Crónica del 2do. Congreso Security Bank & Government, Quito, Ecuador 2016

El pasado jueves 19 de Mayo se celebró el máximo y único evento que tiene como finalidad mostrar las tendencias, estrategias, herramientas, normas internacionales y equipamiento relacionado a la seguridad de la información, seguridad de los sectores Bancario y Gobierno Latinoamericano, especialmente en Ecuador.

Se impartieron algunas de las siguientes conferencias:

Perspectivas de la seguridad en la información
Las conferencias iniciaron con la presentación de Giovanni Roldan, Presidente del CIO Forum y CIONET Ecuador, quien hizo una cronología del desarrollo de la seguridad desde los años 50 explicando cómo ha evolucionado la forma de protección y la inseguridad en los sistemas hasta llegar a niveles elevados con el nacimiento del Internet.

 

Seguridad en canales alternos de ATMs
Rafael Revent del Grupo Cyttek habló sobre los ataques que están sufriendo las mayores marcas de cajeros automáticos: Diebold, NCR y Wincor Nixdorf. La mayoría de estos cajeros automáticos trabajan sobre sistemas operativos Windows y un porcentaje muy bajo con Linux (Brasil tiene incorporado este sistema en sus cajeros) y también comienza a estar presente Android.

Indicó que todos los cajeros requieren comunicarse con el Core Network para verificar las transacciones, y que el sistema operativo que usan es Windows. Éste utiliza TCP/IP para la comunicación fiable con el Core Network desde el ATM, mencionó que toda la información del protocolo se trasmite en Texto Plano.

Por ejemplo, en un ataque de Radio Frecuencia, utilizando un medidor de radio frecuencia, se podría saber cuándo una persona inserta la tarjeta o está tecleando el PIN. La medición es de 56Hz en cualquiera de los dos casos anteriores.

 

También habló sobre el Malware Skimmer.A para ATM’s, que fue creado a principios del 2009, basado en un software que permitía clonar la información de tarjeta habiente, este malware ha sido modificado dando como resultado el Backdoor.Win32.Skimmer (17 de Mayo de 2016) que incluye muchas más funciones, no sólo clonar la tarjeta si no que también permite sacar dinero y ocultarse en el sistema operativo de forma cifrada. Podemos ver un ejemplo en el siguiente enlace:

https://www.youtube.com/watch?v=hOcFy02c7x0

 

Ataques de Fuerza Bruta:  https://www.youtube.com/watch?v=uqQwY-T6tE0

Para finalizar su intervención indicó los problemas que ha identificado respecto a la industria en LATAM:
  • Falta de entendimiento entre profesionales de redes de ATMs y operarios en las áreas de prevención de fraudes.
  • Entendimientos de errores y logs.
  • Seguridad de software del sistema operativo y software XFR
  • Falta de visibilidad de la red ATM.
  • Falta de capacidades técnicas en estas áreas.
La biometria como fuente entre seguridad y conveniencia para las nuevas generaciones de clientes
La conferencia de German Patiño de Easy Solutions, Colombia, fue diferente a lo que normalmente estamos acostumbrados ya que el enfoque de su charla fue hacia el comportamiento de una sociedad comprendida entre los 20 y 35 años, es decir a la generación millennials que son los nacidos entre 1981 y 1995.

El 30 % de la población latinoamericana es Millennials y en el 2025 representará el 75% de la fuerza laboral del mundo, por lo tanto los Millennials son la futura generación de consumidores y usuarios.
Indicó que este tipo de usuarios cuentan con una media de 30 cuentas en diferentes aplicaciones y el 38% usa app’s para realizar pagos, sin embargo son el sector más vulnerable, ya que el 44% reciclan sus contraseñas y el 84% usan wi-fi inseguro, es por eso que se obliga a tomar acciones importantes para este sector. Expresó que para los Millennials “Las mejores medidas de seguridad son aquellas que el usuario no ve o siente”.

