BOSTON – Un número demasiado elevado de comercios tratan de lograr el cumplimiento con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS por sus siglas en inglés) encontrando formas de aplicar controles compensatorios con partes de la norma y terminan malgastando demasiado dinero en el proceso.

Si usted piensa que el QSA es su enemigo, ha perdido la oportunidad de mejorar la seguridad en su organización”
Anton Chuvakin,
Consultor de Seguridad,
Security Warrior Consulting

“Si usted no está de acuerdo con alguna disposición específica de PCI y cree que puede hacer mejor las cosas, eso está bien, pero usted tiene que construir un caso para un control compensatorio”, dijo Anton Chuvakin, co-autor de “PCI Compliance: Understand and Implement Effective PCI Data Security Standard Compliance.”

Chuvakin, un consultor independiente enfocado en la gestión de eventos, SIEM y el cumplimiento de PCI DSS, habló sobre las formas en que los comercios pueden abordar más eficazmente los asuntos relativos a PCI DSS y lograr el cumplimiento con PCI, durante la conferencia SOURCE Boston 2010 la semana pasada. A él se unió el co-autor del libro, Branden Williams, un ex asesor de seguridad cualificado de PCI (PCI QSA) y director de consultoría de seguridad de RSA, la división de seguridad de EMC Corp.

Cuando la mayoría de los comercios comienzan a evaluar su entorno contra el estándar PCI DSS, habrá una brecha entre el entorno actual y la aplicación de controles de PCI DSS. Si la empresa va a implementar tecnologías de seguridad para cumplir con PCI DSS, entonces debe prepararse para mantenerla, Chuvakin dijo. La mayoría de las organizaciones deben entender que PCI DSS es el piso, no el techo, dijo. Las empresas deben trabajar para exceder la línea de base y garantizar que las iniciativas de cumplimiento con PCI sean un proceso continuo.

“Si usted piensa que el QSA es su enemigo, ha perdido la oportunidad de mejorar la seguridad en su organización”, dijo Chuvakin. “Después de validar el cumplimiento no se detenga. La seguridad es su objetivo, no el cumplimiento, no es pasar una auditoría.”

Las empresas tienen que ver al QSA como un socio, no como su adversario. Trabaje con un buen QSA para obtener una evaluación objetiva, dijo Williams. Es importante escoger un QSA que entienda el negocio porque “en última instancia, usted no quiere que alguien tome una decisión que afecte a su negocio”, dijo Williams.

Otras organizaciones quedan atrapadas tratando de usar los controles compensatorios como un atajo. Casi todas las empresas ponen en práctica al menos un control de compensación durante el proceso de cumplimiento con el estándar PCI DSS, pero este enfoque debe ser adoptado con cautela, dijo.

“He visto casos en que una empresa se ha estancado alrededor de seis meses trabajando en un control de compensación”, dijo Williams. “Al final, solucionar el problema habría costado $ 3 millones, pero haciendo el control de compensación el costo fue de $ 6 millones”.

Un error común entre los comercios es pensar que los bancos adquirientes requieren que el comercio conserve los datos de tarjetas de crédito durante siete años después de haberse realizado una transacción. La mayoría de las empresas pueden eliminar los datos de la tarjeta de crédito, dijo Williams.

“Se puede regresar y eliminar los datos”, dijo. “Usted no tiene que conservar un número de tarjeta de crédito durante siete años, sólo un registro de la transacción”.

Ambos expertos instaron a los asistentes a encontrar asesores experimentados y a evitar tergiversar el entorno actual de la compañía.

“Si usted trata a su QSA como un auditor, este va a hacer preguntas cerradas y no va a tener éxito”, dijo Williams. “En última instancia, el objetivo es mejorar la seguridad en general”.

Las empresas suelen tener un firewall de seguridad-una caja de Pandora de reglas, lo que representa secuencias con orden de prioridad de las decisiones a permitir o denegar, y que sólo los más valientes operadores de seguridad se atreven a modificar. Al eliminar o cambiar la secuencia de las reglas del firewall se corre el riesgo de bloquear las comunicaciones de la empresa o de abrir un agujero y exponerla a tráfico no autorizado.

