Aunque ya se ha podido apreciar en más de una ocasión en este blog, las personas del Departamento de Consultoría de S21sec no sólo estamos inmersos en la asesoría de protección de datos de carácter personal, que es lo que pudiera parecer dado que la mayoría de nuestros "posts" se han centrado en ella, quizás porque es el tema de moda actualmente.
Los consultores de S21sec somos un equipo multidisciplinar especializado en todo aquello que pueda caber en la gestión de la seguridad de la información. No somos sólo personas de perfiles de corte jurídico, sino también técnico y de gestión que además contamos con el inestimable apoyo de las personas de S21sec Labs, nuestros auditores, nuestros integradores, nuestros "partners", nuestros socios,... y, cómo no, hasta de nuestros clientes.
En S21sec abarcamos el ciclo completo de la seguridad como puede verse aquí y además aportamos al mercado nuestros productos.
Por ello particularmente voy a predicar con el ejemplo, y sin abandonar los temas que he venido tratando, espero poder escribir sobre otros temas de gestión de seguridad de la información.
Aprovechando que ayer Antonio abrió fuego, y del cruzado, en relación con las novedades PCI-DSS voy a aprovechar para desligarme (aunque sea tan sólo por un tiempo) de los temas jurídicos que han venido ocupando "posts" anteriores.
Antes de que llegue septiembre podemos ir abriendo boca con algunas publicaciones de PCI-DSS sobre las modificaciones mencionadas y otra que han tenido lugar recientemente y que publicaré en mi próximo "post".
Álvaro Del Hoyo
Departamento de Consultoría
jueves 24 de abril de 2008
Abarcamos el ciclo completo de la seguridad
martes 22 de abril de 2008
Noticias sobre PCI-DSS
Tendremos que estar pendientes, puesto que en agosto nos llegará para realizar comentarios. Como es un mes malo (yo al menos, espero estar de vacaciones), lo que podemos hacer es organizar una jornada de trabajo (presencial y/o virtual) en septiembre para comentarlo entre todos/as y proponer comentarios, ¿os apuntáis?.
Además, según Bob Russo, van a publicar en breve white papers para clarificar aspectos dudosos del estándar (como el famoso requerimiento 6.6 y la posibilidad de auditar código o utilizar un firewall de aplicación), al margen del más que útil webinar: "Navigating and Understanding the PCI SSC Self Assessment Questionnaire".
En fin, os reitero el ofrecimiento, ¿comentamos el nuevo estándar en septiembre?
Antonio Ramos
Director de Consultoría
viernes 8 de febrero de 2008
CONOCE A NUESTROS EXPERTOS
La semana que viene estaremos patrocinando las VII Jornadas de Seguridad de la Información en Defensa organizadas por ISDEFE. Las jornadas tendrán lugar del 11 al 14 de febrero y el día 12
Por otra parte,
Y,
¡Nos vemos allí!
martes 18 de diciembre de 2007
Bitacora 4.0, solución ideal para la adaptación a la normativa PCI DSS
Como fruto de una progresiva concienciación sobre seguridad que lleva promoviendo S21sec junto a otros agentes desde hace tiempo, ya han visto la luz o se encuentran en trámite normativas o estándares de ámbito nacional o internacional como la ley Sarbanes-Oxley (SOX), la Norma ISO/IEC 27002, “Código de Buenas Prácticas para la Gestión de la Seguridad de la Información”, la legislación en materia de protección de datos de carácter personal (LOPD y Reglamento de Medidas de Seguridad) o COBIT (Control Objectives for Information and related Technologies), que contemplan aspectos relacionados con la gestión de la seguridad de la información. La mayoría de ellas incluye requerimientos específicos en relación a la monitorización de los sistemas de información y la retención de registros de auditoría.
La monitorización de los sistemas es uno de los aspectos contemplados por el Payment Card Industry Data Security Estándar (PCI DSS), estándar que establece un conjunto de medidas que pretenden garantizar la seguridad en el tratamiento de la información asociada a pagos realizados con tarjeta. Estas medidas son aplicables a todos aquellos sistemas que almacenan, procesan o transmiten datos de titulares de tarjetas (host, firewalls, routers, servidores de banca electrónica, bases de datos asociadas, aplicaciones específicas de banca,…).
