Seguridad y conformidad en el entorno de vSphere

Generalmente, los términos "seguridad" y "conformidad" se utilizan como sinónimos. Sin embargo, son conceptos únicos y distintos.

La seguridad, que normalmente se piensa como seguridad de la información, se define como un conjunto de controles técnicos, físicos y administrativos que se implementan para proporcionar confidencialidad, integridad y disponibilidad. Por ejemplo, para proteger un host, se bloquean las cuentas que pueden iniciar sesión en el host y el medio por el cual pueden hacerlo (SSH, consola directa, etc.). La conformidad, por el contrario, es un conjunto de requisitos necesarios para cumplir con los controles mínimo establecidos por diferentes marcos normativos en los que se proporcionan directrices limitadas sobre un tipo específico de tecnología, proveedor o configuración. Por ejemplo, la industria de tarjetas de pago (Payment Card Industry, PCI) establece directrices de seguridad para ayudar a las organizaciones a proteger proactivamente los datos de las cuentas de clientes.

La seguridad reduce el riesgo de robo de datos, ataque cibernético o acceso no autorizado, mientras que la conformidad es la prueba de que un control de seguridad está en vigor, por lo general, dentro de una línea de tiempo definida. La seguridad se expone principalmente en las decisiones de diseño y se destaca dentro de las configuraciones de tecnología. La conformidad se centra en trazar la correlación entre los controles de seguridad y los requisitos específicos. Un mapa de conformidad proporciona una vista centralizada para enumerar muchos de los controles de seguridad requeridos. Esos controles se describen más detalladamente cuando se incluyen las respectivas citas de conformidad de cada control de seguridad según lo indica un dominio como NIST, PCI, FedRAMP, HIPAA, etc.

Los programas efectivos de conformidad y ciberseguridad se basan en tres pilares: personas, procesos y tecnología. Un error de concepto general es que solo la tecnología puede resolver todas las necesidades de ciberseguridad. La tecnología desempeña un papel importante y amplio en el desarrollo y la ejecución de un programa de seguridad de la información. Sin embargo, si la tecnología no cuenta con procesos y procedimientos, conocimientos y formación, genera una vulnerabilidad dentro de la organización.

Al definir las estrategias de seguridad y conformidad, tenga en cuenta lo siguiente:

Las personas necesitan formación y conocimientos generales, mientras que el personal de TI necesita formación específica.
El proceso define la forma en que se utilizan las actividades, los roles y la documentación de la organización para mitigar el riesgo. Los procesos solo son efectivos si las personas los siguen correctamente.
La tecnología puede utilizarse para prevenir o reducir el impacto de los riesgos de ciberseguridad sobre la organización. La tecnología que se utiliza depende del nivel de aceptación de riesgos de la organización.

VMware proporciona kits de conformidad que contienen una guía de auditoría y una guía de aplicabilidad de productos, lo que ayuda a puentear la brecha entre los requisitos de conformidad y normativas y las guías de implementación. Para obtener más información, consulte https://core.vmware.com/compliance.

Glosario de términos de conformidad

La conformidad introduce términos y definiciones específicos que es importante comprender.

Tabla 1. Términos de conformidad
Término	Definición
CJIS	Servicios de información de justicia penal. En el contexto de la conformidad, CJIS desarrolla una directiva de seguridad sobre la forma en que la justicia penal local, estatal y federal y los organismos de seguridad deben tomar precauciones de seguridad para proteger la información confidencial, como las huellas digitales y los antecedentes penales.
STIG de DISA	Guía de implementación técnica de seguridad de la Agencia de sistemas de información de defensa. La Agencia de Sistemas de Información de Defensa (Defense Information Systems Agency, DISA) es la entidad responsable de mantener la posición de seguridad de la infraestructura de TI del Departamento de Defensa (Department of Defense, DoD). DISA lleva a cabo esta tarea mediante el desarrollo y el uso de guías de implementación técnica de seguridad (Security Technical Implementation Guides, STIG).
FedRAMP	Programa federal de administración de riesgos y autorizaciones. FedRAMP es un programa gubernamental con un enfoque estandarizado para la evaluación, la autorización y la supervisión continua de la seguridad de los productos y servicios de nube.
HIPAA	Ley de transferencia y responsabilidad de seguro médico. Aprobada en el congreso en 1996, la ley HIPAA hace lo siguiente: Otorga a millones de trabajadores norteamericanos y sus familias la capacidad de transferir y continuar con la cobertura de seguro médico cuando cambian su trabajo o lo pierden. Reduce los fraudes y los abusos en atención médica. Impone normas para todo el sector sobre la información de atención médica en la facturación electrónica y otros procesos. Requiere la protección y la manipulación confidencial de la información de salud protegida. La última viñeta es de máxima importancia para la documentación Seguridad de vSphere.
NCCoE	Centro Nacional de Excelencia en Ciberseguridad. NCCoE es una organización gubernamental de Estados Unidos que produce y comparte públicamente soluciones para los problemas de ciberseguridad que padecen las empresas norteamericanas. El centro forma un equipo con personal de empresas de tecnología de ciberseguridad, otros organismos federales y la comunidad académica para abordar cada problema.
NIST	Instituto nacional de normas y tecnología. Fundado en 1901, el NIST es un organismo federal no regulador dentro del Departamento de comercio de Estados Unidos. La misión de NIST es fomentar la innovación y la competitividad industrial de Estados Unidos mediante la promoción de normas, tecnologías y ciencias de la medición con el fin de aumentar la seguridad económica y mejorar nuestra calidad de vida.
PAG	Guía de aplicabilidad de productos. Este documento proporciona directrices generales para las organizaciones que están considerando usar soluciones de una empresa con el fin de abordar sus requisitos de conformidad.
DSS de PCI	Estándar de seguridad de datos para la Industria de tarjeta de pago. Un conjunto de normas de seguridad diseñadas para garantizar que todas las empresas que acepten, procesen, almacenen o transmitan información de tarjetas de crédito mantengan un entorno seguro.
Soluciones de cumplimiento de VVD/VCF	VMware Validated Designs/VMware Cloud Foundation. VMware Validated Designs proporciona proyectos integrales exhaustivamente probados para crear y operar un centro de datos definido por software. Con las soluciones de conformidad de VVD/VCF, los clientes pueden cumplir con los requisitos de conformidad de varios reglamentos de la industria y del gobierno.