miércoles, 30 de enero de 2013

Revisando: OpenSAMM - Modelo de madurez de seguridad de software 30-01-2013

  • OpenSAMM en español
  • Una visión con OpenSAMM



OpenSAMM en español

Fuente: securitybydefault.com

Finalmente se ha publicado la guía OpenSAMM traducida en su totalidad al castellano. Según anunciaba el coordinador de esta traducción, Juan Carlos Calderón, en las listas de correo de OWASP, de habla hispana (owasp-spanishowasp-argentinaowasp-chile, entre otras) esta guía llevaba casi dos años traducida sin ser publicada, pero por fin ha llegado el día.

Para quienes no conozcan este proyecto, está liderado por Pravir Chandra de Fortify Software, compañía especialista en software de seguridad y comprada por HP hace ya casi un año. Sobre su definición, cito textualmente (traduciendo al castellano) su definición directamente sacada de la página web oficial de OpenSAMM:

"El modelo de madurez de seguridad de software (en inglés Software Assurance Maturity Model - SAMM) es un marco abierto para ayudar a las organizaciones a formular e implementar una estrategia a seguir para la seguridad en el software, encajando en los diferentes riesgos a los que se enfrenta una organización. Los recursos proporcionados por el SAMM ayudarán en lo siguiente:
  • Evaluación de las prácticas de seguridad en software de la organización.
  • Construcción de un programa de seguridad en software balanceado en iteraciones bien definidas.
  • Demostración de mejoras concretas en un programa de garantía de la seguridad.
  • Definición y medida de actividades relacionadas con la seguridad dentro de una organización.
SAMM fue definido con la flexibilidad en mente y así poder ser utilizada en pequeñas, medianas y grandes empresas, independientemente del estilo de desarrollo. Además, este modelo puede ser aplicado en toda la organización, para una única línea de negocio, o incluso para un proyecto en concreto.

Como proyecto libre, el contenido de SAMM siempre permanecerá neutral a fabricante y queda disponible libremente para que todo el mundo pueda utilizarlo."

Desde su primera versión publicada, este proyecto formó parte de la comunidad OWASP, con lo que ello conlleva: que toda la comunidad pueda contribuir y en esta ocasión, traducir el documento a otros idiomas. Además de la propia guía, en la sección de descargas (parte de Tools) de la página de OpenSAMM, se dispone de una serie de herramientas para apoyar las fases propuestas, como por ejemplo plantillas de entrevistashojas de rutaplanes de trabajoplanes de proyectogestor de vulnerabilidades...

¿Tienes en cuenta la seguridad en tu proceso de desarrollo? Si tienes dudas o directamente es una respuesta negativa, ya tienes por dónde empezar, además de forma totalmente gratuita y en tu idioma.

La versión original en inglés puede descargarse desde este enlace PDF [inglés], y su versión recién traducida al castellano, puede descargarse aquí.

Publicado por José A. Guasch - jueves, 28 de julio de 2011




Una visión con OpenSAMM

Fuente:google.com.ar

Formato de archivo: PDF/Adobe Acrobat - Vista rápida
09/05/2012 – Desarrollo de software seguro: una visión con OpenSAMM ... Aplicando el modelo OpenSAMM. 5. ... DSS, SOX, GLB Act, HIPAA, FISMA, …) ...



Artículos Relacionados


OWASP (acrónimo de Open Web Application Security Project, en inglés 'Proyecto abierto de seguridad de aplicaciones web') es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el ...

Ley Sarbanes Oxley (SOX) en Español. Aplicación de una metodología de mejora continua de procesos. Caso de estudio: Controles SOX; Coso, Sox, mejores practicas internacionales en control interno. Herramientas de ...

Establecer y administrar una IDM federada que vuelva portables los datos de las identidades de los usuarios a lo ancho de dominios de seguridad autónomos puede resultar engorroso, amén de complicado. Con sistemas ...

Además de la licencia de conducir (o tarjeta de identificación estatal/Cédula de identidad para aquellos que no conducen), tenemos credenciales por todas partes, debemos obtener una tarjeta de seguridad social o de la ...

Es cierto que son sistemas un poco más complejos de administrar y configurar pero se complementan muy bien con la seguridad y las opciones que se pueden llegar a alcanzar. Además de esto, el Software Libre es una ...

Revisando: Sox - Ley Sarbanes-Oxley - Controles SOX - 30-01-2013

  • Ley Sarbanes-Oxley [Wikipedia].
  • Ley Sarbanes-Oxley de 2002.
  • Ley Sarbanes Oxley (SOX) en Español.
  • Aplicación de una metodología de mejora continua de procesos. Caso de estudio: Controles SOX
  • Coso, Sox, mejores practicas internacionales en control interno.
  • Herramientas de auditoria.



Ley Sarbanes-Oxley [Wikipedia]

Fuente:  es.wikipedia.org 

La Ley Sarbanes Oxley, cuyo título oficial en inglés es Sarbanes-Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745 (30 de julio de 2002), es una ley de Estados Unidos también conocida como el Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista. También es llamada SOxSarbOx o SOA.

La Ley Sarbanes Oxley nace en Estados Unidos con el fin de monitorear a las empresas que cotizan en bolsa de valores, evitando que las acciones de las mismas sean alteradas de manera dudosa, mientras que su valor es menor. Su finalidad es evitar fraudes y riesgo de bancarrota, protegiendo al inversor.
Esta ley, más allá del ámbito nacional, involucra a todas las empresas que cotizan en NYSE (Bolsa de Valores de Nueva York), así como a sus filiales.


Introducción

La Ley Sarbanes-Oxley es una Ley federal de Estados Unidos que ha generado una gran controversia, y que supuso la respuesta a los escándalos financieros de algunas grandes corporaciones, como los de Enron, Tyco International, WorldCom y Peregrine Systems. Estos escándalos hicieron caer la confianza de la opinión pública en los empresas de auditoría y contabilidad. La Ley toma su nombre del senador del partido demócrata Paul Sarbanes y el congresista del partido republicano Michael G. Oxley. Fue aprobada por amplia mayoría, tanto en el congreso como el senado y abarca y establece nuevos estándares de actuación para los consejos de administración y dirección de las sociedades así como los mecanismos contables de todas las empresas que cotizan en bolsa en Estados Unidos. Introduce también responsabilidades penales para los consejos de administración y unos requerimientos por parte de la SEC (Securities and Exchanges Commission), organismo encargado de regulación del mercado de valores de Estados Unidos. Los partidarios de esta Ley afirman que la legislación era necesaria y útil, mientras los críticos creen que causará más daño económico del que previene....

La primera y más importante parte de la Ley establece una nueva agencia privada sin ánimo de lucro, “the Public Company Accounting Oversight Board", es decir, una compañía reguladora encargada de revisar, regular, inspeccionar y sancionar a las empresas de auditoría. La Ley también se refiere a la independencia de las auditoras, el gobierno corporativo y la transparencia financiera. Se considera uno de los cambios más significativos en la legislación empresarial, desde el “New Deal” de 1930.


El caso Enron
Artículo principal: Escándalo Enron.

Introducción

Enron Creditors Recovery Corporation era una compañía energética estadounidense con base en HoustonTexas. Enron empleó a 21.000 personas y fue una de las compañías eléctricas, de gas natural, papeleria, y de comunicaciones más importantes del mundo, con unos ingresos de 111.000 millones de dólares en el año 2000, llegando a ser la séptima empresa de Estados Unidos, según su supuesta contabilidad. Enron fue nombrada por la revista “Fortune” como la compañía más innovadora de América durante 6 años consecutivos desde 1996 hasta 2001.

El caso Enron se hizo famoso a finales del año 2001, cuando se reveló que su condición financiera estaba sustentada por una contabilidad creativa fraudulenta, sistemática e institucionalizada desde hace años, es decir, utilizaban avanzadas técnicas de ingeniería financiera para modificar su realidad contable. Desde entonces se ha convertido en un símbolo de la corrupción y del fraude corporativo.

