jueves, 19 de diciembre de 2019

PCI DSS y CIS Controls: cómo cumplir con ambos estándares


Del mismo modo que el mundo digital crece y evoluciona sin descanso, así lo hacen también las amenazas y los peligros que lo acechan. Afortunadamente, cada vez son más las compañías que están realmente concienciadas sobre la importancia de la seguridad de la información y que comienzan a adaptar sus procedimientos y a integrar herramientas específicas con este fin.

De esta forma, la ciberseguridad es un camino vivo, que no se acaba y que debe recorrerse 24/7. Por eso es tan importante planificarlo con cuidado. Antes de ponerse en marcha hay una decisión esencial que debe tomarse: ¿cuál de los muchos caminos existentes voy a seguir?, es decir, ¿qué marco de seguridad es mejor para mi organización?

PCI DSS: Bastante extendido, pero impuesto y muy específico

En el caso de PCI DSS, a pesar de ser un estándar de obligado cumplimiento para cualquier entidad que procese, transmita o almacene datos de tarjeta, muchas compañías no dan el paso definitivo hasta que les llega la imposición de certificarse oficialmente, una obligación que suele provenir del banco adquiriente o de un gran cliente o proveedor clave. En definitiva, el requerimiento de cumplimiento por parte de un tercero, aunque siempre parece inoportuno, se convierte muy a menudo en la puerta de entrada al mundo de la seguridad “reglada”.

Para una empresa consolidada y comprometida con la seguridad, PCI DSS, que pone el foco en un lugar muy concreto, pondrá sobre la mesa, de forma indirecta, una cuestión muy importante: fuera de los datos de tarjetas de pago, ¿qué se hace para proteger el resto de información sensible y confidencial de la empresa?

Deberán protegerse los datos personales de clientes y empleados (RGPD), por supuesto, pero también informes económicos o estratégicos, planes de expansión, negociaciones con proveedores o información muy específica del core del negocio como podría ser una fórmula secreta para la producción de alimentos o bebidas.

¿Hay alguna forma de abarcar fácilmente todo esto? ¿Bastaría con extrapolar nuestros controles de seguridad o debemos buscar un nuevo marco de seguridad?

La respuesta, como no podía ser de otra forma, es “depende”. Siempre será necesario realizar un gap análisis previo y minucioso: concretar cuál es la información valiosa de la compañía, cómo se genera o por dónde entra, dónde reside, si está en soportes físicos o digitales o en ambos, qué controles de acceso se han establecido, cuándo y cómo se elimina cada pieza de información, etc.

CIS Controls: Una opción genérica y versátil

Los controles del CIS tienen precisamente un enfoque de ciberseguridad global, apoyándose en controles bastante diversos para proteger aquella información que una compañía haya categorizado como sensible, independientemente de su naturaleza.

Aprovechando que este año se publicó la versión 7.1 de los CIS Controls, vamos a evaluar a alto nivel un caso muy concreto de ampliación o extensión de la seguridad: la posibilidad de una transición entre PCI DSS y CIS Controls, de forma que partiendo de uno de ellos quisiéramos cumplir ambos. Porque, si bien es cierto que a nivel de controles específicos parecen tener muchas similitudes, a continuación, comprobaremos que se trata de dos marcos de seguridad bastante distintos.

Diferencias y similitudes


Exponemos una muestra con nueve puntos generales donde podemos apreciar algunas de las diferencias y similitudes que guardan entre sí el estándar PCI DSS y los CIS Controls:
  1. Objetivo
Como ya hemos mencionado, PCI DSS se enfoca exclusivamente en la protección de los datos de tarjeta: cuando están almacenados en cualquier soporte -físico o digital-, cuando se transmiten y cuando se procesan; mientras que CIS Controls es un marco genérico de Seguridad para proteger cualquier información que una compañía considere valiosa y sus sistemas críticos.

Es decir, ambos marcos serían equivalentes si una organización considerara como única información sensible los números y datos de tarjetas de pago que maneja, pero es difícil que sea así, pues, como mínimo, tendrán almacenada información personal de sus propios trabajadores, por no hablar de información sobre clientes, acuerdos, planes estratégicos que la competencia no debería conocer o incluso una fórmula secreta clave.
  1. Alcance
El PCI Security Standards Council publicó una guía para definir el alcance de PCI DSS que deja poco espacio para la imaginación y las interpretaciones: a grandes rasgos, se establece un Cardholder Data Environment o CDE conformado por aquellos sistemas que intervienen directamente en el procesado, almacenaje o transmisión de los datos de tarjetas (y aquellos que estén en las mismas VLANs) y también se añaden al alcance aquellos sistemas que se conectan con el CDE o afectan a su seguridad de alguna forma.

Sin embargo, en los CIS Controls no se menciona la palabra “alcance” ni una sola vez en este sentido (únicamente para concretar las pruebas de penetration tests), por lo que podría entenderse que los controles deben aplicarse a todos los sistemas de la organización o que simplemente esto quedará bajo su criterio.
  1. Certificación
PCI DSS obedece a un sistema clásico de certificación, donde empresas y profesionales se acreditan como auditores cualificados (QSAs) y las empresas que demuestran cumplimiento obtienen una certificación con validez anual.

