Retorno de Inversión en la Adecuación a la normativa PCI DSS

Transcripción

1 Retorno de Inversión en la Adecuación a la normativa PCI DSS Septiembre 2011 c. Santander, 101. Edif. A. 2º I E Barcelona I Tel.: I Fax: C. Arequipa, 1 I E Madrid I Tel.: I Fax: I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 1 (Confidencial) info@isecauditors.com I

2 La charla en 59 segundos... ROI? PCI DSS? I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 2 (Confidencial)

3 ÍNDICE 01 Seguridad en Tarjetas de Pago Necesidades Incidentes Estadísticas Mercado Undeground PCI DSS Historia y definición Información en las tarjetas Quién debe cumplir? Requerimientos ROI vs ROSI Qué es el ROI? y ejemplo Qué es el ROSI? y ejemplo 04 ROSI en la adecuación PCI DSS Ejemplo práctico 05 Conclusiones I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 3 (Confidencial)

4 1 Seguridad en Tarjetas de Pago Retorno de Inversión en la Adecuación a la normativa PCI DSS I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 4 (Confidencial)

5 1. Seguridad en Tarjetas de Pago Necesidad de proteger los datos de tarjeta I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 5 (Confidencial)

6 1. Seguridad en Tarjetas de Pago Abril 2011 Sony Online Entertainment Información de usuarios de SOE robada Acceso a datos 16 y 17 de Abril de Detectado el 2 de Mayo. 24,6 millones de cuentas comprometidas La base de datos contenía: Nombre (real y username) Hash del password Fecha de Nacimiento Dirección Correo electrónico Teléfono PAN?... Fuente: Sony Online Entertaiment ( I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 6 (Confidencial)

7 1. Seguridad en Tarjetas de Pago Octubre 2010 Empresa Turismo New York Página Web comprometida mediante SQL Injection Acceso a datos desde 26 Septiembre 2010 a 19 Octubre datos de tarjeta comprometidos La base de datos contenía: Nombre Dirección Correo electrónico PAN Fecha caducidad CVV2 Fuente: Department of Justice New Hampshire ( I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 7 (Confidencial)

8 1. Seguridad en Tarjetas de Pago Octubre 2007 TJX Cadena de retail estadounidense 94 millones de registros de tarjetas comprometidos Varios millones de dólares en costes y gastos Fuga de datos durante 18 meses TJX tuvo que hacer frente a denuncias de clientes y a multas de los fabricantes de tarjetas Fuente: GLG Group, ( -Million-Settlement-With-Visa-Inc.-In-the-Largest-Data-Breach-of-94-Million-Cardholders html) I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 8 (Confidencial)

9 1. Seguridad en Tarjetas de Pago Incidentes de seguridad con tarjetas de pago Los datos de la tarjeta de crédito/débito son los más buscados PAN Fecha Caducidad Nombre Banda magnética o Chip Pistas1,2 CVV2 I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 9 (Confidencial)

10 1. Seguridad en Tarjetas de Pago Algunas Estadísticas Fuente: Verizon 2010 Data Breach Investigations Report ( Fuente: UK Security Breach Investigations Report 2010 by 7safe ( ) I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 10 (Confidencial)

11 1. Seguridad en Tarjetas de Pago Algunas otras estadísticas I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 11 (Confidencial)

12 1. Seguridad en Tarjetas de Pago Carders: Trafican/explotan datos robados de tarjetas de pago. Están atacando: Comercios tradicionales Comercio electrónico Procesadores y agentes Mercado Underground Están buscando: Información personal (robo de identidad) Información de las pistas y PANs Para qué? Vender datos a compradores Comprar en línea (fraude) Respeto en la escena hack I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 12 (Confidencial)

13 1. Seguridad en Tarjetas de Pago Mercado Underground Carding Forums (DumpsMarket, CarderPortal, Shadowcrew, CarderPlanet ) Formas de Pago (Western Union, Money Gram, Paypal ) I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 13 (Confidencial)

14 1. Seguridad en Tarjetas de Pago Mercado Underground Política de Reemplazo Precios más caros pero con garantías Palabras claves dumps, carder, cvv, embossed, hologram I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 14 (Confidencial)