Las características principales de los Millennials son:
  • Nomófobos (Adicción al móvil)
  • Appdictos
  • Multitasking
  • Extremadamente sociales
  • Críticos y exigentes
Explicó como la banca quiere seducir a los Millennials mediante la biometría para realizar pagos y cualquier tipo de transacciones, detalló algunos ejemplos: utilización de una pulsera para autenticarse a través de nuestro ritmo cardíaco, uso de la huella dactilar, reconocimiento facial y de voz y mediante selfies, a futuro se quiere proyecta el pago mediante la estructura molecular del pelo y de la saliva.

El evento finalizó con un agradable lunch donde se pudo charlar personalmente con los expositores y tuve la oportunidad de conocer a los organizadores, había alrededor de 250 profesionales entre Directivos y responsables de empresas. El próximo Evento se realizara en Chile en el mes de Julio.

 Autor: Karen Sánchez - CEH
Departamento Auditoría

Aplicaciones de Machine Learning en Seguridad Informática

En este artículo vamos a hacer una introducción de como las técnicas de “machine learning” o aprendizaje automático son aplicadas al campo de la seguridad informática. Nuestra intención es familiarizar al lector con los conceptos fundamentales y ejemplos que serán necesarios para profundizar en enfoques prácticos y/o teóricos.

¿Qué es “machine learning”?
Machine learning es una rama de la inteligencia artificial que aplica el uso de modelos matemáticos como conductor de conocimiento a automatismos. Dicho de otra manera, es posible incorporar conocimiento de la naturaleza en un modelo matemático, al ser éstos funciones matemáticas son asimilables por automatismos, y como resultado tendremos un agente artificial que habrá aprendido dicho conocimiento.

¿Cómo se transmite el conocimiento desde la naturaleza al modelo?
La manera de incorporarlo es mediante entrenamiento, el cual hará aprender al modelo.  Hay dos tipos de aprendizaje principales, supervisado y no supervisado, y de la combinación de estos o la incorporación de características específicas se identifican otros más. El término supervisado hace referencia a que el entrenamiento incorporará información etiquetada, es decir, ejemplos resueltos. En el caso del aprendizaje no supervisado no contaremos con dicha información, también llamada “conocimiento a priori”, pero como veremos en un ejemplo más adelante, esto no imposibilita que se descubra a la vez que queda “impreso” en el modelo algunos tipos de conocimientos, por ejemplo relaciones de similitud.

¿Cómo queda “impreso” el conocimiento en el modelo?
Pues depende del modelo, hay infinidad de ellos pues al fin y al cabo son funciones matemáticas. El conocimiento puede quedar “mapeado” en estructura de árbol o red (en modelos lógicos), conjunto de reglas probabilísticas (modelo probabilístico), áreas de similitud (modelos geométricos), etc.

¿Cómo aplica el modelo lo aprendido?
La clave de la aplicación de lo aprendido por el modelo está en el proceso llamado clasificación. Es decir el autómata consultará al modelo entrenado un hecho descrito mediante un vector de entrada, el modelo clasificará dicha entrada en una de las clases aprendidas (aprendizaje supervisado) o descubiertas (aprendizaje no supervisado), y finalmente el agente actuará en consecuencia.

Llegados a este punto vamos a exponer algunos ejemplos reales y prácticos que hagan comprender todo lo anterior de manera práctica.

Aprendizaje supervisado + arboles de decisión
Supongamos un hipotético sistema orientado a detectar cuando una cuenta bancaria ha sido comprometida. Contaría por una parte de un cliente acompañando la correspondiente aplicación bancaria para dispositivo móvil y un servidor (agente Inteligente entrenado + base de datos) en el centro de operaciones del banco. El cliente envía por cada transacción el siguiente vector (entrada de N campos), que se almacena en la base de datos y tras ser procesada por el agente procede con la transacción, su bloqueo, exige doble factor de verificación o tan sólo registra un aviso en los históricos del sistema. De entrada consideramos sólo la decisión de si es robo o no para proceder con el bloqueo o no de la transacción.

