervalos anuales, a menos que haya una infracción o algún otro evento que provoque auditorías adicionales.

Algunos expertos recomiendan criterios de auditoría más agresivos. «Las auditorías deben realizarse al menos semestralmente, siempre que cambien los mandatos o requisitos de cumplimiento, siempre que cambie el personal, siempre que se actualicen las infraestructuras tecnológicas o siempre que se desarrollen e introduzcan aplicaciones en la organización», dijo Allen Zuk, presidente y director ejecutivo de Sierra Management Consulting LLC, una firma consultora de tecnología independiente.

Confíe en su contrato o acuerdo de trabajo para delinear sus obligaciones y limitar las responsabilidades siempre que sea posible. Es fundamental definir las obligaciones para que se puedan cumplir adecuadamente. «Quieres ser muy claro», dijo Sobel. «Para eso es un contrato de servicio: definir esas obligaciones». Junto con un acuerdo de trabajo bien desarrollado, los proveedores de soluciones deben generar y conservar la documentación del proyecto que describa el trabajo realizado y las razones detrás de él. La documentación puede ser una prueba clave en un litigio. «Eso es lo que buscarán los tribunales en términos de intención en torno a lo que se hizo», dijo Sobel.

Platón argumentó que los proveedores de soluciones no deberían asumir ninguna responsabilidad, colocando la responsabilidad sobre los propios clientes para garantizar que se satisfagan sus intereses. «Si Joe’s Networking Services no hace un buen trabajo implementando controles para el cumplimiento, y el cliente no cumple con PCI, al auditor no le importa que Joe haya hecho un mal trabajo», dijo Platón. «Realmente le corresponde al cliente asegurarse de que sus proveedores de servicios estén haciendo un buen trabajo».

Oportunidades de ingresos para el control de acceso y el cumplimiento

Los proveedores de soluciones pueden generar ingresos durante las fases de evaluación e implementación de la implementación del control de acceso. La configuración de reglas y políticas se incluye con la implementación, aunque los proveedores pueden obtener ingresos adicionales a través de revisiones periódicas de la configuración y el mantenimiento de rutina de la lógica de control de acceso.

También existen oportunidades de ingresos en la auditoría de registros y los servicios de auditoría de cumplimiento. La auditoría de registros implica la revisión de informes y datos de registros generados por el sistema de control de acceso. El objetivo es identificar configuraciones incorrectas (por ejemplo, usuarios o grupos a los que se les han otorgado derechos innecesarios o excesivos) junto con investigaciones de anomalías que buscan usuarios que intentan acceder a recursos inapropiados. Los resultados de esos análisis pueden traducirse en un nuevo trabajo de actualización o retroalimentación al cliente para su acción correctiva.

También existe una demanda de trabajo de auditoría que se centre en cuestiones de cumplimiento. «También hay bastantes actores de nicho más pequeños que se enfocan únicamente en el aspecto de auditoría de cumplimiento con una especialidad central en seguridad de la información, que abarca el control de acceso», dijo Zuk. Tanto los clientes como los proveedores de soluciones generales se asociarán con estos especialistas para verificar el cumplimiento. Sin embargo, el trabajo de auditoría de cumplimiento requiere sólidas habilidades analíticas y de evaluación, junto con una comprensión profunda de los mandatos de cumplimiento que afectan al cliente.

Independientemente del tipo de auditoría, los clientes deben comprender la cantidad de reparación que proporcionará el proveedor de la solución; esto puede ser fundamental en términos de cumplimiento. «Si desea que un proveedor venga y audite en función de un determinado marco de cumplimiento, es posible que no cobren mucho, pero es posible que no lo ayuden a solucionar sus problemas», dijo Papp. «Los clientes optarán por el precio más bajo, pero luego no están satisfechos con el trabajo». Dado que muchos clientes (especialmente los clientes en el espacio de las PYMES) pueden no tener la experiencia o las credenciales para realizar auditorías de cumplimiento por sí mismos, es una buena inversión contratar a un proveedor que también pueda corregir las deficiencias.

Deja un comentario

También te puede interesar...

Las 6 mejores sillas de rodilla para negocios en 2022

Investigamos, probamos, revisamos y recomendamos de forma independiente los mejores productos. Obtenga más información sobre nuestro proceso. Si compra algo a través de nuestros enlaces, podemos ganar una comisión. Un espacio de trabajo ergonómico es

Repita la definición de ventas

¿Qué son las ventas repetidas? Las ventas repetidas son compras que los clientes hacen para reemplazar los mismos artículos o servicios que compraron y consumieron previamente. Las ventas repetidas son un ejemplo de lealtad a

Microsoft Allchin: Vista no necesitará antivirus

El copresidente de Microsoft, Jim Allchin, ha sugerido que algunos usuarios de Vista no necesitarán ejecutar software antivirus de terceros. Allchin hizo las declaraciones en una conferencia telefónica con periodistas el miércoles. betanews.com. Dijo que

6 beneficios clave del comercio sin cabeza

Hace unas décadas, las plataformas tradicionales de comercio electrónico cambiaron la forma en que las empresas vendían bienes y servicios, y las empresas pueden esperar que el comercio autónomo continúe esa tradición al equipar a

Samy abre un nuevo frente en la guerra de los gusanos

El gusano Samy, descubierto recientemente, es uno de los primeros en explotar una vulnerabilidad de secuencias de comandos entre sitios, una técnica que los expertos en seguridad temen que pueda utilizarse para abrir un nuevo

Cómo dividir un archivo MP3

¿Necesita dividir una grabación de una conferencia o una conferencia en MP3 en dos partes, pero no quiere involucrarse en aplicaciones de edición de audio profesionales que son demasiado complejas para lo que necesita? ¿Quiere

Nokia abre la Tienda Ovi en todo el mundo

Apple puso el listón con la primera tienda de aplicaciones utilizable en el iPhone, luego Google tenía Android Market, y BlackBerry siguió con BlackBerry App World. Nokia ahora se une a la fiesta con anuncio