15 2 PCI DSS [Payment Card Industry Data Security Standard] Retorno de Inversión en la Adecuación a la normativa PCI DSS I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 15 (Confidencial)

16 2. PCI DSS Esfuerzos descoordinados y propios de cada marca de pago DSP SDP AIS DSOP DISC Requeri mientos Requeri mientos Requeri mientos Requeri mientos Requeri mientos Proveedores de servicio Service provider Adquiriente Acquirer Comercio Merchant I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 16 (Confidencial)

17 2. PCI DSS AHORA: Esfuerzos coordinados y administrados conjuntamente 2006 Quienes deben cumplir Aprobación de cumplimiento Seguimiento y exigencia del cumplimiento Penalizaciones y multas Respuesta a incidentes DSP Estándares de seguridad y otros requerimientos SDP AIS DSOP DISC Proveedores de servicio Service provider Emisor Issuer Adquiriente Acquirer Comercio Merchant I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 17 (Confidencial)

18 2. PCI DSS Payment Card Industry Data Security Standard (PCI DSS) Define medidas de protección Procesan, transmiten y/o almacenamiento datos de tarjetas La versión actual v. 2.0 (Oct. 2010) Objetivo: Prevenir el fraude I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 18 (Confidencial)

19 2. PCI DSS PCI DSS: Información de tarjeta Esta información está clasificada en 2 categorías: Datos de Titular de Tarjeta: Número de Cuenta Principal (PAN) Nombre del Titular de la Tarjeta Fecha de Caducidad Datos Confidenciales de Autenticación: Datos Completos de la Banda Magnética Código de Validación de Tarjeta (CVV2/CVC2/CID/CAV2). PIN/PINBLOCK I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 19 (Confidencial)

20 2. PCI DSS PCI DSS: Información de tarjeta I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 20 (Confidencial)

21 2. PCI DSS PCI DSS: Información de tarjeta PCI DSS SÓLO APLICA si PANs (Primary Account Number) de 1. SE ALMACENAN 2. SE PROCESAN 3. SE TRANSMITEN I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 21 (Confidencial)

22 2. PCI DSS PCI DSS es un conjunto de requerimientos I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 22 (Confidencial)

23 2. PCI DSS Quién debe cumplir con PCI DSS? Proveedores de servicio (Service Providers) I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 23 (Confidencial)

24 2. PCI DSS Quién debe cumplir con PCI DSS? Comercios (merchants) I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 24 (Confidencial)

25 2. PCI DSS Quién debe cumplir con PCI DSS? Entidades Adquirentes (Acquirers) Entidad que el comercio utiliza para procesar sus transacciones Determinan el nivel del comercio/proveedor de servicios. Responsable cumplimiento comercio/proveedor de servicio Monitoriza grado de cumplimiento comercio/proveedor de servicio Informa marcas sobre cumplimiento de comercio/proveedor de servicio Responde ante las marcas en compromiso de tarjeta en comercio/proveedor de servicios. I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 25 (Confidencial)

26 3 ROI vs ROSI [Return On Investment vs Return On Security Investment] Retorno de Inversión en la Adecuación a la normativa PCI DSS I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 26 (Confidencial)

27 3. ROI vs ROSI Return On Investment (ROI): Qué es? Indicador Control de Gestión Viabilidad Económica Relación entre inversión realizada y beneficio obtenido Mayor ROI Mejor Inversión I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 27 (Confidencial)

28 3. ROI vs ROSI Return On Investment (ROI): Ejemplo Compra maquinaria para producción Coste máquina = Beneficios obtenidos productos fabricados por máquina = % ROI positivo Inversión viable en términos económicos ROI negativo Inversión no viable en términos económicos I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 28 (Confidencial)

29 3. ROI vs ROSI Return On Security Investment (ROI): Qué es? ROSI Retorno de Inversión en Proyectos Seguridad TI Viabilidad proyectos que tienen por objetivo disminuir el riesgo La Disminución del Riesgo asume el papel del Beneficio ya que en un proyecto de seguridad se espera que el beneficio sea una disminución del riesgo al que está expuesto el activo al que afecta el proyecto. I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 29 (Confidencial)