Las principales marcas de tarjetas, como Visa, Mastercard o American Express, exigen el cumplimiento de PCI DSS tanto por parte de las entidades financieras como por parte de los comercios y proveedores de servicios. Con el fin de validar este cumplimiento, se exige la realización de escaneos de red trimestrales y, en determinados casos, de auditorías anuales in situ que deberán revisar, entre otros aspectos, los mecanismos de gestión de logs implantados en el marco de los planes y programas de seguridad de la Organización.
No todas las herramientas en las que subyace esta necesaria gestión de logs se adaptan todavía al estándar PCI-DSS. S21sec ha conseguido, en cambio, disponer de un instrumento acorde con esta regulación, que cumple eficazmente su misión de detección, solución y prevención de problemas de seguridad críticos en este campo, así como de proveedor de información anticipada antes de que se produzca un posible ataque. Lo ha logrado gracias a la adaptación de la herramienta Bitacora, en su nueva versión 4.0, tras la incorporación de nuevas funcionalidades desde el centro de I+D+ i de S21sec.
Bitacora es una solución avanzada que facilita la gestión y análisis de cualquier tipo de evento, posibilitando el empleo de los logs de auditoría como posibles evidencias en un proceso judicial. No sólo reporta datos de seguridad, sino que además ofrece indicadores que ayudan en la toma de decisiones a nivel de dirección. Adicionalmente, sus nuevas funcionalidades permiten a la plataforma alinearse con diferentes productos y servicios avanzados de S21sec, para adaptarse a las necesidades reales de cada organización, según el sector en el que se encuentre. Los más comunes son el de las comunicaciones (Operadores o ISP), sector financiero, medios de pago, comercio electrónico y las administraciones públicas.
Esta herramienta es pues una solución válida para adaptarse al cumplimiento del estándar PCI DSS, ya que se encuentra en posición de cumplir los siete requisitos contemplados en el Requerimiento 10 de dicho estándar, ‘Revisión y Monitorización de todos los accesos a los recursos de red y a los datos de titulares de tarjetas’. Para empezar, Bitacora es capaz de relacionar todos los accesos a los componentes del sistema (aquellos que almacenan, procesan o transmiten datos de titulares de tarjetas) con un individuo en concreto, así como registrar todos los eventos exigidos por PCI DSS (accesos de los usuarios a la información, intentos de acceso no autorizados, acciones realizadas por los administradores de los sistemas,…), siempre que el dispositivo genere el correspondiente log.
El tercer requerimiento que cumple Bitacora para adaptarse a PCI DSS es permitir el registro de los campos exigidos por el estándar para cada uno de los eventos (identificación del usuario, origen del evento, fecha y hora). Contempla, asimismo, la necesaria sincronización de horas de sistemas críticos.
Por otra parte, en relación a la securización de los registros, y en base a los requerimientos de PCI DSS, Bitacora permite proteger los archivos de auditoría de posibles modificaciones no autorizadas (mediante firma digital y sellado de tiempo), realizar una copia de respaldo de los logs de forma inmediata y establecer diferentes perfiles de acceso, con el fin de limitar la visualización de los registros de auditoría a aquellos usuarios que lo necesiten para el ejercicio de sus funciones.
Existen dos últimas exigencias que han sido satisfechas gracias a las nuevas funcionalidades de Bitacora 4.0: la revisión de logs de todos los componentes del sistema al menos una vez al día, mediante la creación de un conjunto mínimo de alertas que permita monitorizar estos eventos, y el mantenimiento de un histórico de los registros de auditoría durante al menos un año, con un mínimo de tres meses de disponibilidad online.
Debido a ello, se puede afirmar que Bitacora constituye la herramienta idónea para apoyar la implantación de los requerimientos establecidos en el estándar PCI DSS en relación a la monitorización de los sistemas, favoreciendo y facilitando, al mismo tiempo, el cumplimiento de normativas y estándares aplicables a nivel internacional en materia de gestión de seguridad de la información.
