FABIAN DESCALZO 2013 - CYBSEC · FABIAN DESCALZO 2013. MUCHAS GRACIAS Fabián Descalzo Gerente de...
Transcript of FABIAN DESCALZO 2013 - CYBSEC · FABIAN DESCALZO 2013. MUCHAS GRACIAS Fabián Descalzo Gerente de...
FABIAN DESCALZO 2013
Objetivo
• Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue
• Retos asociados con la validación de cumplimiento de PCI DSS en un entorno de nube .
• Consideraciones de seguridad empresarial y técnica para el uso de tecnologías en la nube .
• Recomendaciones para el inicio de las discusiones acerca de los servicios de nube.
FABIAN DESCALZO 2013
Comprensión del entorno
Analizar Planificar Documentar
FABIAN DESCALZO 2013
Comprensión del entorno
Seleccionar plataforma y estándar de evaluación
Identificar los riesgos y requerimientos de control
Conocer las necesidades de aplicación para el Negocio
Modelos de servicio
FABIAN DESCALZO 2013
IaaS PaaS SaaS
Comprensión del entorno
FABIAN DESCALZO 2013
HardwareSoftware
Conectividad
IaaS
ServicioSoporte
Aplicaciones del Proveedor
SaaS
Desarrollo Despliegue de Aplicaciones del Cliente
PaaS
Aplicación Plataforma
Infraestructura Virtualización
Recursos físicos
Comprensión del entorno
FABIAN DESCALZO 2013
Definiciones
Alcance de responsabilidad Cliente/Proveedor por tipo de servicio
IaaS SaaSPaaS
Datos
Software y aplicaciones de usuarios
Sistemas operativos y bases de datos
Infraestructura Virtual
Hardware e infraestructura de red
Data Center (instalaciones físicas, infraestructura de seguridad, energía)
FABIAN DESCALZO 2013
Alcance del servicio
Alcance de responsabilidades
Alcance de los controles
Responsabilidades en el cumplimiento
• Gestión del servicio• Tratamiento de datos• Gestión de registros• Gestión de
componentes del servicio (Documentación y RRHH)
MARCO CONTRACTUAL
FABIAN DESCALZO 2013
Las responsabilidades delineadas entre el Cliente y el CSP para la gestión de los controles de PCI DSS están influenciados por un determinado número de variables :
• Finalidad para la que el cliente está utilizando el servicio de nube .
• Ámbito de aplicación de los requisitos de PCI DSS que el cliente externaliza en el CSP.
• Los servicios y componentes de los procesos de ejecución que el CSP ha validado dentro de sus propias operaciones.
• La opción de servicio que el cliente ha seleccionado para contratar al CSP ( IaaS , PaaS o SaaS ).
• El alcance de los servicios adicionales que el CSP proporciona al Cliente de forma proactiva para completar el cumplimiento (por ejemplo, servicios gestionados de seguridad).
Responsabilidades en el cumplimiento
FABIAN DESCALZO 2013
Responsabilidades en el cumplimiento
Requisitos PCI DSS
Ejemplo de asignación de
responsabilidad en la gestión de los
controles
IaaS SaaS PaaSInstalar y mantener una configuración de firewall para proteger los datos del
titularAmbos Ambos CSP
No utilizar las contraseñas por defecto provistas por los fabricantes de los
sistemas y otros parámetros de seguridadAmbos Ambos CSP
Proteger el almacenamiento de los datos de titulares de tarjetas Ambos Ambos CSPCodificar la transmisión de los datos de titulares de tarjetas a través de redes
públicas abiertasCliente Ambos CSP
Utilizar y actualizar regularmente el software antivirus y demás programas
asociados con la seguridad y software de baseCliente Ambos CSP
Desarrollar y mantener sistemas y aplicaciones seguras Ambos Ambos AmbosRestringir el acceso a los datos de titulares de tarjetas solo para aquellas
personas del Negocio que tienen necesidad de conocerlosAmbos Ambos Ambos
Asignar un único ID para cada persona que tenga acceso a una computadora Ambos Ambos Ambos
Restringir el acceso físico a datos de titulares de tarjetas CSP CSP CSPRastrear y monitorear todo el acceso a los recursos de red y datos de titulares de
tarjetasAmbos Ambos CSP
