1. ¿Qué es el cumplimiento de la normativa sobre gestión de parches?

2. ¿Por qué es importante el cumplimiento de la normativa sobre gestión de parches?

3. Cumplimiento de los objetivos de gestión de parches mediante herramientas informáticas

4. Blogs

5. Recursos adicionales

¿Qué es el cumplimiento de la normativa sobre gestión de parches?

La gestión de parches consiste en escanear ordenadores, dispositivos móviles u otras máquinas de una red para detectar si faltan actualizaciones de software, conocidas como "parches", y solucionar el problema desplegando esos parches en cuanto estén disponibles. Los parches son una especie de código que se inserta (o parchea) en el código de un programa de software existente.

Dado que la no instalación de parches puede generar graves brechas de seguridad, muchos organismos gubernamentales y asociaciones del sector han exigido el cumplimiento de la gestión de parches.

Las instituciones gubernamentales, los servicios sanitarios y los sectores financieros suelen presentar los requisitos de cumplimiento normativo más estrictos. No obstante, las organizaciones de diversos ámbitos deben cumplir normativas gubernamentales, acuerdos de nivel de servicio (SLA), mandatos de asociaciones sectoriales y políticas corporativas.

Algunos de los organismos reguladores y leyes más importantes que exigen algún tipo de cumplimiento normativo en materia de seguridad para la gestión de parches son:

• Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS)

• Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA)

• Instituto Nacional de Normas y Tecnología (NIST)

• Reglamento General de Protección de Datos de la Unión Europea (GDPR)

• Consejo Federal de Examen de las Instituciones Financieras (FFIEC)

• Gramm-Leach-Bliley (GLBA)

• Ley Sarbanes-Oxley (SOX)

• Ley de Privacidad y Derechos Educativos de la Familia (FERPA)

Muchos de estos organismos exigen la implementación de un proceso de gestión de parches regular y plenamente documentado, que describa los procedimientos paso a paso. Las organizaciones deben ser capaces de documentar el cumplimiento continuo de la normativa y superar auditorías periódicas. La no aplicación de medidas de cumplimiento de la gestión de parches puede acarrear sanciones legales para una organización. Por ejemplo, el GDPR de la Unión Europea puede multar a las organizaciones que no lo hagan con hasta 20 millones de euros (unos 22 millones de dólares) o el cuatro por ciento de su facturación global anual.

Cada vez son más los estados, naciones y organismos internacionales que aprueban leyes que imponen la protección de la privacidad y otros requisitos a las organizaciones de sus jurisdicciones. Dentro de Estados Unidos, esas leyes pueden incluso variar de un estado a otro, lo que hace que la aplicabilidad y el cumplimiento sean confusos.

Esta complejidad es todavía mayor para las pequeñas y medianas empresas (PYMES) con departamentos de TI limitados. Estos nuevos requisitos llevan a más de estas organizaciones al ámbito normativo, donde deben navegar por un laberinto de mandatos expuestos en una jerga jurídica confusa y en ocasiones vaga. Las PYMES pueden tener problemas para entender cuáles son los requisitos de gestión de parches, si son aplicables y, en caso afirmativo, cómo cumplirlos adecuadamente.

¿Por qué es importante el cumplimiento de la normativa sobre gestión de parches?

Una gestión de parches adecuada puede mejorar en gran medida las defensas de seguridad de una organización al hacer frente a las vulnerabilidades de su software y sistemas operativos. He aquí algunas razones por las que el cumplimiento de la gestión de parches es fundamental:

• Seguridad
  Las ciberamenazas se han convertido en algo habitual, por lo que los organismos reguladores exigen que las empresas apliquen los últimos parches como defensa contra estas amenazas. Las brechas en la seguridad de la red suelen estar provocadas por la falta de parches en los sistemas operativos y otras aplicaciones. El incumplimiento de la normativa pone en peligro valiosos activos de información, como la propiedad intelectual y datos muy sensibles de los clientes (historiales médicos, números de tarjetas de crédito, etc.).

• Multas reguladoras
  Las multas por incumplimiento de normativas estadounidenses e internacionales como la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) y el Reglamento General de Protección de Datos (GDPR) pueden suponer para las empresas un coste de miles o incluso millones de dólares. Una multa de 100 000 dólares puede suponer una parte significativa del margen de beneficios de una pequeña empresa.

