Del mismo modo que el mundo digital crece y evoluciona sin descanso, así lo hacen también las amenazas y los peligros que lo acechan. Afortunadamente, cada vez son más las compañías que están realmente concienciadas sobre la importancia de la seguridad de la información y que comienzan a adaptar sus procedimientos y a integrar herramientas específicas con este fin.
De esta forma, la ciberseguridad es un camino vivo, que no se acaba y que debe recorrerse 24/7. Por eso es tan importante planificarlo con cuidado. Antes de ponerse en marcha hay una decisión esencial que debe tomarse: ¿cuál de los muchos caminos existentes voy a seguir?, es decir, ¿qué marco de seguridad es mejor para mi organización?
PCI DSS: Bastante extendido, pero impuesto y muy específico
En el caso de PCI DSS, a pesar de ser un estándar de obligado cumplimiento para cualquier entidad que procese, transmita o almacene datos de tarjeta, muchas compañías no dan el paso definitivo hasta que les llega la imposición de certificarse oficialmente, una obligación que suele provenir del banco adquiriente o de un gran cliente o proveedor clave. En definitiva, el requerimiento de cumplimiento por parte de un tercero, aunque siempre parece inoportuno, se convierte muy a menudo en la puerta de entrada al mundo de la seguridad “reglada”.
Para una empresa consolidada y comprometida con la seguridad, PCI DSS, que pone el foco en un lugar muy concreto, pondrá sobre la mesa, de forma indirecta, una cuestión muy importante: fuera de los datos de tarjetas de pago, ¿qué se hace para proteger el resto de información sensible y confidencial de la empresa?
Deberán protegerse los datos personales de clientes y empleados (RGPD), por supuesto, pero también informes económicos o estratégicos, planes de expansión, negociaciones con proveedores o información muy específica del core del negocio como podría ser una fórmula secreta para la producción de alimentos o bebidas.
¿Hay alguna forma de abarcar fácilmente todo esto? ¿Bastaría con extrapolar nuestros controles de seguridad o debemos buscar un nuevo marco de seguridad?
La respuesta, como no podía ser de otra forma, es “depende”. Siempre será necesario realizar un gap análisis previo y minucioso: concretar cuál es la información valiosa de la compañía, cómo se genera o por dónde entra, dónde reside, si está en soportes físicos o digitales o en ambos, qué controles de acceso se han establecido, cuándo y cómo se elimina cada pieza de información, etc.
CIS Controls: Una opción genérica y versátil
Los controles del CIS tienen precisamente un enfoque de ciberseguridad global, apoyándose en controles bastante diversos para proteger aquella información que una compañía haya categorizado como sensible, independientemente de su naturaleza.
Aprovechando que este año se publicó la versión 7.1 de los CIS Controls, vamos a evaluar a alto nivel un caso muy concreto de ampliación o extensión de la seguridad: la posibilidad de una transición entre PCI DSS y CIS Controls, de forma que partiendo de uno de ellos quisiéramos cumplir ambos. Porque, si bien es cierto que a nivel de controles específicos parecen tener muchas similitudes, a continuación, comprobaremos que se trata de dos marcos de seguridad bastante distintos.
Diferencias y similitudes
Exponemos una muestra con nueve puntos generales donde podemos apreciar algunas de las diferencias y similitudes que guardan entre sí el estándar PCI DSS y los CIS Controls:
- Objetivo
Es decir, ambos marcos serían equivalentes si una organización considerara como única información sensible los números y datos de tarjetas de pago que maneja, pero es difícil que sea así, pues, como mínimo, tendrán almacenada información personal de sus propios trabajadores, por no hablar de información sobre clientes, acuerdos, planes estratégicos que la competencia no debería conocer o incluso una fórmula secreta clave.
- Alcance
Sin embargo, en los CIS Controls no se menciona la palabra “alcance” ni una sola vez en este sentido (únicamente para concretar las pruebas de penetration tests), por lo que podría entenderse que los controles deben aplicarse a todos los sistemas de la organización o que simplemente esto quedará bajo su criterio.
- Certificación
Por su parte, CIS Controls no sigue este modelo: serán las propias organizaciones quienes, bajo su criterio, determinen el nivel de cumplimiento conseguido respecto a la lista de controles. Es decir, este marco de seguridad sólo da pie a realizar auditorías para controlar de forma interna el cumplimiento, sin poder acreditarlo de forma objetiva ante otras organizaciones.
- Inventarios
Por ejemplo, PCI DSS en su requisito 2.4, indica claramente “Lleve un inventario de los componentes del sistema que están dentro del alcance”, dejando total libertad a las organizaciones en cuanto a la forma en que se genera y mantiene en el mismo.
Pero los CIS Controls, en su control 1, van mucho más allá y no se conforman con la existencia de un inventario, sino que especifican cómo ha de realizarse: combinando una herramienta de descubrimiento activo (control 1.1) y una herramienta de descubrimiento pasivo (control 1.2):
Por descubrimiento activo entendemos escanear la red “activamente” para poder encontrar dispositivos, del mismo modo que haría un barrido de ping o un escaneo con NMAP, que precisamente aúna varios protocolos de comunicaciones para obtener esta información. De hecho, podrían usarse las mismas herramientas encargadas de hacer escaneos de vulnerabilidades. Mientras que por descubrimiento pasivo hemos de entender una revisión de los registros de tráfico de la red (firewall, DNS, DHCP) en busca de nuevos dispositivos no controlados en el inventario.
Como puede verse, la complejidad y rigidez añadida en los CIS Controls puede acabar dando algún quebradero de cabeza.
