lunes, 24 de septiembre de 2018

Auditoría sin gobierno = Jardín sin flores

Image result for audit imageDespués de visitar a clientes, me he dado cuenta (me di cuenta hace muchos tiempo pero no quería reconocerlo…¿por qué sería?) que una solución de auditoría es perfecta para conocer qué está pasando en mis datos: ¿quién ha leído un fichero?, ¿quién ha modificado un datos en una carpeta?, ¿genera un alerta cuando accedan a un recurso con el nombre RRHH?…etc pero si la organización quiere dar un paso adelante (y es bastante normal y forma parte del mapa de ruta de la gente de Seguridad) y gobernar esta información (datos no-estructurados), es decir, poder conocer antes de que se produzca “el delito” (registro de auditoría de acceso a un dato) quién puede acceder a la información, desde dónde, cuándo, qué dato es sensible y cuál no, alertar basado en movimiento de acceso y no en únicamente en nombres de una carpeta…etc estas soluciones están cojas.

La respuesta a estas preguntas están en…SailPoint SecurityIQ

image

La solución, SecurityIQ, complementa a este tipo de soluciones focalizadas en auditoría (a pesar de que SecurityIQ ofrece también un módulo de auditoría en tiempo real de los datos) ofreciendo un gobierno de los datos:

  • ¿Quién ha leído un fichero <confidencial>?
  • ¿Quién ha modificado un dato que <contiene datos de tarjetas bancarias>?
  • Generar una alerta basado en contexto del usuario y tipología de documento modificado (sensible, confidencial…etc)
  • ¿Quién puede acceder a la información? (análisis de permisos)
  • ¿Quién es el propietario de la información?
  • Solicitud de acceso a la información con workflow de aprobación focalizado en negocio.
  • Remediación en tiempo real de brechas de seguridad y comportamientos anómalos en la organización


Los beneficios y capacidades, en color amarrillo, creo que están claros…¿os sentís identificados?


Espero que os sirva de ayuda.

jueves, 24 de mayo de 2018

Falta un día para entrar en vigor RGDP y ¿están de verdad las organizaciones preparadas?

imageA falta de un día para que entre en vigor el nuevo Reglamento General de Protección de Datos (RGDP o GDPR en inglés), seguramente habéis recibido, tanto por correo electrónico como por SMS, notificaciones de proveedores, servicios…etc acerca de la actualización de su política de privacidad. Este mensaje es para adaptarse al “temible” reglamento que entra en vigor mañana 25 de Mayo (parecía que estaba lejos pero ya ha llegado).

imageimage


Esto me hace pensar que las empresas se han puesto manos a la obra (y como veis, un poco tarde desde mi punto de vista pero es que no tienen otra, cierto es) para cumplir con los diferentes artículos relacionados con el tratamiento de datos personales y sobre todo a recoger los consentimiento de todos sus clientes o potenciales clientes. Con esto me surge una duda sobre si realmente la empresa, desde el punto de vista de gestión interna de la información, está adaptada y lista al nuevo reglamento.

Pero ¿Por qué digo esto? Sencillo, todos los consentimientos recogidos por parte de la empresa quedará almacenado muy posiblemente en una base de datos, hasta ahí todo perfecto pero que pasa con los “millones” de procesos que tienen las empresas que exportan los datos de sus clientes a ficheros (CSV, Excel, TXT, PDF…etc) ubicados en sus servidores de ficheros (locales y/o en la nube) y que no tienen relación con su programa de gestión del consentimiento…ahí es donde veo que no existe una adaptación de la empresa como tal al nuevo reglamento ya que está tratando datos de carácter personal “fuera de su control” y sin tener en cuenta qué es lo que ha decido su cliente de acerca de cómo tratar sus datos.

Para dar respuesta a esta situación os propongo desplegar SailPoint SecurityIQ en vuestra organización. SecurityIQ es una herramienta que te permite de forma fácil y sencilla clasificar la información (clasificación automática basado en patrones, palabras clave…etc) en estos repositorios fuera de la base de datos de consentimiento (servidor de ficheros, Google, One Drive, SharePoint…etc) y podder lanzar una alerta en tiempo real que remedie dicho acceso o simplemente que compruebe con la base de datos de consentimiento que ese dato puede utilizarse. Además de auditar en tiempo real, analizar los permisos de acceso, lanzar campañas de certificación de acceso a la información, normalizar los accesos, integración con herramienta de tercero.


Para más información acerca de SecurityIQ


Espero que os sirva de ayuda y sobre todo de reflexión.

jueves, 14 de diciembre de 2017

¿Estamos listos ya para GDPR?

imageQueda menos de 6 meses para la entrada en vigor del GDPR (Reglamento General de Protección de Datos) y nos estamos preguntando, cada vez que recibimos un correo sobre este tema,

¿Por dónde empezar? ¿Está mi compañía lista para GDPR? ¿Qué riesgo corro si no hago nada?