Vanesa Gil (Manager Consultoría, Qualified Security Assessor)
Gonzalo Asensio (Manager Bitacora y Vulnera)
lunes 3 de diciembre de 2007
S21sec en el congreso de PCI Europe (Amsterdam)
El congreso se celebra el día 6 de Diciembre en el Renaissance Hotel (Amsterdam). En él Carmen Dufur (Senior Security Manager) ofrecerá una conferencia (alrededor de las 16:30 hora local) titulada "Strategic Considerations in Tracking and Monitoring Access to Network Resources and Cardholder Data" y abordará temas como:
- La comprensión del rango de dificultades en el cumplimiento del procedimiento 10; monitorización de redes, sistemas operativos y aplicaciones que generan distintos tipos de logs.
- Recolección y análisis de la información para obtener inteligencia en el proceso de monitorización y cómo este proceso ayuda en la toma de decisiones estratégicas
- Cómo asegurar que los logs permanecen intactos en caso de que se requieran como prueba en un juicio
- Cumplimiento del requerimiento 10; consejo práctico en la gestión de logs.
Además de esto, en el stand nº8 podréis ver demos en directo del nuevo Bitacora 4.0, Plataforma integral de seguridad a través de los logs, mediante alarmas e indicadores.
Esperamos veros por allí para poder saludaros personalmente.
Podéis ver toda la información de las actividades programadas y de los asistentes aquí.
domingo 25 de noviembre de 2007
El estándar PCI-DSS va entrando en nuestras vidas
Estoy seguro de que no tiene que ver con nuestra acción en particular (exclusivamente), pero lo cierto es que cuando un medio de la envergadura de EL PAÍS se hace eco de la existencia de este estándar y de la preocupación existente en el sector para introducir una mayor seguridad, es solo cuestión de tiempo que se convierta en una realidad.
Nosotros estamos convencidos de que, como dice Mercè Molist en su artículo, a partir del 1 de enero se abre una nueva época en lo relativo al cumplimiento de este estándar que, al fin y al cabo, solo persigue una mayor seguridad en las transacciones que utilizan tarjetas como medio de pago.
Antonio Ramos
Director de Consultoría
sábado 17 de noviembre de 2007
Cumplir con PCI-DSS en España (si yo fuera un comercio)
Aquel viejo lema de los años sesenta de "Spain is different" que parecía teníamos olvidado resurge con fuerza a la hora de hablar del cumplimiento de PCI-DSS en España.
Llevamos 2 años convencidos de que es una normativa que acabará llegando, pero lo cierto es que hoy por hoy es una dura pugna a 4 bandas: las marcas de tarjetas, las entidades financieras, los comercios y el PCI Security Standards Council. Y entre todos, no se ponen de acuerdo para hacer que se cumpla con este estándar en nuestro país, cuando en el resto del "primer mundo" es una realidad e incluso en algunos estados norteamericanos se ha convertido en Ley.
También es verdad que en España, la red de tarjetas es particular con tres grandes players: Euro 6000, Servired y Sistema4b que, a su vez, representan tanto a las entidades financieras como a las principales marcas de tarjetas. Esta situación es diferente a la existente en cualquier otro país del mundo y, quizás, es lo que puede estar en el origen de la dificultad para la aplicación efectiva del estándar en España.
En esta situación hay un grupo importante de afectados, los comercios (los 'service providers' es algo similar) que deben encontrarse totalmente desorientados. Por una parte oye rumores (y ya se sabe, "cuando el río suena..."), pero cuando pregunta a su interlocutor, a su banco (entidad adquirente), le llegan mensajes de tranquilidad: "eso a vosotros no os afecta", "eso todavía no es obligatorio", etc., etc... en fin, todo un cruce de caminos.