30 3. ROI vs ROSI Disminución del riesgo ó La Disminución del Riesgo cuantificada económicamente ( ) ó % Riesgo expuesto viene determinado por: Impacto (coste) de un incidente de seguridad Número de Incidentes de seguridad (anual) I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 30 (Confidencial)

31 3. ROI vs ROSI Return On Security Investment (ROSI): Ejemplo Implantación de un antivirus: Es un proyecto, rentable, económicamente? Merece la pena la inversión? RESPUESTA Cálculo del ROSI del proyecto 4 infecciones de virus/año Tasa de ocurrencia anual Cada infección le cuesta a la empresa Coste incidente.. I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 31 (Confidencial)

32 3. ROI vs ROSI Return On Security Investment (ROSI): Ejemplo Una inversión (Antivirus) para disminuir el riesgo de ser infectados en un 75% implica un desembolso de ó %. %. ó... % I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 32 (Confidencial)

33 4 ROSI en la Adecuación a PCI DSS Retorno de Inversión en la Adecuación a la normativa PCI DSS I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 33 (Confidencial)

34 4. ROSI en la adecuación a PCI DSS Adecuación a PCI DSS Cualquier entidad que almacene, procese o transmita datos de tarjetas de pago PCI DSS Muchos tipos de empresas están afectadas por PCI DSS Comercios (Merchants) Entidades financieras / adquirientes (Acquirers) Proveedores de servicios (Service Providers) Las empresas afectadas por PCI DSS se preguntan: Es, la adecuación, rentable económicamente? Se puede medir, económicamente, la disminución del riesgo conseguida al alinearse a PCI DSS? Qué ROI voy a obtener en la adecuación a PCI DSS? I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 34 (Confidencial)

35 4. ROSI en la adecuación a PCI DSS Calcular el ROSI de la adecuación a PCI DSS ó Para el cálculo del ROSI necesitamos: Disminución del riesgo Obtenida al implantar la norma PCI DSS. Coste Proceso de adecuación/implantación de PCI DSS. I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 35 (Confidencial)

36 4. ROSI en la adecuación a PCI DSS Ejemplo práctico: Información Tipo de empresa: Comercio (Merchant) 8 millones de transacciones/año ( trans./día) Nivel 1 Suponemos... Un único incidente con tarjetas Lo detecta con 7 días de retraso Sólo el 75% de las tarjetas se ven comprometidas %. í í. I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 36 (Confidencial)

37 4. ROSI en la adecuación a PCI DSS Ejemplo práctico: Disminución del riesgo ó % Factores fundamentales cálculo del Coste de un Incidente: Multa de la entidad emisora de la tarjeta Investigación forense del incidente Reemplazar las tarjetas Fraude realizado Sanciones relativas a LOPD Pérdida de productividad de los empleados Restitución de la imagen de marca I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 37 (Confidencial)

38 4. ROSI en la adecuación a PCI DSS Ejemplo práctico: Coste de un incidente Multa de la entidad emisora Comercio no ha iniciado plan de adecuación a PCI DSS Experiencia necesita 1 año para cumplimiento Coste de la multa I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 38 (Confidencial)

39 4. ROSI en la adecuación a PCI DSS Investigación Forense Ejemplo práctico: Coste de un incidente La empresa que sufre un incidente de seguridad con tarjetas: Debe someterse a una Investigación Forense Debe asumir los costes de la Investigación Forense La auditoría la realiza un PFI (PCI Forensic Investigator) Gestionado por el PCI SSC El coste depende de: Gravedad del incidente Tamaño del comercio La auditoría puede alargarse varios días Coste medio (ejemplo) unos I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 39 (Confidencial)

40 4. ROSI en la adecuación a PCI DSS Reemplazo de las tarjetas Ejemplo práctico: Coste de un incidente Necesario reemplazo de tarjetas afectadas: Fabricantes pueden repercutir los costes reemplazo Coste medio: unos 2 /tarjeta Sanciones LOPD Incidente implica datos de carácter personal Infracción LOPD (grave o muy grave) Coste (aproximado) I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 40 (Confidencial)

