DESCRIPCIÓN GENERAL DE LA SOLUCIÓN
Agilice las auditorías de cumplimiento con el marco GRC adecuado
Apartarse de las normas de gestión, riesgo y cumplimiento puede resultar costoso. Entre agosto y octubre de 2020, una oficina del Departamento del Tesoro de Estados Unidos impuso multas por valor de 625 millones de dólares a importantes instituciones financieras.
Agilizar el proceso de auditoría
Nunca se sabe cuándo va a empezar la próxima auditoría. Cuando lo haga, puede perder el tiempo y el trabajo de un ingeniero a tiempo completo durante un máximo de seis meses, que tendrá que hacer el trabajo de investigación y prueba de conformidad necesario.
Desgraciadamente, hay muchos casos en el mundo real en los que la OCC puede multar a las organizaciones, como ha hecho recientemente con un importante banco estadounidense por valor de 85 millones de dólares. En sus conclusiones citaron:
- El banco no ha implantado ni mantenido un programa eficaz de gestión del riesgo de cumplimiento y un programa eficaz de gobernanza del riesgo sobre la tecnología de la información acorde con el tamaño, la complejidad y el perfil de riesgo del banco.
Mantenerse dentro de los estándares de gobernanza, riesgo y cumplimiento puede ser difícil, pero no debería impedirle alcanzar los objetivos críticos del negocio. Con F5, puede agilizar el proceso de auditoría, y esto empieza por tener una ciberseguridad madura.
Figura 1: Este diagrama destaca los componentes críticos para lograr una ciberseguridad madura, un ingrediente clave para el cumplimiento de la normativa.
Características principales
Visibilidad detallada de los vectores de riesgo de auditoría
Los pequeños problemas pueden permanecer ocultos hasta que es demasiado tarde. Y cuando eso ocurre, los auditores ya han impuesto multas costosas o han asignado un tedioso trabajo de prueba de conformidad. Al visualizar sus aplicaciones como un todo, puede encontrar y aislar o resolver rápidamente los problemas antes de que se conviertan en algo más grande, sin importar dónde se esconda el problema.
Asistencia de eficacia probada en el sector de F5
El apoyo de F5, de eficacia probada en el sector, puede guiarle en la creación de las normas y procedimientos críticos necesarios para preparar mejor a su organización para las auditorías de todo tipo. También podemos estar a su lado durante las reuniones con los auditores para ayudar a profundizar en los temas de cumplimiento.
Soluciones listas para el cumplimiento desde el primer momento
Los auditores esperan un mayor grado de madurez cibernética de las instituciones de servicios financieros. El cumplimiento no suele ser suficiente. Las soluciones de F5 han sido diseñadas específicamente para impulsar un alto nivel de madurez cibernética, impresionar a los auditores y, por lo tanto, minimizar la fricción y el estrés causados por las auditorías.
El cumplimiento es más que una casilla de verificación
Para agilizar eficazmente el proceso de auditoría hay que ser proactivo. El enfoque correcto y las soluciones de aplicación son fundamentales. F5 tiene una amplia gama de productos y servicios que pueden ayudar.
Productos |
Cómo ayudan |
| BIG-IP Access Policy Manager | Control de acceso, SSL VPN |
| BIG-IP Advanced Firewall Manager | Controles de firewalls, segmentación, acceso |
| BIG-IP Application Security Manager/Advanced WAF® | Seguridad de las aplicaciones, vulnerabilidades (WAF es obligatorio para el cumplimiento de PCI DSS) |
| BIG-IQ Centralized Management | Plataforma de gestión, gestión de la configuración, telemetría, registro |
| Servicios de Cloud | DNS, DNS Load Balancer, Essential App Protect: proporcionan controles de seguridad, análisis y visibilidad para los reguladores y auditores, experiencia y apoyo. |
| BIG-IP DNS | Seguridad de DNS (propenso a ataques) |
| NGINX Controller | NGINX Ingress Controller es una solución de gestión de tráfico de primera clase para aplicaciones nativas de la nube en entornos Kubernetes y en contenedores. |
| NGINX Plus | Acceso, registro, WAF |
| Shape | Prevención de fraudes, protección contra bots, opciones de denegación/engaño |
| Silverline | SOCS, mitigación de DDoS, seguridad de aplicaciones, protección frente a bots, gestión de la configuración (WAF es obligatorio para el cumplimiento de PCI DSS) |
| SSL Orchestrator | Visibilidad, descifrado SSL a escala |
| Secure Web Gateway | Pasarela web, acceso externo, filtración de datos |
Creación y gobernanza de normas y procedimientos
Los expertos de F5, de probada eficacia en el sector, pueden guiarle para crear las normas y procedimientos críticos necesarios para preparar mejor a su organización para las auditorías de todo tipo. Sin un enfoque excesivo en el cumplimiento y la vigilancia continua, las organizaciones a menudo pueden quedarse cortas en las regulaciones y normas de cumplimiento críticas, como en los procesos de validación del Estándar de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS).
Una metodología de aplicación rediseñada es la clave
Intentar crear y ofrecer aplicaciones modernas y cómodas utilizando la infraestructura heredada presenta retos y limitaciones, especialmente si se tienen en cuenta los requisitos de cumplimiento. A medida que las instituciones avanzan en su transformación digital, una arquitectura de aplicaciones empresariales (EAA) flexible y extensible puede ayudar a impulsar la coherencia y la alineación para apoyar los resultados a escala, un requisito clave para satisfacer las expectativas en torno a la seguridad, el rendimiento y la fiabilidad de las aplicaciones.