El escándalo causó la disolución de la empresa consultora y auditora Arthur Andersen, la cual era muy prestigiosa en su momento. Como se descubrió después, mucho de los activos y beneficios de Enron fueron inflados, o enteramente fraudulentos o inexistentes, anotando deudas y pérdidas en entidades situadas en paraísos fiscales que no estaban incluidas en el sistema financiero de la compañía, además del uso de otras transacciones financieras, complejas y sofisticadas, entre Enron y las mencionadas compañías creadas para encubrir los datos contables deficitarios.

El Escándalo

La reputación mundial de Enron se vio degradada por los persistentes rumores de sobornos y presiones políticas para asegurar los contratos en América Central, Suramérica, África y Filipinas.

Después de una serie de escándalos envueltos en contabilidad irregular y procedimientos fraudulentos en la década de los 90, los cuales involucraban a Enron y la auditora Arthur Andersen, se declaró la mayor bancarrota de la historia en Noviembre del año 2001. El intento de rescate por parte de un “Caballero Blanco” (Dynegy) fue en vano, lo que llevó finalmente a la bancarrota en diciembre de 2001.

Cuando el escándalo fue revelado en 2001, las acciones de Enron cayeron desde alrededor de 90$ a 0,30$. Enron era considerada una compañía fiable y de resguardo para los inversores. Esto fue un desastre sin precedentes en el mundo financiero.

Como consecuencia de esto Arthur Andersen se disolvió, dejando solo cuatro grandes firmas auditoras, lo que causó grandes dificultades a las importantes corporaciones que requieren usar más de una auditora para servicios de auditoría y consultoría.

En 9 de junio de 2002, el departamento de Justicia de los Estados Unidos, anunció que iba a abrir una investigación al caso Enron.

La trama

Esto hizo que Enron pareciera más atractiva y creó una peligrosa espiral donde cada departamento tenía que ocultar y mejorar cada vez más sus resultados financieros, de manera que se creara un beneficio ilusorio global de millones de dólares, cuando en realidad la compañía estaba perdiendo dinero. Esta práctica elevó las cotizaciones a nuevos niveles, hasta el punto que los ejecutivos empezaron a utilizar información privada y comerciar con acciones de Enron valoradas en millones de dólares. Los ejecutivos y otros trabajadores que disponían de información privada sabían de la existencia de las cuentas deficitarias en paraísos fiscales, mientras que los inversionistas no estaban al tanto.
En agosto de 2000 el precio de la acción era 90$, su valor más alto. En ese momento los ejecutivos de Enron que poseían la información empezaron a vender sus carteras. Al mismo tiempo se estimulaba a la opinión pública y los accionistas de Enron a comprar acciones, ya que se decía a los inversores que el valor iba a continuar subiendo posiblemente hasta un valor de 130$ o 140$.
Al vender los ejecutivos las acciones, el precio empezó a caer. A los inversores se les dijo que continuaran comprando acciones o que mantuvieran sus carteras, ya que el precio de las acciones se iba a recuperar en futuro cercano. Ante estos problemas Kenneth Lay llamó a la calma a los inversores, asegurándoles que Enron iba por buen camino.
Para el 15 de agosto de 2001, la cotización de Enron había caído hasta 42$. Muchos inversores seguían confiando en Lay y creían que Enron se recuperaría. Continuaron comprando o manteniendo las carteras perdiendo dinero cada día. Para octubre la cotización ya había caído hasta 15$, muchos vieron como una gran oportunidad para comprar acciones de Enron, ya que Kenneth Lay lo aconsejaba en los medios de comunicación. Las esperanzas y el exagerado optimismo fueron en vano.
Los operadores europeos de Enron se declararon en bancarrota en noviembre de 2001, y en Estados Unidos solicitaron acogerse a la protección del “Chapter 11” el 2 de diciembre. Entonces, fue la mayor bancarrota de Estados Unidos dejando a 4.000 empleados sin trabajo.
Lay ha sido acusado de vender acciones por valor de 70 millones de dólares, que usó para pagar deudas de la compañía. Asimismo su mujer ha sido acusada de vender 500.000 acciones en el mercado, lo que hacían un total de 1,2 millones de dólares, el 28 de noviembre de 2001. El dinero ganado de esta venta no fue para la familia, sino fue destinada a organizaciones caritativas. Los registros muestran que el Sr. Lay ordenó la venta entre las 10:00 y las 10:20 de la mañana. A las 10:30 salió a la luz las noticias de los problemas de Enron, incluidas las pérdidas millonarias y el precio de los valores de las acciones cayó por debajo de 1$.


Novedades y puntos más importantes que introduce la Ley Sarbanes-Oxley

  • La creación del “Public Company Accounting Oversight Board” (Comisión encargada de supervisar las auditorías de las compañías que cotizan en bolsa).
  • El requerimiento de que laros, que forman el comité de auditores, recae la responsabilidad confirmar la independencia.
  • Prohibición de préstamos personales a directores y ejecutivos.
  • Transparencia de la información de acciones y opciones, de la compañía en cuestión, que puedan tener los directivos, ejecutivos y empleados claves de la compañía y consorcios, en el caso de que posean más de un 10% de acciones de la compañía. Asimismo estos datos deben estar reflejados en los informes de las compañías.
  • Endurecimiento de la responsabilidad civil así como las penas, ante el incumplimiento de la Ley. Se alargan las penas de prisión, así como las multas a los altos ejecutivos que incumplen y/o permiten el incumplimiento de las exigencias en lo referente al informe financiero.
  • Protecciones a los empleados caso de fraude corporativo. La OSHA (Oficina de Empleo y Salud) se encargará en menos de 90 días de reinsertar al trabajador, se establece una indemnización por daños, la devolución del dinero defraudado, los gastos en pleitos legales y otros costes.

Requerimientos que establece la PCAOB en relación al Artículo 404.
  • Asesoramiento del diseño y la eficacia del funcionamiento de los controles internos relacionados con el mantenimiento de los balances financieros relevantes.
  • Comprensión de la importancia de las transacciones anotadas, autorizadas, procesadas, y contabilizadas.
  • Documentar suficiente información sobre el flujo de transacciones para identificar posibles errores o fraudes que hayan podido ocurrir.
  • Evaluar la credibilidad de los controles de la compañía, de acuerdo con el “COSO” (Committee of Sponsoring Organizations of the Treadway Commission), organización encargada de identificar fraudes financieros.
  • Evaluar los controles diseñados para prevenir o detectar fraudes, incluidos los controles a la dirección.
  • Evaluar el control del proceso del informe financiero al final de ejercicio.
  • Evaluar el control sobre la veracidad de los asientos contables.

Controles Internos

Sección 302 En el artículo 302 de la Ley se establecen los procedimientos internos con el fin de asegurar la transparencia financiera.

Los artículos referentes a controles internos, son quizás los más importantes de la Ley. En el artículo 302 se específica la responsabilidad penal que recae sobre la directiva de la empresa, ya que tienen que firmar unos informes de forma que aseguren la veracidad de los datos que éstos contienen. Los funcionarios firmantes certifican que ellos son responsables.

Esto es un cambio sustancial en lo referente a la legislación pasada, ya que al menos hay una persona que firma y, ante posibles irregularidades o fraudes, esta persona firmante será la responsable.

Con esto, a la auditora externa se le exime de culpa, o al menos de parte de culpa, ya que el informe de auditoría se efectúa a partir de los informes que le concede la compañía. Si el informe que le es entregado a la empresa auditora está mal diseñado, contiene información falsa o está falto de información, la responsabilidad recae sobre el trabajador de la compañía auditada que ha firmado los informes. Esto otorga una independencia declarada y comprobada de la empresa auditora con respecto a la compañía a auditar.