Es casi imposible para un ser humano auditar todas las reglas de firewall de la empresa manualmente para reducir los riesgos, optimizar el funcionamiento de los equipos de seguridad, y hacer más eficientes las rutas a través de routers, switches y firewalls. Los equipos de seguridad recurren a herramientas de gestión de firewalls para llevar a cabo auditorías de seguridad de la infraestructura y automatizar el control operativo de los mismos.

El tamaño total anualizado del mercado de proveedores de gestión privada de firewalls es inferior a 100 millones de dólares, aunque los proveedores anuncian año tras año un aumento en sus negocios. Las empresas proveedoras de herramientas de gestión de reglas de firewall incluyen a AlgoSec Inc., Athena Security Inc., Firemon, RedSeal Systems Inc., Pasaje Seguro LLC, Skybox Security Inc. y Tufin Software Technologies Ltd. Las aplicaciones de gestión de firewalls pueden ayudar a aliviar la carga ya que las redes corporativas son demasiado complejas para navegar manualmente. Los administradores de red utilizan herramientas para proporcionar una serie de flujos de trabajo que les permita llevar a cabo auditorías de seguridad periódicas de la infraestructura, y para controlar el flujo de trabajo de cambios a las reglas del firewall, y así garantizar la coherencia a través de la red.

Al evaluar a proveedores de gestión de firewalls, debe comprobar cómo satisfacen las siguientes exigencias principales:

• Aplicaciones sensibles al segmento para el tráfico general de negocios. Por ejemplo, PCI requiere que los firewalls estén configurados para particionar los sistemas de procesamiento de tarjetas de crédito del resto de la red, y así evitar fugas de datos de consumidor. Las empresas también pueden dictar políticas de aislamiento de centros de datos o redes de centros operativos. Para TI, es necesario configurar estrechamente las relaciones entre los firewalls para permitir sólo los datos de las aplicaciones y bloquear el acceso a todos los demás y, a continuación, comprobar periódicamente que no haya habido ninguna desviación en las reglas que pueda crear un riesgo de seguridad.
• Aplicar controles de flujo de trabajo y procesos operativos para garantizar consistencia a través de la red. Los equipos de seguridad que implementan procesos de control de cambios en las reglas de firewall están encontrando beneficios operativos en un menor número de llamadas de servicio, menos tiempo para atender llamadas de servicio de firewalls, la mejora de la calidad a través de co-evaluaciones y aprobaciones, y el más fácil mantenimiento de un estado de cumplimiento.
• Obtener una vista consolidada de negocio a través de un ambiente de firewall multiproveedor. Algunos firewalls soportan miles de reglas atomizadas, mientras que otros proveedores soportan menos y más amplios conjuntos de reglas. Puede ser un reto de racionalizar las políticas de seguridad expresadas en las reglas de firewall a través de dispositivos de diferentes fabricantes como Check Point Systems Inc., Cisco Systems Inc. y Juniper Networks Inc.
• Mejorar el rendimiento de la red y la eficacia mediante la coordinación de los firewalls, routers y switches. Cada regla que debe ser controlada en un firewall, router o switch añade latencia. Por ejemplo, no es raro que un firewall tenga reglas que deban ser revisadas, sin importar que la decisión del router superior haga superfluas las reglas del firewall porque el tráfico afectado no puede llegar al firewall. Las organizaciones que optimizan el rendimiento de los dispositivos de red necesitan herramientas para comparar las configuraciones de firewalls, routers y switches para identificar con seguridad las reglas que se pueden eliminar.

Los proveedores de aplicaciones de gestión de firewalls pueden decir que la eliminación de reglas de los firewalls ofrece un rendimiento que también extiende la vida del dispositivo. Sin embargo, la mayoría de las organizaciones prefieren comprar un dispositivo de seguridad más rápido en lugar de correr el riesgo de que las reglas eliminadas resulten siendo necesarias. El mercado de gestión de firewalls puede convertirse en una tecnología que aprovecha los servicios de auditoría de seguridad de red, cambiando las características del producto hacia el control y diagnóstico de los flujos de trabajo operacionales y la eficiencia. Las empresas con redes complejas deben utilizar herramientas para comprobar que la configuración de reglas de los firewalls no crean agujeros de seguridad.

