Fin del soporte de Windows XP y su impacto en PCI DSS

A partir del 8 de Abril de 2014 Microsoft finalizará el soporte a sistemas operativos Windows XP y a la suite ofimática Office 2003, tal como lo describen en su página “Windows lifecycle fact sheet“. Esto implica que a partir de ese día este software no recibirá más actualizaciones de seguridad ni soporte técnico por parte del fabricante.

¿Qué implicaciones tiene esta noticia en el cumplimiento de PCI DSS?

El requerimiento 6.2 de PCI DSS v3.0 establece lo siguiente:
6.2 Asegúrese de que todo el software y componentes del sistema tengan instalados parches de seguridad proporcionados por los proveedores que ofrecen protección contra vulnerabilidades conocidas. Instale los parches importantes de seguridad dentro de un plazo de un mes de su lanzamiento.
Debido a ello, tener dentro del alcance de cumplimiento un equipo con un sistema operativo sin soporte por parte del fabricante puede implicar un incumplimiento del estándar, aparte de los potenciales problemas derivados de las vulnerabilidades de seguridad no corregidas y la consecuente exposición a riesgos por parte del negocio.

¿Cuál es el impacto de esta noticia en los sistemas de información de entidades que procesan datos de tarjetas de pago?

De acuerdo con Net Applications, en Febrero de 2014 Windows XP ocupaba el segundo lugar con 29,53% en la cuota de uso de sistemas operativos de escritorio, lo cual demuestra claramente su importancia después de 12 años de haber sido publicado por primera vez, a pesar de la gran cantidad de críticas que tuvo durante este tiempo.
Uso de WIndows XP a Febrero de 2014
Fig.1 Uso de Windows XP a Febrero 2014
Por otro lado, según Digital Trends el 95% de los cajeros electrónicos (ATM) existentes en el mundo se ejecutan bajo esta plataforma operativa. Sin soporte técnico por parte del fabricante, sin actualizaciones y con muy pocas soluciones de seguridad que soporten Windows XP, el panorama se visualiza muy complicado, teniendo presente que cada día se identifican nuevas muestras de malware orientado al ataque de cajeros electrónicos.

¿Qué alternativas se tienen para gestionar el riesgo frente a esta plataforma no soportada?

Para aquellas empresas que aún cuentan con plataformas operativas Windows XP en su entorno, a continuación se enumeran las alternativas para gestionar este riesgo:
Migración/actualización a Microsoft Windows 7/8
Esta es la opción recomendada por Microsoft como camino directo frente a la notificación de finalización de soporte de Windows XP.
Ventajas:
  • Relativa facilidad y potencial compatibilidad entre aplicativos
  • El soporte y la recepción de actualizaciones de seguridad continuarán sin cambios si se continúa trabajando con la plataforma operativa del mismo fabricante
  • Microsoft ha puesto a disposición una herramienta gratuita para la migración de perfiles de usuario y archivos desde Windows XP a Windows 7/8 denominada PCmover Express for Windows XP, que puede apoyar el proceso de transición entre plataformas
  • Si los equipos Windows XP se encuentran vinculados a un Directorio Activo, la gestión de políticas de seguridad se pueden migrar de forma sencilla
Desventajas:
  • Obviamente, los requerimientos de hardware para Windows 7 y Windows 8 son superiores a los de Windows XP, lo cual puede convertirse en un problema para ordenadores limitados, como es el caso de cajeros electrónicos y Terminales de Punto de Venta (TPV)
  • Costes de licenciamiento
  • Problemas con integración de componentes de software antiguos
Migración a una nueva plataforma operativa
En este punto coyuntural, plantearse la migración a una nueva plataforma operativa como GNU/Linux o sistemas BSD puede ser contemplada como una opción a corto plazo.
Ventajas
  • Ahorro en costes de licenciamiento (*)
  • Facilidad en personalización y minimización de componentes de software
  • Acceso al código fuente (*)
  • Integración con hardware limitado
  • Minimización en los problemas provenientes de malware
Desventajas
  • Problemas de compatibilidad e integración con aplicativos existentes que se ejecutan sobre plataformas Microsoft Windows
  • Soporte técnico (a menos que se adquiera soporte licenciado)
  • Gestión de actualizaciones
(*) En el caso de sistemas operativos OpenSource

Uso de controles compensatorios
Esta es una alternativa a corto plazo y temporal, debido a que tarde o temprano será necesario migrar a una nueva plataforma, a pesar que haya bastante resistencia a ello. Si se opta por esta opción, el PCI SSC publicó su FAQ 1130 “Are operating systems that are no longer supported by the vendor non-compliant with the PCI DSS?” en donde analiza el potencial uso de controles compensatorios cuando se cuenta con una justificación técnica o administrativa que lo avale. En este caso, es necesario contar con el soporte de un asesor QSA, quien analizará el ámbito específico de la organización y recomendará los controles necesarios.

Es importante tener presente que a pesar que el soporte técnico y actualizaciones del sistema operativo Windows XP serán finalizadas por parte de Microsoft, la herramienta Malicious Software Removal Tool continuará recibiendo actualizaciones hasta Julio 14 de 2015.

Debido a la inminencia en la finalización del soporte de Windows XP, el PCI SSC publicó el infográfico “Windows XP – Support is ending”  donde realiza un análisis general de los problemas y alternativas frente a este anuncio. Igualmente, en la página WindowsXP.com se ofrece más información por parte de Microsoft.


Autor: David Eduardo Acosta - CISSP, CISA, CISM, CRISC, PCI QSA, CCNA Security, OPST, CHFI Trainer, BS25999 L.A.
Departamento de Consultoría

No hay comentarios:

Publicar un comentario