HOUSTON – Abril 16, 2008 – NetIQ Corporation, una empresa de Attachmate, hoy anunció la validación Security Content Automation Protocol (SCAP) de NetIQ® Secure Configuration Manager™ (SCM). Siendo una de las pocas soluciones validadadas con SCAP en el mercado, SCM proporciona a las agencias Federales de E.U. de una solución completa para el manejo de configuraciones, la cual automatiza el cumplimiento con el estándar Federal Desktop Core Configuration (FDCC), evitando que las organizaciones tengan que cumplir manualmente con este requerimiento obligatorio de configuración.
La Oficina de Administración y Presupuesto de los Estados Unidos de América (OMB) decretó en Marzo del 2007 que las organizaciones Federales deben cumplir con un estándar básico de configuración para las computadoras de escritorio. Conocido hoy como el estándar FDCC, esta obligación tiene el objetivo de incrementar la seguridad general del sistema y reducir el costo de mantenimiento del sistema y aplicaciones para cada entidad Federal. De forma paralela, el Instituto Nacional de Estándares y Tecnología (NIST) concibió el programa de validación SCAP para que las empresas pudieran intercambiar sistemas e información de vulnerabilidad en un formato común. Esto garantiza que el contenido de seguridad pueda ser procesado correctamente dentro de cualquier herramienta validada con SCAP, proporcionando a las agencias con la libertad de elegir las soluciones de manejo de configuración que mejor se adapten a las necesidades y requerimientos de costo de su entorno.
"La interoperatividad y métodos estandarizados para la comunicación entre herramientas de seguridad y cumplimiento es esencial para que las agencias puedan optimizar sus gastos en seguridad e incrementar su retorno de la inversión," dijo Andrew Buttner, Ingeniero INFOSEC en Jefe de MITRE Corporation. "El programa de validación SCAP para productos de seguridad es un gran paso para lograr este objetivo."
Como resultado de la validación SCAP, las agencias Federales pueden respaldarse en las capacidades automatizadas de valoración de configuraciones de SCM para cumplir con los requerimientos del estándar FDCC y el formato común NIST para contenidos de seguridad. Asimismo, las agencias que utilicen SCM pueden monitorear de forma rutinaria sus sistemas y certificar que las configuraciones FDCC no hayan sido cambiadas a consecuencia de un parche, la instalación de software nuevo o por interacción humana. Al automatizar la valoración de configuración del desktop al compararla contra el contenido del FDCC, SCM puede generar reportes sobre cualquier discrepancia, por lo cual se puede realizar acciones correctivas para que los sistemas permanezcan en regla.
Para lograr el reconocimiento como un Escáner FDCC validado con SCAP, NetIQ se asoció con ThreatGuard. Por medio de esta alianza tecnológica, SCM ha sido validad para auditar y evaluar un sistema objetivo para poder determinar su estado de cumplimiento. Combinados, NetIQ y ThreatGuard se estandarizan sobre los seis componentes de la validación SCAP:
- Vulnerabilidades Comunes y Exposiciones (CVE) – Es un diccionario de información de dominio público acerca de vulnerabilidades en la seguridad y exposiciones.
- Enumeración de Configuración Común (CCE) – proporciona identificadores únicos a problemas de configuración del sistema para facilitar la correlación rápida y precisa de información a través de múltiples fuentes de información y herramientas.
- Enumeración de Plataforma Común (CPE) – Es un esquema estructurado de nombres para los sistemas, plataformas y paquetes de tecnología de la información.
- Sistema Común de Calificación de Vulnerabilidades (CVSS) – Proporciona una estructura abierta para comunicar las características e impactos de las vulnerabilidades IT.
- Formato Expandible para la Descripción de Listas de Configuración (XCCDF) – Es una colección estructurada de un lenguaje de especificación para la escritura de configuraciones, listas de seguridad y benchmarks.
- Lenguaje Abierto de Valoración y Vulnerabilidad (OVAL) – Es un estándar internacional de información sobre seguridad para promover contenido de seguridad abierto y de dominio público.
“El contenido de seguridad basado en estándares se está volviendo más común entre la industria Federal, que está haciendo un esfuerzo por mantener el más alto nivel de manejo de vulnerabilidades y cumplimiento sin añadir costos adicionales a este proceso,” comentó Geoff Webb, gerente senior en Marketing de Producto de NetIQ. “La validación SCAP es probablemente la punta del iceberg. Con la validación SCAP, los clientes pueden de forma confiable mantener y continuar sus inversiones en SCM. Adicionalmente, pueden confiar en que sus capacidades de automatización de valoraciones continuarán mejorando la asignación de los recursos de seguridad de las agencias Federales para proteger a sistemas potencialmente vulnerables de forma consistente conforme a los ordenado por el FDCC.”
Puedes encontrar más información acerca de los productos validados con SCAP en http://nvd.nist.gov/scapproducts.cfm.
Acerca de NetIQ Secure Configuration Manager
Cumplir con lo más importante en las mentes de los gerentes IT y establecer una posición defendible para auditores internos y externos significa proporcionar documentación precisa y completa donde se establezcan y apliquen los controles IT. SCM está específicamente diseñado para ayudar a evaluar la configuración de los sistemas al compararlas contra las directivas predefinidas de seguridad y privacidad, proporcionando reportes que detallen los niveles de cumplimiento, así como identificando y asistiendo en la resolución de problemas. Con SCM, las organizaciones pueden simplificar la auditoría de sistemas y manejar riesgos IT mientras se garantiza el cumplimiento con las regulaciones y directivas corporativas.
Acerca de NetIQ
NetIQ, una empresa de Attachmate, es un proveedor líder en soluciones completas de administración y sistemas que ayudan a las empresas a maximizar la eficiencia y la entrega de servicios IT. Con más de 12,000 clientes en todo el mundo, las soluciones de NetIQ producen un valor medible para el negocio y con los resultados que las organizaciones dinámicas demandan. Lo mejor de las soluciones de NetIQ ayudan a las organizaciones IT a entregar servicios críticos de negocio, atenuar el riesgo operativo, y documentar el cumplimiento de políticas. El portafolio de las soluciones galardonadas de administración de NetIQ incluye Automatización de Procesos IT, Administración de Sistemas, Administración de la Seguridad, Administración Empresarial y Control de Configuración. Para más información, por favor vivita www.netiq.com/.