PRÉSENTATION DE LA SOLUTION
Rationalisez les audits de conformité grâce au cadre GRC approprié
S’écarter des normes de gouvernance, de risque et de conformité peut s’avérer coûteux. Entre août et octobre 2020, un bureau du ministère américain de la Défense Le ministère du Trésor a imposé 625 millions de dollars d'amendes aux principales institutions financières.
Rationalisation de votre processus d'audit
On ne sait jamais quand le prochain audit va commencer. Une fois que cela se produit, vous risquez de perdre le temps et les efforts d’un ingénieur à temps plein pendant six mois, qui devra effectuer les recherches nécessaires et les travaux de preuve de conformité.
Malheureusement, il existe de nombreux cas réels dans lesquels l'OCC peut infliger des amendes à des organisations , comme elle l'a récemment fait à une grande banque américaine pour un montant de 85 millions de dollars. Dans leurs conclusions, ils ont cité :
-
La banque n’a pas réussi à mettre en œuvre et à maintenir un programme efficace de gestion des risques de conformité et un programme efficace de gouvernance des risques liés aux technologies de l’information proportionnés à la taille, à la complexité et au profil de risque de la banque.
Rester dans le respect des normes de gouvernance, de risque et de conformité peut être difficile, mais cela ne devrait pas vous empêcher d’atteindre des objectifs commerciaux essentiels. Avec F5, vous pouvez rationaliser le processus d’audit, et cela commence par une cybersécurité mature.
Figure 1 : Ce diagramme met en évidence les composants essentiels pour parvenir à une cybersécurité mature, un ingrédient clé de la conformité.
Principales caractéristiques
Visibilité détaillée des vecteurs de risque d'audit
Les petits problèmes peuvent rester cachés jusqu’à ce qu’il soit trop tard. Et lorsque cela se produit, vos auditeurs ont déjà imposé des amendes coûteuses ou confié un travail fastidieux de preuve de conformité. En visualisant vos applications dans leur ensemble, vous pouvez rapidement trouver et isoler ou résoudre les problèmes avant qu'ils ne s'aggravent, quel que soit l'endroit où le problème peut se cacher.
Des solutions prêtes à l'emploi et conformes à la réglementation
Les auditeurs attendent des institutions de services financiers un degré de maturité cybernétique plus élevé. Cocher les cases de conformité n’est souvent pas suffisant. Les solutions F5 sont spécialement conçues pour favoriser un niveau élevé de maturité cybernétique, impressionner les auditeurs et minimiser ainsi les frictions et le stress causés par les audits.
Assistance F5 éprouvée par l'industrie
L’assistance éprouvée de F5 peut vous guider dans la création des normes et procédures critiques requises pour mieux préparer votre organisation aux audits de tous types. Nous pouvons également être à vos côtés lors des réunions d'auditeurs pour vous aider à approfondir les sujets de conformité.
La conformité est bien plus qu'une simple case à cocher
Pour rationaliser efficacement le processus d’audit, vous devez être proactif. La bonne approche et les bonnes solutions d’application sont essentielles. F5 dispose d’une large gamme de produits et de services qui peuvent vous aider.
Produits |
Comment ils aident |
| Gestionnaire de politiques d'accès BIG-IP | Contrôle d'accès, VPN SSL |
| Gestionnaire de pare-feu avancé BIG-IP | Contrôles de pare-feu, segmentation, accès |
| Gestionnaire de sécurité des application BIG-IP/ Advanced WAF® | Sécurité des application , vulnérabilités (WAF est obligatoire pour la conformité PCI DSS) |
| Gestion centralisée BIG-IQ | Plateforme de gestion, gestion de configuration, télémétrie, journalisation |
| Services Cloud | DNS, DNS Load Balancer, Essential App Protect : fournissent des contrôles de sécurité, des analyses et une visibilité pour les régulateurs et les auditeurs, ainsi que de l'expérience et du support. |
| DNS BIG-IP | Sécurité DNS (soumise aux attaques) |
| Contrôleur NGINX | NGINX Ingress Controller est une solution de gestion du trafic de premier ordre pour les applications cloud natives dans les environnements Kubernetes et conteneurisés. |
| NGINX Plus | Accès, journalisation, WAF |
| Forme | Prévention de la fraude, protection contre les robots, options de refus/tromperie |
| Ligne d'argent | SOCS, atténuation DDoS, sécurité des application , protection contre les bots, gestion de la configuration (WAF est obligatoire pour la conformité PCI DSS) |
| Orchestrateur SSL | Visibilité, décryptage SSL à grande échelle |
| Passerelle Web sécurisée | Passerelle Web, accès externe, fuite de données |
Création et gouvernance des normes et des procédures
Les experts reconnus du secteur de F5 peuvent vous guider pour créer les normes et procédures essentielles requises pour mieux préparer votre organisation aux audits de tous types. Sans une attention particulière portée à la conformité et une vigilance continue, les organisations peuvent souvent ne pas respecter les réglementations et les normes de conformité critiques, comme dans les processus de validation de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS).
