Cómo maximizar la administración de las vulnerabilidades y el cumplimiento con las regulaciones
Al cambiar las evaluaciones manuales de la red por un programa automatizado de administración de las vulnerabilidades, OfficeMax México ahora puede mantener de manera más eficiente una infraestructura segura y cumplir con las regulaciones de seguridad informática.
Si usted tiene un negocio en América del Norte, es muy probable que OfficeMax le haya surtido a su organización productos esenciales necesarios para operar: desde servicios de negocios hasta papel, plumas, formularios, organizadores, muebles y tecnología. OfficeMax es uno de los proveedores más grandes de artículos para oficinas de América del Norte y opera aproximadamente 1,025 tiendas en los Estados Unidos, México, Puerto Rico y las Islas Vírgenes.
Los sistemas de tecnología de negocios necesarios para manejar a este minorista internacional son sustanciales y abarcan a miles de servidores y decenas de miles de PCs. Debido a que una gran parte de sus 8,300 millones de dólares en ingresos anuales fluye a través de transacciones que se realizan con tarjetas de crédito, tanto en línea como en persona, es esencial que dichos sistemas se mantengan seguros y que cumplan con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Crédito (PCI DSS, por las siglas de Payment Card Industry Data Security Standard).
La necesidad: Evaluaciones de vulnerabilidades centralizadas, precisas y automatizadas
Consideremos los esfuerzos de OfficeMax México, que maneja 78 tiendas OfficeMax en todo el país. Durante algún tiempo, el grupo de seguridad de OfficeMax México se apoyó en sistemas de escaneo de vulnerabilidades de código abierto para examinar su infraestructura tecnológica, con el fin de encontrar y eliminar las fallas y las vulnerabilidades que ponían en riesgo a esos sistemas y hacían que incumplieran con las normas. Por desgracia, esas herramientas generaban un número elevado de falsos positivos y no proporcionaban la información detallada requerida por los equipos de seguridad y de operaciones para llevar a cabo una remediación efectiva. “Los resultados y los reportes no eran tan efectivos como los necesitábamos y pasábamos demasiado tiempo tratando de determinar cuáles fallas eran las más graves”, explica Ricardo Rodríguez, Gerente de Seguridad de la Información de OfficeMax México.
Además, debido a que estos sistemas de escaneo de vulnerabilidades eran incapaces de ofrecer administración centralizada para que los diferentes grupos pudieran realizar sus propias evaluaciones y acceder a sus propios reportes, muchos de los reportes con resultados de escaneo no llegaban al equipo de operaciones para implementar una remediación. Al enfrentarse a estos desafíos, quedó claro que OfficeMax México necesitaba una forma de realizar auditorías de seguridad automatizadas y garantizar el cumplimiento de normas internas y regulaciones externas, como PCI DSS.
PORQUE OFFICEMAX MEXICO ELIGIO A QUALYS:
- Seguridad automatizada bajo demanda y auditorías de las vulnerabilidades.
- Habilidad para manejar el proceso de administración de vulnerabilidades para múltiples equipos de operaciones de TI.
- Qualys es un proveedor aprobado de escaneos PCI.
- Escaneos de vulnerabilidades y de configuración altamente precisos.
- Fácil de implementar, administrar y operar.
- Es lo suficientemente escalable para proteger una red internacional.
- Extensas capacidades de reportes.
Hacia una seguridad de TI proactiva, el cumplimiento de normas y un flujo de trabajo eficiente
Para obtener mayor precisión y automatización en sus evaluaciones de seguridad de TI y de cumplimiento regulatorio, OfficeMax México recurrió a Qualys y su plataforma de análisis de seguridad, Qualys. Qualys le brinda a OfficeMax México una manera proactiva de proteger a la red de la compañía durante todo el ciclo de vida de la administración de vulnerabilidades, incluyendo el descubrimiento y la priorización de activos, la evaluación de vulnerabilidades, y el análisis, la remediación y la verificación de las reparaciones.
Y su arquitectura altamente flexible y que funciona bajo demanda significa que cada miembro del equipo de OfficeMax puede cumplir con facilidad y con éxito sus responsabilidades de seguridad individuales. Como resultado directo de la arquitectura bajo demanda de Qualys, no existen cargas administrativas u operativas adicionales para OfficeMax México: una vez que el appliance es instalado, todo el mantenimiento del sistema, las actualizaciones de las firmas de vulnerabilidades y las mejoras del software son implementados directamente desde el Centro de Operaciones Seguras de Qualys. Eso significa que OfficeMax México, así como cada uno de los más de 3,600 clientes de Qualys trabajan automáticamente con la versión más reciente de Qualys y con la base de datos de comprobaciones de seguridad más actualizada y extensa de la industria.
Las mejoras en la precisión de los escaneos de evaluación de OfficeMax han demostrado ser extremadamente benéficas para el equipo encargado de la seguridad. Anteriormente, los más pequeños errores en los reportes de las evaluaciones multiplicaban el tiempo que los analistas de seguridad necesitaban para eliminar los falsos positivos de las vulnerabilidades reales en la infraestructura de la compañía. Rodríguez explica que los falsos positivos añadían horas al tiempo que los encargados de administrar la seguridad debían pasar analizando los reportes.
Además, Qualys resolvió uno de los desafíos más apremiantes de OfficeMax México: la incapacidad de contar con evaluaciones centralizadas y flujo de trabajo de remediaciones. El sistema integrado de flujo de trabajo de remediaciones y tickets de incidentes de Qualys terminó con esos problemas. Ahora, OfficeMax puede generar tickets de remediaciones basados en sus reglas de normas específicas y rastrear cada ticket hasta que se haya verificado la implementación exitosa del parche. A cada ticket de remediación se le asigna un número único y éste incluye todos los detalles necesarios como los datos generales de la vulnerabilidad, el historial de las remediaciones y las acciones realizadas. En las evaluaciones posteriores, Qualys verifica automáticamente que las vulnerabilidades hayan sido corregidas y los tickets se cierran en forma automática. “Ahora, con Qualys, el sistema de tickets asigna tickets automáticamente a las personas encargadas de las operaciones que aplicarán las actualizaciones”, comenta Rodríguez.
“La implementación de Qualys fue fácil y nos permite proteger nuestros sistemas, ahorrar tiempo y mantener el cumplimiento con PCI de una manera muy sencilla.”
Ricardo Rodriguez
Information Security Manager, OfficeMax Mexico
Cumplimiento mejorado con PCI DSS
Para OfficeMax, la administración del cumplimiento con PCI DSS es un esfuerzo global. Por su parte, OfficeMax México usa Qualys PCI para realizar sus evaluaciones PCI DSS con el fin de asegurarse de que sus sistemas siguen cumpliendo con las normas y de prepararlos para la evaluación trimestral obligatoria de PCI DSS y para la clasificación de los reportes.
Qualys PCI, le proporciona a OfficeMax México la forma más fácil, rentable y altamente automatizada de cumplir con sus obligaciones PCI DSS. Qualys PCI se basa en la misma infraestructura de escaneo altamente preciso y en la tecnología de Qualys Vulnerability Management, además de que está optimizado para PCI DSS con el fin de realizar los escaneos requeridos, responder al cuestionario de autoevaluación integrado y proporcionar envíos de reportes de cumplimiento con normas para su certificación en línea. Qualys también es un proveedor PCI DSS aprobado y está completamente certificado para evaluar el cumplimiento con PCI DSS.
“La implementación de Qualys fue fácil y nos permite proteger nuestros sistemas, ahorrar tiempo y mantener el cumplimiento con PCI de una manera muy sencilla”, explica Rodríguez.