View
450
Download
0
Category
Preview:
DESCRIPTION
Presentación de Pedro Sánchez de ATCA sobre su caso de éxito en la implantación de PCI DSS dentro de su SGSI certificado sobre la norma ISO/IEC 27001:2005. En ella se tratan pros y contras en su implantación así como las dudas que se plantearon en ATCA sobre la implantación de la norma.
Citation preview
Como integrar PCI-DSS en un
Sistema de Gestión de la
Seguridad
Madrid, 7 de Noviembre
SI-0015/06
Pedro Sánchez
psanchez@atca.es
Ingeniero en Informática por la UAM
CISA (Certified Information Security Auditor)
CISM (Certified Information Security Manager)
Agradecimientos
Índice
1.- Que es ATCA
2.- Como nace el SGSI
3.- La auditoria PCI-DSS
3.1.- Estado de la seguridad
4.- Integración en el SGSI
5.- Conclusiones
Auditoria de seguridad informáticaComo integrar PCI-DSS en un
SGSI
1.- Que es ATCA
ATCA
1.- Que es ATCA
ATCA A.I.E., es una agrupación de interés económico con un
Capital Social de 6.923.520 Euros distribuido entre sus socios de la
forma siguiente:
31 %
31 %
13 %
25 %
1.- Que es ATCA
En la actualidad, las cuatro Cajas de Ahorros asociadas gestionan en total activos por importe de 27.661 millones de euros
Los recursos de sus clientes superan los 19.914 millones de euros y las inversiones crediticias totalizan 21.156 millones de euros
En ellas trabajan más de 5.400 empleados. En cuanto a la red de atención al público, la cifra global es de 1100 sucursales, 1.658 cajeros automáticos y 17.013 TPV's.
ATCA debe ser una empresa que, mediante la
más eficiente utilización de la tecnología
disponible en cada momento, ofrezca a las Cajas
de Ahorros Asociadas los productos y servicios
que le sean demandados por ellas, en las
mejores condiciones de rapidez, calidad y coste,
procurando preservar, al máximo posible, la
unicidad del aplicativo informático y manteniendo
la seguridad en su confidencialidad,
disponibilidad e integridad.
1.- Que es ATCAMision
1.- Que es ATCAQue hacemos
ATCA desarrolla, mantiene y explota las aplicaciones del núcleo bancario de las Cajas, el Terminal Financiero, la Banca por Internet y aplicaciones departamentales.
La seguridad es una de sus máximas prioridades, obteniendo la certificación para su sistema de gestión de seguridad de la información, conforme a la norma ISO/IEC 27001.
También en este año se ha conseguido la certificación CMMI Nivel 5, siendo la única empresa con capital Español con esta categoría
1.- Que es ATCAHitos importantes
PARAMETRIZACIÓN:PARAMETRIZACIÓN:
Las aplicaciones son comunes para las cuatro Cajas.
Las diferencias existentes en productos, tarifas o criterios de
gestión se manejan en base a parámetros.
Las bases de datos son iguales y se manejan juegos de tablas por
Caja.
Los procesos son similares, pero se ejecutan una vez por cada
Caja.
Las Aplicaciones son multi-divisa, multi-entidad y multi-idioma, y
se explotan con dos usos horarios (Península y Canarias).
1.- Que es ATCAHitos importantes
Certificación en CMMI Nivel 5 (Solo dos empresas en España)
Certificación de Seguridad SGSI en ISO 27001 (Única en España
cuyo alcance es toda la empresa)
Desarrollo basado en productos de código abierto:
Terminal financiero (Abaco)
Banca electrónica
Grid batch computing
Puesto de trabajo Linux
CD Recovery
1.- Que es ATCAHitos importantes
File inspector & Audit systems
Ossim / nagios
Tecleos
Auditoria a distancia
.....
2.- ¿Por que un SGSI?
SGSI
2.- ¿Cómo nace el SGSI?
En el año 2001, La alta dirección apuesta por la seguridad como un valor de servicio, calidad y confiabilidad y no como un gasto
ATCA apuesta por lo más difícil de la seguridad:
La concienciación.
Para ello:
2.- ¿Cómo nace el SGSI?
