Cuenta Iniciar sesión
Jump to section

¿Qué es la gestión del cumplimiento normativo?

Copiar URL

La gestión del cumplimiento es el proceso permanente de supervisión y evaluación de los sistemas, para garantizar que cumplan con los estándares de seguridad y del sector, así como con las políticas y los requisitos corporativos y normativos.

Se realiza una evaluación de la infraestructura para identificar los sistemas que no cumplen con las normativas debido a los cambios en los estándares, las políticas o las normas; a los errores de configuración, o a otras razones.

Se trata de un proceso muy importante, ya que el incumplimiento de las normas puede perjudicar a su empresa de diversas formas: con multas, fallos de seguridad, pérdida de la certificación, entre otros. Estar actualizados respecto de los cambios y las actualizaciones de cumplimiento evita la interrupción de sus procesos comerciales y permite ahorrar dinero.

Para supervisar y gestionar con éxito el cumplimiento de la infraestructura de su empresa, deberá incluir:

  • Evaluación: identifique los sistemas que no cumplen con las normas, que presentan aspectos vulnerables o que no están actualizados.
  • Organización: dé prioridad a las acciones de corrección en función del esfuerzo, el impacto y la gravedad del problema.
  • Corrección: ejecute parches en los sistemas que lo requieren y vuelva a configurarlos con rapidez y facilidad.
  • Informe: valide la aplicación de los cambios e informe los resultados correspondientes.

Estos son algunos de los aspectos que pueden dificultar la gestión del cumplimiento:

  • Panorama cambiante de seguridad y cumplimiento: las amenazas a la seguridad y las modificaciones respecto del cumplimiento evolucionan a gran velocidad, lo cual requiere poder responder rápidamente a las nuevas amenazas y a las normas en constante cambio.
  • Entornos distribuidos en varias plataformas: la distribución cada vez mayor de las infraestructuras en plataformas in situ y de nube dificulta la visualización completa del entorno y de los riesgos y puntos vulnerables que podrían estar presentes.
  • Entornos y equipos grandes: las infraestructuras y los equipos grandes y complejos pueden dificultar la coordinación en su entorno y empresa. De hecho, la complejidad del sistema puede aumentar el costo de las filtraciones de datos.

La mejor manera de abordar cada uno de los desafíos es con un enfoque múltiple que permita supervisar todos los entornos; identificar las inconsistencias en la normativa; abordarlas, actualizarlas y corregirlas; y llevar un registro de las actualizaciones.

Estas prácticas recomendadas pueden ayudarlo a mantenerse al tanto de cualquier cambio regulatorio y a lograr que sus sistemas sigan cumpliendo con las normas: 

  1. Análisis periódicos del sistema: supervisar a diario los sistemas puede ayudarlo a identificar los problemas de cumplimiento y los puntos vulnerables de seguridad, antes de que repercutan en las operaciones comerciales y generen gastos o demoras.
  2. Implementación de la automatización: a medida que su infraestructura crece y cambia, se vuelve más difícil gestionarla de forma manual. Con la automatización puede agilizar las tareas comunes, mejorar la uniformidad y garantizar la supervisión y la generación de informes regulares, lo cual le permite concentrarse en otros aspectos de la empresa.
  3. Ejecución y prueba de parches consistentes: mantener los sistemas actualizados puede aumentar la seguridad, la confiabilidad, el rendimiento y el cumplimiento. Los parches deben aplicarse una vez al mes para poder ir a la par de los problemas importantes. Además, se puede automatizar su ejecución. Aquellos que se utilicen para corregir errores y defectos críticos deben ejecutarse lo antes posible. Asegúrese de probar que los sistemas en los que se aplicaron parches funcionen correctamente antes de volver a ponerlos en producción.
  4. Integración de sus herramientas: los entornos distribuidos suelen contener diferentes herramientas de gestión para cada plataforma. Utilice las interfaces de programación de aplicaciones (API) para integrarlas. Esto le permite utilizar sus interfaces preferidas para ejecutar tareas en otras herramientas. El uso de una menor cantidad de interfaces agiliza las operaciones y mejora la visibilidad del estado de la seguridad y el cumplimiento de todos los sistemas en su entorno.

