Cómo acelerar el cumplimiento de la normativa PCI con Gestión e inteligencia de logs

Transcripción

1 Cómo acelerar el cumplimiento de la normativa PCI con Gestión e inteligencia de logs LogLogic, Inc. 110 Rose Orchard Way, Suite 200 San Jose, CA Estados Unidos Número gratuito en EE.UU.: Tel: Fax: LogLogic EMEA Albany House Market Street Maidenhead, Berkshire SL6 8BE Reino Unido Tel: Fax: LogLogic APAC Suite 303, Tower B, Beijing Kelun Building 12A, Guang Hwa Lu Chaoyang District Beijing , China Oficina: Fax: loglogic.com blog.loglogic.com info@loglogic.com

2 Hoy en día, todos los proveedores de servicios y minoristas que procesan, almacenan o transmiten datos de tarjetas de crédito tienen la responsabilidad fiduciaria de proteger esos datos. De este modo, deben cumplir un diverso abanico de normativas y directrices sectoriales. Uno de las más importantes para los proveedores de servicios y minoristas es el Payment Card Industry Data Security Standard (PCI DSS), que establece 12 requisitos para los controles de TI con el fin de garantizar la seguridad y protección de los datos. Sin embargo, los minoristas, tanto de pequeño como de gran tamaño se enfrentan a tremendos desafíos para implementar políticas y controles que permitan el cumplimiento de la normativa PCI, y la tarea de implementar las prácticas recomendadas puede ser abrumadora. Afortunadamente, la gestión e inteligencia de logs (LMI) está simplificando y acelerando el proceso del cumplimiento de la normativa PCI permitiendo a los proveedores de servicios y minoristas utilizar los datos de registros generados desde servidores, dispositivos de red, instalaciones y aplicaciones para supervisar, auditar e informar sobre políticas de seguridad. Bien administrados, los logs ofrecen una inagotable fuente de valiosa información para mejorar los procesos en toda la empresa, ayudando a mitigar riesgos de seguridad y rendimiento y remediar incidentes rápidamente en caso de producirse. En realidad, estándares como la normativa PCI señalan a LMI como una práctica recomendada y una herramienta de cumplimiento normativo. Por ejemplo, el requisito 10 y otros del estándar PCI específicamente dictaminan el uso de logs para conseguir el cumplimiento normativo. Este documento técnico trata sobre los retos a los que se enfrentan las organizaciones para cumplir la normativa PCI y lo eficaz que LMI puede resultar para simplificar los procesos de cumplimiento a la vez que se mejora la seguridad de la empresa. También proporciona sugerencias sobre cómo preparar de manera óptima una auditoría de la normativa PCI y aumentar las posibilidades de conseguir un cumplimiento continuado. No es tan fácil como parece Las personas con intenciones ilícitas tienen el tiempo y los recursos para averiguar la forma de eludir las barreras de seguridad. Por qué? En primer lugar, el despliegue de políticas de seguridad por toda una cadena grande de minoristas puede tardar meses, incluso años. En el momento de la finalización, la tecnología puede haber quedado obsoleta y puede ser fácil para un hacker burlarla. Del mismo modo, existen muchos proyectos de tecnología que se implantan sin tener en cuenta la seguridad, como por ejemplo minoristas que emplean tecnologías inalámbricas pero no se toman el tiempo necesario para garantizar que sus soluciones sean totalmente seguras. A pesar de la creciente amenaza de los hackers que entran en redes de minoristas y roban datos de tarjetas de crédito, la mayoría de los minoristas no han implementado aún las políticas y prácticas de seguridad necesarias, por lo que no superan las auditorías de la normativa PCI. Estadísticas recientes recopiladas por Visa U.S.A. muestran que, a fecha de agosto de 2007, sólo el 65% de los minoristas más grandes cumplen la normativa PCI (consultar la gráfica). Visa U.S.A. Programa de seguridad de la información de usuarios de tarjetas de crédito (CISP) Actualización de validación de cumplimiento PCI DSS a fecha de 31/8/07* Categoría de validación CISP (Transacciones de Visa / año) Población % estimado de transacciones de Visa Cumplimiento PCI DSS validado*** Validación inicial enviada / solucionándose Validación inicial en curso Compromiso pendiente Comerciantes de nivel 1** (> 6M) % 44 % 54 % 2 % 0 % Comerciantes de nivel 2** (1 6M) % 38 % 44 % 18 % 0 % Comerciantes de nivel 3 (sólo comercio electrónico M) <5 % 54 % 20 % 24 % 2 % * Las estadísticas de validación están basadas en los informes de cumplimiento normativo de comerciantes proporcionados por adquirientes. ** Incluye comerciantes de nivel 1 y nivel 2 identificados desde 2004 a 2006, que se les exige la validación para el 30/9/07 y el 31/12/07 respectivamente. Los comerciantes de nivel 1 y nivel 2 identificados como tales en 2007 deben validar el cumplimiento el 30/9/08 y el 31/12/08 respectivamente. *** Hay que hacer notar que el 98% de los comerciantes de nivel 1 y de nivel 2 confirmaron que no albergan datos prohibidos. Los adquirientes de comerciantes de nivel 1 y nivel 2 que siguen albergando datos prohibidos están sujetos a multas mensuales en la actualidad Visa U.S.A. Inc., reservados todos los derechos. Dirija sus preguntas a cisp@visa.com