Probar regularmente los sistemas de seguridad y sus procesos Ambos Ambos CSPMantenga una política que aborde la seguridad de la información para todo el
personalAmbos Ambos Ambos
FABIAN DESCALZO 2013
IaaSPaaSSaaS
Espacio FísicoProveedor Espacio Físico
Cliente
ComponentesFísicos
ComponentesFísicos
UsuarioFinal
EnlacesEnlaces
Gobierno
Educación
Cumplimiento
Gestión de Riesgo
Educación
Gestión de Riesgo
ComponentesVirtuales
ComponentesVirtuales
Responsabilidades en el cumplimiento
FABIAN DESCALZO 2013
Seguridad y Tecnología
Seguridad como Servicio ( SecaaS )
• Security Information and Event Management Implementation Guidance
• BCDR Implementation Guidance• Encryption Implementation Guidance• Intrusion Management Implementation Guidance• Security Assessments Implementation Guidance• Email Security Implementation Guidance• Web Security Implementation Guidance• Data Loss Prevention Implementation Guidance• Network Security Implementation Guidance• Identity and Access Management Implementation Guidance
Managed Security Service Provider (MSSP)
https://cloudsecurityalliance.org/research/secaas/?r=54#_downloadsFABIAN DESCALZO 2013
Seguridad y Tecnología
SegmentadaSolo para mí
No-segmentadaCompartida con otros
Servidores físicamente separados por
cliente.
La misma imagen de la aplicación en el
mismo servidor, sólo separados por el
control de acceso del SO o la App
Servidores virtualizados de dedicación
individual para un cliente en particular,
incluidos los discos virtuales
Diferentes imágenes de una aplicación en
el mismo servidor, sólo separados por el
control de acceso del SO o la App.
Entornos donde cada cliente ejecuta sus
aplicaciones en particiones lógicas
separadas y no comparten almacenamiento
en disco u otros recursos.
Datos almacenados en la misma instancia
de gestión de bases de datos.
Segmentación de ambientes
FABIAN DESCALZO 2013
Seguridad y Tecnología
• Firewalls físicos y segmentación de red a nivel de infraestructura• Los firewalls en el hipervisor y a nivel de máquinas virtuales• Etiquetado VLAN o zonificación, además de firewalls• Los sistemas de prevención de intrusiones en el hipervisor y/o a nivel de máquina
virtual para detectar y bloquear el tráfico no deseado• Herramientas de prevención de pérdidas de datos en el hipervisor y/o nivel de
máquina virtual• Controles para evitar que las comunicaciones se propaguen hacia la infraestructura
subyacente• El aislamiento de los procesos y recursos de entornos de clientes compartidos• Almacenamiento de datos separado para cada cliente• Autenticación fuerte de dos factores• La separación de funciones y la supervisión administrativa• Registro continuo y vigilancia del tráfico perimetral, y la respuesta en tiempo real
Controles de segmentación
FABIAN DESCALZO 2013
Retos para el cumplimiento
• Falta de visibilidad de la infraestructura subyacente del CSP y los controles relacionados con la seguridad
• Poca o ninguna supervisión o control sobre almacenamiento de datos de los tarjetahabientes
• Algunos componentes virtuales no tienen el mismo nivel de control de acceso , registro y seguimiento que sus contrapartes físicas.
• Falta de restricciones en los límites perimetrales entre entornos de cliente
• Puede ser difícil de reunir, correlacionar y/o archivar todos los registros necesarios para cumplir con los requisitos de PCI DSS.
• Fallas en las herramientas de control ya que en un entorno de nube puede ser difícil de realizar verificaciones y puede dar lugar a resultados incompletos.
• Los grandes proveedores podrían no permitir el derecho a la auditoría a sus clientes.
FABIAN DESCALZO 2013
Consideraciones a tener en cuenta como Cliente:
• ¿Por cuánto tiempo ha estado el CSP compatible con PCI DSS ? ¿Cuándo fue su última validación?
• ¿Qué servicios específicos y los requisitos de PCI DSS fueron incluidos en la validación ?