Se establece un plan de cuatro años de formación continua en materias de seguridad.
Se apuesta por metodologías aplicadas por el gobierno americano
Se ponen objetivos de seguridad a todos los empleados (computables en sus nominas)
Se crean las primeras métricas de servicio y seguridad
En el 2002 ya apostamos por la seguridad en el desarrollo de aplicaciones (Se revisa el 100% del aplicativo bancario)
2.- ¿Cómo nace el SGSI?
Se forman equipos de seguridad entre las Cajas Asociadas y ATCA
Se estudia la seguridad desde el eslabón más débil, el cliente y el usuario
Se define la documentación como hito necesario para la puesta en marcha de aplicaciones (no hay documentación – no existe programa – no se pone)
Se adopta CMMI-SSE (Primer PDCA)
Se establecen controles 17799
2.- ¿Cómo nace el SGSI?
Se aplica el principio de transparencia:
Plan de auditorias anuales en ATCA:
LOPDControles generalesBanco de EspañaVISA InternacionalSeguridad en RedesBanca Electrónica y medios de pago
****ISO 27001CMM 5ITIL
2.- ¿Cómo nace el SGSI?
Se aplica el principio de transparencia:
Informes:
Semanales de actividades a la direcciónMensuales a DirecciónMensuales al Comité Técnico de coordinaciónMensuales al Comité de Seg. de las CajasTrimestrales a la Comisión delegada de las Cajas Trimestrales al Consejo de Administración de ATCA
Métricas:
De servicioDe calidadDe productividadDe seguridad
……134 Métricas
2.- ¿Cómo nace el SGSI?El madurez de seguridad Viene recomendado por:
El conjunto de auditorias:
En los últimos tres años son todas de nivel bajo
Las consultorías realizadas:
Solo en conocimiento
La implantación de CMM nivel 5
Desarrollo, configuración del software, pases a entornos
Puntos funcionPeer reviewGestiónMetricas
2.- ¿Cómo nace el SGSI?
Por lo tanto:
El objetivo esta realizado:
CONCIENCIACION
CONTROLES
A falta de:
Control del ciclo de vida
Que se resuelve en el 2006:
Ciclos de vida
Mantenimientos de proyectos
+ Concienciación
2.- ¿Cómo nace el SGSI?
SI-0015/06
•Necesidad de fidelizar a nuestras entidades
financieras
•Confiabilidad de los clientes en sectores como
banca electrónica
•Asegurar el nivel de desarrollo del software en
cuanto a seguridad (0% en ataques de Hacking)
•Disponer de un cuadro de mandos, sencillo
pero útil
•Gestionar los productos desde su ciclo de vida
2.- ¿Cómo nace el SGSI?
SI-0015/06
A raiz de las consultorias y Auditorias se
aconseja realizar la certificación como proceso
de mejora
La alta dirección define como alcance toda la
compañía
El proceso de certificación dura tres semanas
Se consigue el SGSI en Agosto de 2006
Auditoria PCI-DSS
Madrid, 7 de Noviembre
¿Qué hemos hecho nosotros para
merecer esto?
3. –Introducción Auditoria PCI - DSS
A ) Partimos de que el nivel de seguridad del entorno financiero es alto, debido especialmente a la cantidad de regulaciones y cumplimiento normativo, como por ejemplo la protección de datos de carácter personal
B) Desde hace años, las entidades financieras (en España) se han protegido con políticas internas de seguridad de la información e incluso creando comités de trabajo.
C)Banco de España, se perfila como ‘regulador’ aunque no crea ninguna recomendación de seguridad al respecto
3. – Introducción Auditoria PCI - DSS
D) Los problemas de fraude siguen estando en las tarjetas
E) En algún caso los malos sistemas de autenticación de
las BE y la baja seguridad de los usuarios hacen que las
mafias se centren en este ‘negocio’ llegando a superar al
negocio de la droga.
F) Según el INTECO, el 80% de los ordenadores españoles
tienen algún tipo de Malware, sin que el usuario lo sepa
(España a la cabeza del SPAM)
Según VERISIGN en el mundo, las infecciones superan el
90%
3. – Introducción Auditoria PCI - DSS
G) Muchas entidades, subcontratan la seguridad (¿es
bueno?)