3 Por qué esta falta de cumplimiento? Por una razón: el cumplimiento no es tarea sencilla. Los estrictos requisitos de la normativa PCI suponen una miríada de retos para el minorista. Uno de los problemas más acuciantes es cómo superar la auditoría de la normativa PCI sin penalizar los presupuestos y los recursos corporativos. La normativa PCI ofrece un conjunto de directrices que hay que aplicar a todos los tipos de minoristas, grandes y pequeños. Por lo tanto es muy amplia. La normativa PCI debe cubrir los problemas a los que se enfrentan un increíblemente diverso grupo de empresas, desde una cadena de supermercados a una tiendecita de barrio, y las empresas a menudo se encuentran implementando medidas que no necesitan realmente para su negocio simplemente para cumplir la ley. Y lo que es más, esta interpretación amplia crea confusión: Los profesionales de TI y los directivos deben interpretar las directrices según su actividad empresarial, y no está siempre claro cómo se aplican. Otro problema es el valor de la implementación de las medidas de seguridad. Por naturaleza, los responsables de los departamentos financiero y tecnológico suelen verse enfrentados: la seguridad en el sector minorista plantea un complejo debate en lo que respecta al ROI. En otras palabras, es difícil justificar un desembolso de capital en actualizaciones de seguridad. Los planes de responsabilidad cero ofrecidos por empresas de tarjetas de crédito facilitan que los clientes proporcionen sus números de cuenta corriente. No temen que sus datos caigan en las manos equivocadas. Además, los incidentes de seguridad de gran calado como el tan difundido ataque a TJX son relativamente poco frecuentes. Incluso después de un gran incidente, la mayoría de los clientes no asocian el problema con el comercio en el que han realizado las compras, porque no establecen una conexión entre la empresa matriz, TJX por ejemplo, y la cadena de comercios, Marshalls. Algunos minoristas han optado por las auditorías internas, lo que crea más problemas e incoherencias. Es posible que los encargados de la auditoría no tengan los conocimientos o la experiencia para garantizar el cumplimiento o identificar áreas de no cumplimiento normativo. Como resultado, una empresa puede pensar que cumple las normas sin ser así, y seguir siendo vulnerable a los ataques de seguridad. Del mismo modo, según estudios recientes, la mayoría de los minoristas encuestados emplean controles compensatorios, que tienen el mismo efecto aproximado a los esbozados en el estándar PCI, pero que no cumplen exactamente el estándar. Para los que no realizan auditorías internas, se presenta otro problema. Muchas empresas detectan que surge un conflicto de intereses entre auditores externos contratados para realizar la auditoría PCI. Los auditores que están comprobando el estado de seguridad y realizan recomendaciones para actualizaciones y remodelación de tecnología están normalmente ubicados en el sector de venta de los productos y servicios que recomiendan. Los ejecutivos de empresa se preguntan si el auditor está recomendando la actualización porque es lo mejor o simplemente para aumentar las ventas. Por qué LMI para alcanzar el cumplimiento normativo? Un paso importante para establecer una estrategia de cumplimiento es implementar una solución LMI potente, lo que puede ayudar a simplificar y acelerar el proceso de cumplimiento normativo a la vez que se solucionan muchos de los retos a los que se enfrentan los minoristas. La recopilación y creación de informes de logs (un componente clave de LMI) es la única manera eficaz de crear rastros de auditoría de la actividad de redes y sistemas, que ahora es esencial para el cumplimiento normativo y la mitigación de riesgos en entornos complejos. Las soluciones LMI, que comienzan con la recopilación de registros, reúnen registros de sistemas críticos, tales como aplicaciones, bases de datos y servidores, y los almacenan de forma segura e inalterada en una ubicación centralizada para una sencilla creación de informes, realización de búsquedas y almacenamiento. Revisando los registros de forma regular se pueden comprobar los inicios de sesión fallidos, los intentos de acceso denegados, patrones de uso inusuales y conseguir los detalles de la actividad de red. La capacidad de generar alertas es otra capacidad importante que proporciona LMI. La supervisión continuada implica el análisis en tiempo real y la respuesta en caso de que haya que tomar acciones. La capacidad de enviar alertas al personal clave cuando se produce un suceso es de vital importancia. Las alertas nos permiten supervisar los registros y notificar a un operador si hay que tomar una acción inmediata. LMI le permite crear informes sobre datos de registros recopilados, que es muy importante para conseguir el cumplimiento normativo. Los informes en tiempo real y los informes históricos son importantes, de modo que las capacidades de almacenamiento a corto y largo plazo son esenciales. Una solución de gestión de registros eficaz debe permitir a las organizaciones almacenar logs en su forma original inalterada para garantizar la integridad de datos y las utilidades

