Los estándares de cumplimiento ayudan a las empresas a validar y garantizar que sus sistemas y datos confidenciales estén a salvo de las amenazas cibernéticas. El cumplimiento de estos estándares fortalece la ciberseguridad de una empresa y ayuda a generar confianza con los clientes y socios. El incumplimiento a menudo resulta en interrupciones del negocio, multas y sanciones gubernamentales (costos de liquidación, pérdidas de productividad y más) que cuestan a las empresas más de $14 millones de dólares en promedio.
La preparación para el cumplimiento ya no es solo un lujo, sino un requisito vital. Las principales firmas de analistas destacan que la preparación para el cumplimiento es uno de los factores principales que impulsan la rápida adopción de soluciones de gestión de acceso privilegiado. Al adoptar una solución integral como ManageEngine PAM360, su empresa recibirá una solución PAM que cumple con los principales estándares del sector, lo que le ayudará a satisfacer las necesidades apremiantes de cumplimiento normativo y requisitos de auditoría.
Al igual que con cualquier otra solución de ManageEngine, PAM360 cumple con una amplia gama de estándares de privacidad y cumplimiento. Estas acreditaciones son estándares de oro de la industria que le garantizan nuestro enfoque hacia la privacidad y seguridad.
Las principales funciones de PAM360 ayudan a las empresas a regular el acceso a la información confidencial, mantener la integridad de los datos y, por lo tanto, cumplir con diversas regulaciones regionales e industriales. Las siguientes funciones son fáciles de configurar y ofrecen beneficios tangibles de cumplimiento.
Las empresas deben adoptar el principio de privilegio mínimo para garantizar que los usuarios finales tengan los menores privilegios de acceso necesarios para realizar sus tareas. Con los controles de acceso basados en roles de PAM360 y la elevación de privilegios justo a tiempo, puede imponer el acceso con mínimos privilegios y minimizar el acceso no autorizado en todas las funciones de la organización. Algunas normas de cumplimiento como GDPR (Artículo 32), ISO/IEC 27001: 2013 (9.4.1) [anterior], ISO/IEC 27001: 2022 (A 8.3) [nuevo], entre otras, exigen este requisito para garantizar la integridad y confidencialidad de los datos.
El control de acceso es esencial para agilizar el aprovisionamiento de acceso. El flujo de trabajo de liberación de solicitudes de PAM360 ayuda a los administradores a otorgar acceso basado en las necesidades a los usuarios de negocio autorizados para tareas válidas. Esto limita el acceso a los sistemas y datos de misión crítica, cumpliendo así con los requisitos específicos de control de acceso de las normas y regulaciones tales como HIPAA (164.312(a)(1)), ISO/IEC 27001: 2013 (A.9.2) [anterior], ISO/IEC 27001: 2022 (A 8.2) [nuevo], GLBA (Sección 501 b) y PCI-DSS (Requisito 7).
Las estrictas políticas de contraseñas aplican la higiene de contraseñas en toda la organización. Puede configurar políticas de contraseñas que se adapten a las políticas de seguridad de su empresa, y programar el restablecimiento de contraseñas mediante PAM360 para cumplir con estándares como PCI DSS (Requisito 8) e ISO/IEC 27001: 2013 (A.9.3), que requieren medidas de seguridad de contraseñas fuertes en toda la organización.
El monitoreo de sesiones es vital para detectar actividades sospechosas en tiempo real. Con las amplias funciones de gestión de sesiones privilegiadas de PAM360, los administradores pueden estar atentos a las actividades anómalas cuando se producen, terminar sesiones de forma remota, registrar cada acción realizada en los endpoints y mucho más.
Por lo tanto, las empresas cumplen con las regulaciones como HIPAA 164.308(a)(5)(ii)(C), SOX (Sección 802 y Sección 404), NIST SP 800-53 (AC-20(3)) y el requisito PCI-DSS 10.3 que exigen metodologías adecuadas de monitoreo y grabación de sesiones.