Vector de entrada para nuestro sistema (minimalista) de detección de robo de cuentas:

Seguridad de la clave/PIN [Alta, Media, Baja] | Variable nominal
Cantidad a transferir x | Variable numérica
Geolocalización de cuentas destino y[n] | Variable cadena
¿Noche o día? 0/1 | Variable binaria
¿Robo? Si/No 0/1| Clase, predicción o decisión a tomar, es binaria en este caso.

Lo primero que haremos será entrenar el modelo con un conjunto de vectores de entrada de dimensión 4, como podemos ver los vectores están etiquetados, el quinto campo de cada entrada contiene una clase binaria 1/0 indicando que hay compromiso o no de la cuenta bancaria, o en consecuencia si se procede con anular o no la transacción. La decisión sobre qué información utilizar para el entrenamiento debe ser tomada por un analista con conocimiento en dicho campo y fundamentado en experiencias (incidentes) reales a ser posible.

Alta,1300,Barcelona,1,0
Media,400.000,Panamá,1,1
….
Baja,5,Fiyi,1,1

Tras el entrenamiento se generará un árbol de decisión. Dependiendo del algoritmo en cuestión dependerá como queden dispuestos los nodos, las hojas, la anchura y profundidad del árbol, etc. Pero el fundamento es el mismo, tener un mapa de características que nos guiará hasta una decisión recorriéndolo desde la raíz hasta una hoja.

Fig1: Modelo lógico de nuestro agente.

Una vez definido el modelo, en este caso es un árbol de decisión, el autómata solo tendrá que seguir el árbol a través de los valores de los atributos hasta llegar a las  hojas (decisiones). Por ejemplo para un cliente con una clave o PIN de fortaleza media, para una transferencia de más de 40.000$ en horario de noche (supongamos que de 8 PM a 8 AM) a una cuenta destino geolocalizada en Islas Fiji se lanzaría una acción de denegar la transferencia, exigir un segundo factor de autenticación o alertar de manera silenciosa a un equipo CERT de la entidad bancaria. Una de las características que nos gustaría destacar de este modelo ya que tenemos la oportunidad es la velocidad de respuesta (“toma de decisión”), se puede observar que es un problema es de complejidad O{n} (orden n, recorrer en profundidad un árbol), lo cual lo hace muy indicado en entornos que requieran de respuesta ágil y sometidos a una tasa de consulta muy elevada.

Aprendizaje no supervisado + Mapa auto-organizado (redes de Kohonen)
El aprendizaje no supervisado puede parecer al principio más complicado de imaginar en funcionamiento. Pero con el siguiente ejemplo quedará claro cómo funciona y de paso mostramos uno de los modelos más interesantes como son los mapas auto-organizados (Self-organizing Maps, SOM), ya que están inspirados en la biología, concretamente en la disposición de las neuronas relacionadas con el sentido del tacto.

Vamos ahora a suponer que nuestro sniffer de red registra tráfico y en lugar de comunicarlo a un IPS tradicional, que analizaría mediante una expresión regular (como hace Snort[1]) cada trama, crea con las características (campos de la trama, las flags TCP, IP origen, etc.) un vector de entrada y se lo pasa al modelo. Nuevamente el modelo responderá, veremos que de manera sutilmente distinta al ejemplo anterior, y al tratarse de un IPS de manera activa se tomará una decisión sobre dicho tráfico.

El modelo se crea mediante entrenamiento nuevamente, pero en este caso el conjunto está sin etiquetar, no hay información de si algo es “bueno o malo” o clase de pertenencia.

IP-origen [192.168.1.2, 10.10.10.10, 8.8.8.8,…] | Variable nominal
TCP-flags [0.0.0.1.1.0.0.0.0, 0.0.0.0.0.0.0.0.1,…]
NS,CWR,ECE,URG.ACK.PSH.RST.SYN.FIN
|Variable nominal
Diff de tiempo – respecto trama anterior (ms) y | Variable numérica

10.10.1.4 0.0.0.0.0.0.0.1.0 0
10.10.1.4 0.0.0.0.0.0.0.1.0 1
10.10.1.4 0.0.0.0.0.0.0.0.0 5

Sin entrar mucho en detalles diremos que inicialmente el modelo es una retícula, que conforme transcurre el entrenamiento los nodos irán ajustándose sobre los datos de entrenamiento, creando áreas de mayor densidad de nodos (grupos o clústeres).