4 forenses, en un depósito central para conseguir un rápido acceso. A la hora de responder a incidentes, la capacidad de realizar búsquedas rápidas en grandes cantidades de logs para realizar investigaciones no tiene precio. Finalmente, LMI debe contemplar la necesidad de compartir logs de forma simple y a la vez segura. Normalmente, el cumplimiento normativo implica un esfuerzo de varios equipos que abarca desde el personal de seguridad, pasando por el de TI y terminando en el equipo de administración. Una vez que los logs se recopilan y almacenan, el control de acceso filtrado es esencial para garantizar que los datos sólo se comparten con usuarios autorizados. La Figura 1 ilustra las actividades clave de gestión de logs. Validación de controles y políticas con LMI LMI puede utilizarse para validar controles y procesos de la normativa PCI. Por ejemplo, si establece una política que implica que las VPN sólo pueden utilizarse a ciertas horas, y alguien accede a la red por una conexión VPN fuera de esas horas, los logs proporcionan pruebas directas de un usuario que infringe la política. Los logs también proporcionan pruebas de cambios de procedimientos administrativos, como reconfiguraciones de enrutadores, adiciones de reglas de cortafuegos y similares. Finalmente, los logs demuestran que el personal de TI está realizando realmente las actividades de cumplimento normativo que dicen, otro requisito de la normativa PCI. Por ejemplo, cuando se despide a un empleado, la mayoría de las empresas solicitan al departamento de TI que bloquee inmediatamente su acceso a la red, y el requisito de la normativa PCI también requiere esto. Normalmente, para garantizar que el acceso está bloqueado, el personal de TI debe tener una lista de empleados despedidos, luego buscar en los archivos de acceso de usuarios para validar que su acceso se ha bloqueado. Sin embargo, el acto de eliminar un usuario generará un mensaje de log, que una solución LMI puede recopilar y almacenar. Este mensaje sirve ahora como prueba del procedimiento de eliminación.

5 La Tabla 1 asigna requisitos de la normativa PCI a la función de gestión de logs que los trata. Tabla 1. Tratamiento LMI a requisitos clave de la normativa PCI. Seguridad Cambios administrativos Identidad y acceso Supervisión y creación de informes Requisito 1 Requisito 2 Requisito 11 Requisito 6 Requisito 7 Requisito 8 Requisito 10 Instalar y mantener una configuración de cortafuegos para proteger los datos No utilizar valores predeterminados proporcionados por proveedores para contraseñas del sistema y otros parámetros de seguridad Probar regularmente los sistemas y procesos de seguridad Desarrollar y mantener sistemas y aplicaciones de seguridad Restringir el acceso a datos en función del departamento de la empresa Asignar un ID exclusivo para cada persona con acceso a ordenadores Realizar un seguimiento y supervisar todos los accesos a recursos de red y datos de usuarios de tarjetas de crédito LMI responde a los requisitos que la normativa PCI plantea con respecto a seguridad, cambios administrativos, identidad y acceso, así como a supervisión y creación de informes.

