2018 <SISTESEG CONSULTING> Versión 1.0 METODOLOGIA PARA REALIZAR EL ANÁLISIS GAP PCI DSS (INFORMATION QUALITY)

Transcripción

1 2018 <SISTESEG CONSULTING> Versión 1.0 METODOLOGIA PARA REALIZAR EL ANÁLISIS GAP PCI DSS (INFORMATION QUALITY)

2 Histria CONTROL DOCUMENTAL Versión Autr Tip de Revisión Descripción Aprbad pr Fecha 1.0 IQ Creación Pryect Distribución Cpia Destinatari Destin / Dirección Original IQ Cpia IQ Referencias Ref. Dcument ítem referenciad Cntrl de Acces Sección Td Dispnibilidad

3 TABLA DE CONTENIDO 1 INTRODUCCION OBJETIVOS Objetiv general Objetiv Específics OBJETIVOS DE LA SEGURIDAD DE LA INFORMACION LA NORMA PCI DSS MODELO DE SEGURIDAD RECOMENDADO PARA PCI DSS ALCANCE DEL GAP PCI DSS CONCEPTOS FUNDAMENTALES DEL GAP GLOSARIO BIBLIOGRAFÍA... 12

4 LISTADO DE ILUSTRACIONES Ilustración 1. Objetivs de la Seguridad de la Infrmación... 6 Ilustración 2. Cmpnentes del mdel PCI DSS Ilustración 1. Cmpnentes del alcance del GAP PCI DSS Ilustración 4. Seguridad en PCI DSS LISTADO DE TABLAS Tabla 1. Dminis de la nrma PCI DSS... 9

5 1 INTRODUCCION La seguridad de la infrmación debe ser un cmpnente crític dentr de la estrategia de seguridad de la infrmación. El análisis de brecha es recmendable realizarl para iniciar el establecimient de un Sistema de Gestión de la Seguridad de la Infrmación (SGSI), ya que este análisis permite cncer el nivel de madurez cn que se cuenta, para lueg, prpner un plan de acción para la futura implementación del mdel de seguridad en una rganización. 2 OBJETIVOS 2.1 Objetiv general Presentar la metdlgía recmendada cn respect a la nrma PCI DSS V 3.21 cn el fin de cmprender el estad de madurez de la seguridad de la infrmación. 2.2 Objetiv Específics Detallar la metdlgía recmendada para: 1. Estimar Nivel de madurez pr dminis 2. Estimar Nivel de madurez pr cntrl 3. Ayudar en el mejramient de la prtección y seguridad de ls dats de tarjetahabiente 4. Entender la situación actual en l relacinad al cumplimient PCI 5. Identificar las debilidades en ls sistemas cmpnentes que cnfrman la infraestructura de la rganización 6. Estimar el grad general de madurez anterir al prces de certificación 7. Cntar cn recmendacines para la implementación de ls requerimients y sub- requerimients faltantes 8. Facilitar la realización de un plan de remediación 3 OBJETIVOS DE LA SEGURIDAD DE LA INFORMACION Ls bjetivs sn el sprte de la visión, la misión y la estrategia de la entidad desde el punt de vista de la seguridad de la infrmación. Ests se expnen a cntinuación:

6 Cnfidencialidad Objetivs Integridad Dispnibilidad Ilustración 1. Objetivs de la Seguridad de la Infrmación La infrmación (ls dats de tarjetahabiente) es un de ls activs más imprtantes de tda entidad, pr l tant, se espera que sea utilizada acrde cn ls requerimients y la clasificación definida pr la entidad. La cnfidencialidad de la infrmación de la entidad y de terceras partes debe ser mantenida y preservada. La infrmación de la entidad debe preservar su integridad independientemente de su residencia tempral permanente, la frma en que sea transmitida. La infrmación sensible (dats de tarjetahabiente) debe ser prtegida durante la transmisión, el almacenamient y el prcesamient (PCI DSS). 4 LA NORMA PCI DSS La nrma PCI DSS (Payment Card Industry Data Security Standard) fue desarrllada pr un cnjunt de cmpañías de tarjetas de débit y crédit en el añ 2006 entre las que figuran: America Express, Discver, JCB, Mastercard y VISA. Esta nrma prcura que las rganizacines que prcesan, almacenan y/ transmiten dats de tarjetahabientes prtejan esta infrmación cn el fin de evitar fugas que invlucren divulgación de infrmación sensible. Este tip de fugas pdría afectar td el ecsistema de tarjetas de pag incluyend clientes, cmercis e institucines financieras. Estas entidades pierden credibilidad cm cnsecuencias de fugas de infrmación y quedarían expuestas a numersas demandas ecnómicas. Ls beneficis asciads de mantener el cumplimient de PCI sn fundamentales para el éxit a larg plaz de las entidades que prcesan pags cn tarjeta. El cumplimient invlucra la identificación cntinua de

7 amenazas y vulnerabilidades que pdrían ptencialmente afectar a dichas rganizacines. La mayría de empresas nunca se recuperan ttalmente de una infracción fuga de sus dats ya que la pérdida el impact es mayr que ls dats en sí misms. Seguir la nrma PCI es una gran prtunidad para ls negcis. Pr medi de ella se lgra asegurar la salud y cnfianza en las transaccines de pag para cients de millnes de persnas en el mund que utilizan sus tarjetas día tras día. Las cmpañías autrizadas pr el Cncili (PCI SSC) para realizar la validación de cumplimient de la nrma PCI DSS se cncen cm QSA (Qualified Security Assessr), las cuales deben cumplir una serie de requisits cm empresa y sus ingeniers sn entrenads directamente pr esta asciación. La nrma PCI es una de las nrmas más exigentes a nivel mundial en l relacinad cn la prtección de la infrmación sensible debid al énfasis que ella pne en ls cntrles de tip tecnlógics y la rigursidad que exige en el prces de evaluación para trgar la certificación de cumplimient. 5 MODELO DE SEGURIDAD RECOMENDADO PARA PCI DSS En el ámbit de la seguridad de la infrmación de PCI DSS, ls cmpnentes del mdel de seguridad se ubican en diferentes niveles de acuerd a su imprtancia. Este mdel permite la implementación efectiva y eficiente de la nrma. Pr esta razón se sugiere su utilización en cmercis, pasarelas de pag e institucines financieras para la mejra cntinua de la seguridad de la infrmación: Objetivs Plíticas Prcedimients Estándares de cnfiguración Guías de hardening Listas de verificación Frmats Manuales de instalación Ilustración 2. Cmpnentes del mdel PCI DSS.

8 6 ALCANCE DEL GAP PCI DSS El alcance de las actividades del GAP cnsidera ls cmpnentes (hardware y sftware, prcedimients, estándares de cnfiguración, persnas, tecnlgías, prcess, entre trs) definids en el alcance según ls lineamients estipulads pr PCI DSS V.3.21: The PCI DSS security requirements apply t all systems cmpnents included in r cnnected t the cardhlder data envirnment. The cardhlder data envirnment (CDE) is cmprised f peple, prcesses and technlgies that stre, prcess, r transmit cardhlder data r sensitive authenticatin data (PCI DSS 3.21, p. 10). Persnas CDE Tecnlgía Prcess Ilustración 3. Cmpnentes del alcance del GAP PCI DSS. 7 CONCEPTOS FUNDAMENTALES DEL GAP El cuidad de la infrmación es imprtante para el funcinamient para que las rganizacines lgren la cnsecución de su misión. Cntar cn una serie de cntrles para mitigar el riesg según PCI DSS V 3.21 ayuda a gestinar y prteger la infrmación. El marc teóric prpi de este dcument está basad cn la nrma PCI DSS V 3.21 y el Mdel de Seguridad y Privacidad de la Infrmación V MPSI de la Estrategia de Gbiern en Línea GEL y la nrma ISO 27032:2009. Estas recmendacines se establecen para cntar cn una guía para el establecimient, implementación, peración, seguimient, revisión y mejra de un (SGSI).

