Reunion de socios pmi madrid spain chapter 27-septiembre-2018
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos
1. 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 1
Autor: Jesús Vázquez González
2. Agenda
1. Presentación
2. Introducción
3. Alcance y objetivos
4. Firewall de base de datos
5. PCI DSS
6. SOX
7. LOPD
8. Resultados
9. Conclusiones y trabajos futuros
20/06/2013 2Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos
3. 1. Presentación – Jesús Vázquez González
20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 3
Perfil
• Profesional con dilatada experiencia en TI, adquirida trabajando
en grandes multinacionales, dirigiendo empresas,
departamentos, equipos, portafolios, programas y proyectos
• IT freelance http://www.linkedin.com/in/jesusvazquezgonzalez
• Vicepresidente primero del PMI Madrid Spain Chapter
http://www.pmi-mad.org/
• Socio Director en www.compraentubarrio.com
Formación
• Cursando Máster en Dirección de Proyectos Informáticos, en la UAH
• PMP (Project Management Professional), por el PMI (Project Management Institute)
• Executive MBA, por el IDE-CESEM
• Licenciado en Informática, por la UPM
4. 2. Introducción
Las organizaciones almacenan en sus bases de datos,
información crítica para el negocio, y han de cumplir con
las normativas de seguridad existentes. De entre ellas, en
nuestro entorno, hay 3 con una alta probabilidad de
aplicación:
Estándares y normas de seguridad de la industria de
tarjetas de pago (Payment Card Industry Data Security
Standard – PCI DSS)
Ley federal de Estados Unidos Sarbanes–Oxley (SOX),
también conocida como el Acta de Reforma de la
Contabilidad Pública de Empresas y de Protección al
Inversionista
Ley Orgánica de Protección de Datos (LOPD)
20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 4
5. 3. Alcance y objetivos
El objetivo de este trabajo consiste en la obtención de la
lista de requisitos automatizables en un firewall de
base de datos, de acuerdo a los estándares y
legislaciones PCI DSS, SOX y LOPD.
El alcance del trabajo no consiste por tanto en elaborar
una lista con todos los requisitos de los estándares y
legislaciones mencionados, sino sólo de aquellos que
dentro del ámbito de un firewall de base de datos
deberían ser automatizados.
20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 5
6. 4. Firewall de base de datos
Dispositivo capaz de:
Supervisar el comportamiento
de usuarios y aplicaciones
Prevenir ataques y accesos no
autorizados a la información
sensible
Alertar, bloquear y registrar
los intentos de acceso basado
en las políticas de seguridad
definidas
12/05/2012 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 6
7. 5. PCI DSS (1/2)
Fomentar y mejorar la
seguridad de los datos del
titular de la tarjeta, y para
facilitar la adopción de medidas
de seguridad consistentes a nivel
mundial.
Referencia de requisitos
técnicos y operativos
desarrollados para proteger los
datos de los titulares de tarjetas.
20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 7
Estas normas constituyen un conjunto mínimo de requisitos
para proteger datos de titulares de tarjetas, que se pueden
mejorar con el uso de controles y prácticas adicionales, para mitigar
otros riesgos.
8. 5. PCI DSS (2/2)
20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 8
Norma Nº Descripción
Desarrollar y mantener una
red segura
1. Instalar y mantener una configuración de firewall para proteger
los datos del titular de la tarjeta
2. No use contraseñas de sistemas y otros parámetros de
seguridad provistos por los proveedores
Proteger los datos del titular
de la tarjeta
3. Proteja los datos del titular de la tarjeta que fueron
almacenados
4. Cifrar la transmisión de los datos del titular de la tarjeta en las
redes públicas abiertas
Mantener un programa de
administración de
vulnerabilidad
5. Utilice y actualice con regularidad los programas de software
antivirus
6. Desarrolle y mantenga sistemas y aplicaciones seguras
Implementar medidas
sólidas de control de acceso
7. Restringir el acceso a los datos del titular de la tarjeta según la
necesidad de saber que tenga la empresa
8. Asignar una ID exclusiva a cada persona que tenga acceso por
computador
9. Restringir el acceso físico a los datos del titular de la tarjeta
Supervisar y evaluar las
redes con seguridad
10. Rastree y supervise todos los accesos a los recursos de red y a
los datos de los titulares de las tarjetas
11. Pruebe con regularidad los sistemas y procesos de seguridad
Mantener una política de
seguridad de información
12. Mantenga una política que aborde la seguridad de la
información para todo el personal
9. 6. SOX (1/2)
Mejorar el control realizado a las
empresas y recuperar la confianza de los
inversores.
Afecta a los administradores de las
empresas, a las limitaciones de las
auditorías y a la transparencia de las
empresas. Introduce una serie de
novedades que consisten en:
Creación de una compañía encargada
de supervisar las auditorías
Prohibición de préstamos personales
a los directivos de la compañía
Transparencia en la declaración de
opciones y acciones de los empleados
Endurecimiento de las penas
(informes financieros)
Protección a los empleados en caso de
fraude corporativo
20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 9
10. 6. SOX (2/2)
20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 10
Sección 302
• Establece la responsabilidad de la compañía por los informes financieros
• La solución técnica ha de permitir implantar medidas y controles que
garanticen que la información financiera es confiable e íntegra, ha de
prevenir por tanto la realización de actividades fraudulentas
Sección 404
• Establece la evaluación de la gerencia de los controles internos. Introduce
la exigencia de presentar un informe de control al cierre de cada ejercicio
fiscal. En este informe se establece la responsabilidad del equipo directivo,
acerca de asegurar que la estructura de control interno es la adecuada
• La solución técnica ha de facilitar a la auditoría externa la evaluación del
control interno. Para ello es de vital ayuda la elaboración automática de
auditorías de los accesos realizados a los datos financieros
11. 7. LOPD
Garantizar y proteger, en lo que
concierne al tratamiento de los
datos personales, las libertades
públicas y los derechos
fundamentales de las personas
físicas, y especialmente de su honor
e intimidad personal y familiar.
La AEPD clasifica las as medidas de
seguridad exigibles en tres niveles
acumulativos: básico, medio y alto.
En este trabajo se han considerado
de aplicabilidad las medidas de nivel
alto, cubriendo así los casos más
exigentes.
20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 11
12. 8. Resultados
Requisitos de seguridad PCI
DSS, SOX y LOPD, automati-
zables en un firewall de base
de datos
PCI DSS. 70 requisitos, de
diferentes niveles, que soportan
el estándar de seguridad
SOX. 12 requisitos, que
abarcan las secciones 302 y 404
LOPD. 24 requisitos, que dan
cobertura a la ley
20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 12
13. 9. Conclusiones y trabajos futuros
El trabajo realizado sirve de
base para los proyectos de
adecuación de los sistemas de
información, a las más
exigentes normas de
seguridad.
Punto de partida para la
realización de un trabajo de
“Adecuación de sistemas de
información a las
normativas de seguridad
PCI DSS, SOX y LOPD. Una
aproximación PMI”.
20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 13
14. 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 14
Fin
Muchas gracias por la atención prestada