Un enfoque de EAA evolucionado alinea los esfuerzos de innovación con la estrategia empresarial y apoya la fácil integración de las tecnologías emergentes para ayudar a las organizaciones a seguir siendo ágiles. Con la EAA adecuada, los desarrolladores están más capacitados para ofrecer aplicaciones modernas de forma rápida y segura, independientemente de la ubicación o el dispositivo, y cumpliendo con las normas y regulaciones.
Paso 1: Alinear los objetivos de la EAA y la empresa, y determinar el equilibrio adecuado entre innovación, agilidad y riesgo.
Paso 2: Hacer un inventario de aplicaciones. Contabilizar todas las aplicaciones del portfolio de la empresa.
Paso 3: Evaluar el riesgo de seguridad de cada aplicación de la cartera y asignar la solución adecuada. Algunos ejemplos son:
- Certificación FIPS de hardware y software, según sea necesario para cumplir con las normas y reglamentos
- Protección de aplicaciones web y API para protegerse de las amenazas existentes y emergentes de OWASP
- Orquestación SSL con descifrado, cifrado y dirección del tráfico basados en políticas dinámicas a través de varios dispositivos de inspección
Paso 4: Definir las categorías de aplicaciones y especificar los servicios de aplicación necesarios para cada una.
Paso 5: Establecer los parámetros para el despliegue y la gestión de la aplicación. Esto incluye:
- Comprender las opciones de despliegue
- Evaluar los costes asociados, los modelos de consumo y los perfiles de cumplimiento/certificación
Paso 6: Asignar funciones y responsabilidades. Los clientes querrán:
- Aclarar quién es el responsable de cada componente dentro de la EAA, incluida la seguridad.
- Reconocer que la responsabilidad puede recaer en colaboradores individuales, departamentos o comités interfuncionales.
Paso 7: Aplicar el enfoque EAA en toda la organización para optimizar la seguridad. Esto incluye:
- Aprovechar los mecanismos automatizados, como los controles de acceso de los usuarios o los análisis de vulnerabilidad del código
- Conseguir que la organización se implique mediante la formación y la comunicación con los empleados
Paso 8: Trabajar con los expertos de F5 para asegurarse de lograr una madurez cibernética continua.
Roles críticos a asignar en la creación de la gobernanza de las normas y procedimientos
Jefe del equipo de cumplimiento de la configuración
La gestión de la configuración puede ser difícil de aplicar, por lo que es imprescindible designar un responsable. Entre las herramientas de automatización que ayudan a mantener los estándares de configuración y a minimizar el desvío de la misma se encuentran:
- Incorporación declarativa
- AS3
- Transmisión de telemetría
- Plantillas de formación de nube
Jefe de equipo de arquitectura de aplicaciones empresariales
Esta función crítica se perderá sin alguien que supervise el progreso y la priorización de esta iniciativa. Las normas de toda la organización también fracasarán sin esta función específica.
Propietario de la auditoría
La visibilidad continua de los temas clave de las auditorías es fundamental en cada auditoría. Cada equipo necesita un jefe de equipo que conozca las soluciones de F5 y cómo aprovechan los datos de la aplicación y la red para proporcionar la información necesaria para resolver rápidamente los problemas relacionados con la auditoría.
Los paneles compartidos centrados en las aplicaciones de F5 proporcionan a sus equipos de redes, desarrollo y seguridad acceso a los datos que necesitan, a la vez que apoyan la resolución de problemas en colaboración.
Optimizar el proceso de auditoría
Cuando se produzca una auditoría, y lo hará en el peor momento, F5 puede estar ahí para ayudarle a agilizar el proceso. Nuestras décadas de experiencia, los análisis detallados y la telemetría, así como las soluciones para el cumplimiento de la normativa, se han creado específicamente para minimizar la fricción y el estrés causados por las auditorías.
Todo comienza con un análisis detallado. Compruebe el estado y la posición de seguridad de sus aplicaciones y utilice la información procesable de los paneles personalizables para satisfacer sus numerosas consultas de cumplimiento. Todo ello en un modelo SaaS sencillo y fácil de consumir.
Cuando su auditor haga una solicitud, puede obtener exactamente lo que busca en cuestión de minutos.
Figura 2: Detalles de la aplicación: vea rápidamente la topología, el estado, la información y los detalles de los eventos específicos de su aplicación.
Con F5, no estará solo en el próximo proceso de auditoría. Pida a nuestros expertos que le ayuden a profundizar en temas de cumplimiento, independientemente de las conclusiones alcanzadas en las próximas reuniones con los auditores.
F5 puede ayudar:
- Descubrir las amenazas encriptadas
- Proporcionar detalles sobre los controles de acceso para gestionar mejor el acceso de los usuarios privilegiados
- Personalizar los informes exportables para que se ajusten a requisitos específicos de las auditorías
- Ofrecer advertencias sobre los controles de seguridad
Conclusión
Los procesos de auditoría pueden llevar mucho tiempo y ser estresantes. Los empleados de los servicios financieros nunca saben cuándo va a empezar la siguiente auditoría y el trabajo asociado suele requerir un trabajo a tiempo completo, que rara vez se financia. Sin las soluciones y el apoyo adecuados, las auditorías pueden durar hasta seis meses, lo que conlleva un trabajo de corrección y otra auditoría.
F5 tiene un historial probado en la agilización del proceso de auditoría para las instituciones de servicios financieros. Nuestras soluciones están diseñadas para minimizar la fricción y el estrés causados por las auditorías.
Para obtener más información, explore las soluciones de servicios bancarios y financieros de F5 o póngase en contacto con su representante de F5.
PRÓXIMOS PASOS
Iniciar una prueba
Vea cómo funcionan los productos de F5 con una prueba gratuita.
Contáctenos
Descubra cómo los productos y las soluciones de F5 pueden permitirle alcanzar sus objetivos.