GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
Fabian Descalzo - PCI en el Cloud
1. 12/09/2013
1
ObjetivoObjetivo
•• Roles y responsabilidades de cumplimiento ante los requisitos de PCIRoles y responsabilidades de cumplimiento ante los requisitos de PCI
DSS en los diferentes servicios en la nube y sus modelos deDSS en los diferentes servicios en la nube y sus modelos de
desplieguedespliegue
•• Retos asociados con la validación de cumplimiento de PCI DSS en unRetos asociados con la validación de cumplimiento de PCI DSS en un
entorno de nube .entorno de nube .
•• Consideraciones de seguridad empresarial y técnica para el uso deConsideraciones de seguridad empresarial y técnica para el uso de
tecnologías en la nube .tecnologías en la nube .
•• Recomendaciones para el inicio de las discusiones acerca de losRecomendaciones para el inicio de las discusiones acerca de los
servicios de nube.servicios de nube.
2. 12/09/2013
2
Comprensión del entornoComprensión del entorno
Analizar Planificar Documentar
Comprensión del entornoComprensión del entorno
Seleccionar plataforma y estándar de
evaluación
Identificar los riesgos y
requerimientos de control
Conocer las necesidades de
aplicación para el Negocio
Modelos de servicioModelos de servicio
3. 12/09/2013
3
IaaS PaaS SaaS
Comprensión del entornoComprensión del entorno
Hardware
Software
Conectividad
IaaSIaaS
Servicio
Soporte
Aplicaciones
del Proveedor
SaaSSaaS
Desarrollo
Despliegue de
Aplicaciones
del Cliente
PaaSPaaS
AplicaciónAplicación
PlataformaPlataforma
InfraestructuraInfraestructura
VirtualizaciónVirtualización
Recursos físicosRecursos físicos
Comprensión del entornoComprensión del entorno
4. 12/09/2013
4
DefinicionesDefiniciones
Alcance de responsabilidad Cliente/Proveedor por tipo de servicioAlcance de responsabilidad Cliente/Proveedor por tipo de servicio
IaaSIaaS SaaSSaaSPaaSPaaS
Datos
Software y aplicaciones de usuarios
Sistemas operativos y bases de datos
Infraestructura Virtual
Hardware e infraestructura de red
Data Center (instalaciones físicas, infraestructura de seguridad, energía)
Alcance delAlcance del
servicioservicio
Alcance deAlcance de
responsabilidadesresponsabilidades
Alcance de losAlcance de los
controlescontroles
Responsabilidades en el cumplimientoResponsabilidades en el cumplimiento
• Gestión del servicio
• Tratamiento de datos
• Gestión de registros
• Gestión de
componentes del
servicio
(Documentación y
RRHH)
MARCOMARCO
CONTRACTUALCONTRACTUAL
5. 12/09/2013
5
Las responsabilidades delineadas entre el Cliente y el CSP para la
gestión de los controles de PCI DSS están influenciados por un
determinado número de variables :
• Finalidad para la que el cliente está utilizando el servicio de
nube .
• Ámbito de aplicación de los requisitos de PCI DSS que el cliente
externaliza en el CSP.
• Los servicios y componentes de los procesos de ejecución que
el CSP ha validado dentro de sus propias operaciones.
• La opción de servicio que el cliente ha seleccionado para
contratar al CSP ( IaaS , PaaS o SaaS ).
• El alcance de los servicios adicionales que el CSP proporciona
al Cliente de forma proactiva para completar el cumplimiento
(por ejemplo, servicios gestionados de seguridad).