La Ley Sarbanes-Oxley establece un responsable o responsables, una cabeza de turco sobre la que recaerán las posibles consecuencias ante un fraude, algo que anteriormente no existía y que conllevaba dificultades legales a la hora de buscar responsables, como ocurrió en el caso Enron. En este caso fueron imputados varios de los directivos, y finalmente todos menos dos quedaron absueltos.

(Sarbanes-Oxley Act, 2002) Ley SARBANES-OXLEY, Artículo 302 RESPONSABILIDAD DE LA COMPAÑÍA POR LOS INFORMES FINANCIEROS

REGLAMENTOS REQUERIDOS. La comisión, por reglamento, requerirá de cada compañía que presente informes periódicos {…} que el principal funcionario o funcionarios ejecutivos y el principal funcionario o funcionarios financieros, o personas que efectúen funciones similares, en cada informe anual o trimestral, presentado o suministrado bajo cualquier artículo de tal ley certifique que: 1. El funcionario firmante ha revisado el informe. 2. El informe no contiene ninguna declaración falsa de un hecho material u omite declarar un hecho material necesario a fin de hacer que a luz de las circunstancias bajo las cuales fueron hechos tales informes no son fraudulentos. 3. Los estados financieros, y otra información incluida en el informe presentan razonablemente {…} la situación financiera y los resultados de las operaciones del emisor por los períodos presentados en el informe. 4. Los funcionarios firmantes: a. Son responsables por establecer y mantener controles internos. b. Han diseñado controles internos para asegurar que información importante referente al emisor {…} sea puesto en conocimiento de tales funcionarios {...} 5. Los funcionarios firmantes han revelado a los auditores del emisor y al comité de auditoría de la junta de directores (o personas que desempeñan función equivalente) a. Todas las deficiencias {…} de los controles internos que podrían afectar adversamente la habilidad del emisor para registrar, procesar, resumir y reportar datos financieros {…}. b. Cualquier fraude, significativo o no, que involucre a la gerencia u otros empleados que desempeñen un papel importante en los controles internos del emisor.


Artículo (404) La novedad que introduce el artículo 404 de la Ley SARBANES-OXLEY es la exigencia de redactar un informe de control interno al final de cada ejercicio fiscal. Dentro de este informe de control interno se establece la responsabilidad del equipo directivo de tener una estructura de control interno adecuada. Anteriormente esta exigencia no existía y ahora el equipo directivo es responsable ante posibles fraudes. Por ejemplo, en el caso Enron no existía control interno declarado y los movimientos de ingeniería financiera entre filiales de Enron en paraísos fiscales y la central en EEUU quedaban sin ser vigilados ni controlados, de lo cual un caso extremo fue lo ocurrido en el año 2001 anteriormente mencionado.

Este informe de control interno es revisado y evaluado por la empresa auditora, que certificara la anterior evaluación hecha por la comisión de los directivos encargados de realizar dicho informe.

(Sarbanes-Oxley Act, 2002) Ley SARBANES-OXLEY, Artículo 404 EVALUACION DE LA GERENCIA DE LOS CONTROLES INTERNOS.

a) REGULACIONES REQUERIDAS. La Comisión prescribirá regulaciones requiriendo que cada informe anual {…} contenga un informe de control interno, el cual: 1. determinará la responsabilidad de la gerencia por establecer y mantener una estructura adecuada de control interno y los procedimientos, 2. contendrá una evaluación, al final del año fiscal más reciente del emisor, de la estructura de control interno y los procedimientos para la información financiera.

b) EVALUACIÓN E INFORME DEL CONTROL INTERNO. Con respecto a la evaluación del control interno requerido por el inciso (a), cada firma de contabilidad pública que prepara o emite el informe de auditoría para el emisor testificará e informará sobre la evaluación hecha por la gerencia de emisor. Una testificación bajo esta subsección será hecha de acuerdo con las normas para compromisos de testificación emitidas o adoptadas por la Junta. La testificación no estará sujeta a un compromiso separado.


Artículo (906)

La Ley establece una modificación en el código penal de los Estados Unidos. El artículo 906 de la Ley Sarbanes-Oxley establece una nueva disposición en el código penal donde se especifican las multas y penas para los responsables legales de infracción de los requerimientos expuestos en la Ley SARBANES-OXLEY.

El responsable “será multado con no más de 1.000.000 $ o encarcelado por no más de 10 años, o ambos” en el caso de certificar el informe periódico sabiendo que no cumple con todos los requerimientos de la ley”.

El responsable “será multado con no más de 5.000.000 $ o encarcelado por no más de 20 años, o ambos” en el caso de certificar el informe periódico intencionadamente sabiendo que no cumple con todos los requerimientos de la ley”.

Esta sección del código penal que ha introducido la Ley Sarbanes-Oxley es toda una novedad, porque específica la pena del tipo de delito financiero en cuestión, y endurece las penas anteriormente existentes para este tipo de delitos.

Además de especificar la pena, también aclara sobre quién recae la responsabilidad, a diferencia de lo ocurrido con el caso de los escándalos de Enron y otras compañías donde la responsabilidad penal no fue fácil de establecer en unos culpables claros.


Coste de Implementación

Introducción

Existen distintas opiniones acerca de la Ley, John Thain (NYSE Chief Executive Officer) establece “No hay lugar a dudas que la Ley SARBANES-OXLEY era necesaria”. No obstante, el coste de implementación de los nuevos requerimientos ha llevado a las compañías a cuestionarse la necesidad de la Ley.

Para las compañías, la necesidad de actualizar los sistemas de información para cumplir los requerimientos de control e informe suponen un gran coste. En muchos de los casos esto implica cambios significativos o incluso reemplazarlos, ya que anteriormente fueron diseñados sin la necesidad del cumplimiento de los nuevos estamentos. Recientemente artículos publicados en el New York Times, Wall Street Journal, Financial Times y The Economist han sugerido que las opiniones de la Ley SARBANES-OXLEY son la causa de un decrecimiento de las compañías americanas cotizadas en bolsa en comparación con otras bolsa como Londres o Hong Kong, es decir, la Ley desincentiva a las compañías para cotizar en bolsas americanas.

Se ha comprobado que el coste asociado al cumplimiento del apartado 404 de la Ley SARBANES-OXLEY es realmente significativo. Según “Financial Executives International” (FEI), en una muestra de 217 compañías con un promedio de ingresos mayores de 5.000 millones de dólares, se estimó un coste de 4,36 millones de dólares en el primer año.

El gran coste de implementación incurrido durante el primer año, puede ser atribuido a la gran carga de trabajo que tuvieron que realizar las auditoras, y el coste monetario que esto acarrea. Estos costes de establecimiento de la Ley puede ser poco significantes para una minoría de grandes compañías, no obstante puede llegar a ser insostenible para una empresa más pequeña con una facturación de unos pocos millones. Por otro lado la Ley todavía no es efectiva para las compañías pequeñas con un valor de menos de 75 millones de dólares en el mercado bursátil, y todavía no está claro lo que la Ley requerirá a las pequeñas compañías, cuando ésta se haga efecto.

Conforme más compañías y auditoras ganen experiencia con la Ley Sarbanes-Oxley, se prevé que los costes vayan disminuyendo. Los ingresos de las auditoras han crecido mucho desde que entró en vigor la Ley, aunque ya estaban creciendo antes de la imposición de la Ley como consecuencia de los escándalos financieros por los cuales las autoridades se vieron obligados a redactar la Ley.

Hay quien afirma que la Ley Sarbanes-Oxley ha hecho que muchos negocios se hayan trasladado de Nueva York a Londres, donde las autoridades reguladoras de los servicios financieros son más flexibles.