• ¿Qué servicios específicos y componentes del sistema se incluyen en la validación ?• ¿Qué procesos de servicio del CSP no se incluyeron en la validación PCI DSS ?• ¿Cómo se asegura el CSP el cumplimiento PCI DSS por parte de los Clientes para
evitar que introduzcan componentes no compatibles con el medio ambiente o anular los controles?
Retos para el cumplimiento
FABIAN DESCALZO 2013
Gobernabilidad, Riesgo y Cumplimiento
Reingenieríade riesgos
Actividades y controles consolidados
Tecnología y OperacionesProyectos y procesos funcionales
Verificación del proveedor (debida diligencia)Acuerdos de Nivel de Servicio ( SLAs )Planes de Continuidad del Negocio y Recuperación de DesastresRecursos humanos
FABIAN DESCALZO 2013
Extremos de responsabilidad Cliente / Proveedor
IaaS SaaSPaaS
Datos
Hardware e infraestructura de red
Data Center (instalaciones físicas, infraestructura de seguridad, energía)
Gobernabilidad, Riesgo y Cumplimiento
GobiernoGestión de
Riesgo
Educación Cumplimiento
Reinvertir en controles
AHORRO
FABIAN DESCALZO 2013
Entorno físico
Control de AccesoAfecta a la confidencialidad , Integridad
y Disponibilidad de los datos
Control AmbientalAfecta al rendimiento y la integridad de
la prestación del servicio.
FABIAN DESCALZO 2013
Consideraciones legales
Propiedad de los datos y los posibles conflictos entre las
exigencias legales y reglamentarias nacionales o internacionales
Requisitos para la registración electrónica, la preservación y la integridad de las pruebas, y la
custodia de datos
Procesos documentados para responder a las peticiones legales y Auditorías (registros de auditoría propios y de sus clientes)
FABIAN DESCALZO 2013
Seguridad de los datos
• Adquisición de Datos (mapeo de los datos)• Clasificación de Datos• Almacenamiento de datos• Gestión del ciclo de vida• Cifrado y gestión de claves de cifrado• Puesta fuera de servicio y eliminación
Si los procesos de seguridad de datos no están claramente definidos y documentados se puede exponer negativamente la información
Ayuda a identificar donde cada entidad adquiere y cede los datos y cuales son sus responsabilidades en todo el proceso
FABIAN DESCALZO 2013
Seguridad técnica
• La evolución de las tecnologías de seguridad en virtualización• Gestión de identidades y de acceso• Registro y ficheros de auditoría• Acceso Hypervisor y componentes internos• Seguridad de interfaces y APIs• Seguridad de Sistemas Cliente• Control de ambientes compartidos
FABIAN DESCALZO 2013
Incidentes y forencia
Incluir los procesos y los plazos de notificación en los SLA
incluir los requisitos de notificación entre el cliente y el proveedor en los planes de respuesta a incidentes
Incluir la potencial solicitud de información, registros y evidencias al CSP durante la investigación
Incluir el proceso de custodia particular para este tipo de servicio, por ejemplo ante desconexiones de VMs o cualquier otro recurso virtual
FABIAN DESCALZO 2013
Equipos Multidiciplinarios
Preguntar
CompararDocumentar
Controlar
Conclusiones
FABIAN DESCALZO 2013
La Guía y sus apéndices
Apéndice A: Responsabilidades PCI DSS para diferentes modelos de servicio - Consideraciones adicionales para ayudar a determinar las responsabilidades de PCI DSS a través de diferentes modelos de servicios cloud .
Apéndice B : Inventario - Presenta un inventario modelo del sistema para entornos de cloud computing.
Apéndice C : Matriz de Responsabilidades PCI DSS -Presenta una matriz de muestra para documentar cómo se asignan las responsabilidades entre el proveedor de la nube y el cliente.
Apéndice D: Implementación PCI DSS - Propone un conjunto inicial de preguntas que pueden ayudar a determinar cómo los requisitos de PCI DSS se pueden cumplir en un entorno de nube particular.
https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_Cloud_Guidelines.pdfFABIAN DESCALZO 2013
MUCHAS GRACIAS
Fabián DescalzoGerente de Governance, Risk & Compliance (GRC)
Gobierno de los datos en la nubepara el cumplimiento PCI-DSS
Universidad del CEMA - Auditorio PrincipalBuenos Aires – Argentina (2013)
FABIAN DESCALZO 2013