6 Preparados, listos, auditoría! Es bastante probable que no supere su auditoría de la normativa PCI la primera vez. Es práctica habitual que los auditores realicen sugerencias iniciales para mejorar los procesos y acercarse a la superación de la auditoría. Pero sus oportunidades de cumplir los requisitos son mejores si se prepara de antemano. Aquí se detallan algunas actividades importantes previas a la auditoría que le pueden ayudar a prepararse: 1) Implementar una solución LMI ahora: LMI permite el cumplimiento normativo sostenido y una reducción significativa de los riesgos ofreciendo alertas y creación de informes automatizados en tiempo real sobre políticas y controles requeridos por el estándar PCI. Las empresas con la suficiente gestión de registros pueden reducir la duración de la auditoría y mejorar la precisión de los datos presentados a los auditores. LMI facilita los atestados, ya que los informes pueden generarse rápidamente, incluso sobre grandes cantidades de datos. Las soluciones compatibles con la creación automatizada de informes pueden reducir horas, días e incluso semanas de un proceso de auditoría, ahorrando tiempo, dinero y recursos. Del mismo modo, busque soluciones que ofrezcan auditoría de procesos de registro para proporcionar automáticamente pruebas de que los procesos requeridos por el estándar PCI se están implementando de forma continuada. 2) Revisar la lista de comprobación de auditoría: Los profesionales de TI pueden obtener una lista de comprobación de auditorías PCI en de antemano para ayudarles a identificar las áreas de no cumplimiento normativo que sean obvias. Estos son los mismos procedimientos de auditoría que los auditores emplearán, y conocer la lista de comprobación del auditor antes de que comience la auditoría puede eliminar muchos de los problemas y escollos potenciales y ayudar a allanar el camino del proceso. Recuerde, aunque el objetivo inicial del cumplimiento de la normativa PCI es a menudo superar la primera auditoría, el objetivo a largo plazo es la seguridad. Por esa razón es importante enfocar la lista de comprobación de auditoría desde un punto de vista de seguridad: usted desea proteger los datos de los usuarios de tarjetas de crédito. LogLogic LMI para el cumplimiento normativo Una solución de gestión de logs con supervisión y creación de informes de forma automatizada que se integra en infraestructuras clave para garantizar un cumplimiento normativo continuado. LogLogic proporciona una solución integral para la gestión e inteligencia de logs, así como las plantillas de creación de informes que simplifican el proceso de cumplimiento de normativas vigentes como el estándar PCI. Para obtener más información sobre LogLogic y sus Compliance Suites, visite 3) Determinar el ámbito de cumplimiento normativo y de la auditoría: Cuáles son las directrices para definir qué sistemas están sujetos a la normativa PCI? Normalmente, sólo un subconjunto de sus sistemas y aplicaciones de TI estarán sujetos a la auditoría. Identifique qué va a comprobarse de antemano. 4) Conozca a su auditor: Antes de comenzar la auditoría, conozca a su auditor para discutir a qué sistemas, herramientas, documentación y recursos accederá. Obtenga credenciales y autorizaciones de usuario previamente para acelerar el proceso. Recuerde, el auditor no es el enemigo. No se ofenda por sus críticas y sugerencias, le está intentando ayudar. Aproveche su conocimiento para mejorar sus procesos y consiga un cumplimiento continuado de la normativa PCI. 5) Adopte el plan de las averiguaciones de la auditoría para plantear soluciones: Lo idóneo sería que estableciera directrices para revisar, asignar prioridades y gestionar las soluciones después de la auditoría. Por ejemplo, determine de antemano el personal que tendrá que plantear las soluciones. Resultará útil establecer con anterioridad un proceso de solución. LogLogic, Inc. 110 Rose Orchard Way, Suite 200 San Jose, CA Estados Unidos Número gratuito en EE.UU.: Tel: Fax: LogLogic EMEA Albany House Market Street Maidenhead, Berkshire SL6 8BE Reino Unido Tel: Fax: LogLogic APAC Suite 303, Tower B, Beijing Kelun Building 12A, Guang Hwa Lu Chaoyang District Beijing , China Oficina: Fax: loglogic.com blog.loglogic.com info@loglogic.com