Por su parte, CIS Controls no sigue este modelo: serán las propias organizaciones quienes, bajo su criterio, determinen el nivel de cumplimiento conseguido respecto a la lista de controles. Es decir, este marco de seguridad sólo da pie a realizar auditorías para controlar de forma interna el cumplimiento, sin poder acreditarlo de forma objetiva ante otras organizaciones.
  1. Inventarios
La creación y mantenimiento de un inventario actualizado con todo el detalle de los sistemas que entran en alcance es posiblemente uno de los controles más elementales que, a priori, ambas normas tienen en común. Sin embargo, basta entrar un poco en profundidad para entender que incluso aquí hay diferencias significativas.

Por ejemplo, PCI DSS en su requisito 2.4, indica claramente “Lleve un inventario de los componentes del sistema que están dentro del alcance”, dejando total libertad a las organizaciones en cuanto a la forma en que se genera y mantiene en el mismo.

Pero los CIS Controls, en su control 1, van mucho más allá y no se conforman con la existencia de un inventario, sino que especifican cómo ha de realizarse: combinando una herramienta de descubrimiento activo (control 1.1) y una herramienta de descubrimiento pasivo (control 1.2):

Por descubrimiento activo entendemos escanear la red “activamente” para poder encontrar dispositivos, del mismo modo que haría un barrido de ping o un escaneo con NMAP, que precisamente aúna varios protocolos de comunicaciones para obtener esta información. De hecho, podrían usarse las mismas herramientas encargadas de hacer escaneos de vulnerabilidades. Mientras que por descubrimiento pasivo hemos de entender una revisión de los registros de tráfico de la red (firewall, DNS, DHCP) en busca de nuevos dispositivos no controlados en el inventario.

Como puede verse, la complejidad y rigidez añadida en los CIS Controls puede acabar dando algún quebradero de cabeza.
  1. Uso de Multifactor de Autenticación (MFA)
Aunque en versiones anteriores de PCI DSS se hacía alusión al doble factor de autenticación o 2FA, desde su versión 3.2 se hace referencia al multifactor de autenticación, que da una idea más clara que cada factor debe tener una naturaleza distinta (por ejemplo, el uso de dos contraseñas no cumpliría MFA; mientras que contraseña y token OTP, sí) y deja la puerta abierta a incorporar más de dos factores.

PCI DSS es muy específica sobre los casos en que debe hacerse uso del MFA:
  • Para todo acceso administrativo individual que no sea de consola (requisito 8.3.1)
  • Para todo acceso remoto desde fuera de la red de la entidad al CDE (requisito 8.3.2)
Sin embargo, los CIS Controls son mucho más ambiciosos (quizá demasiado, como veremos a continuación) e incluso bastante dispersos, pues mencionan el multifactor de autenticación hasta en cinco ocasiones distintas:
  • Para todo acceso administrativo a los sistemas (control 4.5)
  • En los accesos para gestionar dispositivos de red (control 11.5)
  • En todos los accesos remotos (control 12.11)
  • Para autenticarse en las redes inalámbricas corporativas (control 15.8)
  • Para los accesos de todas las cuentas de usuario, sobre todos los sistemas, ya sean cuentas gestionadas on-site o por un proveedor (control 16.3)
Debido a este control 16.3 se requeriría el uso de MFA en absolutamente todos los accesos en la organización, algo que parece exagerado y costoso. Por ejemplo, sin más interpretación, el simple acceso de un trabajador a su PC debería ser con MFA.

Y, por si fuera poco, tras la versión 7.1 de los CIS Controls, la mayoría de estos controles se exigen para los grupos de implementación 2, es decir, ni siquiera quedan suscritos al grupo 3 que son las organizaciones más maduras y con expertise en ciberseguridad.
  1. Pruebas técnicas de seguridad exigidas
A lo largo del estándar de PCI DSS se mencionan numerosas pruebas técnicas (aunque su aplicabilidad dependerá del alcance concreto de cada organización, por supuesto) con unas periodicidades determinadas (a repetir, además, en caso de cambio significativo en el entorno):
  • Escaneos internos de vulnerabilidades con periodicidad trimestral
  • Escaneos externos de vulnerabilidades ASV con periodicidad trimestral
  • Test de penetración interno anual
  • Test de penetración externo anual
  • Revisión de código de aplicación anual
  • Escaneos de redes wireless con periodicidad trimestral
Por su lado, CIS Controls hace referencia a una batería de pruebas similares, pero haciendo uso de palabras como “regularmente” o “periódicamente” no exige periodicidades concretas:
  • Escaneo de vulnerabilidades interno de forma automatizada
  • Test de penetración internos y externos.
  • Uso de herramientas de análisis dinámico y estático de código de aplicación
  • Escaneos de redes wireless se debe delegar a una herramienta especializada WIDS para que se realice de forma automática y continua
  1. Políticas y procedimientos
Hoy en día es bastante evidente la necesidad de que una organización mantenga por escrito un mínimo de procedimientos y políticas, que den soporte y sirvan de referencia al resto de tareas que han de realizarse de forma regular para mantener la seguridad en los niveles adecuados. Es la única forma de garantizar que un proceso se realiza de forma óptima independientemente de las personas involucradas.