Son demasiadas incógnitas sin resolver y el tiempo para dar respuesta es cada vez menor. Nuestra aproximación desde SailPoint es adoptar, a través de nuestra propuesta "Establece las bases de implantación de GDPR", un marco de referencia para todo el tratamiento de datos focalizado en GDPR y extensible a otras regulaciones/normativas: LODP, PCI-DSS…etc.


Punto de partida

Lo primero es conocer qué es lo que establece la GDPR, en sus artículos tecnológicos, a la hora del tratamiento de los datos:

  • imageArtículo 5: Protección de los datos personales.
  • Artículo 25: Control de acceso granular.
  • Artículos 26, 32 y 35: Establecer patrones de seguridad de los datos personales
  • Artículos 19,33 y 34: Monitorización y detección.
  • Artículos 30 y 35: Cumplimiento con los requisitos de documentación.

Una vez expuesto qué artículos tecnológicos, ya que existen más de 66 artículos relacionados con procesos y 18 con personas, son los afectados en la GDPR, nos enfrentamos a un proyecto dividido en tres fases:

image


Primera fase: conocer qué es lo que “esconde” nuestra compañía a nivel de documentación.

imageExiste un desconocimiento, más del 85% de las empresas lo aseguran, en dónde se encuentran los datos sensibles de la compañía. Este “descontrol” o falta de visibilidad es debido a que las tecnologías de colaboración (Google Drive, OneDrive, SharePoint Online, Exchange Online, Box…etc) se adoptan en las compañías antes de que se realice un estudio previo de qué información tiene que residir en cada uno de estos repositorios.

SecurityIQ permite descubrir y localizar qué existe en cada repositorio y clasificarlo mediante reglas y patrones de tal manera que en un corto período de tiempo (no más de 3 días) tendremos una visibilidad completa de qué contiene la información de nuestra compañía y poder realizar así un análisis de riesgo que permitirá detectar, de forma sencilla, fallos potenciales.

image

Como parte de este descubrimiento, SecurityIQ analizará los permisos de accesos a cada una de estas carpetas/ficheros por permisos directos e indirectos (a través de grupos y anidamiento de grupos).


Segunda fase: implementar técnicas de protección de datos.

imageUna vez que sabemos de antemano qué existe en nuestra compañía estamos en disposición de aplicar técnicas de remediación y controles de cumplimiento sobre estos datos además de establecer quién es el responsable de la información en cada uno de los repositorios/recursos.

SecurityIQ ofrece técnicas para establecer el propietario de la información mediante: actividad de la información en los repositorios, campañas de votación de quién es el propietario de la información y mediante información contextual de la auditoría en tiempo real (departamento del empleado que ha accedido a la información, centro de coste, día y hora...etc).

image

Actividad del recurso y contexto del mismo (departamento, centro de coste…)

image

Cuadros de mandos focalizados en y para el negocio

Otra de las capacidades de SecurityIQ es la creación de campañas de certificación de acceso al dato, focalizadas y desarrolladas para que personas no técnicas puedan acometer dicha tarea sin problema. Esta capacidad da respuesta al artículo 25 de la GDPR.


Tercera fase: Revisión continua.

imageEstablecido unas líneas bases sobre la protección del dato únicamente queda la monitorización y seguimiento de esta información e ir afinando cada uno de los procedimientos y reglas que se han desplegado en fases anteriores.

SecurityIQ permite auditar en tiempo real todas las acciones realizadas en cada uno de los repositorios (nuevo fichero, lectura de …) adoptando así un enfoque de seguridad exhaustivo basado en una protección centrada en los datos.

image

Auditoría en tiempo real de todos los recursos corporativos


imageUna vez aclarado qué pasos tenemos que dar, estamos en disposición de comenzar con el plan de acción: "Establece las bases de implantación de GDPR". Éstas bases consisten en establecer un marco de cumplimiento normativo sencillo, proactivo y focalizado en y para el negocio no quedando fuera de este ámbito otras normativas importantes como la ISO 27001, ISO 36001…etc.


Espero que os sirva de ayuda

martes, 21 de noviembre de 2017

Nos vemos en…

Estaremos presentes en el evento que organiza ISMS Forum “Encuentro de Cloud Security Alliance España”  el próximo 28 de noviembre, de 09.00 a 15.00hs, en el Aula Magna del IE Business School de Madrid (Calle María de Molina, 11. Madrid)

Te espero a las 10:00 en la mesa redonda: Security breaches from in-house to the Cloud donde hablaremos de como afrontar las barreras para la adopción de servicios en la Nube…

image

Más información https://www.ismsforum.es/evento/649/vii-encuentro-de-cloud-security-alliance-espana/

martes, 4 de julio de 2017

SecurityIQ and Microsoft (Azure) Rights Management–Better together: Remediation process

Resultado de imagen de confidential dataOne of the most important important topics in discussions with customers about Information Rights Management (Microsoft IRM) is the need to have a sensitive data discovery, classifiction and remediation plan that allows individuals and administrators to set access permissions to documents, workbooks, presentations, and e-mail messages. This helps prevent sensitive information from being printed, forwarded, or copied by unauthorized people. After policies are put in place to restrict permissions for a file using IRM, the access and usage restrictions for that file are enforced even if the file reaches unintended recipients; access permissions are stored in the document, workbook, presentation, or e-mail message itself and these must be authenticated against the server. IRM is a useful tool, but there are unanswered questions:
    • Where is the sensible data?
    • Where should we apply this restriction?
    • Can we categorize the information?
    • Do we know WHO has access?
    • Is it APPROPRIATE?
    • Can we PROVE it?


