Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.

Como integrar PCI-DSS en un

Sistema de Gestión de la

Seguridad

Madrid, 7 de Noviembre

SI-0015/06

Pedro Sánchez

[email protected]

Ingeniero en Informática por la UAM

CISA (Certified Information Security Auditor)

CISM (Certified Information Security Manager)

Agradecimientos

Índice

1.- Que es ATCA

2.- Como nace el SGSI

3.- La auditoria PCI-DSS

3.1.- Estado de la seguridad

4.- Integración en el SGSI

5.- Conclusiones

Auditoria de seguridad informáticaComo integrar PCI-DSS en un

SGSI

1.- Que es ATCA

ATCA

1.- Que es ATCA

ATCA A.I.E., es una agrupación de interés económico con un

Capital Social de 6.923.520 Euros distribuido entre sus socios de la

forma siguiente:

31 %

31 %

13 %

25 %

1.- Que es ATCA

En la actualidad, las cuatro Cajas de Ahorros asociadas gestionan en total activos por importe de 27.661 millones de euros

Los recursos de sus clientes superan los 19.914 millones de euros y las inversiones crediticias totalizan 21.156 millones de euros

En ellas trabajan más de 5.400 empleados. En cuanto a la red de atención al público, la cifra global es de 1100 sucursales, 1.658 cajeros automáticos y 17.013 TPV's.

ATCA debe ser una empresa que, mediante la

más eficiente utilización de la tecnología

disponible en cada momento, ofrezca a las Cajas

de Ahorros Asociadas los productos y servicios

que le sean demandados por ellas, en las

mejores condiciones de rapidez, calidad y coste,

procurando preservar, al máximo posible, la

unicidad del aplicativo informático y manteniendo

la seguridad en su confidencialidad,

disponibilidad e integridad.

1.- Que es ATCAMision

1.- Que es ATCAQue hacemos

ATCA desarrolla, mantiene y explota las aplicaciones del núcleo bancario de las Cajas, el Terminal Financiero, la Banca por Internet y aplicaciones departamentales.

La seguridad es una de sus máximas prioridades, obteniendo la certificación para su sistema de gestión de seguridad de la información, conforme a la norma ISO/IEC 27001.

También en este año se ha conseguido la certificación CMMI Nivel 5, siendo la única empresa con capital Español con esta categoría

1.- Que es ATCAHitos importantes

PARAMETRIZACIÓN:PARAMETRIZACIÓN:

Las aplicaciones son comunes para las cuatro Cajas.

Las diferencias existentes en productos, tarifas o criterios de

gestión se manejan en base a parámetros.

Las bases de datos son iguales y se manejan juegos de tablas por

Caja.

Los procesos son similares, pero se ejecutan una vez por cada

Caja.

Las Aplicaciones son multi-divisa, multi-entidad y multi-idioma, y

se explotan con dos usos horarios (Península y Canarias).


Certificación en CMMI Nivel 5 (Solo dos empresas en España)

Certificación de Seguridad SGSI en ISO 27001 (Única en España

cuyo alcance es toda la empresa)

Desarrollo basado en productos de código abierto:

Terminal financiero (Abaco)

Banca electrónica

Grid batch computing

Puesto de trabajo Linux

CD Recovery


File inspector & Audit systems

Ossim / nagios

Tecleos

Auditoria a distancia

.....

2.- ¿Por que un SGSI?

SGSI

2.- ¿Cómo nace el SGSI?

En el año 2001, La alta dirección apuesta por la seguridad como un valor de servicio, calidad y confiabilidad y no como un gasto

ATCA apuesta por lo más difícil de la seguridad:

La concienciación.

Para ello:


Se establece un plan de cuatro años de formación continua en materias de seguridad.

Se apuesta por metodologías aplicadas por el gobierno americano

Se ponen objetivos de seguridad a todos los empleados (computables en sus nominas)

Se crean las primeras métricas de servicio y seguridad

En el 2002 ya apostamos por la seguridad en el desarrollo de aplicaciones (Se revisa el 100% del aplicativo bancario)


Se forman equipos de seguridad entre las Cajas Asociadas y ATCA

Se estudia la seguridad desde el eslabón más débil, el cliente y el usuario

Se define la documentación como hito necesario para la puesta en marcha de aplicaciones (no hay documentación – no existe programa – no se pone)

Se adopta CMMI-SSE (Primer PDCA)

Se establecen controles 17799


Se aplica el principio de transparencia:

Plan de auditorias anuales en ATCA:

LOPDControles generalesBanco de EspañaVISA InternacionalSeguridad en RedesBanca Electrónica y medios de pago

****ISO 27001CMM 5ITIL


Se aplica el principio de transparencia:

Informes:

Semanales de actividades a la direcciónMensuales a DirecciónMensuales al Comité Técnico de coordinaciónMensuales al Comité de Seg. de las CajasTrimestrales a la Comisión delegada de las Cajas Trimestrales al Consejo de Administración de ATCA

Métricas:

De servicioDe calidadDe productividadDe seguridad

……134 Métricas

2.- ¿Cómo nace el SGSI?El madurez de seguridad Viene recomendado por:

El conjunto de auditorias:

En los últimos tres años son todas de nivel bajo

Las consultorías realizadas:

Solo en conocimiento

La implantación de CMM nivel 5

Desarrollo, configuración del software, pases a entornos

Puntos funcionPeer reviewGestiónMetricas


Por lo tanto:

El objetivo esta realizado:

CONCIENCIACION

CONTROLES

A falta de:

Control del ciclo de vida

Que se resuelve en el 2006:

Ciclos de vida

Mantenimientos de proyectos

+ Concienciación


SI-0015/06

•Necesidad de fidelizar a nuestras entidades

financieras

•Confiabilidad de los clientes en sectores como

banca electrónica

•Asegurar el nivel de desarrollo del software en

cuanto a seguridad (0% en ataques de Hacking)

•Disponer de un cuadro de mandos, sencillo

pero útil

•Gestionar los productos desde su ciclo de vida


SI-0015/06

A raiz de las consultorias y Auditorias se

aconseja realizar la certificación como proceso

de mejora

La alta dirección define como alcance toda la

compañía

El proceso de certificación dura tres semanas

Se consigue el SGSI en Agosto de 2006

Auditoria PCI-DSS


¿Qué hemos hecho nosotros para

merecer esto?

3. –Introducción Auditoria PCI - DSS

A ) Partimos de que el nivel de seguridad del entorno financiero es alto, debido especialmente a la cantidad de regulaciones y cumplimiento normativo, como por ejemplo la protección de datos de carácter personal

B) Desde hace años, las entidades financieras (en España) se han protegido con políticas internas de seguridad de la información e incluso creando comités de trabajo.

C)Banco de España, se perfila como ‘regulador’ aunque no crea ninguna recomendación de seguridad al respecto

3. – Introducción Auditoria PCI - DSS

D) Los problemas de fraude siguen estando en las tarjetas

E) En algún caso los malos sistemas de autenticación de

las BE y la baja seguridad de los usuarios hacen que las

mafias se centren en este ‘negocio’ llegando a superar al

negocio de la droga.

F) Según el INTECO, el 80% de los ordenadores españoles

tienen algún tipo de Malware, sin que el usuario lo sepa

(España a la cabeza del SPAM)

Según VERISIGN en el mundo, las infecciones superan el

90%

3. – Introducción Auditoria PCI - DSS

G) Muchas entidades, subcontratan la seguridad (¿es

bueno?)

F) El uso y abuso de los sistemas, el mal diseño de las

bases de datos y de las aplicaciones web, han permitido

vulneración de datos de titulares de tarjetas (no diremos

nombres, solo ejemplos)

3.1.- Estado de la seguridad

3. – Hitos en la Auditoria PCI - DSS

VISA y MASTERCAD regulan la obligatoriedad de que los

comercios y empresas con tratamientos de tarjetas se les

audite la seguridad

En España, la norma padece una parálisis y no queda claro

quien ni cuando la debe realizar, tampoco las ventajas de

hacerla, solo se intuyen inconvenientes

Ante las dudas y partiendo del sentido común, en ATCA se

plantea realizar la auditoria exigida por VISA y

MASTERCAD

E


Se empieza por la parte de escaneos, una auditoria cada

tres meses cuyo alcance es:

Sistemas y dispositivos que transmitan,recepcione o

procesen datos de tarjetas, en nuestro caso en concreto:

DMZ de Banca electrónica (routers, servidores)

TPV’s Virtuales

Aplicativo web


Auditoria ‘in-situ’ que consiste:

Un trabajo de revisión de todos los sistemas de ATCA,

donde se procesen datos de tarjetas (es decir toda la

instalación)

La duración de la revisión dura dos meses e implica a toda

la organización

Se realizan 235 intervenciones con sus evidencias, se

revisa el aspecto normativo,legal, seguridad en redes,

políticas de confidencialidad, empleados

3. – Hitos en la Auditoria PCI – DSS

Departamentos afectados

Dirección -General

Dirección seguridad

Dirección de producción y Planificación

Dirección de desarrollo

Dirección Nuevas

tecnologíasCalidad

3. – Hitos en la Auditoria PCI – DSS

Departamentos afectados

Dirección -Seguridad

Arquitectura -Seguridad

Auditorias / Pentest

Web Criptografía

Sistemas -Seguridad

Comunicaciones Bases de datos


Para la revisión de los requerimientos se ha considerado la

estructura actual en ATCA de ISO 27001 y

la 17799, así como procedimientos propios, constituida por

los siguientes componentes:

- Objetivos de Control

- Requerimientos principales

- Requerimientos y subrequerimientos detallados

- Procedimientos de Test


Los seis objetivos de control definidos por la auditoría

fueron:

A. Creación y mantenimiento de una red segura

B. Protección de los datos almacenados

C. Mantenimiento de un programa de gestión de

vulnerabilidades

D. Implantación de medidas de control de acceso

E. Monitorización y revisión periódica de las redes

F. Mantenimiento de una Política de Seguridad de la

Información


Requerimientos principales que se detallan a continuación:

1. Instalación y mantenimiento de la configuración de firewalls para la

protección de los datos

2. No empleo de contraseñas y otros parámetros de seguridad establecidas por

defecto por los proveedores.

3. Protección de los datos almacenados

4. Cifrado de la transmisión de la información sensible a través de redes

públicas.

5. Empleo y actualización periódica de programas y software antivirus.

6. Desarrollo y mantenimiento de sistemas y aplicaciones seguros.

7. Restricción del acceso a los datos en función de la necesidad de conocer

(con base en el negocio).

8. Asignación de un identificador único para todas las personas con acceso al

sistema.

9. Restricción del acceso físico a los datos .

10. Revisión y monitorización de todos los accesos a los recursos de red y a los

datos

11. Prueba periódica de la seguridad de los sistemas y los procesos.

12. Mantenimiento de una política que contemple la seguridad de la información

para los empleados y contratistas.

3. – Resultados en la Auditoria PCI - DSS

Informe favorable por parte de la empresa auditora

Las incidencias encontradas son de carácter leve y se

convierten en recomendaciones de mejora

ATCA Cumple el programa PCI-DSS de certificación de la

auditoria

Los informes se enviaron y esta a disposición de VISA y

MASTERCAD

3. – Mi equipo de trabajo (¡¡todos frikis!!)

Integración de la

Auditoria PCI-DSS

en el SGSI


Integración

4. – Integración en el SGSI

1.- Todos los procesos de la auditoria, se definen como objetivos de cumplimiento y se establece un seguimiento mensual por medio de métricas

2.- Los desarrollos de software, (especialmente los de medios de pago) deben de pasar por el visto bueno del departamento de seguridad (Estudio, definición, desarrollo, test, formación y producción)

3.- En todos los entornos , se realizan documentos que deben de aprobarse por los responsables de la petición de desarrollo

4.- Cuando una aplicación viene dada por terceros, deben de cumplir las normas de seguridad de ATCA (ej. Los proveedores externos nunca se conectan de forma remota)

5.- En todos los proyectos debe de haber un responsable de código seguro, designado por el departamento de desarrollo o seguridad.

4. – Integración en el SGSI

Más de 150 Procedimientos de seguridad60 de ellos dedicados al desarrollo de software seguro10 de los 60 dedicados a el ciclo de vida del software3 exclusivos al tratamiento de tarjetas264 Métricas (117 de seguridad)

Objeto:Durante la fase de planificación todos los proyectos deben de identificarse, justificarse, acordarse y documentar.

Alcance:Los proyectos de nuevos productos, gestión interna y optimización Las peticiones de trabajo cursadas por las Cajas con causas mttoevolutivo o normativo. Los proyectos y trabajos llevados a cabo por Sistemas que afectan a las plataformas Hw/Sw que prestan servicio de producción

Conclusiones


Conclusiones

5. – Conclusiones

En cuanto al trabajo de la auditoria:

Los objetivos están claramente definidos y abarcan todos

los aspectos de una organización. Los cuestionarios

Un gran esfuerzo en tiempo, dinero y de recursos (No os lo

podéis imaginar)

Ha sido de gran utilidad la revisión de la auditoria (la

seguiremos haciendo, somos frikis y nos gusta que nos

sodomicen)

Hay que hacer esta u otras parecidas a esta solo por

trasparencia o sentido comun

5. – Conclusiones

En cuanto a la norma:

La vemos poco efectiva por las siguientes razones:

1. Ambigüedad por parte de VISA y MASTERCAD, no son

claros en sus actuaciones, por lo menos en España

2. ¿Por qué las entidades financieras no pasan la

auditoría?, ¿somos como entidad más seguros que un

comercio?

3. ¿Se va a obligar a los comercios a pasar la auditoría?

4. ¿Estos van a tener alguna ventaja, de la que ya tienen?

Preguntas


¿Preguntas?

Gracias

[email protected]

Gracias a todos

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.

Technology

Transcript of Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.