Si bien es importante disponer de una tecnología que pueda bloquear automáticamente las violaciones de políticas de uso aceptable, es más importante que los usuarios finales conozcan sus responsabilidades y que los desarrolladores de aplicaciones integren la seguridad de los datos. Ahí es donde la funcionalidad de auditorías, descubrimiento e informes entran en juego al evaluar productos de protección de datos, tales como los de prevención de fuga de datos, control de dispositivos de usuario final y sistemas de gestión de permisos.

La tendencia del mercado es la consolidación de la gestión de DLP (data-leak prevention), RMS (rights management system) y características de dispositivos de control, con elementos de seguridad de datos incorporándose en entornos de aplicaciones. La prevención de fuga de datos reconoce los datos sensibles durante la inspección de contenido en dispositivos de red y software de punto final. La gestión de derechos intenta restringir las acciones de usuarios finales tales como la impresión y el copiado / pegado de datos, donde los datos podrían salir del control de TI, y el control de dispositivos tiene por objeto prevenir que los datos confidenciales salgan de la empresa en medios extraíbles incluyendo dispositivos USB.

Sin embargo, la conducta social, o el mal juicio de la gente, fácilmente derrotan cada una de estas tecnologías. Para hacerlas más eficaces, toda la organización de TI debe estar involucrada. Discusiones informales con TI muestran que el 50-75% del valor de la protección de datos está en permitir que TI colabore de manera más eficaz con los usuarios finales sobre la educación de seguridad y para consultar con los propietarios de aplicaciones sobre la integración de las políticas de seguridad corporativa en aplicaciones para reducir los riesgos empresariales. La naturaleza dinámica de los negocios hace que la administración de la seguridad de los datos sea demasiado difícil de manejar si se aplica sobre una base granular rígida, y aún menos eficaz cuando las reglas de políticas se aplican de manera general a los usuarios corporativos, los datos y las acciones de los mismos.

• Auditoría del manejo de datos sensibles por parte de los usuarios. Un gran beneficio del control de dispositivos, los sistemas DLP y RMS es la auditoría de las actividades de manejo de datos del punto final y la notificación de la política de excepciones. Seguridad puede entonces utilizar la capacidad de gestión del riesgo para ajustar las políticas corporativas y hacer más fácil que los usuarios finales cumplan, y los servicios de aplicación para proteger efectivamente los datos confidenciales de la fuente.
• Descubrir las fuentes de datos sensibles. La funcionalidad de inspección de contenido de las aplicaciones DLP en la red puede ayudar a TI para detectar nuevas fuentes de datos confidenciales estructurados y no estructurados. Los usuarios del software Code Green utilizan las notificaciones de eventos de seguridad de datos para llamar a los usuarios finales y recordarles que enviar mensajes de correo electrónico con datos sensibles es una práctica de negocio irresponsable y apuntarles en la dirección correcta para hacer más seguro su trabajo. Muchos equipos efectivos usan DLP para entrenar a la comunidad de usuarios sobre las mejores formas de manejar datos sensibles.
• Prevenir el abuso de las políticas de gestión del riesgo. TI debe que ser prudente con el bloqueo automático de acciones que no sean compatibles con las políticas de manejo de datos, ya que con frecuencia hay excepciones de negocio válidas.

Busque la consolidación, la redundancia y la superposición de funciones en los productos de seguridad de manipulación de datos mientras las organizaciones le van dando prioridad a sus programas de gestión de riesgos en torno a la gestión de políticas. Eventualmente, la protección de datos y fuertes funcionalidades de auditoría estarán integradas en productos de infraestructura tales como bases de datos Oracle, sistemas de intercambio de documentos de SharePoint, y gateways de comunicación de Blackberry. Pero para la mayoría de los clientes, la gente seguirá siendo su principal activo, y es esta la razón por la que el impulso en materia de auditoría y descubrimiento seguirá sobrepasando el ritmo de la prevención.