Para aquellos que han estado bajo un proceso de recibir las visitas de auditores externos para validar el cumplimiento de procesos, siempre hemos experimentado momentos incómodos por así decirlo, pero ahora me quiero dedicar a explicar el beneficio que esto conlleva, te doy más detalles a continuación.
¿De donde viene eso de estar en cumplimiento?
Cada vez que una organización opta por adherirse a un proceso de certificación, el cual requiere para poder competir internacionalmente, para elevar los niveles de calidad y optimización de sus procesos, como las normas ISOS por ejemplo, entre las que podemos mencionar:
- ISO /EIC 9001 Sistema de Gestión de la Calidad (link)
- ISO /EIC 27001 Seguridad de la información (Link)
- ISO /EIC 22301 Gestión de Continuidad de Negocio (Link)
- PCI – Payment Card Industry (Para empresas que manejan tarjetas de crédito)
- COBIT 5
Ok, ya se ahorita te comento de donde la importancia de lo anterior ….
Resulta que para cada uno de los estándares antes mencionado, existen controles que deben de implementarse, herramientas por adquirir para automatizar algunos procesos, dejar evidencias y trazabilidad de las acciones, entre muchas más cosas! esos controles que se implementan deben de ejecutarse con cierta frecuencia, por mencionarte algunos que me toco vivir te cuento:
- Validación de cuentas de usuarios – este es un control en donde debemos de indicar de forma mensual, cuales son las cuentas de usuarios que existen
- Los usurarios creados debe de coincidir con el listado del personal en el sistemas de recursos humanos.
- Si tenemos cuentas de usuarios genéricos (para uso de aplicativos) debemos de llenar un formulario donde se evidencie quien será el responsable para dicha cuenta.
- Autenticación a sistemas críticos – este es un control de ejecución diario, en donde se verifican quienes son los que han ingresado a los servidores que poseen los servicios críticos.
Para mencionar un par de controles, sin embargo sólo por mencionarte en la ISO/EIC 27001 existen casi 42 controles de seguridad, de los cuáles se implementan los que correspondan según los escenarios o sistemas a controlar.
Volviendo al tema inicial, ¿Por qué es importante estar en CUMLIMIENTO? porque estamos demostrando que estamos ejecutando los controles de Calidad/Seguridad en los procesos y/o equipos que administramos, esto como tal brinda la tranquilidad a las operaciones del negocio que todo se está realizando con transparencia.
Lo anterior suena como que esto aplica solo para grandes empresas, sin embargo, en cualquier empresa debemos de estar en cuidado de los sistemas, manejar de la mejor forma la información para evitar fuga o pérdida, incluso cosas como hacer el Checklist Diario de como están los equipos (servidores) es algo que deben de convertir en nuestros controles a ejecutar de forma períodica para garantizar que las cosas están operando bien.
Herramientas a utilizar..!
Sin importar que estés en una empresa grande o pequeña, siempre es bueno utilizar herramientas como las siguientes:
Esta herramienta te permitirá monitorear casi cualquier aplicación, base de dato, servicio o incluso sistema operativo, para garantizar el buen rendimiento de los sistemas. Esta herramienta tiene una edición gratuita que permite monitorear pocas cosas, sin embargo, hay opciones de licenciamiento abierto como ZABBIX o LibreNMS que son muy buenas!
Por favor! que no se les escape hacer respaldos..!! Veeam Backup en su edición Comunitaria permite hacer respaldo hasta para 10 servidores, es muy fácil de utilizar y ayuda en muchas cosas.
Por favor que no los confunda el nombre! 🙂 … este es un Virtual Appliance que puedes desplegar dentro de tu infraestructura de VMWARE para la recolección de los LOGs de una forma centralizada. Si no posees VMWare también puedes optar por un Kiwy SysLog Server gratuito de Solarwinds para tener un lugar central para el análisis de los Logs de los servidores.
La Documentación de los Procesos debemos de alojarlos en una ubicación compartida que nos permita manejar versiones, para poder llevar de una forma fácil los cambios que estamos realizando sobre los documentos, para esoMicrosoft SharePoint es una excelente alternativa.
Si te toca Proteger las Cuentas Privilegiadas como los usuarios ROOT o ADMINISTRATOR para garantizar que sólo ciertos usuarios pueden tener acceso o incluso grabar el video de lo que se realice con dichas cuentas, algunas alternativas que podrías utilizar seríam: ManageEngine Password ManagerPro, CyberArk y BeyondTrust Privileged Remote Access
Resumiendo:
- Debes de implementar controles para el manejo de tus operaciones o sistemas, esto te dará la visibilidad de cómo se están desarrollando todo.
- No importa si adoptas un estándar formalmente, analiza e investiga de qué trata cada uno y evalúa que te convendría implementrar para elevar tus niveles de seguridad y control en tu administración.
Si tienes consultas al respecto… será un placer poderte ayudar al respecto!
Exitos y bendiciones..!