Hace ya más de 3 años que el congreso de los Estados Unidos impuso la Ley con la intención de recuperar la confianza de los inversores. En los últimos 2 años, el artículo 404 de la Ley Sarbanes-Oxley, anteriormente explicado, ha requerido que la gestión de gran cantidad de compañías que cotizan en bolsa y sus compañías auditoras independientes escriban un informe sobre los controles internos de las compañías. Esto es lo que ha hecho incrementar los costes de auditoría.


Pequeñas compañías

Como muestra la tabla 1 y el gráfico 1 (Sarbanes-Oxley Spring 2006 Survey by CRA International) las pequeñas compañías han experimentado una bajada substancial del coste y las tarifas de auditoría, referido al artículo 404 de la Ley Sarbanes-Oxley, a partir del segundo año de implementación.

En dichos costes se incluyen:
  • El coste total del artículo 404 de la Ley Sarbanes-Oxley es alrededor de $860.000 en el segundo año, comparado con los $1,24 millones en el primer año de implementación, es decir, ha disminuido un 30%.
  • Otros costes de auditoría externa asociados con el artículo 404 de la Ley Sarbanes-Oxley han disminuido un 20,6% durante los dos primeros años de implementación.
  • El total de costes de implementación de la Ley en el segundo año, llegó a representar aproximadamente 0,24% de los ingresos de las compañías estudiadas. Mientras que durante el primer año fue del 0,38%.

4.2.1 Tabla y 1 Figura

Fuente: Sarbanes-Oxley Spring 2006 Survey CRA International, page 7.

Fuente: Sarbanes-Oxley Spring 2006 Survey CRA International, page 8.

Como muestra la tabla 1, el coste de las tarifas de las auditorías bajaron a $336.000 en el segundo año, desde $423.000 en el primer año de implementación de la Ley. Las tarifas de las auditoras. El 39% de los costes de las compañías pequeñas en auditorías, se debió a la implementación del artículo 404 de la Ley Sarbanes-Oxley.

La CRA analiza también el resultado de dos subgrupos de pequeñas compañías: aquellas que su capitalización en el mercado fue menor de $125 millones y aquellas que su capitalización en el mercado estuvo entre $125 millones y $700 millones. El promedio de la reducción del coste total del artículo 404 de la Ley Sarbanes-Oxley entre 2004 y 2005 para estos subgrupos fue similar a la reducción media para el total de las compañías más pequeñas.

El coste total para las compañías con una capitalización entre $125 millones y $700 millones bajó un 29%, desde $1,33 millones en 2004 a $0,94 millones en 2005. Y el total de los costes para las compañías que están en el rango menor (menos de $125 millones) descendió un 42% de $0,92 millones en 2004 a $0,53 millones en 2005.


Compañías Grandes

Como se muestra en la tabla 3, el impacto de implementación de la Ley fue la siguiente:
  • Los costes del artículo 404 cayeron en el segundo año desde la implantación de la Ley de $8,5 millones en el primer año a $4,8 millones, lo que significa una caída del 43,9%.
  • El coste asociado a la implementación de la Ley Sarbanes-Oxley (artículo 404), en los dos primeros años representó el 0,05 % de los ingresos medios de las compañías. Solo el primer año represento el 0,11% y descendió bruscamente al 0,02% en el segundo año de implantación. Podemos ver que las grades compañías tuvieron una gran capacidad de ajuste a la implementación de la Ley, ya que después de un gasto considerable en el primer año, para el segundo se pudo reducir notablemente.

4.3.1 Tabla 3 y Figura 2

Fuente: Sarbanes-Oxley Spring 2006 Survey CRA International, page 10.

Fuente: Sarbanes-Oxley Spring 2006 Survey CRA International, page 11

Como se muestra en la figura 2, el coste de implementación en el año 2005 del artículo 404 de la Ley Sarbanes-Oxley represento el 33% del gasto total en auditorías.


Causas Fundamentales que han afectado a los Costes de Implementación

Las auditoras, se han visto obligadas a adoptar nuevos mecanismos y medidas para poder adaptarse a la nueva situación. Esto ha supuesto un incremento de las tarifas y comisiones de las auditoras.

Las tres causas más importantes, reflejadas en la tabla 5, son idénticas para los dos grupos de compañías, aunque dependiendo del tamaño las proporciones son distintas. La razón principal, que hizo que en el segundo año de aplicación de la Ley disminuyeran los costes de implementación de la nueva normativa, fue el resultado de la aplicación de lo aprendido el año anterior. La gran inversión en aprendizaje fue el primer año, y el segundo ya se llevaba parte del camino recorrido. Muchos de los informes que se tuvieron que hacer en el primer año, no fue necesario repetirlos en el segundo. La tercera causa en importancia, fue el trabajo realizado en la revisión, ocultación y “maquillaje” de información de terceras personas que tenían que ver con la compañía, y que fue necesario para adaptarse a la nueva Ley. Por ejemplo, como se mencionó anteriormente, la nueva Ley exige informes sobre las acciones y opciones de la compañía que están en posesión de directivos y ejecutivos de la empresa, algo que antes no era necesario.


Fuente: Sarbanes-Oxley Spring 2006 Survey CRA International, page 13

Nota de traducción (ante la dificultad conceptual)

Learning Curve: Proceso de formación, aprendizaje. Change in efforts: Esfuerzos necesarios para la adaptación de los nuevos mecanismos. Decline in third party readiness activities: Costes de ocultar y “maquillar” información de terceras personas.

Además en el estudio consultado, se observa una esperada disminución de los costes claves observados, gracias a la experiencia adquirida. Para las compañías pequeñas el número de controles claves realizados por las auditoras descendió un 21%, en promedio de 262 que se hicieron en el año 2004 a 206 en el año 2005. Para las grandes compañías este descenso fue del 19%, de 669 controles en año 2004 a 540 en 2005. Dichos controles tuvieron que ser más numerosos durante el primer año, ya que la Ley Sarbanes-Oxley exige una revisión exhaustiva y más amplia.

Se observa una adaptación a la nueva normativa, ya que el esfuerzo tanto para grandes compañías, como para pequeñas se ha reducido aproximadamente en un 20% del primero al segundo año.


Valoración Crítica

La Ley Sarbanes-Oxley se aprobó con el fin de evitar posibles escándalos como los ocurridos a Enron, WorldCom, y demás compañías que sufrieron algo parecido.

En Estados Unidos hubo un gran revuelo, así como un descontento general por parte de los inversores, ya que desconfiaban de las instituciones reguladoras y del Gobierno.

Para evitar esa caída de la confianza aprobaron esta Ley, ya que a efectos prácticos no evita que pueda volver a ocurrir algo así. Esta Ley no podría evitar que una compañía haga una contabilidad fraudulenta como hizo Enron. Si la información que se les ofrece a las compañías auditoras es falsa, o incompleta, éstas compañías auditoras harán unos informes irreales e incompletos. Lo que sí establece la Ley es una responsabilidad, ya que hay una persona encargada de firmar los informes y de garantizar a la compañía auditora que la información es veraz y completa.

La Ley Sarbanes-Oxley ha supuesto unos grandes costes para las compañías, a la vez que ha supuesto unos mayores ingresos para las empresas dedicadas a auditoría independiente. Esto ha supuesto un desincentivo para algunas compañías que iban a entrar a formar parte en el parqué americano, y que han decidido trasladarse a otros mercados como el europeo y japonés donde existe una mayor flexibilidad.

Después de la desaparición de la compañía auditora Arthur Andersen el número de grandes compañías auditoras disminuyó, quedando reducido a KPMG, Deloitte, PricewaterhouseCoopers, Ernst & Young Y BDO. Se redujo la competencia, ya que como estas compañías también ofrecen servicios de consultoría, y la nueva legislación exige una mayor independencia entre la compañía auditora y la empresa auditada, la capacidad de elección entre unas compañías consultoras y otras se ha limitado.
Esta Ley ha tenido unos grandes costes, ya analizados anteriormente, y aun así no garantiza que no pueda volver a ocurrir lo mismo. Es una Ley que hizo el Gobierno de la Administración Bush para lavar la imagen de las instituciones americanas y del propio Gobierno, ya que algunos directivos tenían una estrecha relación con la Administración Bush. Véase el documental Enron, los tipos que estafaron a América, donde se explican estos lazos, llegando al extremo de que al poco tiempo del escándalo financiero de Enron, a antiguos directivos de esta firma se les asignó un puesto de trabajo en la Administración del Gobierno.