- Uso de Multifactor de Autenticación (MFA)
PCI DSS es muy específica sobre los casos en que debe hacerse uso del MFA:
- Para todo acceso administrativo individual que no sea de consola (requisito 8.3.1)
- Para todo acceso remoto desde fuera de la red de la entidad al CDE (requisito 8.3.2)
- Para todo acceso administrativo a los sistemas (control 4.5)
- En los accesos para gestionar dispositivos de red (control 11.5)
- En todos los accesos remotos (control 12.11)
- Para autenticarse en las redes inalámbricas corporativas (control 15.8)
- Para los accesos de todas las cuentas de usuario, sobre todos los sistemas, ya sean cuentas gestionadas on-site o por un proveedor (control 16.3)
Y, por si fuera poco, tras la versión 7.1 de los CIS Controls, la mayoría de estos controles se exigen para los grupos de implementación 2, es decir, ni siquiera quedan suscritos al grupo 3 que son las organizaciones más maduras y con expertise en ciberseguridad.
- Pruebas técnicas de seguridad exigidas
- Escaneos internos de vulnerabilidades con periodicidad trimestral
- Escaneos externos de vulnerabilidades ASV con periodicidad trimestral
- Test de penetración interno anual
- Test de penetración externo anual
- Revisión de código de aplicación anual
- Escaneos de redes wireless con periodicidad trimestral
- Escaneo de vulnerabilidades interno de forma automatizada
- Test de penetración internos y externos.
- Uso de herramientas de análisis dinámico y estático de código de aplicación
- Escaneos de redes wireless se debe delegar a una herramienta especializada WIDS para que se realice de forma automática y continua
- Políticas y procedimientos
A pesar de esto y a pesar de la gran cantidad de tareas que pide realizar, CIS Controls sólo exige la existencia de un documento:
- Plan de respuesta ante incidentes (control 19.1).
- Política de seguridad de la información
- Procedimiento de ejecución de análisis de riesgos
- Política de uso de tecnologías críticas
- Procedimiento de contratación de personal en el entorno PCI DSS
- Política de gestión de proveedores
- Plan de gestión de incidentes de seguridad
- Etc.
- Copias de seguridad
PCI DSS no exige realizar copias de seguridad de los datos de tarjeta; en caso de que se hagan, pide comprobar que no haya números de tarjeta en claro en esas copias y que se verifique que los medios de almacenamiento se encuentren en un lugar físico protegido. Sí se pide, sin embargo, hacer copias de los logs o registros de auditoría a algún dispositivo o servidor centralizado donde sean difíciles de modificar, primando así la integridad de esta información que hace posible la investigación de un incidente.
Por otro lado, CIS Controls sí exige que se hagan backups de la información crítica de la compañía y de los sistemas que la tratan, y dedica su control 10 a esta actividad: la realización de copias de seguridad debe hacerse de forma regular e incluso automatizada, deben usarse técnicas que luego permitan una restauración rápida, debe establecerse un proceso regular de pruebas de recuperación para verificar que las copias son válidas, etc.
- Seguridad física
Uno de los doce requisitos que componen PCI DSS, el requisito 9, está dedicado por completo a la seguridad física. Se establecen controles para el acceso a los dispositivos que tratan o almacenan los datos de tarjeta, para las personas que visitan las instalaciones de la organización, sobre cómo deben gestionarse los medios de almacenamiento (recepción, clasificación, destrucción), inventario e inspección de datáfonos, etc.
Sorprendentemente, los CIS Controls apenas hacen referencia a la seguridad física y se limitan exclusivamente al plano lógico. La única mención explícita se hace en su control 10.4, donde, para garantizar la protección de los backups, se proponen alternativas como la protección física o el cifrado.
| PCI DSS | Controles del CIS | |
| Objetivo | Datos de tarjetas de pago | Info. considerada sensible |
| Alcance Definido |  |
X |
| Sistema de Certificación | |
X |
| Inventarios | Sin especificar cómo ha de generarse o actualizarse |
 |
| Uso de MFA | En accesos de riesgo |
En cualquier acceso |
| Pruebas Técnicas | Incluye prueba específica PCI (ASV) |
|
| Políticas y Procedimientos | Marco documental extenso |
X Apenas se exigen |
| Copias de Seguridad | X No se exigen |
Se exige hacerlas y probarlas |
| Seguridad Física | |
X No se contempla |
Conclusiones
Con un primer vistazo a los controles del CIS y a los requisitos de PCI DSS se puede constatar que no hay apenas aspectos que estén incluidos en sólo uno de estos dos marcos de Seguridad (el ejemplo más claro sería el de la seguridad física que ya hemos visto). En cualquier caso, esto no debería de suponer un gran problema, pues “simplemente” supondría establecer una serie de procedimientos y tareas nuevas.
El mayor desafío, sin embargo, reside en cómo dar cumplimiento a temas y actividades que se superponen, que están incluidas en ambos marcos. Porque, cuando se revisan los controles y requisitos con un poco más de detenimiento, se encuentran matices importantes en cuanto a la forma de ejecución, alcance y periodicidad de cada acción. Los dos últimos aspectos se definen muy claramente en PCI DSS, pero quedan muy abiertos en los CIS Controls, por lo que la organización debe afrontar un trabajo de análisis y reflexión importante.
Por este motivo se recomienda contar siempre con el apoyo de una compañía externa experta en Seguridad, quien será capaz de definir las necesidades específicas y encontrar las vías más sencillas y efectivas para cumplir cada control.
Referencias
- PCI DSS
- CIS Controls
- Blog de ISECAuditors:
Autor: Daniel Fuertes - CISSP, PCIP, ISO 27001 L.A.
Dpto. Consultoría
