Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Los procesos de gestión de la configuración eliminan los desafíos de GRC

Los procesos de gestión de la configuración aceleran las implementaciones, pero las herramientas que conocen las licencias efectivas y los detalles del almacenamiento de datos ayudan en otra área que las empresas desean hacer bien.

Algunas empresas adoptan procesos de gestión de la configuración para cumplir con los estándares y normativas, en lugar de implementaciones más rápidas, aunque nadie se queja cuando las actualizaciones se activan antes.

Los sistemas de gestión de la configuración permiten al personal de TI configurar, actualizar y aplicar parches a los sistemas de forma más eficiente y eficaz. La capacidad de las herramientas de gestión de la configuración para combatir los desafíos de gobernanza, gestión de riesgos y cumplimiento (GRC) de una organización es un beneficio a menudo pasado por alto, pero significativo.

Una organización tiene un conjunto de políticas que debe cumplir, determinadas por su vertical, como atención médica o seguridad, y base de clientes. El cumplimiento es responsabilidad de la dirección; las actividades y los datos deben cumplir con los requisitos legales y los reglamentos o normas pertinentes.

Cabe resaltar que las políticas de gobierno se equilibran con el perfil de riesgo de la organización; si los costos de incumplimiento son más bajos que los costos de cumplir con el cumplimiento, la organización puede optar por asumir ese riesgo en lugar de modificar sus prácticas.

Procesos de gestión de la configuración al rescate

Los datos, la información y la propiedad intelectual de una organización están relacionados con la tecnología. La información es creada y mantenida en matrices de almacenamiento y leída por aplicaciones que se ejecutan en servidores que acceden a los datos a través de las redes. Cuando la administración comprende las conexiones entre cada uno de estos componentes, puede evaluar mucho mejor el estado general de TI de la organización y, posteriormente, utilizar los conocimientos para abordar los desafíos de GRC.

Por ejemplo, un sistema de gestión de relaciones con el cliente se ejecuta en la plataforma del servidor A utilizando el sistema de almacenamiento A conectado a través de la red A. Esta relación es sencilla de trazar y gestionar con políticas. Sin embargo, el sistema de análisis 4 se ejecuta en la plataforma del servidor E, conectado a través de la red 6, y crea una copia de algunos de los datos en el sistema de almacenamiento Y; esta relación es más compleja.

Los sistemas de gestión de la configuración pueden funcionar en modo de descubrimiento para identificar estas entidades existentes (por ejemplo, los sistemas de almacenamiento de la A a la Y) en una plataforma de TI. Las herramientas de gestión de la configuración que se centran exclusivamente en software o hardware son menos expertas en abordar GRC a través de procesos de descubrimiento. Los administradores deben buscar una herramienta de gestión de la configuración que encuentre ambos tipos de entidades, ya que esto aliviará la carga de identificar dependencias entre sistemas.

Un administrador recibe un mapa completo del hardware en todo el estado de TI, así como el software que se ejecuta en dicho hardware, a través de este proceso de administración de configuración dirigido al descubrimiento. Esto permite al administrador determinar si existe un cumplimiento básico en las licencias de software y si los activos de hardware coinciden con los contratos existentes. La información de descubrimiento de las herramientas de gestión de la configuración también puede descubrir equipos no autorizados en la plataforma. Los descubrimientos deben mostrar qué activos aparecieron en el estado de TI a través de la TI en la sombra, de modo que los administradores de operaciones puedan controlarlos adecuadamente. También puede marcar cosas como puntos de acceso Wi-Fi no autorizados y otros equipos que podrían otorgar acceso malicioso a la red.

Los buenos procesos de gestión de la configuración también catalogan los dispositivos de los usuarios: tabletas, teléfonos inteligentes, computadoras portátiles y otras computadoras en la red. Verifiquen la configuración de estos dispositivos cuando toquen la red y otorguen acceso sólo si cumplen con un conjunto de políticas básicas. Por ejemplo, el dispositivo debe tener un software antivirus instalado o conectarse a través de una red privada virtual (VPN).

Un sistema de descubrimiento de administración de configuración que monitorea continuamente la red puede generar una alerta cuando identifica nuevos equipos a nivel de centro de datos, empresa o usuario.

El descubrimiento de activos crea la base de datos básica para una estrategia continua para combatir los desafíos de GRC. Una base de datos de gestión de la configuración (CMDB) contiene datos suficientes sobre todos los elementos del hardware y software para permitir a los administradores buscar patrones y uso, por ejemplo, todas las aplicaciones que no se han utilizado durante un período de tiempo específico o todo el hardware que está siendo ejecutado a una tasa de utilización determinada.

Las plataformas de TI seguras se basan en la detección de anomalías de estas herramientas. Una aplicación que no se ha utilizado durante mucho tiempo se activa de repente. El hardware que normalmente se ejecuta entre el 10% y el 30% de utilización se ejecuta repentinamente al 80%. ¿Qué sistema o conexiones de usuario podrían haber causado este cambio y podrían ser maliciosos?

Herramientas para la mejora de GRC

El comportamiento de seguimiento en toda la pila de aplicaciones requiere una combinación de diferentes tipos de herramientas de administración de configuración. La gestión de la configuración de estilo antiguo está más centrada en el hardware, pero sigue siendo compatible con el software. Investiguen estas herramientas de gestión de sistemas centradas en CMDB de proveedores como BMC Software, ServiceNow y Axios Systems. Además, implementen las herramientas de administración de configuración de software más centradas en DevOps para GRC. Empresas como Chef y Puppet y herramientas de código abierto como Jenkins hacen del control de la configuración, el sistema operativo y las aplicaciones una cuestión de política. Las empresas encuentran que las configuraciones automatizadas mantienen los servidores en línea con las reglas operativas acordadas.

Existen otras opciones fuera del espacio de gestión de configuración tradicional.

Por ejemplo, EnterpriseWeb, aunque no es un proveedor clásico de herramientas de gestión de la configuración, proporciona un sistema que permite una integración más rápida de las funciones técnicas en un estado de TI. Para ello, realiza una fase de descubrimiento completo y construye un modelo de metadatos de las dependencias entre sistemas. Este modelo proporciona una base para el trabajo de GRC.

Además, Edgewise Networks posiciona su tecnología de producto como una red de aplicaciones confiable. Crea un modelo de red e identifica los enlaces entre diferentes sistemas. Luego, los usuarios pueden decidir si se debe permitir o bloquear un enlace, estableciendo políticas GRC directas a través de una red distribuida. Edgewise Networks emergió del sigilo en julio de 2017.

Los procesos de gestión de la configuración y enfoques similares no solo deben utilizarse para facilitar la vida de los profesionales de TI. Pongan a prueba el valor más amplio de las herramientas al evaluar cómo eliminan los desafíos de GRC.

Investigue más sobre Cumplimiento y control

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Close