Ley Sarbanes-Oxley de 2002

Fuentes: www.google.com.ar

Formato de archivo: PDF/Adobe Acrobat - Vista rápida
en español, su significado en la ley Sarbanes-Oxley corresponde al original en inglés ...




Ley Sarbanes Oxley (SOX) en Español

Fuente:  grupos.emagister.com

                         
                 Puedes ver el documento Ley Sarbanes Oxley (SOX) en Español y otros documentos de Contabilidad y auditoría en Grupos Emagister           



Aplicación de una metodología de mejora continua de procesos. Caso de estudio: Controles SOX

Fuente: google.com.ar

José Martinez Garro, Patricia Bazán
Facultad de Informática – UNLP – La Plata – Buenos Aires - Argentina

Formato de archivo: PDF/Adobe Acrobat - Vista rápida




Coso, Sox, mejores practicas internacionales en control interno

Fuente:  google.com.ar

UNIVERSIDAD DE CALDAS
FACULTAD DE INGENIERÍAS
INGENIERÍA EN SISTEMAS Y COMPUTACIÓN
MANIZALES, CALDAS
OCTUBRE DE 2010

La Ley SOX requiere la evaluación de las actividades de control para ..... 
Formato de archivo: PDF/Adobe Acrobat - Vista rápida




Herramientas de auditoria

Fuente: slideshare.net




Artículos Relacionados


Finalmente se ha publicado la guía OpenSAMM traducida en su totalidad al castellano. Según anunciaba el coordinador de esta traducción, Juan Carlos Calderón, en las listas de correo de OWASP, de habla hispana ...

OWASP (acrónimo de Open Web Application Security Project, en inglés 'Proyecto abierto de seguridad de aplicaciones web') es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el ...

Ley Sarbanes Oxley (SOX) en Español. Aplicación de una metodología de mejora continua de procesos. Caso de estudio: Controles SOX; Coso, Sox, mejores practicas internacionales en control interno. Herramientas de ...

Establecer y administrar una IDM federada que vuelva portables los datos de las identidades de los usuarios a lo ancho de dominios de seguridad autónomos puede resultar engorroso, amén de complicado. Con sistemas ...

Además de la licencia de conducir (o tarjeta de identificación estatal/Cédula de identidad para aquellos que no conducen), tenemos credenciales por todas partes, debemos obtener una tarjeta de seguridad social o de la ...

Es cierto que son sistemas un poco más complejos de administrar y configurar pero se complementan muy bien con la seguridad y las opciones que se pueden llegar a alcanzar. Además de esto, el Software Libre es una ...

     


    

Revisando: Proyecto abierto de seguridad de aplicaciones web ( OWASP) 30-01-2013.

  • Open Web Application Security Project [Wikipedia]
  • OWASP Top 10 para desarrolladores .NET [Libro gratis]



Open Web Application Security Project [Wikipedia]

Fuente: es.wikipedia.org

OWASP (acrónimo de Open Web Application Security Project, en inglés ‘Proyecto abierto de seguridad de aplicaciones web’) es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. La Fundación OWASP es un organismo sin ánimo de lucro que apoya y gestiona los proyectos e infraestructura de OWASP. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.

OWASP es un nuevo tipo de entidad en el mercado de seguridad informática. Estar libre de presiones corporativas facilita que OWASP proporcione información imparcial, práctica y redituable sobre seguridad de aplicaciones informática. OWASP no está afiliado a ninguna compañía tecnológica, si bien apoya el uso informado de tecnologías de seguridad. OWASP recomienda enfocar la seguridad de aplicaciones informáticas considerando todas sus dimensiones: personas, procesos y tecnologías.

Los documentos con más éxito de OWASP incluyen la Guía OWASP y el ampliamente adoptado documento de autoevaluación OWASP Top 10. Las herramientas OWASP más usadas incluyen el entorno de formación WebGoat, la herramienta de pruebas de penetración WebScarab y las utilidades de seguridad para entornos .NET OWASP DotNet. OWASP cuenta con unos 50 capítulos locales por todo el mundo y miles de participantes en las listas de correo del proyecto. OWASP ha organizado la serie de conferencias AppSec para mejorar la construcción de la comunidad de seguridad de aplicaciones web.

Proyectos

Los proyectos OWASP se dividen en dos categorías principales: proyectos de desarrollo y proyectos de documentación.

Los proyectos de documentación actuales son:
  • Guía OWASP – Un enorme documento que propociona una guía detallada sobre la seguridad de las aplicaciones web.
  • OWASP Top 10 – Documento de alto nivel que se centra sobre las vulnerabilidades más críticas de las aplicaciones web.
  • Métricas – Un proyecto para definir métricas aplicables de seguridad de aplicaciones web.
  • Legal – Un proyecto para ayudar a los vendedores y compradores de software a negociar adecuadamente los aspectos de seguridad en sus contratos.
  • Guía de pruebas – Una guía centrada en la prueba efectiva de la seguridad de aplicaciones web.
  • ISO 17799 – Documentos de apoyo para organizaciones que realicen revisiones ISO 17799.
  • AppSec FAQ – Preguntas y respuestas frecuentes sobre seguridad de aplicaciones web.
Los proyectos de desarrollo incluyen:
  • WebScarab – Un aplicación de chequeo de vulnerabilidades de aplicaciones web incluyendo herramientas proxy.
  • Filtros de validación (Stinger para J2EEfilters para PHP) – Filtros genéricos de seguridad perimetral que los desarrolladores pueden usar en sus propias aplicaciones.
  • WebGoat – Una herramientra interactiva de formación y benchmarking para que los usuarios aprendan sobre seguridad de aplicaciones web de forma segura y legal.
  • DotNet – Un conjunto de herramientas para securizar los entornos .NET.

Historia

Los líderes OWASP son responsables de tomar decisiones sobre la dirección técnica, las prioridades del proyecto, los plazos y las publicaciones. Colectivamente, los líderes OWASP pueden considerarse gestores de la Fundación OWASP, si bien el proyecto prima la compartición de conocimiento en la comunidad frente al reconocimiento individual.

OWASP comenzó en el año 2001. La Fundación OWASP, una organización sin ánimo de lucro, se creó en 2004 para apoyar los proyectos e infrastructura de OWASP.

OWASP depende para su mantenimiento de las donaciones y las cuotas de los socios, particulares y empresas.


Véase también

Enlaces externos



Libro gratis: OWASP Top 10 para desarrolladores .NET

Fuente:  blog.segu-info.com.ar

Troy Hunt (Software architect and Microsoft MVP) ha escrito una serie de artículos durante 19 meses y finalmente ha logrado completar un libro electrónico.

Según dice, fue una aventura épica de aprendizaje. Escribir la serie lo obligó a conocer su contenido en profundidad. Finalmente el esfuerzo ha sido muy bien recibido por las comunidades de .NET y OWASP y ha decidido convertirlo en un libro electrónico gratis sobre OWASP Top 10 para desarrolladores .NET [PDF].

Además para quien esté interesado en leer la serie y los comentarios originales:
  1. Injection
  2. Cross-Site Scripting (XSS)
  3. Broken Authentication and Session Management
  4. Insecure Direct Object References
  5. Cross-Site Request Forgery (CSRF)
  6. Security Misconfiguration
  7. Insecure Cryptographic Storage
  8. Failure to Restrict URL Access
  9. Insufficient Transport Layer Protection
  10. Unvalidated Redirects and Forwards
Por Cristian de la Redacción de Segu-Info
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5




Artículos Relacionados


Finalmente se ha publicado la guía OpenSAMM traducida en su totalidad al castellano. Según anunciaba el coordinador de esta traducción, Juan Carlos Calderón, en las listas de correo de OWASP, de habla hispana ...