Pero claro, cumplir con el estándar no es trivial: 12 grandes requerimientos que cubren todos los aspectos de la seguridad (a modo de ISO 27002 con un alcance limitado a los sistemas que tratan de titulares de tarjetas) y una gran prohibición: el almacenamiento de datos confidenciales del plástico. Todo esto, aderezado con la obligación de realizar auditorías insitu anuales y/o escaneos de vulnerabilidades trimestrales en función del número de transacciones que realices. Me imagino a algunos de vosotros teniendo un déjà vu y pensando: "¿Esto no es lo mismo que con los datos de carácter personal?". Pues sí, prácticamente lo mismo, con la diferencia de que no tenemos que cumplir porque lo diga una Ley, sino porque lo establecen las cláusulas de un contrato.
Además, está ocurriendo lo mismo: Cuando se publicó la Ley en 1992, sólo unos pocos se preocuparon por aquel artículo que hablaba de la obligación de establecer medidas de seguridad y tuvieron que pasar 7 años, hasta que en 1999 se publicó el Reglamento con dichas medidas de seguridad (y que incluía, que incluye, la obligación de pasar una auditoría) y la Agencia de Protección de Datos (por aquel entonces) se puso dura con el tema, para que todos empezáramos a tomarnos este tema en serio (supongo que por las sanciones).
Pues bien, con PCI-DSS, ocurrirá lo mismo. Todos sabemos que el tema del compliance es una cuestión de elegir bien una estrategia de cumplimiento en línea con los objetivos de la organización. En la mayor parte de los casos (por desgracia) no se ve la seguridad como un driver de negocio, sino como un reductor de costes con una probabilidad incierta y, claro está, ante esta situación, cuanto más improbable sea el coste del incumplimiento, más raro será que algún comercio se decida a abordar el cumplimiento con PCI-DSS de una forma seria.
Ahora bien, en cuanto esta situación cambie, y la probabilidad del coste del incumplimiento aumente y se parezca más a un hecho cierto, entonces será normal abordar el cumplimiento con PCI-DSS puesto que éste, siempre será inferior que el coste del incumplimiento.
Evidentemente, esto es distinto en el caso de los 'service providers' que deben cumplir con el estándar para poder seguir prestando servicios, en este caso, es obvio que el cumplimiento con PCI-DSS se convierte en una cuestión de negocio y, por tanto, explica por qué hasta ahora, la mayoría de nuestros proyectos en este ámbito están relacionados con este tipo de actores.
Para concluir, si yo fuera un comercio, ¿qué haría? Muy sencillo, preguntar a mi banco. Las entidades financieras serían las destinatarias de las penalizaciones impuestas por las marcas de tarjeta (a menos que aceptemos tarjetas tipo American Express) por lo que han de ser ellas las que marquen el tempo del cumplimiento. Evidentemente, yo me iría preparando, y actuaría como en el caso de cualquier normativa: Analizaría mi grado actual de cumplimiento y evaluaría el coste del cumplimiento para ir planificando la implantación de todas aquellas medidas o ir realizando los cambios necesarios en la operativa para que, llegado el momento, no tuviera problemas para demostrar mi cumplimiento con el estándar (como hoy va de refranes, uno más: "Hombre/mujer precavid@ vale por dos")... Porque una cosa es evidente, más TEMPRANO que tarde vamos a tener que CUMPLIR con PCI-DSS.
Antonio Ramos
Director de Consultoría
miércoles 14 de noviembre de 2007
Primero & PCI-DSS
Definición de primero según el Diccionario de la Real Academia Española: "Dicho de una persona o de una cosa: Que precede a las demás de su especie en orden, tiempo, lugar, situación, clase o jerarquía".
La verdad es que es un tema novedoso, pero no tanto. El estándar ahora conocido como PCI-DSS (Payment Card Industry - Data Security Standard) era conocido anteriormente como AIS dentro del mundo VISA y la certificación que ahora otorga el PCI Security Standards Council, antes era gestionada también por VISA. En ese sentido, AIS fue primero que PCI-DSS.
Tanto es así que los que se homologaron con VISA antes de que naciera el PCI Security Standards Council se convirtieron automáticamente en QSA homologados por PCI. El proceso de homologación en ambos casos no es trivial y por eso estamos orgullos de haber sido los primeros.
Director de Consultoría
