(+34) 913 121 386|info.es@also.com|
LinkedinYoutube
>>Adaptación a nuevas normativas>

Adaptación a nuevas normativas

9 Dic, 2024|
  • Adaptación a nuevas normativas
Artículo ManageEngine
En general, todas las normativas indican la necesidad de establecer medidas para asegurar la Gobernanza de las infraestructuras/sistemas/identidades, protección frente a amenazas, detección de posible intrusiones y mecanismos de respuesta.

Actualmente los clientes buscan organizaciones que demuestren un compromiso para garantizar la seguridad y la privacidad de sus datos. Cumplir con las regulaciones, los estándares de TI y los mandatos de protección puede servir como prueba de su compromiso, fomentando así la confianza de sus clientes.

En este artículo nos referimos a las regulaciones sobre la Seguridad de la Información. Al fin y al cabo, cada día cobra mayor importancia la protección de datos confidenciales y la prevención de brechas de seguridad dado el aumento de la ciberdelincuencia.

Entre las regulaciones establecidas por los Organismos Internacionales o Europeos encontramos, por un lado, normas como la ISO 27001:2022 que incluye las mejores prácticas y controles que las compañías pueden utilizar para implementar un sistema de gestión de la seguridad de la información (ISMS) y la triada CID (confidencialidad, integridad y disponibilidad) para proteger sus datos. Estos requisitos serían obligatorios sólo en el caso de que la empresa quiera certificarse en esta norma.

Otras regulaciones presentan obligaciones de cumplimiento bajo amenaza de sanciones administrativas, como pueden ser NIS2 o DORA. NIS2, la Directiva 2022/2555 del Parlamento Europeo, es la legislación en materia de ciberseguridad que proporciona medidas legales para impulsar el nivel general de ciberseguridad en la UE y la resiliencia de las infraestructuras críticas y de los servicios digitales. Establece obligaciones de ciberseguridad, de supervisión y ejecución para los Estados miembros, medidas para la gestión de riesgos y obligaciones de notificación para las entidades en su ámbito de aplicación (Anexos I y II) y relativas al intercambio de información sobre ciberseguridad.

En cuanto a DORA (Digital Operational Resilience Act), es la Directiva 2022/2555 del Parlamento Europeo, es una regulación que pretende mejora la resiliencia digital del sector financiero en el marco de sus operativas, identificando los riesgos asociados a las interconexiones entre entidades financieras, mercados financieros y particularmente las interdependencias de sus Infraestructuras de Comunicaciones de Telecomunicaciones (ICT)

En general, todas las normativas indican la necesidad de establecer medidas para asegurar la Gobernanza de las infraestructuras/sistemas/identidades, protección frente a amenazas, detección de posible intrusiones y mecanismos de respuesta. Para ello es necesario recurrir a herramientas de gestión software que cubran los requisitos principales y que dispongan de informes y controles orientados a estas normativas, como pueden ser las herramientas del fabricante ManageEngine.

Tomemos como ejemplo con la Directiva DORA, comentando qué funciones pueden aportar las herramientas comerciales en relación a la Gestión de Cuentas Privilegiadas (PAM), en concreto la herramienta PAM360 de ManageEngine.

Artículo 5:  Gobernanza y Organización
Artículo 6: Gestión del riesgo ICT

Se refieren a la necesidad de controlar la actividad de accesos privilegiados y la alineación con los objetivos de seguridad y niveles tolerables de riesgo de las infraestructuras ICT. Qué aportaría una solución PAM:

  1. Flujos de aprobación para acceso a contraseñas privilegiadas, integrando con herramientas ITSM
  2. Control de aplicaciones permitidas en los endpoints
  3. Grabación de sesiones privilegiadas
  4. Elevación temporal de privilegios
  5. Política Zero Trust para permitir o no acceso a cuentas privilegiadas en función del nivel de riesgo del usuario y su endpoint

Artículos 8 y 10: Identificación y detección

Se refiere a la implementación de mecanismos de detección de actividades no usuales

  1. Registros de actividad privilegiada, intentos de login, tareas programadas.
  2. Integración con SIEM para unificar los registros anteriores con los registros de los recursos accedidos

Artículo 9: Protección y prevención

Se refiere a realizar una monitorización continua y securización de sistemas ICT:

  1. Establecer autenticación reforzada MFA en el acceso a la herramienta PAM
  2. Encriptación de la información alojada en la base de datos de la herramienta PAM
  3. Rotación periódica de las contraseñas privilegiadas

Artículo 11: Respuesta y recuperación
Artículo 12: Políticas y procedimientos de backup

Con ello se pretende asegurar la continuidad de las funciones de negocio esenciales

  1. Copia de seguridad de las bases de datos de la herramienta
  2. Arquitectura de alta disponibilidad
  3. Balanceo a nivel de aplicación
  4. Exportación encriptada de información

Como este ejemplo podríamos citar otros requisitos presentes en ISO 27001:2022 o NIS2, en relación a la auditoría continua de la actividad dentro de la red o la gestión de las identidades que operan con las aplicaciones de negocio. Para ello, ManageEngine nos aporta un conjunto de herramientas de ciberseguridad con las que cumplir los diferentes requisitos.

© 2025 | IREO Soluciones y Servicios, S.L. | Todos los derechos reservados.