OWASP (acrónimo de Open Web Application Security Project, en inglés 'Proyecto abierto de seguridad de aplicaciones web') es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el ...

Ley Sarbanes Oxley (SOX) en Español. Aplicación de una metodología de mejora continua de procesos. Caso de estudio: Controles SOX; Coso, Sox, mejores practicas internacionales en control interno. Herramientas de ...

Establecer y administrar una IDM federada que vuelva portables los datos de las identidades de los usuarios a lo ancho de dominios de seguridad autónomos puede resultar engorroso, amén de complicado. Con sistemas ...

Además de la licencia de conducir (o tarjeta de identificación estatal/Cédula de identidad para aquellos que no conducen), tenemos credenciales por todas partes, debemos obtener una tarjeta de seguridad social o de la ...

Es cierto que son sistemas un poco más complejos de administrar y configurar pero se complementan muy bien con la seguridad y las opciones que se pueden llegar a alcanzar. Además de esto, el Software Libre es una ...

  
  

Revisando: Gestión de la Identidad (IDM) - 30-01-2013

  • 7 pasos para una mejor gestión de la identidad.
  • IDM - Identity Management System [Wikipedia].
  • Las soluciones de Identity Management de Novell tienen el mas bajo costo total de propiedad (TCO).
  • Artículos Relacionados:
    • IDM - Crisis de Identidad (Gestión).



7 pasos para una mejor gestión de la identidad

Fuente: informationweek.com.mx(Parte1)informationweek.com.mx(Parte2)

La gestión de las identidades, contraseñas y derechos de acceso de los empleados siempre ha sido complicada. Y ahora, con un mayor empleo del outsourcing y del software como servicio (SaaS) las cosas se han vuelto más enredosas y requieren el uso de una gestión de las identidades (IDM, por sus siglas en inglés) federada, operada desde fuera de las paredes de la empresa.
Establecer y administrar una IDM federada que vuelva portables los datos de las identidades de los usuarios a lo ancho de dominios de seguridad autónomos puede resultar engorroso, amén de complicado.

Con sistemas distribuidos,  empleados en el mundo entero y un inacabable número de tecnologías que se deben integrar es para volver cardiaco a cualquiera. Pero si se planean adecuadamente resultan beneficios significativos, como una seguridad mejorada, menos gasto operativo fijo, menores costos de soporte y una mejor experiencia para los usuarios.

La IDM permite que el departamento IT entienda quiénes son los usuarios, a que aplicaciones y redes tienen acceso y, en la mayoría de los casos, sus funciones en el trabajo. Permite, asimismo, la gestión completa de una identidad, en contraposición de una perspectiva aislada de una sola cuenta en un solo sistema. La clave está en entender cuáles son las tecnologías de IDM en el ambiente de cada empresa, cómo son usadas por el personal  y como se entrelaza todo.

Lo que sigue son 7 pasos para manejar estos asuntos y mejorar el control sobre el ambiente.


Identificar qué se va a administrar

Antes de poder proceder a la IDM de los usuarios, lo primero es saber qué es lo que se está administrando. El enfoque que se adopte en IDM dependerá de: cuánto se dispone para gastar, qué tecnologías se aplicarán y cuál será la sofisticación y amplitud del sistema.

¿Requiere la compañía soporte de administración de usuarios básico o todo lo que abarca desde aprovisionar a los nuevos usuarios, login individual hasta eliminar a los usuarios que se han ido? Si la compañía está crecimiento, abre nuevos establecimientos y contrata a más empleados, ha optado por aplicaciones de SaaS, en vez de traer más aplicaciones intramuros, entonces será conveniente más automatización de los actuales procesos de IDM que gastar dinero en traer nuevas soluciones.

La automatización del aprovisionamiento y eliminación de los empleados que se han ido evitará equivocaciones, proporcionará mejor seguridad y redundará en menos problemas de auditoría. Se puede dar un paso más y crear plantillas y fechas de expiración de las cuentas de los empleados para efectos de su acceso a las aplicaciones y a la red, lo que hará felices a los auditores.

Si la compañía proporciona acceso a su sistema a socios subcontratados, en especial desarrolladores tercerizados, con alta alternancia de personas, entonces la automatización es crítica. Con mucha frecuencia, las cuentas de los contratistas se dejan activas mucho tiempo después que ya no trabajan para la compañía, o bien los nuevos contratistas usan la cuenta de la persona a la que han sustituido debido a lo pesado que es el proceso de aprovisionar acceso.


¿Dónde están las cuentas de los usuarios?

Lo que sigue es identificar la tecnología sobre la que residen las cuentas de los usuarios. Puede tratarse de un sistema de recursos humanos, SAP, Active Directory, OpenLDAP o cualquier directorio de cuentas de usuario o usuarios, o incluso alguna combinación de esto. Los sistemas de recursos humanos y nómina son los mejores lugares para buscar un sistema que identifique qué usuarios son legítimos y activos.

También es necesario determinar cuál es el sistema maestro de identificación del departamento IT. ¿Es Active Directory o algún otro repositorio centralizado de cuentas? Si no hay uno, esto explica el problema en que esta la empresa, y por ahí se debe empezar. Si se tiene Active Directory u otro sistema, entonces hay que averiguar qué está autenticando en su contra. Puede tratarse sólo de las PC y servidores, pero también puede deberse a aplicaciones a la medida, logias a la base de datos y aplicaciones de terceros.


¿Hora de centralizar la autenticación?

En este punto es preciso evaluar detalladamente si es conveniente migrar a un sistema central de autentificación. Una de las clave de IDM federado es tener un lugar central para la gestión de cuentas y muchas compañías han comprobado que los beneficios de una autentificación central superar con mucho los inconvenientes de dicho sistema.

El Identity Manager de CA y Tivoli Identity Manager de IBM son algunos de los productos de IDM que las compañías pueden usar, independientemente de si tienen o no un directorio central de usuarios. Muchas de estas herramientas realizan el mismo trabajo, pero cada una tiene sus lados ventajosos. Los sistemas más grandes, como el de CA y el de IBM cuestan $100,000 dólares o más y proporcionan gestión completa del flujo de trabajo para aprovisionar y eliminar usuarios, incluida la aceptación de la solicitud inicial, obtener autorización, crear o eliminar una cuenta con un sólo clic.

Estas características son las que distinguen los sistemas de IDM respecto de los sistemas de servicios de directorio, como Active Directory. Permiten que el departamento IT importe cuenta de un directorio maestro o de un sistema individual. Una vez se han descubierto e importado las cuentas, se pasa a mapear, agrupar, eliminar y modificar o hacer cualquier otra cosa que se quiera hacer con ellos.

Si en el departamento de RH existe un registro maestro de los empleados o una nómina, se puede importar a través de conectores soportados o del importe de archivos planos y emplearlo para mapear cuentas de sistemas de empleados reales. Hacer esto permitirá entender por completo a qué tiene acceso determinada persona, en vez de quedarse con una visión aislada de una sola cuenta  en un solo sistema.


¿Sabe el departamento IT que aplicaciones externas se están usando?

Una vez que se ha entendido la empresa interna, hay que mirar hacia fuera. ¿Emplea la compañía servicios de SaaS, como los de Salesforce.com, redes sociales, gestión subcontratada de gastos y sistemas de RH?