• Pérdida de reputación y responsabilidad jurídica
  Las empresas pueden perder la confianza de sus clientes si descubren que una empresa no ha cumplido la normativa. Según un estudio del Instituto Ponemon, El verdadero coste del cumplimiento de la normativa de protección de datos, “Las consecuencias de no gestionar los riesgos de cumplimiento incluyen una pérdida de confianza que pondrá en peligro la lealtad de los clientes, y la incapacidad de prestar servicios y productos provocando una reducción de los ingresos". Además, los clientes pueden incluso emprender acciones legales contra una empresa por una violación grave de la privacidad si los hackers son capaces de acceder a datos que podrían dar lugar a robos monetarios o de identidad.

• Productividad
  Los fallos informáticos provocados por software defectuoso pueden reducir los niveles de productividad. La instalación de un parche, por el contrario, reduce la posibilidad de fallos y tiempos de inactividad, lo que permite a los trabajadores llevar a cabo sus tareas sin interrupciones. Los parches no siempre consisten en solucionar errores. También pueden incluir nuevas características y funcionalidades que aprovechen las últimas innovaciones del software. Los proveedores de software trabajan de forma constante en nuevas características y envían nuevas funcionalidades en forma de parches. Hacer que los informáticos descarguen e instalen estos parches puede ayudar a los empleados a trabajar mejor y de forma más inteligente.

• BYOD
  La aparición del "trae tu propio dispositivo", o BYOD, ha abierto toda una nueva vía de posibilidades para los ciberatacantes. Los empleados usan cada vez más sus dispositivos personales y los de la oficina de forma indistinta para realizar su trabajo, lo que exige que los dispositivos personales también estén protegidos. Un buen cumplimiento de la normativa en materia de gestión de parches debería instalar parches en todos los dispositivos, independientemente de su ubicación física. El cumplimiento actúa a modo de defensa contra muchos de los retos que conlleva el uso de dispositivos personales.

Cumplimiento de los objetivos de gestión de parches mediante herramientas informáticas

En la última década, han aparecido en el mercado varias soluciones de software de gestión de parches que pueden ayudar a las organizaciones a cumplir más fácilmente los requisitos de conformidad normativa. Entre ellas se incluyen soluciones de auditoría y escaneado de seguridad, gestión de amenazas, control de acceso, supervisión de redes y software de gestión de parches para ayudar a satisfacer necesidades de cumplimiento específicas.

Los servicios en la nube incorporan herramientas como opciones de cifrado, sistemas de gestión de identidades y accesos (IAM), aislamiento de redes virtuales y otras herramientas de seguridad que ayudan a proteger los datos personales tal y como exige la normativa sobre privacidad. Cuando se combinan con herramientas de gestión de parches locales, los objetivos de cumplimiento de la normativa resultan más asequibles.

¿Cómo elegir la solución de gestión de parches adecuada, dado el gran número de herramientas de gestión de parches disponibles en la actualidad? Estas son algunas de las funciones que debe tener el software de gestión de parches para ayudar a cumplir la normativa:

• Contiene informes específicos para los principales actos de cumplimiento, así como informes centrados en el uso y la gestión de cuentas, cambios de políticas y otros

• Mantiene una cobertura completa de la evaluación de vulnerabilidades y consolida los hallazgos en informes significativos, independientemente de la plataforma, tal y como exigen organismos reguladores como PCI e HIPAA.

• Ofrece recopilación de datos de registro, normalización y consolidación multicapa para cumplir los requisitos de retención de disponibilidad de datos de registro y revisión de la gestión de parches de los organismos reguladores y las leyes más comunes.

• Genera informes acerca del estado de cada actualización y estadísticas relevantes sobre la instalación y actualización de parches con fines de auditoría.

• Funciona en distintas plataformas y sistemas operativos, incluidos los sistemas operativos Microsoft®, MAC OS X® y Linux®, Amazon Web Services (AWS), otras plataformas en la nube, así como aplicaciones de terceros

• Analiza toda la red para identificar los parches que faltan en los diferentes programas.

• Descarga los parches directamente de los sitios de los proveedores

• Incluye procedimientos eficaces de prueba y despliegue de parches

• Se instala con facilidad en todos los dispositivos, como ordenadores de sobremesa, portátiles y servidores.

Blogs

Recursos adicionales