Estas son algunas de las herramientas más útiles:

  • Análisis preventivo: la automatización del análisis garantiza la supervisión de los sistemas a intervalos regulares y advierte sobre los problemas, sin malgastar el tiempo ni el esfuerzo del personal.
  • Información procesable: la información que se adapta a su entorno puede ayudarlo a identificar con mayor rapidez qué problemas de cumplimiento y puntos vulnerables de seguridad están presentes, qué sistemas se ven afectados y cuáles son los posibles impactos que puede esperar.
  • Resultados personalizables: lo ideal es poder definir el contexto empresarial para reducir los falsos positivos, gestionar el riesgo empresarial y proporcionar una imagen más realista del estado de la seguridad y el cumplimiento normativo
  • Corrección prescriptiva y prioritaria: las instrucciones prescriptivas de corrección eliminan la necesidad de investigar por su propia cuenta qué medidas implementar, lo cual le permite ahorrar tiempo y reducir el riesgo de errores. Poder priorizar las acciones en función del impacto potencial y de los sistemas que podrían verse afectados le permite aprovechar al máximo los períodos limitados para la ejecución de parches.
  • Generación intuitiva de informes: los informes claros e intuitivos sobre los sistemas que se actualizaron con parches, los que los necesitan y los que no cumplen con las políticas normativas y de seguridad aumentan la capacidad de realizar auditorías y ayudan a comprender mejor el estado del entorno.

Todavía queda mucho por aprender sobre la automatización y la gestión del cumplimiento.

Una estrategia de automatización contribuye en gran medida a desarrollar la capacidad para verificar el cumplimiento de los sistemas sin aumentar el tiempo ni el costo. Las prácticas de cumplimiento manuales requieren más tiempo, son propensas a errores humanos y son más difíciles de repetir o verificar. 

Seleccionar las tecnologías de automatización adecuadas es clave para una implementación rápida en los sistemas de software de redes y centros de datos en los entornos híbridos. En este punto es donde se destaca Red Hat, ya que ofrece una pila de software integral para la automatización y la gestión que incluye Red Hat® Enterprise Linux®, Red Hat Ansible® Automation, Red Hat Satellite, Red Hat Smart Management y Red Hat Insights.

Artículos relacionados

ARTÍCULO

¿Qué es DevSecOps?

Si desea aprovechar al máximo la agilidad y la capacidad de respuesta de los enfoques de DevOps, la seguridad de la TI debe desempeñar un papel principal en todo el ciclo de vida de sus aplicaciones.

ARTÍCULO

¿En qué se distingue la seguridad de la nube?

Los problemas de seguridad de alto nivel afectan a los sistemas de TI tradicionales y de nube por igual. Descubra en qué se diferencian.

ARTÍCULO

¿Qué es SOAR?

SOAR hace referencia a tres funciones clave del software que utilizan los equipos de seguridad: la gestión de casos y flujos de trabajo, la automatización de tareas y un medio centralizado para acceder a la información sobre las amenazas, realizar consultas y compartir dicha información.

Más información sobre la seguridad

Productos

Red Hat Certificate System

Marco de seguridad que gestiona las identidades de los usuarios y permite mantener la privacidad de las comunicaciones.

Red Hat Advanced Cluster Security Kubernetes

Solución empresarial de seguridad de los contenedores de Kubernetes que permite diseñar, implementar y ejecutar aplicaciones en la nube con mayor seguridad.

Red Hat Insights

Servicio de análisis predictivo que permite identificar y corregir amenazas a la seguridad, el rendimiento y la disponibilidad de su infraestructura de Red Hat.

Red Hat Advanced Cluster Management Kubernetes

Consola con políticas de seguridad integradas para controlar las aplicaciones y los clústeres de Kubernetes.

Contenido adicional

Illustration - mail

Obtenga más contenido como este

Suscríbase a nuestro boletín informativo: Red Hat Shares.

Red Hat logo LinkedInYouTubeFacebookTwitter

Productos

Herramientas

Comprar, vender, explorar

Comunicarse

Acerca de Red Hat

Somos el proveedor líder a nivel mundial de soluciones empresariales de código abierto, incluyendo Linux, cloud, contenedores y Kubernetes. Ofrecemos soluciones reforzadas, las cuales permiten que las empresas trabajen en distintas plataformas y entornos con facilidad, desde el centro de datos principal hasta el extremo de la red.

Suscríbase a nuestra newsletter, Red Hat Shares

Suscríbase ahora

Seleccionar idioma

© 2022 Red Hat, Inc. Red Hat Summit