Fig2: La retícula se ajusta sobre el espacio de soluciones.

Fig3: Además de ajustarse los nodos de la retícula se concentran, aumentan la densidad de estos en las zonas más representativas del espacio de soluciones.

Terminado el entrenamiento la maya queda “fijada”, ahora nuevamente se aplicará al modelo cada entrada correspondiente a los segmentos TCP capturados. El vector incidirá sobre la malla quedando asociado a una concentración de nodos (clúster) en función de la distancia y la densidad de nodos respecto del punto donde incidió.

A continuación se pueden dar dos situaciones:
  • La primera es que tras el entrenamiento se etiqueten los grupos formados de nodos por un analista que confirme que hay relación entre ellos. Al vector así clasificado se le aplicará la decisión que proceda con dicho grupo. Un caso de éxito de su aplicación es el expuesto en el artículo de 2009, “Building an efficient network intrusion detection model using self organising maps.” escrito por Mrutyunjaya Panda y Manas Ranjan Patra, donde tomando como conjunto de entrenamiento el kdcup99[2] se obtuvo un modelo capaz de detectar y clasificar distintos tipos de ataques de red.
  • La otra situación es prescindir de etiquetado alguno, con lo que tendremos un detector de anomalías para los casos en que el vector de entrada incida muy retirado de cualquier concentración de nodos. Si el modelo fue entrenado con tráfico habitual de la red, las anomalías pueden ser clasificadas como ataques o incidentes por confirmar.

Aplicaciones
A día de hoy el uso de técnicas de “machine learning” está más extendido de lo que en principio podríamos pensar en productos relacionados con la seguridad como SIEM é IPS. Aunque su aplicación no es novedosa en el campo de la investigación no es así en el mercado tecnológico. Este último está muy condicionado por modas o revoluciones de lo nuevo y podemos ver la incorporación de estas técnicas a productos de gama alta o en servicios de monitorización, a veces envueltas en cierta aura de misterio y a precios desorbitados. Más ofuscado aún es su uso en aplicaciones propias y no comerciales para la detección de fraude o robo de cuentas por parte de bancos o aseguradoras. Por esto, uno de los casos de éxito al que nos gusta hacer referencia es el del proyecto M.U.S.E.S[3], el cual está financiado por fondos europeos y cuenta con forja de software[4] bajo licencia GPL. En su caso, aplicado a la implantación segura de la política empresarial “Bring your own devices(BYOD). Y que es un ejemplo válido de como más adelante se puede derivar a un producto comercial.

Conclusión
Las técnicas de “machine learning” pueden ser una poderosa herramienta en manos de investigadores y proveedores de productos tecnológicos centrados en la seguridad informática. Fuera de modas y revoluciones de lo nuevo, su divulgación debe ser responsable y ética con las expectativas ofrecidas por el estado del arte actual. Ha sido nuestra intención durante el artículo el transmitir de manera lo más simple posible y sin entrar en conocimientos demasiado profundos, los conceptos básicos que son necesarios para comprender las técnicas que aplica. No nos hemos detenido demasiado en temas como la base matemática requerida para la construcción de sus modelos (base teórica), o librerías de desarrollo (base práctica), para dar más relevancia al conocimiento de los conceptos fundamentales y ejemplos de demostración. Por lo que queda como tema pendiente para futuros artículos.

Referencias
[1] https://www.snort.org/
[2] http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html
[3] https://www.musesproject.eu/
[4] https://github.com/MusesProject


Autor: Juan Luis Martín
Departamento Auditoría

¡Internet Security Auditors Official Training Providers de BSI en Colombia!

Comenzamos el año convertidos en Official Training Providers del (ISC)2 en Colombia, y en este mes de mayo, podemos decir que también somos Official Training Provider de BSI para Colombia.