Responsabilidades en el cumplimientoResponsabilidades en el cumplimiento
Responsabilidades en el cumplimientoResponsabilidades en el cumplimiento
Requisitos PCI DSSRequisitos PCI DSS
Ejemplo de asignación deEjemplo de asignación de
responsabilidad en la gestión de losresponsabilidad en la gestión de los
controlescontroles
IaaSIaaS SaaSSaaS PaaSPaaS
Instalar y mantener una configuración de firewall para proteger los datos del
titular
Ambos Ambos CSP
No utilizar las contraseñas por defecto provistas por los fabricantes de los
sistemas y otros parámetros de seguridad
Ambos Ambos CSP
Proteger el almacenamiento de los datos de titulares de tarjetas Ambos Ambos CSP
Codificar la transmisión de los datos de titulares de tarjetas a través de redes
públicas abiertas
Cliente Ambos CSP
Utilizar y actualizar regularmente el software antivirus y demás programas
asociados con la seguridad y software de base
Cliente Ambos CSP
Desarrollar y mantener sistemas y aplicaciones seguras Ambos Ambos Ambos
Restringir el acceso a los datos de titulares de tarjetas solo para aquellas
personas del Negocio que tienen necesidad de conocerlos
Ambos Ambos Ambos
Asignar un único ID para cada persona que tenga acceso a una computadora Ambos Ambos Ambos
Restringir el acceso físico a datos de titulares de tarjetas CSP CSP CSP
Rastrear y monitorear todo el acceso a los recursos de red y datos de titulares de
tarjetas
Ambos Ambos CSP
Probar regularmente los sistemas de seguridad y sus procesos Ambos Ambos CSP
Mantenga una política que aborde la seguridad de la información para todo el
personal
Ambos Ambos Ambos
6. 12/09/2013
6
IaaSIaaS
PaaSPaaS
SaaSSaaS
Espacio Físico
Proveedor Espacio Físico
Cliente
Componentes
Físicos
Componentes
Físicos
Usuario
Final
EnlacesEnlaces
Gobierno
Educación
Cumplimiento
Gestión
de Riesgo
Educación
Gestión
de Riesgo
Componentes
Virtuales
Componentes
Virtuales
Responsabilidades en el cumplimientoResponsabilidades en el cumplimiento
Seguridad y TecnologíaSeguridad y Tecnología
Seguridad como Servicio (Seguridad como Servicio ( SecaaSSecaaS ))
• Security Information and Event Management Implementation
Guidance
• BCDR Implementation Guidance
• Encryption Implementation Guidance
• Intrusion Management Implementation Guidance
• Security Assessments Implementation Guidance
• Email Security Implementation Guidance
• Web Security Implementation Guidance
• Data Loss Prevention Implementation Guidance
• Network Security Implementation Guidance
• Identity and Access Management Implementation Guidance
Managed Security Service Provider (MSSP)Managed Security Service Provider (MSSP)
https://cloudsecurityalliance.org/research/secaas/?r=54#_downloads
7. 12/09/2013
7
Seguridad y TecnologíaSeguridad y Tecnología
Segmentada
Solo para mí
No-segmentada
Compartida con otros
Servidores físicamente separados por
cliente.
La misma imagen de la aplicación en el
mismo servidor, sólo separados por el
control de acceso del SO o la App
Servidores virtualizados de dedicación
individual para un cliente en particular,
incluidos los discos virtuales
Diferentes imágenes de una aplicación en
el mismo servidor, sólo separados por el
control de acceso del SO o la App.
Entornos donde cada cliente ejecuta sus
aplicaciones en particiones lógicas
separadas y no comparten almacenamiento
en disco u otros recursos.
Datos almacenados en la misma instancia
de gestión de bases de datos.
Segmentación de ambientesSegmentación de ambientes
Seguridad y TecnologíaSeguridad y Tecnología
• Firewalls físicos y segmentación de red a nivel de infraestructura
• Los firewalls en el hipervisor y a nivel de máquinas virtuales
• Etiquetado VLAN o zonificación, además de firewalls
• Los sistemas de prevención de intrusiones en el hipervisor y/o a nivel de máquina
virtual para detectar y bloquear el tráfico no deseado
• Herramientas de prevención de pérdidas de datos en el hipervisor y/o nivel de
máquina virtual
• Controles para evitar que las comunicaciones se propaguen hacia la infraestructura
subyacente
• El aislamiento de los procesos y recursos de entornos de clientes compartidos
• Almacenamiento de datos separado para cada cliente
• Autenticación fuerte de dos factores
• La separación de funciones y la supervisión administrativa
• Registro continuo y vigilancia del tráfico perimetral, y la respuesta en tiempo real
Controles de segmentaciónControles de segmentación
8. 12/09/2013
8
Retos para el cumplimientoRetos para el cumplimiento
• Falta de visibilidad de la infraestructura subyacente del CSP y los
controles relacionados con la seguridad
• Poca o ninguna supervisión o control sobre almacenamiento de datos
de los tarjetahabientes
• Algunos componentes virtuales no tienen el mismo nivel de control
de acceso , registro y seguimiento que sus contrapartes físicas.
• Falta de restricciones en los límites perimetrales entre entornos de
cliente
• Puede ser difícil de reunir, correlacionar y/o archivar todos los
registros necesarios para cumplir con los requisitos de PCI DSS.
• Fallas en las herramientas de control ya que en un entorno de nube
puede ser difícil de realizar verificaciones y puede dar lugar a
resultados incompletos.
• Los grandes proveedores podrían no permitir el derecho a la
auditoría a sus clientes.
Consideraciones a tener en cuenta como Cliente:
• ¿Por cuánto tiempo ha estado el CSP compatible con PCI DSS ? ¿Cuándo fue su
última validación?
• ¿Qué servicios específicos y los requisitos de PCI DSS fueron incluidos en la
validación ?
• ¿Qué servicios específicos y componentes del sistema se incluyen en la validación ?
• ¿Qué procesos de servicio del CSP no se incluyeron en la validación PCI DSS ?
• ¿Cómo se asegura el CSP el cumplimiento PCI DSS por parte de los Clientes para
evitar que introduzcan componentes no compatibles con el medio ambiente o
anular los controles?