F) El uso y abuso de los sistemas, el mal diseño de las
bases de datos y de las aplicaciones web, han permitido
vulneración de datos de titulares de tarjetas (no diremos
nombres, solo ejemplos)
3.1.- Estado de la seguridad
3.1.- Estado de la seguridad
3.1.- Estado de la seguridad
3.1.- Estado de la seguridad
3.1.- Estado de la seguridad
3.1.- Estado de la seguridad
3. – Hitos en la Auditoria PCI - DSS
VISA y MASTERCAD regulan la obligatoriedad de que los
comercios y empresas con tratamientos de tarjetas se les
audite la seguridad
En España, la norma padece una parálisis y no queda claro
quien ni cuando la debe realizar, tampoco las ventajas de
hacerla, solo se intuyen inconvenientes
Ante las dudas y partiendo del sentido común, en ATCA se
plantea realizar la auditoria exigida por VISA y
MASTERCAD
E
3. – Hitos en la Auditoria PCI - DSS
Se empieza por la parte de escaneos, una auditoria cada
tres meses cuyo alcance es:
Sistemas y dispositivos que transmitan,recepcione o
procesen datos de tarjetas, en nuestro caso en concreto:
DMZ de Banca electrónica (routers, servidores)
TPV’s Virtuales
Aplicativo web
3. – Hitos en la Auditoria PCI - DSS
Auditoria ‘in-situ’ que consiste:
Un trabajo de revisión de todos los sistemas de ATCA,
donde se procesen datos de tarjetas (es decir toda la
instalación)
La duración de la revisión dura dos meses e implica a toda
la organización
Se realizan 235 intervenciones con sus evidencias, se
revisa el aspecto normativo,legal, seguridad en redes,
políticas de confidencialidad, empleados
3. – Hitos en la Auditoria PCI – DSS
Departamentos afectados
Dirección -General
Dirección seguridad
Dirección de producción y Planificación
Dirección de desarrollo
Dirección Nuevas
tecnologíasCalidad
3. – Hitos en la Auditoria PCI – DSS
Departamentos afectados
Dirección -Seguridad
Arquitectura -Seguridad
Auditorias / Pentest
Web Criptografía
Sistemas -Seguridad
Comunicaciones Bases de datos
3. – Hitos en la Auditoria PCI - DSS
Para la revisión de los requerimientos se ha considerado la
estructura actual en ATCA de ISO 27001 y
la 17799, así como procedimientos propios, constituida por
los siguientes componentes:
- Objetivos de Control
- Requerimientos principales
- Requerimientos y subrequerimientos detallados
- Procedimientos de Test
3. – Hitos en la Auditoria PCI - DSS
Los seis objetivos de control definidos por la auditoría
fueron:
A. Creación y mantenimiento de una red segura
B. Protección de los datos almacenados
C. Mantenimiento de un programa de gestión de
vulnerabilidades
D. Implantación de medidas de control de acceso
E. Monitorización y revisión periódica de las redes
F. Mantenimiento de una Política de Seguridad de la
Información
3. – Hitos en la Auditoria PCI - DSS
Requerimientos principales que se detallan a continuación:
1. Instalación y mantenimiento de la configuración de firewalls para la
protección de los datos
2. No empleo de contraseñas y otros parámetros de seguridad establecidas por
defecto por los proveedores.
3. Protección de los datos almacenados
4. Cifrado de la transmisión de la información sensible a través de redes
públicas.
5. Empleo y actualización periódica de programas y software antivirus.
6. Desarrollo y mantenimiento de sistemas y aplicaciones seguros.
7. Restricción del acceso a los datos en función de la necesidad de conocer
(con base en el negocio).
8. Asignación de un identificador único para todas las personas con acceso al
sistema.
9. Restricción del acceso físico a los datos .
10. Revisión y monitorización de todos los accesos a los recursos de red y a los
datos
11. Prueba periódica de la seguridad de los sistemas y los procesos.
12. Mantenimiento de una política que contemple la seguridad de la información
para los empleados y contratistas.