Las empresas gestionan un gran número de certificados SSL/TLS en su entorno de TI. Si estos certificados no se gestionan correctamente o no se renuevan a tiempo, pueden provocar interrupciones del negocio y ciberamenazas. PAM360 ofrece funciones completas de gestión del ciclo de vida de los certificados para ayudar a los usuarios a descubrir todos sus certificados, crear, renovar e implementar nuevos certificados, generar alertas personalizadas para la caducidad de los certificados y mucho más. Al hacerlo, las empresas pueden garantizar que sus sistemas críticos estén siempre encriptados y seguros, ayudándoles a cumplir con estándares como HIPAA (164,312(e)(1)), GDPR (Artículo 32 (1 a)), ISO/IEC 27001: 2013 (10.1.1), ISO/IEC 27001: 2022 (A 8.24) [nuevo], y FedRAMP (AC-16, y AC-17).
La auditoría es una parte crucial de la gestión de acceso privilegiado. Las auditorías en tiempo real de PAM360 monitorean y registran continuamente toda la actividad sensible realizada por los usuarios. Las empresas pueden crear una nueva cuenta para los auditores y agregarlos a PAM360 como auditores de contraseñas. Dichos usuarios reciben acceso sin problemas a todas las auditorías e informes de acceso privilegiado. La auditoría en tiempo real ayuda a las empresas a cumplir con SOC 2 (CC6.2:03), ISO 27001:2013 (A.12.4.3), PCI-DSS (Requisito 10.2) y otras regulaciones.
Los informes listos para usar de PAM360 presentan una visión general de todas las acciones críticas de gestión con privilegios realizadas por los usuarios. Como parte de esta oferta, los administradores pueden generar informes dedicados para estándares de cumplimiento como PCI-DSS, ISO-IEC 27001, NERC-CIP y GDPR en unos pocos clics. Puede encontrar violaciones si las hay y abordarlas al instante.
Además de las funciones mencionadas anteriormente, PAM360 también ofrece detección de recursos y cuentas de extremo a extremo, gestión de secretos, elevación de privilegios de autoservicio, gestión de credenciales de aplicaciones, análisis del comportamiento de los usuarios privilegiados y mucho más que ayudan a satisfacer diversas necesidades de cumplimiento y mejorar la postura de seguridad general de su organización.
Las funciones de PAM360 le ayudan a adoptar un enfoque de cumplimiento para varias normativas locales. Los siguientes estándares requieren que las empresas adopten varias funciones de gestión de acceso privilegiado para lograr el cumplimiento:
| Estándares y requisitos normativos | Subsecciones o requisitos cumplidos | Rol de las soluciones de gestión de acceso privilegiado |
|---|---|---|
| Cyber Essentials - Reino Unido |
Controles de acceso del usuario - Uno de los cinco requisitos de Cyber Essentials. Requiere políticas estrictas de control de acceso para regular el acceso a servidores de correo electrónico, web y aplicaciones; computadores de escritorio; computadores portátiles; tablets; teléfonos móviles con un enfoque en la gestión de cuentas con privilegios elevados, como cuentas administrativas. |
Con la ayuda de PAM360, las empresas pueden configurar flujos de trabajo de liberación de solicitudes y controles de acceso basados en roles para regular el acceso a endpoints de misión crítica. |
| La Ley de protección de datos personales (PDPA) - Singapur |
Sección 24: Protección de datos personales. Una organización debe proteger los datos personales en su posesión o bajo su control adoptando medidas de seguridad razonables para prevenir lo siguiente - |
PAM360 puede mejorar la seguridad de los sistemas internos gestionando y regulando de forma segura el acceso a dichos sistemas, minimizando así el acceso no autorizado a los datos personales. |
| Ley general de protección de datos (LGPD) - Brasil |
Parte del Artículo 46 establece que: Los agentes de transformación adoptarán medidas de seguridad, técnicas y administrativas para proteger los datos personales frente al acceso no autorizado y situaciones accidentales o ilegales relacionadas con la destrucción, pérdida, alteración, comunicación o cualquier tipo de procesamiento indebido o ilícito. |