41 4. ROSI en la adecuación a PCI DSS Fraude realizado Ejemplo práctico: Coste de un incidente El incidente puede implicar fraude económico Por ejemplo, compras no autorizadas Quién asume estos costes? Depende... Fraude total Proporciones entre agentes implicados Seguros Contratos Responsabilidades civiles Para nuestro ejemplo: Comercio asume un fraude de entre 5 y 20 /tarjeta Comercio tiene seguro antifraude de 1M I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 41 (Confidencial)

42 4. ROSI en la adecuación a PCI DSS Perdida de productividad Ejemplo práctico: Coste de un incidente La productividad se ve afectada en 2 niveles: Usuarios resolviendo el incidente Dejan sus tareas habituales Usuarios sin poder trabajar, debido Investigación Forense El propio incidente Tareas para resolver el incidente Estimamos el coste en entre 2 y 8 /tarjeta I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 42 (Confidencial)

43 4. ROSI en la adecuación a PCI DSS Ejemplo práctico: Coste de un incidente Recuperar imagen de marca La marca del comercio afectada por el Incidente Esfuerzo en Marketing Aminorar fuga de clientes Disminuir la dificultad en conseguir nuevos clientes Estimamos el coste en entre 500K y 2 MM. I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 43 (Confidencial)

44 4. ROSI en la adecuación a PCI DSS Resumen Ejemplo práctico: Coste de un incidente I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 44 (Confidencial)

45 4. ROSI en la adecuación a PCI DSS Ejemplo práctico: Disminución del riesgo Nuestro ejemplo práctico: Coste del Incidente Min: Max: Un sólo incidente Tasa de Ocurrencia Anual = 1 La implantación de PCI DSS Mitiga el riesgo de incidente en un 90% ó % ó.... I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 45 (Confidencial)

46 4. ROSI en la adecuación a PCI DSS Ejemplo práctico: Coste de la Adecuación Recordemos ó Disminución del Riesgo Coste (adecuación a PCI DS)? Vamos a ello... La adecuación a PCI DSS tiene 3 costes básicos: Coste consultoría Gap Analysis Valoración de riesgos Plan de Acción Coste adaptación sistemas y procesos a requisitos PCI DSS Implantación tareas para solventar no cumplimientos Coste de la auditoría de cumplimiento Debe ser realizada QSA I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 46 (Confidencial)

47 4. ROSI en la adecuación a PCI DSS Ejemplo práctico: Coste de la Adecuación 1. Coste consultoría Dependencia procesos incluidos en Entorno PCI Nuestro caso práctico (comercio nivel 1) Entre 10K y 50K 2. Coste adaptación sistemas y procesos a requisitos PCI DSS El coste más elevado de la adecuación Nueva infraestructura (HW) Modificaciones en desarrollos (SW) Redefinición de procesos Dependencia de flexibilidad y agilidad para Segmentar redes Eliminar datos de tarjetas Externalizar servicios, etc... En nuestro caso: entre 500K y 2MM I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 47 (Confidencial)

48 4. ROSI en la adecuación a PCI DSS Ejemplo práctico: Coste de la Adecuación 3. Auditoría On Site (QSA) Sólo para niveles 1 Caso práctico: entre 15K y 50K COSTE total adecuación a PCI DSS... I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 48 (Confidencial)

49 4. ROSI en la adecuación a PCI DSS Ejemplo práctico: ROSI DE PCI DSS ó ó I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 49 (Confidencial)

50 5 Conclusiones Retorno de Inversión en la Adecuación a la normativa PCI DSS I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 50 (Confidencial)

51 5. Conclusiones Conclusiones Existe método para calcular viabilidad económica seguridad TIC Es aplicable a una adecuación a PCI DSS La implantación de PCI DSS (ejemplo) tiene un ROSI positivo I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 51 (Confidencial)

52 PREGUNTAS? Javier Moreno Molinero Account Manager GSEC, CISSP C. Santander, 101. Edif. A. 2º E Barcelona Tel.: Fax: C. Arequipa, 1 E Madrid Tel.: Fax: Su Seguridad es Nuestro Éxito I n t e r n e t S e c u r i t y A u d i t o r s [B a r c e l o n a] SEPTIEMBRE P. 52 (Confidencial)