Dado que su operación es más barata y su despliegue más rápido, las ofertas de SaaS pueden ser un gran añadido a la empresa… si tienen suficientes capacidades de gestión de usuarios. Si no se dispone de buenas herramientas, el manejo de centenares de cuentas en un sistema subcontratado puede absorber muchos recursos. Hay que averiguar con el departamento de contabilidad y el personal de encuestas que aplicaciones y sitios en línea de terceros están usando sin conocimiento del departamento IT.

El propósito no es impedir que usen esos servicios, sino entender cómo manejarlos mejor. El problema con los servicios de terceros es encontrar una herramienta que pueda manejar apropiadamente las cuentas a la vez, también, que los recursos de gestión internos.


Examinar las opciones y pedir sugerencias a los fabricantes de IDM y SaaS

El siguiente paso es entender los flujos de trabajo. Es necesario entender cabalmente el proceso tal cual es y poder proporcionar un mapa que muestre cuál sería la diferencia en su operación con otro proveedor. Hay que observar cómo se aprovisiona a los usuarios, cómo se manejan los cambios a su acceso y cómo se elimina a los usuarios cuando se marchan. ¿Cómo se añaden cuentas a lo ancho de múltiples sistemas?

Conviene realizar una prueba sobre cómo se procesas las solicitudes. Realizar este ejercicio para los casos extremos, como los sistemas externos de Salesforce y aquel sistema que siempre ha sido manejado por una persona que se rehúsa a que otras personas entren. Para la documentación del flujo de trabajo utilizar siempre gráficas de flujo. Son útiles cuando se implementan nuevos productos y para advertir redundancias en los procesos.

Hay qu hacer esto con los usuarios finales. A menudo nos fijamos en los procesos técnicos y nos olvidamos de preguntar a los usuarios qué piensan del proceso, cómo lo entienden y los puntos difíciles que encuentran. Yo realicé esto recientemente y averigüe que los puntos de vista de los usuarios son muy diferentes a los del departamento IT.  Si no se resuelven los problemas y malas interpretaciones en el sistema existente, se trasladarán al nuevo que se adquiera.


Conocer los límites

Ahora que ya he explicado la tecnología, los directorios y los servicios con los que es necesario integrarse, hay que estimar las limitaciones de la empresa. ¿Se van a manejar todas estas tecnologías? ¿Basta un producto o se requieren varios? Una manera fácil de simplificar la gestión de identidades es vincular a todos los recursos en el menor número posible de directorios. Por ejemplo, autentificar todos los sistemas y aplicaciones posibles en el Active Directory. Una vez se han reducido el número de puntos de autenticación, la implementación de un sistema IDM, hay menos posibles apagones debido a cambios de sistema y menos llamados al help desk por contraseñas olvidadas.

Ahora ya he explicado, hasta un nivel razonable, lugares donde manejar las cuentas, con la esperanza de que se devuelvan a las manos del departamento IT. Y si no hay mucho cambio de empleados quizá no tenga sentido en un sistema automatizado que sea mayor. Por el contrario, la automatización puede mejorar considerablemente el cumplimiento de normas con requisitos como los estándares de la Payment Card Industry. Si se detiene aquí, al menos habrá reducido los costos de soporte y mejorado el proceso de IDM.


¿Cuál es el sistema correcto?

Existen muchos fabricantes en el mercado IDM, como CA, Conformity, IBM, Logic, Oracle, Radiant , SAP y Symplified. La otra opción es desarrollar una herramienta dentro de la empresa, pero para la mayoría de las compañías esto les resulta difícil y al cabo salen gastando más. La compra de un paquete puede costar más en un comienzo, pero a la larga suele funcionar mejor a medida que las compañías, al tiempo que crecen, van añadiendo tecnologías.

Mi consejo es enviar a los fabricantes una lista de las tecnologías que se usan en la empresa, pedirles que verifiquen cuáles soportan y que especifiquen si ese soporte aumenta el costo y qué expliquen cómo los procesos de la empresa se complementan con los de los sistemas de los fabricantes. Califique a los proveedores basándose en los criterios de la empresa y el presupuesto.

Antes de hacer la decisión final, tomarse tiempo para ver más adelante, pues es probable que posteriormente la empresa quiera implementar alguna nueva tecnología. Procurar que cualquier senda que se emprenda en IDM sea flexible y permita añadidos y cambios.


Adam Ely es director de Seguridad de TiVo, donde es el responsable de IT y seguridad de las aplicaciones: iweekletters@techweb.com

Publicado June 1, 2010 Por 


IDM - Identity Management System [Wikipedia]

Fuente:  en.wikipedia.org

Un sistema de gestión de identidad se refiere a un sistema de información, o para un conjunto de tecnologías que pueden ser utilizadas para la empresa o entre redes de gestión de identidad .

Gestión de la identidad (IdM) describe el manejo de las diferentes identidades , su autenticación, autorización , los roles y privilegios [1] dentro oa través del sistema y límites de la empresa [1] con el objetivo de aumentar la seguridad y la productividad, la disminución de costos, tiempo de inactividad y repetitivo tareas. [2]

"Identity Management" y "Acceso y Gestión de Identidad" (o AIM) son términos que se usan de manera intercambiable con el título de gestión de la identidad, mientras que la gestión de identidad se cae el paraguas de la seguridad informática . [3]

Sistemas de gestión de la identidad , productos, aplicaciones y plataformas comerciales de soluciones de gestión de identidad implementadas por las empresas y organizaciones.

En general, la gestión de la identidad electrónica se puede decir que abarcan la gestión de todo tipo de identidades digitales. El enfoque en la gestión de la identidad se remonta a la elaboración de directorios, tales como X.500 , donde un espacio de nombres sirve para sujetar objetos con nombre que representan la vida real "identificado" entidades, como los países, organizaciones, aplicaciones, suscriptores o dispositivos. Los X.509 del UIT-T certificados estándar definidos llevado atributos de identidad como dos nombres de directorio: el sujeto del certificado y el emisor del certificado. Certificados X.509 y PKI operar los sistemas en línea para probar la "identidad" de un sujeto. Por lo tanto, en términos de TI, se puede considerar la administración de identidades como la gestión de la información (como se sostuvo en un directorio) que representa los elementos identificados en la vida real (por ejemplo, las organizaciones de usuarios, dispositivos, servicios, etc.) El diseño de estos sistemas requiere información explícita y las tareas de identificación de ingeniería.

La evolución de la gestión de la identidad sigue la progresión de Internet la tecnología de cerca. En el entorno de páginas web estáticas y portales estáticos de la década de 1990, las empresas investigadas la entrega de contenido web informativo, como las "páginas blancas" de los empleados. Posteriormente, como el cambio de información (debido a la rotación de personal, aprovisionamiento y de aprovisionamiento-), la capacidad de realizar actualizaciones de autoservicio y mesa de ayuda con mayor eficacia se transformó en lo que se conoce como Gestión de Identidad de hoy .

Funcionalidad típica de administración de identidades incluye lo siguiente:

La administración de identidades también aborda el problema de la 'antigua N +1' - donde cada nueva aplicación puede implicar la creación de nuevos almacenes de datos de los usuarios. La capacidad de gestionar de forma centralizada el aprovisionamiento y de aprovisionamiento de las identidades y consolidar la proliferación de tiendas de identidad, todo forma parte del proceso de gestión de identidades.