3. – Hitos en la Auditoria PCI - DSS
Requerimientos principales que se detallan a continuación:
1. Instalación y mantenimiento de la configuración de firewalls para la
protección de los datos
2. No empleo de contraseñas y otros parámetros de seguridad establecidas por
defecto por los proveedores.
3. Protección de los datos almacenados
4. Cifrado de la transmisión de la información sensible a través de redes
públicas.
5. Empleo y actualización periódica de programas y software antivirus.
6. Desarrollo y mantenimiento de sistemas y aplicaciones seguros.
7. Restricción del acceso a los datos en función de la necesidad de conocer
(con base en el negocio).
8. Asignación de un identificador único para todas las personas con acceso al
sistema.
9. Restricción del acceso físico a los datos .
10. Revisión y monitorización de todos los accesos a los recursos de red y a los
datos
11. Prueba periódica de la seguridad de los sistemas y los procesos.
12. Mantenimiento de una política que contemple la seguridad de la información
para los empleados y contratistas.
3. – Resultados en la Auditoria PCI - DSS
Informe favorable por parte de la empresa auditora
Las incidencias encontradas son de carácter leve y se
convierten en recomendaciones de mejora
ATCA Cumple el programa PCI-DSS de certificación de la
auditoria
Los informes se enviaron y esta a disposición de VISA y
MASTERCAD
3. – Mi equipo de trabajo (¡¡todos frikis!!)
Integración de la
Auditoria PCI-DSS
en el SGSI
Madrid, 7 de Noviembre
Integración
4. – Integración en el SGSI
1.- Todos los procesos de la auditoria, se definen como objetivos de cumplimiento y se establece un seguimiento mensual por medio de métricas
2.- Los desarrollos de software, (especialmente los de medios de pago) deben de pasar por el visto bueno del departamento de seguridad (Estudio, definición, desarrollo, test, formación y producción)
3.- En todos los entornos , se realizan documentos que deben de aprobarse por los responsables de la petición de desarrollo
4.- Cuando una aplicación viene dada por terceros, deben de cumplir las normas de seguridad de ATCA (ej. Los proveedores externos nunca se conectan de forma remota)
5.- En todos los proyectos debe de haber un responsable de código seguro, designado por el departamento de desarrollo o seguridad.
4. – Integración en el SGSI
Más de 150 Procedimientos de seguridad60 de ellos dedicados al desarrollo de software seguro10 de los 60 dedicados a el ciclo de vida del software3 exclusivos al tratamiento de tarjetas264 Métricas (117 de seguridad)
Objeto:Durante la fase de planificación todos los proyectos deben de identificarse, justificarse, acordarse y documentar.
Alcance:Los proyectos de nuevos productos, gestión interna y optimización Las peticiones de trabajo cursadas por las Cajas con causas mttoevolutivo o normativo. Los proyectos y trabajos llevados a cabo por Sistemas que afectan a las plataformas Hw/Sw que prestan servicio de producción
Conclusiones
Madrid, 7 de Noviembre
Conclusiones
5. – Conclusiones
En cuanto al trabajo de la auditoria:
Los objetivos están claramente definidos y abarcan todos
los aspectos de una organización. Los cuestionarios
Un gran esfuerzo en tiempo, dinero y de recursos (No os lo
podéis imaginar)
Ha sido de gran utilidad la revisión de la auditoria (la
seguiremos haciendo, somos frikis y nos gusta que nos
sodomicen)
Hay que hacer esta u otras parecidas a esta solo por
trasparencia o sentido comun
5. – Conclusiones
En cuanto a la norma:
La vemos poco efectiva por las siguientes razones:
1. Ambigüedad por parte de VISA y MASTERCAD, no son
claros en sus actuaciones, por lo menos en España
2. ¿Por qué las entidades financieras no pasan la
auditoría?, ¿somos como entidad más seguros que un
comercio?
3. ¿Se va a obligar a los comercios a pasar la auditoría?
4. ¿Estos van a tener alguna ventaja, de la que ya tienen?
Preguntas
Madrid, 7 de Noviembre
¿Preguntas?
Gracias
psanchez@atca.es
Gracias a todos
Recommended