Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.

  • 176 views
Uploaded on

Presentación de Pedro Sánchez de ATCA sobre su caso de éxito en la implantación de PCI DSS dentro de su SGSI certificado sobre la norma ISO/IEC 27001:2005. En ella se tratan pros y contras en su …

Presentación de Pedro Sánchez de ATCA sobre su caso de éxito en la implantación de PCI DSS dentro de su SGSI certificado sobre la norma ISO/IEC 27001:2005. En ella se tratan pros y contras en su implantación así como las dudas que se plantearon en ATCA sobre la implantación de la norma.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
176
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
8
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad Madrid, 7 de Noviembre SI-0015/06
  • 2. Pedro Sánchez psanchez@atca.es Ingeniero en Informática por la UAM CISA (Certified Information Security Auditor) CISM (Certified Information Security Manager) Agradecimientos
  • 3. Índice 1.- Que es ATCA 2.- Como nace el SGSI 3.- La auditoria PCI-DSS 3.1.- Estado de la seguridad 4.- Integración en el SGSI 5.- Conclusiones Auditoria de seguridad informáticaComo integrar PCI-DSS en un SGSI
  • 4. 1.- Que es ATCA ATCA
  • 5. 1.- Que es ATCA ATCA A.I.E., es una agrupación de interés económico con un Capital Social de 6.923.520 Euros distribuido entre sus socios de la forma siguiente: 31 % 31 % 13 % 25 %
  • 6. 1.- Que es ATCA En la actualidad, las cuatro Cajas de Ahorros asociadas gestionan en total activos por importe de 27.661 millones de euros Los recursos de sus clientes superan los 19.914 millones de euros y las inversiones crediticias totalizan 21.156 millones de euros En ellas trabajan más de 5.400 empleados. En cuanto a la red de atención al público, la cifra global es de 1100 sucursales, 1.658 cajeros automáticos y 17.013 TPV's.
  • 7. ATCA debe ser una empresa que, mediante la más eficiente utilización de la tecnología disponible en cada momento, ofrezca a las Cajas de Ahorros Asociadas los productos y servicios que le sean demandados por ellas, en las mejores condiciones de rapidez, calidad y coste, procurando preservar, al máximo posible, la unicidad del aplicativo informático y manteniendo la seguridad en su confidencialidad, disponibilidad e integridad. 1.- Que es ATCA Mision
  • 8. 1.- Que es ATCA Que hacemos ATCA desarrolla, mantiene y explota las aplicaciones del núcleo bancario de las Cajas, el Terminal Financiero, la Banca por Internet y aplicaciones departamentales. La seguridad es una de sus máximas prioridades, obteniendo la certificación para su sistema de gestión de seguridad de la información, conforme a la norma ISO/IEC 27001. También en este año se ha conseguido la certificación CMMI Nivel 5, siendo la única empresa con capital Español con esta categoría
  • 9. 1.- Que es ATCA Hitos importantes PARAMETRIZACIÓN:PARAMETRIZACIÓN:  Las aplicaciones son comunes para las cuatro Cajas.  Las diferencias existentes en productos, tarifas o criterios de gestión se manejan en base a parámetros.  Las bases de datos son iguales y se manejan juegos de tablas por Caja.  Los procesos son similares, pero se ejecutan una vez por cada Caja.  Las Aplicaciones son multi-divisa, multi-entidad y multi-idioma, y se explotan con dos usos horarios (Península y Canarias).
  • 10. 1.- Que es ATCA Hitos importantes  Certificación en CMMI Nivel 5 (Solo dos empresas en España)  Certificación de Seguridad SGSI en ISO 27001 (Única en España cuyo alcance es toda la empresa)  Desarrollo basado en productos de código abierto:  Terminal financiero (Abaco)  Banca electrónica  Grid batch computing  Puesto de trabajo Linux  CD Recovery
  • 11. 1.- Que es ATCA Hitos importantes  File inspector & Audit systems  Ossim / nagios  Tecleos  Auditoria a distancia  .....