Soluciones

Las soluciones que entran en la categoría de gestión de identidades pueden ser:

Gestión de identidades
Control de acceso
Los servicios de directorio
Otras categorías
Normas iniciativas

Lista de los principales sistemas de gestión de la identidad

  • CA Technologies IdM[6]
  • Courion IdM[7]
  • e-trust HORACIUS[8]
  • EmpowerID IdM[9]
  • Sun Identity Manager (will be supported only up to 2014)
  • Aveksa[19]

Comparación de los principales sistemas de gestión de la identidad

SystemAccount Provisioning/De-provisioningWorkflow automationDelegated administrationPassword syncSelf-service password resetPolicy-based access controlEnterprise Single sign-on (SSO)Web single sign-on (Web SSO)Identity repository/Directory ServicesMetadata replication/Sync engineWorkflow application development
TrewIdMYesYesYesYesYesYesNoYesYesYesYes
CA Tech IdMYesYesYesYesYesYesYesYesYesYesYes
Courion IdMYesYesYesYesYesYesYesYesYesYesNo
e-trust HORACIUS IdMYesYesYesYesYesYesNoNoYesYesYes
EmpowerID IdMYesYesYesYesYesYesYesYesYesYesYes
Hitachi ID IdMYesYesYesYesYesYesYesYesYesYesNo
IBM Tivoli IdMYesYesYesYesYesYesYesYesYesYesNo
Microsoft Active DirectoryNoNoYesYes between ADNoYesYesYesYesNoNo
MS FIM 2010YesYesYesYesYesYesYesNoNoYesNo
Novell IdMYesYesYesYesYesYesYesYesYesYesNo
Nakina Systems IdMYesYesYesYesYesYesYesYesYesYesNo
Oracle IMYesYesYesYesYesYesYesYesYesYesNo
PortalGuardNoNoYesYesYesYesYesYesYesNoNo
Quest IdMYesYesYesYesYesYesYesYesYesYesYes
AveksaYesYesYesYesYesYesYesYesYesYesYes
SystemAccount Provisioning/De-provisioningWorkflow automationDelegated administrationPassword syncSelf-service password resetPolicy-based access controlEnterprise Single sign-on (SSO)Web single sign-on (Web SSO)Identity repository/Directory ServicesMetadata replication/Sync engineWorkflow application development

Véase también

Referencias

  1. ^ "ABC’s of Identity Management".
  2. ^ "Identity Management in an enterprise setting".
  3. ^ "Identity management as a component of IT Security".
  4. ^ "Identity management security".
  5. ^ "TrewIDM".
  6. ^ "CA Identity Manager for Provisioning and Access".
  7. ^ "Courion- Identity and Access Management".
  8. ^ "e-trust HORACIUS Identity Assess Management".
  9. ^ "EmpowerID- Identity Management built on a Business Automation (BPA) Platform".
  10. ^ "Hitachi ID- Management Suite".
  11. ^ "IBM Tivoli- Identity Manager software".
  12. ^ "Microsoft Active Directory-specific Identity Management".
  13. ^ "i-Sprint Identity and Access Management Solutions".
  14. ^ "Nakina Systems NI-Guardian".
  15. ^ "Novell- Identity Manager product".
  16. ^ "Oracle- Identity Management 11g".
  17. ^ "PortalGuard Security Platform".
  18. ^ "Quest One- Identity Management Solutions".
  19. ^ "Aveksa- Business-Driven Identity Management".


Las soluciones de Identity Management de Novell tienen el mas bajo costo total de propiedad (TCO)

Fuente: microteknologias.wordpress.com

Un grupo de investigación independiente prueba que el TCO  de las soluciones de gestión de acceso e identidades es un 25 % menor que el de la competencia, en un período de cinco años
Santiago, 10 de diciembre de 2010 – Novell, Inc. (Nasdaq: NOVL) anunció que un estudio finalizado recientemente prueba que las soluciones de Identity y Access Management de Novell ofrecen un TCO (costo total de propiedad por sus siglas en inglés)  un 25% más bajo sobre un período de cinco años, que las soluciones de la competencia.

Llevado a cabo por el grupo de consultoría independiente Rencana, el estudio encuestó a más de 50 clientes e integradores de sistemas sobre las soluciones de identidad de Novell, CA, IBM, Oracle y Courion.

Los investigadores tomaron datos cuantitativos y cualitativos para evaluar el costo total de propiedad de productos de aprovisionamiento y administración de acceso web y analizaron las diferencias en cuanto a licenciamiento, configuración y costos operativos entre todas las soluciones.  Además de demostrar las diferencias en cuanto a TCO en un rango de usuarios de negocios que se extiende desde 2.500 hasta más de 40.000 usuarios, el estudio también mostró que el costo de servicios influye en el TCO  total.

Novell sobresalió en esta categoría con competidores que están entre un 33% y un 83% más caros en servicios.  Esto provee un amplio rango de beneficios, y se incluyen expresiones de integradores de sistemas que referencian un 20% menos en costo de implementaciones de gestión de acceso e identidades (IAM, por sus siglas en inglés) de Novell que con productos de la competencia, y productos de Novell que cuestan un 30% menos en cuanto a la implementación.
“En Identropy trabajamos con un amplio rango de escenarios para l agestión de acceso e identidades. Nuestras implementaciones con Novell son consistentemente exitosas y ayudan a nuestros clientes a ahorrar tiempo y dinero”, afirmó Victor Barris, CEO de Identropy. “Este estudio valida lo que hemos visto en la práctica desde hace tiempo”.

“Uno de los drivers más consistentes en el proceso de compra es el costo total de propiedad. Las organizaciones no toman decisiones de compra basados en los costos iniciales de servicios y operaciones, necesitan saber cuánto costará una solución en dos, tres, cinco años”, expresó Jim Ebzery, Vicepresidente Senior y Gerente General de Security, Management and Operating Platforms de Novell. “Este estudio concluye lo que hemos sabido por años: las soluciones de  gestión de acceso e identidades de Novell son sustancialmente mejor valuadas que los productos de la competencia. El claro liderazgo de Novell en TCO ayuda a los clientes a satisfacer sus necesidades mientras aportan, en última instancia, valor.”
Conclusiones adicionales incluidas en el estudio:
  • Los integradores de sistemas expresan regularmente que las implementaciones de IAM de Novell son un 20% más económicas que las de los productos de la competencia.
  • El diferenciador primario en TCO de productos de IAM es el gasto en servicios; Novell es entre un 33% y un 83% menos costoso que los demás vendors líderes.
  • Los conectores de aprovisionamiento out-of-the-box requieren hasta un 75% menos del tiempo de los integradores de sistemas en la implementación de los productos que con los productos de la competencia.
  • Los conectores customizados de aprovisionamiento de Novell requieren hasta un 30% menos del tiempo de los integradores de sistemas en la implementación que los productos de la competencia.
  • Novell requiere un promedio del 20% menos en las tarifas de los integradores de sistemas que en proyectos de aprovisionamiento comparables para compañías de todo tamaño.
  • Los productos de IAM de Novell requieren un promedio del 81% menos de tiempo para generar los reportes de auditoría requeridos.
  • Los productos de IAM de Novell tienen un un 55% menos en promedio de tiempo fuera de servicio.

Para ver más detalles de este estudio, visite: http://www.novell.com/LowestTCO




Artículos Relacionados:


Establecer y administrar una IDM federada que vuelva portables los datos de las identidades de los usuarios a lo ancho de dominios de seguridad autónomos puede resultar engorroso, amén de complicado. Con sistemas ...

Además de la licencia de conducir (o tarjeta de identificación estatal/Cédula de identidad para aquellos que no conducen), tenemos credenciales por todas partes, debemos obtener una tarjeta de seguridad social o de la ...

Finalmente se ha publicado la guía OpenSAMM traducida en su totalidad al castellano. Según anunciaba el coordinador de esta traducción, Juan Carlos Calderón, en las listas de correo de OWASP, de habla hispana ...

OWASP (acrónimo de Open Web Application Security Project, en inglés 'Proyecto abierto de seguridad de aplicaciones web') es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el ...

Ley Sarbanes Oxley (SOX) en Español. Aplicación de una metodología de mejora continua de procesos. Caso de estudio: Controles SOX; Coso, Sox, mejores practicas internacionales en control interno. Herramientas de ...

Es cierto que son sistemas un poco más complejos de administrar y configurar pero se complementan muy bien con la seguridad y las opciones que se pueden llegar a alcanzar. Además de esto, el Software Libre es una ...