Con funciones avanzadas como el control de acceso basado en roles, el control de acceso basado en políticas, el control de comandos y la elevación justo a tiempo, PAM360 le proporciona el conjunto adecuado de funciones para evitar el acceso no autorizado a información confidencial. |
| Protección de información personal (APPI) - Japón |
Artículo 20: Artículo 20: Un operador de negocios que maneja información personal tomará las medidas necesarias y adecuadas para la prevención de fugas, pérdidas o daños, y para el control de seguridad de los datos personales. Artículo 22: Cuando un operador de negocios que maneje información personal confíe a un particular o a un operador de negocios el manejo de datos personales en su totalidad o en parte, ejercerá la supervisión necesaria y adecuada sobre el responsable para garantizar el control de seguridad de los datos personales confiados. |
Al aplicar el privilegio mínimo con el control de acceso basado en roles y la elevación de privilegios justo a tiempo, y con las funciones de auditoría, monitoreo y gestión de sesiones privilegiadas de PAM360, las empresas pueden evitar el acceso no autorizado a los datos personales y auditar cada sesión iniciada. |
| Essential 8 - Australia |
Control de aplicaciones, restricción del acceso de administrador (los tres niveles de madurez) - Parte de Essential 8 requiere lo siguiente: Permitir el acceso solo a las aplicaciones necesarias en los sistemas y limitar el acceso a los datos confidenciales de los sistemas. |
Con el control de comandos, el acceso remoto a aplicaciones y los flujos de trabajo de liberación de solicitudes de PAM360, las empresas pueden restringir el acceso a las cuentas administrativas y otorgar acceso solo a aplicaciones basado en las necesidades para dispositivos críticos. Además, las empresas también pueden solicitar la autenticación multifactor (MFA) al acceder a PAM360 para proteger aún más sus cuentas empresariales confidenciales. |
| Ley de protección de información personal y documentos electrónicos (PIPEDA) - Canadá |
(Principio 4.7.1): Las garantías de seguridad protegerán la información personal contra la pérdida o el robo, así como del acceso, divulgación, copia, uso o modificación no autorizados. Las organizaciones deben proteger la información personal independientemente del formato en el que se mantenga. |
Las funciones rigurosas de control de acceso, control de comandos y acceso remoto a aplicaciones de PAM360 ayudan a proteger los datos personales contra el acceso no autorizado al evitar que los usuarios privilegiados ejecuten comandos no autorizados y restringiendo el acceso general. |
| Ley de protección de información personal (POPIA) - Sudáfrica |
Sección 17: Una parte responsable debe mantener la documentación de todas las operaciones de procesamiento bajo su responsabilidad, tal como se menciona en la Sección 14 o 51 de la Ley de promoción del acceso a la información. Sección 19: Security measures on integrity and confidentiality of personal information. Medidas de seguridad sobre la integridad y confidencialidad de la información personal. La Sección 19 requiere que las partes responsables garanticen la integridad y confidencialidad de la información personal implementando medidas técnicas y organizativas razonables. Las partes responsables deben evitar la pérdida, daño o destrucción no autorizados de la información personal, así como el acceso o procesamiento ilícitos. Esto implica identificar los riesgos, establecer garantías, verificar regularmente su eficacia y actualizarlos a medida que surgen nuevos riesgos. Las partes responsables deben considerar prácticas y procedimientos de seguridad aceptados aplicables a su industria o profesión. |
La seguridad y la integridad de los datos personales se pueden mantener aplicando las funciones de control de acceso basado en roles, flujos de trabajo de liberación de solicitudes y aprovisionamiento de acceso justo a tiempo que ofrece PAM360. Además, PAM360 también puede monitorear y registrar todas las actividades realizadas por los usuarios privilegiados, junto con auditorías en tiempo real que documentan todas las acciones críticas realizadas por usuarios y administradores. |
Esta no es una lista exhaustiva. Utilizando PAM360, puede cumplir con varias regulaciones locales e internacionales.