  • 12. 2.- ¿Por que un SGSI? SGSI
  • 13. 2.- ¿Cómo nace el SGSI? En el año 2001, La alta dirección apuesta por la seguridad como un valor de servicio, calidad y confiabilidad y no como un gasto ATCA apuesta por lo más difícil de la seguridad: La concienciación. Para ello:
  • 14. 2.- ¿Cómo nace el SGSI? Se establece un plan de cuatro años de formación continua en materias de seguridad. Se apuesta por metodologías aplicadas por el gobierno americano Se ponen objetivos de seguridad a todos los empleados (computables en sus nominas) Se crean las primeras métricas de servicio y seguridad En el 2002 ya apostamos por la seguridad en el desarrollo de aplicaciones (Se revisa el 100% del aplicativo bancario)
  • 15. 2.- ¿Cómo nace el SGSI? Se forman equipos de seguridad entre las Cajas Asociadas y ATCA Se estudia la seguridad desde el eslabón más débil, el cliente y el usuario Se define la documentación como hito necesario para la puesta en marcha de aplicaciones (no hay documentación – no existe programa – no se pone) Se adopta CMMI-SSE (Primer PDCA) Se establecen controles 17799
  • 16. 2.- ¿Cómo nace el SGSI? Se aplica el principio de transparencia: Plan de auditorias anuales en ATCA: LOPD Controles generales Banco de España VISA Internacional Seguridad en Redes Banca Electrónica y medios de pago **** ISO 27001 CMM 5 ITIL
  • 17. 2.- ¿Cómo nace el SGSI? Se aplica el principio de transparencia: Informes: Semanales de actividades a la dirección Mensuales a Dirección Mensuales al Comité Técnico de coordinación Mensuales al Comité de Seg. de las Cajas Trimestrales a la Comisión delegada de las Cajas Trimestrales al Consejo de Administración de ATCA Métricas: De servicio De calidad De productividad De seguridad ……134 Métricas
  • 18. 2.- ¿Cómo nace el SGSI? El madurez de seguridad Viene recomendado por: El conjunto de auditorias: En los últimos tres años son todas de nivel bajo Las consultorías realizadas: Solo en conocimiento La implantación de CMM nivel 5 Desarrollo, configuración del software, pases a entornos Puntos funcion Peer review Gestión Metricas
  • 19. 2.- ¿Cómo nace el SGSI? Por lo tanto: El objetivo esta realizado: CONCIENCIACION CONTROLES A falta de: Control del ciclo de vida Que se resuelve en el 2006: Ciclos de vida Mantenimientos de proyectos + Concienciación
  • 20. 2.- ¿Cómo nace el SGSI? SI-0015/06 •Necesidad de fidelizar a nuestras entidades financieras •Confiabilidad de los clientes en sectores como banca electrónica •Asegurar el nivel de desarrollo del software en cuanto a seguridad (0% en ataques de Hacking) •Disponer de un cuadro de mandos, sencillo pero útil •Gestionar los productos desde su ciclo de vida
  • 21. 2.- ¿Cómo nace el SGSI? SI-0015/06 A raiz de las consultorias y Auditorias se aconseja realizar la certificación como proceso de mejora La alta dirección define como alcance toda la compañía El proceso de certificación dura tres semanas Se consigue el SGSI en Agosto de 2006
  • 22. Auditoria PCI-DSS Madrid, 7 de Noviembre ¿Qué hemos hecho nosotros para merecer esto?