Empezamos esta nueva etapa ofreciendo el curso de ISO 27001 Lead Auditor, el cual tiene una gran acogida en España, y esperamos que también en Latinoamérica, con los mejores formadores, todos ellos expertos y certificados por el organismo correspondiente.

Para todo aquel que esté interesado, en nuestra web encontrará toda la información sobre la certificación, además de poder consultar las fechas:

https://www.isecauditors.com/iso27001-lead-auditor-colombia

¡Primer boletín de Formación para nuestros usuarios de Colombia!

Después de la apertura, a principios del 2015, de nuestra nueva oficina en Bogotá (Colombia), el año pasado iniciamos nuestros planes de capacitación apostando por la impartición de los Planes de Formación Personalizados.

Este año 2016 formalizamos nuestro training partnership con el (ISC)2 y con BSI y con el envío de este primer boletín queremos hacer públicas las fechas de los primeros cursos que tan buenos resultados han tenido en España con los mejores formadores, todos ellos expertos y certificados por el organismo correspondiente.

Podéis consultar el boletín en el siguiente enlace:
http://www.isecauditors.com/boletin-formacion-2016-colombia

Fechas clave para la retirada de PCI DSS v3.1

Durante la Sesión de Evaluación realizada el pasado 31 de marzo se recibieron varias preguntas sobre las fechas de transición de PCI DSS v3.1 a la v3.2, las cuales se pueden resumir en estos tres puntos:

  • PCI DSS v3.1 sigue siendo válido durante seis meses después de la liberación de PCI DSS v3.2, hasta el 31 de octubre de 2016, y por lo tanto se puede utilizar para las evaluaciones durante ese período. Esto se aplica a los ROC y SAQs.
  • Durante el período de transición de seis meses desde el 1 de mayo de 2016 hasta el 31 de octubre de 2016, ambas versiones PCI DSS v3.1 y v3.2 son válidas y cualquiera de las versiones se pueden utilizar para las evaluaciones.
  • PCI DSS v3.1 se retirará el 31 de octubre de 2016. Las evaluaciones de PCI DSS completadas a partir del 1 de noviembre en adelante deben usar PCI DSS v3.2.

En conclusión, se reduce el periodo de convivencia de ambas versiones.

Crónica GigaTIC 2016: del gobierno y gestión IT, pasando por la Internet of Things (IoT) y la protección de datos, hasta la computación cuántica


El pasado jueves 28 tuvo lugar en Barcelona el congreso anual gigaTIC, organizado por ITSMF e ISACA conjuntamente, con el lema ‘El futuro es ahora: Gestionando la Era Digital’, y desde Internet Security Auditors acudimos a cubrir el que se ha convertido en uno de los eventos de mayor envergadura en Cataluña en relación al Gobierno y Gestión de Servicios TIC.

1. Tras la correspondiente presentación, empezamos el día con la que sería una de las ponencias más cautivadoras que asombró a todos los asistentes: bajo el título ‘¿Estamos preparados para la nueva era cuántica?’, el Dr. José Ignacio Latorre Sentís, profesor e investigador de física teórica de la Universitat de Barcelona y Alfonso Rubio-Manzanares, presidente de barcelonaqbit-bqb, nos trasladaron del universo de la física clásica determinista al universo de la física cuántica probabilística, deteniéndonos, como no podría ser de otra manera en este congreso, en la computación cuántica y el supercomputador cuántico más avanzado actualmente: D-Wave 2 de Google (incompleto aún, ya que se trata de una prueba de concepto).

Si algo nos quedó claro a todos los asistentes es que la computación cuántica de las próximas décadas pondrá en jaque nuestros sistemas actuales de cifrado de la información.

La criptografía RSA se volverá inservible. Para la década del 2030 posiblemente podremos romper criptografías basadas en RSA2048
La seguridad en los sistemas actuales de cifrado se basa en la dificultad de factorizar números de más de 2048bits; en este sentido, actualmente la comunidad científica ha conseguido desarrollar algoritmos para trabajar con hasta 5 Qubits en conjunto, y se calcula que serían necesarios cientos de millones de Qubits para romper cualquier clave  actual.