Needed VISIBILITY and CONTROL  

image
SecurityIQ is a leading data access governance system that can assist you:


image
  • Data Discovery and Classification
    • Helps answer the question, “Where does the sensitive data reside?”
    • Ensures that sensitive data is located in the correct locations and helps apply more granular permissions with Microsoft RMS RMS.
    • Changing of permissions may not be necessary.
image
  • Permissions Analysis
      • Helps answer the question, “Who has access to what data?”
    image
    • Conducts crowd sourcing campaign to identify data owners of company wide file shares
    image
    • Fine Graned Audit Trail
    • Real-Time Activity Monitoring
    image
    • Implements compliance controls (GDPR, LOPD, HIPAA, PCI, EU GDP, MAS, ITAR…)

    This video shows user access to words confidential document (without RMS, no template applied) before and after SecurityIQ is utilized. SecurityIQ classifies and categorizes the document according to the sensitive data it contains, and then applies a remediation process/plan using an RMS template



    More detail about the use case:


    Scenario

    Medusa, Libellula, Remo and Romulo are internal projects. Access to those projects use a shared PROJECTS folder. There is a confidential folder (Information Protection) that has a summary information about the project with costs, efforts, resources, competitors, benefits, and task durations so It’s very important and relevant information.

    image



    It’s a security breach and customer want to protect the folder with a IRM template applied to project (protected) group (project.protected@lab.sailpoint.com)


    Template

    3 Templates deployed in RMS Server. We’re using Protect RMS File in Remediation process

    image
    image


    Hope this helps

    martes, 27 de junio de 2017

    Video: Active Directory - Control, Auditoría y Remediación en tiempo real

    En el post Active Directory: Control, Auditoría y Remediación en tiempo real describimos un escenario muy típico en los entorno de IT (elevación de privilegios mediante grupos críticos de directorio activo). El siguiente video muestra cómo ante un cambio en el directorio activo SecurityIQ recibe un evento (en tiempo real) con la información legible y cómo da marcha atrás al cambio a través de una ejecución de una alerta. A pesar de no tener audio (prometo que el siguiente video tendrá sonido) es auto-explicativo.




    Resumen del video
    El usuario AdminIAM accede a la consola del directorio activo (a través de run as) y añade al grupo Domain Admins el usuario Alejandro Fernandez. En SecurityIQ se ha definido una política que si existe algún cambio en el grupo Domain Admin, la remediación es eliminar el usuario añadido al grupo y todo esto en tiempo real.





    Espero que os sirva de ayuda

    martes, 20 de junio de 2017

    Active Directory: Control, Auditoría y Remediación en tiempo real

    Resultado de imagen de no tocar imagenesUno de los mayores contratiempos en época vacacional es la ejecución de tareas no autorizadas (entre muchas de ellas se encuentra el añadir usuarios a grupos sensible/administrativos del directorio activo) por parte de los administradores (incluso del departamento de Helpdesk/CAU) para evitar problemas. A priori, el motivo principal es evitar los problemas típicos de permisos/accesos a recursos (destacar que el problema de raíz no es este sino la definición de un modelo de autorización basado en roles y la gestión de éstos en los períodos vacacionales) cuando “el master del universo” está fuera de vacaciones (¿os suena esto?).

    Este tipo de tareas de añadir usuarios a grupos sensibles del directorio activo para así elevar los privilegios es una brecha de seguridad que se evita con un control y remediación en tiempo real de los cambios en directorio activo pero si no se dispone de este tipo de herramientas os aseguro, y no creo que me equivoque, esta acción se realizará.

    Para ello, SecurityIQ permite auditar y controlar en tiempo real los cambios realizados en el directorio activo y disparar una acción correctora (remediar/mitigar) en caso necesario.


    Escenario:

    • Alguien (¿?) añade al grupo Domain Admin el usuario Alejandro Fernandez

    image

    • El cambio es detectado en tiempo real por SecurityIQ y nos da la posibilidad de responder preguntas “tan sencillas” como:
    image image
    • Al detectar un cambio no permitido, se dispara un alerta con la acción correctora, que en nuestro caso es eliminar (campo Attribute Old Value tiene el valor del cambio) Alejandro Fernandez del grupo Domain Admins

    image

    De esta manera, evitamos en todo momento que cambios no deseados en el directorio (con lo que implica) se puedan llevar a cabo.


    Espero que os sirva de ayuda