Retos para el cumplimientoRetos para el cumplimiento
9. 12/09/2013
9
Gobernabilidad, Riesgo y CumplimientoGobernabilidad, Riesgo y Cumplimiento
ReingenieríaReingeniería
de riesgosde riesgos
Actividades y controles consolidadosActividades y controles consolidados
Tecnología y OperacionesTecnología y Operaciones
Proyectos y procesos funcionalesProyectos y procesos funcionales
Verificación del proveedor (debida diligencia)Verificación del proveedor (debida diligencia)
Acuerdos de Nivel de Servicio ( SLAs )Acuerdos de Nivel de Servicio ( SLAs )
Planes de Continuidad del Negocio y Recuperación de DesastresPlanes de Continuidad del Negocio y Recuperación de Desastres
Recursos humanosRecursos humanos
Extremos de responsabilidad Cliente / ProveedorExtremos de responsabilidad Cliente / Proveedor
IaaSIaaS SaaSSaaSPaaSPaaS
Datos
Hardware e infraestructura de red
Data Center (instalaciones físicas, infraestructura de seguridad, energía)
Gobernabilidad, Riesgo y CumplimientoGobernabilidad, Riesgo y Cumplimiento
Gobierno
Gestión de
Riesgo
Educación Cumplimiento
Reinvertir en controlesReinvertir en controles
AHORRO
10. 12/09/2013
10
Entorno físicoEntorno físico
Control de AccesoControl de Acceso
Afecta a la confidencialidad , IntegridadAfecta a la confidencialidad , Integridad
y Disponibilidad de los datosy Disponibilidad de los datos
Control AmbientalControl Ambiental
Afecta al rendimiento y la integridad deAfecta al rendimiento y la integridad de
la prestación del servicio.la prestación del servicio.
Consideraciones legalesConsideraciones legales
Propiedad de los datos y los
posibles conflictos entre las
exigencias legales y reglamentarias
nacionales o internacionales
Requisitos para la registración
electrónica, la preservación y la
integridad de las pruebas, y la
custodia de datos
Procesos documentados para
responder a las peticiones
legales y Auditorías (registros
de auditoría propios y de sus
clientes)
11. 12/09/2013
11
Seguridad de los datosSeguridad de los datos
• Adquisición de Datos (mapeo de los datos)
• Clasificación de Datos
• Almacenamiento de datos
• Gestión del ciclo de vida
• Cifrado y gestión de claves de cifrado
• Puesta fuera de servicio y eliminación
Si los procesos de seguridad de
datos no están claramente
definidos y documentados se
puede exponer negativamente la
información
Ayuda a identificar donde cada
entidad adquiere y cede los datos
y cuales son sus
responsabilidades en todo el
proceso
Seguridad técnicaSeguridad técnica
• La evolución de las tecnologías de seguridad en virtualización
• Gestión de identidades y de acceso
• Registro y ficheros de auditoría
• Acceso Hypervisor y componentes internos
• Seguridad de interfaces y APIs
• Seguridad de Sistemas Cliente
• Control de ambientes compartidos
12. 12/09/2013
12
Incidentes yIncidentes y forenciaforencia
Incluir los procesos y los plazos
de notificación en los SLA
incluir los requisitos de notificación
entre el cliente y el proveedor en
los planes de respuesta a
incidentes
Incluir la potencial solicitud de
información, registros y
evidencias al CSP durante la
investigación
Incluir el proceso de custodia
particular para este tipo de
servicio, por ejemplo ante
desconexiones de VMs o
cualquier otro recurso virtual
EquiposEquipos
MultidiciplinariosMultidiciplinarios
PreguntarPreguntar
CompararCompararDocumentarDocumentar
ControlarControlar
ConclusionesConclusiones
13. 12/09/2013
13
La Guía y sus apéndicesLa Guía y sus apéndices
Apéndice A: Responsabilidades PCI DSS para
diferentes modelos de servicio - Consideraciones
adicionales para ayudar a determinar las
responsabilidades de PCI DSS a través de
diferentes modelos de servicios cloud .
Apéndice B : Inventario - Presenta un inventario
modelo del sistema para entornos de cloud
computing.
Apéndice C : Matriz de Responsabilidades PCI DSS -
Presenta una matriz de muestra para documentar
cómo se asignan las responsabilidades entre el
proveedor de la nube y el cliente.
Apéndice D: Implementación PCI DSS - Propone un
conjunto inicial de preguntas que pueden ayudar a
determinar cómo los requisitos de PCI DSS se
pueden cumplir en un entorno de nube particular.
https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_Cloud_Guidelines.pdf
MUCHAS GRACIASMUCHAS GRACIAS
Fabián Descalzo
Gerente de Governance, Risk & Compliance (GRC)
fdescalzo@cybsec.com
Gobierno de los datos en la nubeGobierno de los datos en la nube
para el cumplimiento PCIpara el cumplimiento PCI--DSSDSS
Universidad del CEMAUniversidad del CEMA -- Auditorio PrincipalAuditorio Principal
Buenos Aires – Argentina (2013)