A pesar de esto y a pesar de la gran cantidad de tareas que pide realizar, CIS Controls sólo exige la existencia de un documento:
  • Plan de respuesta ante incidentes (control 19.1).
Nada que ver con el enfoque de PCI DSS, que reserva su requisito 12 para centrarse en políticas de seguridad y exige cubrir muy diversos contenidos:
  • Política de seguridad de la información
  • Procedimiento de ejecución de análisis de riesgos
  • Política de uso de tecnologías críticas
  • Procedimiento de contratación de personal en el entorno PCI DSS
  • Política de gestión de proveedores
  • Plan de gestión de incidentes de seguridad
  • Etc.
De hecho, en otros requisitos de PCI DSS también se exige tener alguna documentación escrita, como podría ser, por ejemplo, un procedimiento de gestión de cambios o un procedimiento para la inspección física de datáfonos o una guía de bastionado para establecer una configuración segura en un sistema.
  1. Copias de seguridad
Este es uno de los puntos donde se pone más en relieve las diferencias de criterio entre ambos marcos de seguridad.

PCI DSS no exige realizar copias de seguridad de los datos de tarjeta; en caso de que se hagan, pide comprobar que no haya números de tarjeta en claro en esas copias y que se verifique que los medios de almacenamiento se encuentren en un lugar físico protegido. Sí se pide, sin embargo, hacer copias de los logs o registros de auditoría a algún dispositivo o servidor centralizado donde sean difíciles de modificar, primando así la integridad de esta información que hace posible la investigación de un incidente.

Por otro lado, CIS Controls sí exige que se hagan backups de la información crítica de la compañía y de los sistemas que la tratan, y dedica su control 10 a esta actividad: la realización de copias de seguridad debe hacerse de forma regular e incluso automatizada, deben usarse técnicas que luego permitan una restauración rápida, debe establecerse un proceso regular de pruebas de recuperación para verificar que las copias son válidas, etc.
  1. Seguridad física
Si en el punto anterior veíamos que los Controles del CIS se tomaban mucho más en serio las copias de seguridad, en lo que respecta a la seguridad física cambian completamente las tornas:

Uno de los doce requisitos que componen PCI DSS, el requisito 9, está dedicado por completo a la seguridad física. Se establecen controles para el acceso a los dispositivos que tratan o almacenan los datos de tarjeta, para las personas que visitan las instalaciones de la organización, sobre cómo deben gestionarse los medios de almacenamiento (recepción, clasificación, destrucción), inventario e inspección de datáfonos, etc.

Sorprendentemente, los CIS Controls apenas hacen referencia a la seguridad física y se limitan exclusivamente al plano lógico. La única mención explícita se hace en su control 10.4, donde, para garantizar la protección de los backups, se proponen alternativas como la protección física o el cifrado.

PCI DSS Controles del CIS
Objetivo Datos de tarjetas de pago Info. considerada sensible
Alcance Definido
X
Sistema de Certificación X
Inventarios
Sin especificar cómo ha de generarse o actualizarse
Se especifican métodos concretos para su generación y actualización
Uso de MFA
En accesos de riesgo

En cualquier acceso
Pruebas Técnicas
Incluye prueba específica PCI (ASV)
Políticas y Procedimientos
Marco documental extenso
X
Apenas se exigen
Copias de Seguridad X
No se exigen

Se exige hacerlas y probarlas
Seguridad Física X
No se contempla


Conclusiones

Con un primer vistazo a los controles del CIS y a los requisitos de PCI DSS se puede constatar que no hay apenas aspectos que estén incluidos en sólo uno de estos dos marcos de Seguridad (el ejemplo más claro sería el de la seguridad física que ya hemos visto). En cualquier caso, esto no debería de suponer un gran problema, pues “simplemente” supondría establecer una serie de procedimientos y tareas nuevas.

El mayor desafío, sin embargo, reside en cómo dar cumplimiento a temas y actividades que se superponen, que están incluidas en ambos marcos. Porque, cuando se revisan los controles y requisitos con un poco más de detenimiento, se encuentran matices importantes en cuanto a la forma de ejecución, alcance y periodicidad de cada acción. Los dos últimos aspectos se definen muy claramente en PCI DSS, pero quedan muy abiertos en los CIS Controls, por lo que la organización debe afrontar un trabajo de análisis y reflexión importante.

Por este motivo se recomienda contar siempre con el apoyo de una compañía externa experta en Seguridad, quien será capaz de definir las necesidades específicas y encontrar las vías más sencillas y efectivas para cumplir cada control.

Referencias

Autor: Daniel Fuertes - CISSP, PCIP, ISO 27001 L.A.
Dpto. Consultoría