  • 23. 3. –Introducción Auditoria PCI - DSS A ) Partimos de que el nivel de seguridad del entorno financiero es alto, debido especialmente a la cantidad de regulaciones y cumplimiento normativo, como por ejemplo la protección de datos de carácter personal B) Desde hace años, las entidades financieras (en España) se han protegido con políticas internas de seguridad de la información e incluso creando comités de trabajo. C)Banco de España, se perfila como ‘regulador’ aunque no crea ninguna recomendación de seguridad al respecto
  • 24. 3. – Introducción Auditoria PCI - DSS D) Los problemas de fraude siguen estando en las tarjetas E) En algún caso los malos sistemas de autenticación de las BE y la baja seguridad de los usuarios hacen que las mafias se centren en este ‘negocio’ llegando a superar al negocio de la droga. F) Según el INTECO, el 80% de los ordenadores españoles tienen algún tipo de Malware, sin que el usuario lo sepa (España a la cabeza del SPAM) Según VERISIGN en el mundo, las infecciones superan el 90%
  • 25. 3. – Introducción Auditoria PCI - DSS G) Muchas entidades, subcontratan la seguridad (¿es bueno?) F) El uso y abuso de los sistemas, el mal diseño de las bases de datos y de las aplicaciones web, han permitido vulneración de datos de titulares de tarjetas (no diremos nombres, solo ejemplos)
  • 26. 3.1.- Estado de la seguridad
  • 27. 3.1.- Estado de la seguridad
  • 28. 3.1.- Estado de la seguridad
  • 29. 3.1.- Estado de la seguridad
  • 30. 3.1.- Estado de la seguridad
  • 31. 3.1.- Estado de la seguridad
  • 32. 3. – Hitos en la Auditoria PCI - DSS VISA y MASTERCAD regulan la obligatoriedad de que los comercios y empresas con tratamientos de tarjetas se les audite la seguridad En España, la norma padece una parálisis y no queda claro quien ni cuando la debe realizar, tampoco las ventajas de hacerla, solo se intuyen inconvenientes Ante las dudas y partiendo del sentido común, en ATCA se plantea realizar la auditoria exigida por VISA y MASTERCAD E
  • 33. 3. – Hitos en la Auditoria PCI - DSS Se empieza por la parte de escaneos, una auditoria cada tres meses cuyo alcance es: Sistemas y dispositivos que transmitan,recepcione o procesen datos de tarjetas, en nuestro caso en concreto: DMZ de Banca electrónica (routers, servidores) TPV’s Virtuales Aplicativo web
  • 34. 3. – Hitos en la Auditoria PCI - DSS Auditoria ‘in-situ’ que consiste: Un trabajo de revisión de todos los sistemas de ATCA, donde se procesen datos de tarjetas (es decir toda la instalación) La duración de la revisión dura dos meses e implica a toda la organización Se realizan 235 intervenciones con sus evidencias, se revisa el aspecto normativo,legal, seguridad en redes, políticas de confidencialidad, empleados
  • 35. 3. – Hitos en la Auditoria PCI – DSS Departamentos afectados Dirección - General Dirección seguridad Dirección de producción y Planificación Dirección de desarrollo Dirección Nuevas tecnologías Calidad
  • 36. 3. – Hitos en la Auditoria PCI – DSS Departamentos afectados Dirección - Seguridad Arquitectura - Seguridad Auditorias / Pen test Web Criptografía Sistemas - Seguridad Comunicaciones Bases de datos
  • 37. 3. – Hitos en la Auditoria PCI - DSS Para la revisión de los requerimientos se ha considerado la estructura actual en ATCA de ISO 27001 y la 17799, así como procedimientos propios, constituida por los siguientes componentes: - Objetivos de Control - Requerimientos principales - Requerimientos y subrequerimientos detallados - Procedimientos de Test
  • 38. 3. – Hitos en la Auditoria PCI - DSS Los seis objetivos de control definidos por la auditoría fueron: A. Creación y mantenimiento de una red segura B. Protección de los datos almacenados C. Mantenimiento de un programa de gestión de vulnerabilidades D. Implantación de medidas de control de acceso E. Monitorización y revisión periódica de las redes F. Mantenimiento de una Política de Seguridad de la Información
  • 39. 3. – Hitos en la Auditoria PCI - DSS Requerimientos principales que se detallan a continuación: 1. Instalación y mantenimiento de la configuración de firewalls para la protección de los datos 2. No empleo de contraseñas y otros parámetros de seguridad establecidas por defecto por los proveedores. 3. Protección de los datos almacenados 4. Cifrado de la transmisión de la información sensible a través de redes públicas. 5. Empleo y actualización periódica de programas y software antivirus. 6. Desarrollo y mantenimiento de sistemas y aplicaciones seguros. 7. Restricción del acceso a los datos en función de la necesidad de conocer (con base en el negocio). 8. Asignación de un identificador único para todas las personas con acceso al sistema. 9. Restricción del acceso físico a los datos . 10. Revisión y monitorización de todos los accesos a los recursos de red y a los datos 11. Prueba periódica de la seguridad de los sistemas y los procesos. 12. Mantenimiento de una política que contemple la seguridad de la información para los empleados y contratistas.