Motivado por este riesgo “inminente”, la US National Security Agency (NSA) anunció el pasado año planes preliminares para la transición hacia algoritmos  quantum-resistant.


2. Después de esta primera ponencia, de la mano de Luis Morán, itSMF España, y con el título ‘Cinco retos digitales para definir la Nueva Generación de Gestión TI (ITSM2020)’, nos presentó un enfoque de los principales retos a asumir por las Organizaciones en la gestión de las TI para los próximos años, siendo estos:
  • Reto 1    La Gestión TI a dos velocidades (Bimodal IT)
  • Reto 2    La Gestión de los nuevos Servicios Digitales
  • Reto 3    La Conexión-Ágil, extremo a extremo, desde el negocio hasta la producción
  • Reto 4    La Gestión de Servicios alojados en Cloud Externos
  • Reto 5    La Gestión de Servicios en Pymes
La nueva cultura en las Organizaciones, la existencia de multitud de marcos de gobierno y gestión IT así como nuevos servicios digitales requieren nuevos modelos de trabajo
A destacar por su importancia, la transición la Gestión de las TIC a dos velocidades, que permita la operación de la organización tradicional bajo condiciones estables en convivencia con una organización que funcione con prácticas ágiles para poder entregar nuevos servicios de rápido cambio y adaptación a las necesidades de negocio sin penalizar ninguno de los dos paradigmas.

3. En nuestra tercera ponencia, nos dirigimos a una de las salas taller habilitadas para participar en un role play de poco más de 1h20min que lleva por título ‘Newton Gam, gestión de cambios en seguridad’ dirigido de manera magistral por Juan Trujillo.  Las aproximadamente 20 personas inscritas nos dividimos en los diferentes roles que pueden llegar a participar en el proceso de Gestión de Cambios de ITIL v3 de la fase de Transición del Servicio del ciclo de vida de los Servicios (desde el equipo ‘Desarrollador de Aplicaciones’, ‘Consejo Consultor para Cambios (CAB)’, etc.).
Resulta crucial que el proceso de Gestión de Cambios se extienda a todas las partes interesadas desde un principio, con el fin de evitar interrupciones innecesarias en la prestación normal del servicio
Sin duda, un taller entretenido y ameno que nos permitió sacar a la luz los fallos más evidentes y comunes que en mayor o menor medida  todos los allí reunidos pudimos llegar a identificar en nuestras empresas o en organizaciones con las que colaboramos.

5. Después del entretenido taller, acudimos a la ponencia presentada por Montserrat Labrandero, de Orednarbal SL, bajo el título ‘El enemigo está dentro’. En ella a modo de historia infantil con moraleja, se presentó un caso real donde se realizó una investigación durante meses en relación a una serie de emails amenazantes enviados desde cuentas anónimas del proveedor Gmail al Director General de una empresa del sector metalúrgico.
El golpe que te tumba es siempre el que no ves venir. La desconfianza es la madre de la seguridad
El nudo de la historia radicaba en que las sospechas recaían sobre el propio personal interno, que empleaba los sistemas de la compañía aunque nunca se pudo llegar a probar nada mediante las evidencias recabadas.


5. La última ponencia  de la mañana a la que asistiríamos sería la titulada ‘Historia de una transformación ágil en grupo Ferrer’, que correría a cargo de Miquel Rodríguez, Director de Consultoría de Netmind. En la ponencia se presentó el despliegue entre el año 2014 y 2015 de un modelo de gestión ágil de proyectos en el área de Organización y Sistemas del Grupo Ferrer.
El éxito de la transformación fue conseguir que los equipos hicieran suyo el proyecto, compartiendo el objetivo y siendo capaces de flexibilizar y adaptar los modelos a cada su equipo de trabajo: no todos tenían porque trabajar de la misma forma
Sin duda a destacar de la exposición la duración del proyecto, algo más de un año, con el objetivo de impulsar la transformación hacía modelos ágiles (scrum, kanban, etc.) mediante oleadas de cambios, y asegurar así que los equipos habían interiorizado y asentado el cambio antes de iniciar nuevas mejoras.