Une méthodologie application évoluée est essentielle
Tenter de créer et de fournir des applications modernes et pratiques à l’aide d’une infrastructure héritée présente des défis et des limites, en particulier lorsque l’on prend en compte les exigences de conformité. À mesure que les institutions progressent dans leur transformation numérique, une architecture application d’entreprise (EAA) flexible et extensible peut contribuer à favoriser la cohérence et l’alignement pour soutenir les résultats à grande échelle, une exigence clé pour répondre aux attentes en matière de sécurité, de performances et de fiabilité des application .
Une approche EAA évoluée aligne les efforts d’innovation sur la stratégie commerciale et prend en charge l’intégration facile des technologies émergentes pour aider les organisations à rester agiles. Avec l'EAA approprié en place, les développeurs sont mieux à même de fournir des applications modernes rapidement et en toute sécurité, quel que soit l'emplacement ou l'appareil, et dans le respect des normes et réglementations.
Étape 1 : Alignez les objectifs de l’EAA et de l’entreprise et déterminez l’équilibre approprié entre innovation, agilité et risque.
Étape 2 : Faites un inventaire des application . Prendre en compte toutes les applications du portefeuille de l’entreprise.
Étape 3 : Évaluez le risque de sécurité pour chaque application du portefeuille et attribuez la solution appropriée. Voici quelques exemples :
- Certification FIPS du matériel et des logiciels selon les besoins pour répondre aux normes et réglementations
- Protection des applications Web et des API pour se prémunir contre les menaces OWASP existantes et émergentes
- Orchestration SSL avec décryptage, cryptage et pilotage du trafic dynamiques et basés sur des politiques via plusieurs dispositifs d'inspection
Étape 4 : Définissez les catégories application et spécifiez les services application requis pour chacune.
Étape 5 : Définissez les paramètres pour le déploiement et la gestion des application . Cela comprend :
- Comprendre les options de déploiement
- Évaluation des coûts associés, des modèles de consommation et des profils de conformité/certification
Étape 6 : Attribuer des rôles et des responsabilités. Vous voudrez :
- Clarifier qui est responsable de chaque composant au sein de l’EAA, y compris la sécurité.
- Reconnaître que la responsabilité peut incomber à des contributeurs individuels, à des services ou à des comités interfonctionnels.
Étape 7 : Appliquer l’approche EAA dans toute l’organisation pour optimiser la sécurité. Cela comprend :
- Exploiter des mécanismes automatisés tels que les contrôles d'accès des utilisateurs ou les analyses de vulnérabilité du code
- Obtenir l'adhésion de l'organisation grâce à la formation des employés et aux communications
Étape 8 : Travaillez avec les experts F5 pour vous assurer d’atteindre une maturité cybernétique continue.
Rôles essentiels à attribuer dans la création d'une gouvernance des normes et des procédures
Chef d'équipe de conformité de configuration
La gestion de la configuration peut être difficile à mettre en œuvre, c’est pourquoi il est impératif de désigner un responsable. Les outils d’automatisation permettant de maintenir les normes de configuration et de minimiser les dérives de configuration incluent :
- Intégration déclarative
- AS3
- Streaming de télémétrie
- Modèles de formation de nuages
Chef d'équipe d'architecture application d'entreprise
Cette fonction essentielle sera vouée à l’échec si personne ne supervise l’avancement et la priorisation de cette initiative. Sans ce rôle dédié, les normes à l’échelle de l’organisation risquent également de faiblir.
Propriétaire de l'audit
Une visibilité continue sur les principaux sujets d’audit est essentielle pour chaque audit. Chaque équipe a besoin d'un chef d'équipe qui possède les solutions F5 et qui sait comment exploiter les données approfondies de l' application et du réseau pour fournir les informations nécessaires pour résoudre rapidement les problèmes liés à l'audit.
Les tableaux de bord partagés centrés sur les applications de F5 donnent à vos équipes réseau, de développement et de sécurité l'accès aux données dont elles ont besoin tout en prenant en charge la résolution collaborative des problèmes.
Figure 2 : Détails de application en un coup d'œil : visualisez rapidement la topologie, l'état, les informations et les détails des événements spécifiques à votre application.
Avec F5, vous n’êtes pas seul lors du prochain processus d’audit. Demandez à nos experts de vous aider à approfondir les sujets de conformité, quel que soit le résultat de vos prochaines réunions d'audit.
F5 peut aider :
- Découvrir les menaces cryptées
- Fournissez des détails sur les contrôles d'accès pour mieux gérer accès utilisateur privilégié
- Personnalisez les rapports exportables pour répondre à des exigences d'audit spécifiques
- Fournir des avertissements concernant les contrôles de sécurité
Conclusion
Les processus d’audit peuvent prendre du temps et être stressants. Les employés des services financiers ne savent jamais quand le prochain audit commencera et le travail associé nécessite souvent un emploi à temps plein, qui est rarement financé. Sans les solutions et le soutien adéquats, les audits peuvent durer jusqu’à six mois, entraînant des travaux de correction et un nouvel audit.
F5 a fait ses preuves en matière de simplification du processus d’audit des institutions de services financiers. Nos solutions sont spécialement conçues pour minimiser les frictions et le stress causés par les audits.
Pour en savoir plus, explorez les solutions de services bancaires et financiers F5 ou contactez votre représentant F5.