  • 40. 3. – Hitos en la Auditoria PCI - DSS Requerimientos principales que se detallan a continuación: 1. Instalación y mantenimiento de la configuración de firewalls para la protección de los datos 2. No empleo de contraseñas y otros parámetros de seguridad establecidas por defecto por los proveedores. 3. Protección de los datos almacenados 4. Cifrado de la transmisión de la información sensible a través de redes públicas. 5. Empleo y actualización periódica de programas y software antivirus. 6. Desarrollo y mantenimiento de sistemas y aplicaciones seguros. 7. Restricción del acceso a los datos en función de la necesidad de conocer (con base en el negocio). 8. Asignación de un identificador único para todas las personas con acceso al sistema. 9. Restricción del acceso físico a los datos . 10. Revisión y monitorización de todos los accesos a los recursos de red y a los datos 11. Prueba periódica de la seguridad de los sistemas y los procesos. 12. Mantenimiento de una política que contemple la seguridad de la información para los empleados y contratistas.
  • 41. 3. – Resultados en la Auditoria PCI - DSS Informe favorable por parte de la empresa auditora Las incidencias encontradas son de carácter leve y se convierten en recomendaciones de mejora ATCA Cumple el programa PCI-DSS de certificación de la auditoria Los informes se enviaron y esta a disposición de VISA y MASTERCAD
  • 42. 3. – Mi equipo de trabajo (¡¡todos frikis!!)
  • 43. Integración de la Auditoria PCI-DSS en el SGSI Madrid, 7 de Noviembre Integración
  • 44. 4. – Integración en el SGSI 1.- Todos los procesos de la auditoria, se definen como objetivos de cumplimiento y se establece un seguimiento mensual por medio de métricas 2.- Los desarrollos de software, (especialmente los de medios de pago) deben de pasar por el visto bueno del departamento de seguridad (Estudio, definición, desarrollo, test, formación y producción) 3.- En todos los entornos , se realizan documentos que deben de aprobarse por los responsables de la petición de desarrollo 4.- Cuando una aplicación viene dada por terceros, deben de cumplir las normas de seguridad de ATCA (ej. Los proveedores externos nunca se conectan de forma remota) 5.- En todos los proyectos debe de haber un responsable de código seguro, designado por el departamento de desarrollo o seguridad.
  • 45. 4. – Integración en el SGSI Más de 150 Procedimientos de seguridad 60 de ellos dedicados al desarrollo de software seguro 10 de los 60 dedicados a el ciclo de vida del software 3 exclusivos al tratamiento de tarjetas 264 Métricas (117 de seguridad) Objeto: Durante la fase de planificación todos los proyectos deben de identificarse, justificarse, acordarse y documentar. Alcance: Los proyectos de nuevos productos, gestión interna y optimización Las peticiones de trabajo cursadas por las Cajas con causas mtto evolutivo o normativo. Los proyectos y trabajos llevados a cabo por Sistemas que afectan a las plataformas Hw/Sw que prestan servicio de producción
  • 46. Conclusiones Madrid, 7 de Noviembre Conclusiones
  • 47. 5. – Conclusiones En cuanto al trabajo de la auditoria: Los objetivos están claramente definidos y abarcan todos los aspectos de una organización. Los cuestionarios Un gran esfuerzo en tiempo, dinero y de recursos (No os lo podéis imaginar) Ha sido de gran utilidad la revisión de la auditoria (la seguiremos haciendo, somos frikis y nos gusta que nos sodomicen) Hay que hacer esta u otras parecidas a esta solo por trasparencia o sentido comun
  • 48. 5. – Conclusiones En cuanto a la norma: La vemos poco efectiva por las siguientes razones: 1. Ambigüedad por parte de VISA y MASTERCAD, no son claros en sus actuaciones, por lo menos en España 2. ¿Por qué las entidades financieras no pasan la auditoría?, ¿somos como entidad más seguros que un comercio? 3. ¿Se va a obligar a los comercios a pasar la auditoría? 4. ¿Estos van a tener alguna ventaja, de la que ya tienen?
  • 49. Preguntas Madrid, 7 de Noviembre ¿Preguntas?
  • 50. Gracias psanchez@atca.es Gracias a todos