6. Llegada la tarde, aunque quizás la calidad de las ponencias decayó un poco al tratarse temas y enfoques de sobra ya conocidos por la mayoría de audiencia del evento (COBIT, ISO 20.000-1, ISO 27.0001) o con cierto aire comercial mal disimulado por el ponente, cabe destacar sin duda la última de las exposiciones llevadas a cabo en el auditorio principal, presentada por Rafael García Gozalo, vocal asesor jefe del área internacional de la Agencia Española de Protección de Datos bajo el título ‘Novedades en protección de datos: Reglamento europeo y Privacy Shield’.

Rafael García expuso que recientemente ha sido aprobado por el Parlamento Europeo (pendiente tan solo de su aprobación definitiva por el Consejo) el esperado Reglamento General de Protección de Datos (RGPD).
El Reglamento será de aplicación directa sin necesidad de transposición del Derecho de cada país. Será de obligado cumplimiento a los dos años desde su publicación (mediados del 2018)
Entre otros aspectos destacables, cabe subrayar que este reglamento nace con importantes indefiniciones susceptibles de ser interpretadas y que a falta de jurisprudencia al respecto, sin duda tendremos dos años por delante de duro trabajo por parte de los profesionales hacia el cumplimiento en la Organizaciones.

Asimismo, merece especial atención la flexibilidad del Reglamento, abriendo la puerta explícitamente en alguno de sus puntos al desarrollo e interpretación específico por cada uno de los países.

Finalmente, en relación a las transferencias de datos, Rafael García mostro la postura escéptica de las autoridades europeas reunidas en el Grupo de Trabajo del artículo 29, respecto al  acuerdo ‘EU-US Privacy Shield’, por lo de momento las Organizaciones aún deberemos lidiar con esta situación poco definida y transitoria.


7. Como colofón y previo a la clausura del evento, tuvo lugar una interesante mesa redonda con el tema ‘Securizando la Industrial Internet of Things’ en la que participaron los profesionales en la materia: Antonio Ayala, Director Comercial de Inycom, Carlos Puga, CIO de Opentrends, Marc Pous  CEO & Internet of Things giant, Joan Figueras Tugas, Seguridad Informática y Protección de Datos Personales, y Josep-Ramon Ferrer Escoda, Institucional Business Development Director DOXA Innova & Smart.


Autor: Ero Rodríguez - CISA, CRISC, ITILF, ISO 22301 L.A.
Departamento Consultoría