9 Tabla 1. Dminis de la nrma PCI DSS Transmisión PCI DSS Almacenamient Prcesamient Ilustración 4. Seguridad en PCI DSS.

10 8 GLOSARIO Actividades críticas: Operacines críticas y/ actividades que sprtan ls bjetivs de la Entidad. Activ: Cualquier csa que tenga valr para la rganización. Activs de infrmación: Es td activ que cntenga infrmación, la cual psee un valr y es necesaria para realizar ls prcess del negci, servici y sprte. Se pueden clasificar de la siguiente manera: Persnas: Incluyend sus calificacines, cmpetencias y experiencia. Intangibles: Ideas, cncimient, cnversacines. Electrónics: Bases de dats, archivs, registrs de auditria, aplicacines, herramientas de desarrll y utilidades. Físics: Dcuments impress, manuscrits y hardware. Servicis: Servicis cmputacinales y de cmunicacines. Análisis de riesg: Us sistemátic de la infrmación para identificar las fuentes y estimar el riesg Área IT: Es el área encargada de sprtar, diseñar y mantener ls activs electrónics y el hardware prpiedad de la Entidad. Cnfidencialidad: Prpiedad que determina la cndición de que la infrmación n esté dispnible ni sea revelada a individus, entidades prcess n autrizads. Cntratistas: Entenderems pr cntratista aquella persna natural jurídica que ha celebrad un cntrat de prestación de servicis prducts cn una Entidad. Custdi: Encargad de prteger la infrmación pr delegación del prpietari. Generalmente este rl es ejecutad pr el Área IT. Dispnibilidad: Prpiedad de que la infrmación sea accesible y utilizable pr slicitud de una Entidad autrizada. Estándares: Un prduct mecanism especific el cual es seleccinad desde un punt de vista universal, para su us a l larg de tda la rganización, cn el bjetiv fundamental de sprtar una plítica ya aceptada y aprbada pr las directivas de la Entidad. Falla: Dañ afectación de un dispsitiv pr un perid determinad

11 Incidente: Un event una serie de events n deseads inesperads que tienen una psibilidad significativa de cmprmeter las peracines del servici y amenazar la cntinuidad del Sistema. Infrmación: Entendems pr INFORMACIÓN cualquier manifestación (ya sea visual, auditiva, escrita, electrónica, óptica, magnética, táctil...) de un cnjunt de cncimients. Pr ejempl: Una nticia que escuchams pr la radi. Una señal de tráfic que advierte un peligr. La infrmación se representa mediante cnjunts de símbls, que pueden ser de diferente naturaleza: Textuales numérics, cm las letras y númers que usams al escribir. Snrs, cm ls fnemas, las ntas musicales... Crmátics, cm ls clres de ls semáfrs. Integridad: Prpiedad de salvaguardar la exactitud y estad cmplet de ls activs. Lista de verificación: Herramienta para recrdar y/ validar que tareas tienen que ser cumplidas y que recurss están dispnibles en una etapa de recuperación. Prcedimients: Ls prcedimients cnstituyen la descripción detallada de la manera cm se implanta una plítica. Prpietari: Es el respnsable y dueñ del activ de infrmación. Define también sus niveles de clasificación. Seguridad de la infrmación: Preservación de la cnfidencialidad, integridad y dispnibilidad de la infrmación. SGSI: Sistema de Gestión de la Seguridad de la Infrmación.

12 9 BIBLIOGRAFÍA Business Cntinuity Institute (2013) Gd Practice Guidelines: A guide t glbal gd practice in business cntinuity, Business Cntinuity Institute, Caversham. ISO (2012) Scietal security Business cntinuity management systems Requirements ISO 27001:2013 Infrmatin security. PCI DSS V 3.21