Publicada la versión 3.2 del estándar PCI DSS

Publicada nueva versión PCI DSS v3.2
El pasado 28 de Abril salió a la luz la versión 3.2 del estándar de seguridad PCI DSS, siendo algunos de los cambios más destacados de ésta los siguientes:
  • Se añade el requerimiento 6.4.6, en el que especifica que cada vez que se realice un cambio significativo en el entorno de cumplimiento, se deberá garantizar la correcta aplicación de todos los requerimientos PCI DSS afectados a los nuevos elementos introducidos, así como la actualización de toda la documentación existente en el entorno que dependa de dicho cambio (diagramas de red, guías de configuración y bastionado, procedimientos operativos, etc.).
  • Se expande el requerimiento 8.3, con los subrequerimientos 8.3.1 y 8.3.2, que especifican que todos los accesos administrativos realizados en el entorno de cumplimiento se deberán realizar con una autenticación multi-factor (más de un factor de autenticación), incluso los realizados desde redes internas de la entidad. Además, y como en la versión anterior del estándar, todos los accesos remotos de usuarios al entorno de cumplimiento también deberán realizarse con una autenticación multi-factor.
Además, existen también algunos cambios destacados que aplican solo a Proveedores de Servicio:
  • Se añade el nuevo requerimiento 3.5.1, que especifica que se deberá mantener documentación formal sobre la arquitectura de cifrado de datos existente, de manera que se detalle:
    • Los algoritmos, protocolos y claves utilizadas para la protección de los datos de tarjeta, incluyendo la robustez de los mismos y los criptoperiodos aplicables.
    • Los usos autorizados para cada una de las claves de cifrado.
    • Inventarios de dispositivos utilizados para la gestión de las claves de cifrado, como HSM’s (Hardware Security Module) o SCD’s (Secure Cryptographic Devices).
  • Se añaden los requerimientos 10.8 y 10.8.1, que especifican que se deben implementar y mantener procesos operativos para la detección y respuesta ante fallos en los sistemas de seguridad críticos en el CDE (Cardholder Data Environment), como los siguientes:
    • Firewalls
    • IDS/IPS
    • FIM
    • Antivirus
    • Controles de acceso físicos & lógicos
    • Mecanismos de registro de actividades (logs)
    • Controles de segmentación
  • Se añade el requerimiento 11.3.4.1, que indica que los proveedores de servicio deberán realizar Tests de Intrusión para validar  los controles de segmentación del entorno cada 6 meses, así como después de cada cambio realizado en los controles de segmentación existentes.
  • Se añade el requerimiento 12.4.1, que especifica que se deberán establecer las responsabilidades para asegurar el mantenimiento continuo del estándar PCI DSS, así como la necesidad de notificar de manera formal a la gerencia los elementos más destacados de los programas de cumplimiento del estándar vigentes, para garantizar un conocimiento y apoyo continuo por su parte.
  • Se añaden los requerimientos 12.11 y 12.11.1, que indican que se deberán realizar revisiones trimestrales para asegurar que el personal de la entidad está cumpliendo las políticas de seguridad y procedimientos operativos internos relacionados con el estándar PCI DSS, y documentar los resultados de dichas revisiones.
Todos los nuevos requerimientos introducidos en la versión 3.2 del estándar y que han sido comentadas anteriormente son buenas prácticas hasta el 31 de Enero del 2018, fecha en la cual pasarán a ser de obligada aplicación.

Además, se ha añadido también una clarificación importante en el requerimiento 6.5, que especifica que los desarrolladores implicados en el entorno de cumplimiento deberán recibir formaciones en desarrollo seguro de manera como mínimo anual. Dicha aclaración será de obligada aplicación des de que la versión anterior del estándar (3.1) deje de ser vigente, el 31 de Octubre de 2016.

También se han añadido dos nuevos anexos en el estándar:
  • Anexo A2 Requerimientos adicionales para entidades que utilicen SSL/TLS v1.0:
    • Todos los Proveedores de Servicio deberán utilizar versiones iguales o superiores a TLS v1.1 para cifrar las comunicaciones de datos de tarjeta por redes públicas antes del 30 de Junio de 2016 (siendo los requerimientos afectados el 2.2.3, 2.3 y 4.1).
    • El resto de entidades (comercios), deberán utilizar versiones iguales o superiores a TLS v1.1 para cifrar las comunicaciones de datos de tarjeta por redes públicas antes del 30 de Junio de 2018 (siendo los requerimientos afectados el 2.2.3, 2.3 y 4.1).
  • Anexo A3 “Designated Entities Supplemental Validation” (DESV): Anexo que introduce las pautas del documento PCI SSC DESV, y que aplica a entidades consideradas por los adquirientes como de alto riesgo (entidades donde ha habido fugas de datos previas, entidades con un alto volumen de transacciones con datos de tarjeta, etc). El objetivo de dicho anexo es garantizar que dichas entidades estarán sujetas a un cumplimiento continuo del estándar de seguridad PCI DSS, introduciendo nuevos requerimientos que aseguren que la entidad  va a dedicar unos esfuerzos adecuados para tal efecto.
Por último, hay que tener en cuenta que la versión 3.2 del estándar ha venido acompañada de la publicación de los siguientes documentos asociados:

Referencias
https://es.pcisecuritystandards.org/document_library
http://blog.pcisecuritystandards.org/
http://training.pcisecuritystandards.org/pci-dss-3.2-overview-webinar


Autor: Guillem Fàbregas - PCI QSA, PCIP, CISSP, CISA, CISM, CRISC, ISO 27001 L.A.
Departamento de Consultoría.