Blog / Cumplimiento PCI DSS /

Blog de Internet Security Auditors: Impacto de la COVID-19 en el estándar PCI DSS (II)

Impacto de la COVID-19 en el estándar PCI DSS (II)

Según mencionábamos en el anterior artículo de esta serie, actualmente con la aparición de la COVID-19, han aparecido nuevos riesgos que antes no teníamos en cuanto a la seguridad que debemos abordar con medidas de seguridad eficaces para evitar posibles brechas de seguridad.

Además, este nuevo paradigma ha propiciado que los QSAs no puedan desplazarse a las ubicaciones de forma física que se deben evaluar bajo el estándar PCI DSS, por lo que proliferan las auditorías o evaluaciones remotas. Para llevar a cabo este tipo de auditorías, debemos tener en cuenta una serie de factores para que el PCI SSC las considera válidas.

A continuación, vamos a analizar algunas de las medidas de seguridad que podemos llevar a cabo para mitigar los riesgos que se plantean con el teletrabajo y también analizaremos los factores a tener en cuenta para realizar evaluaciones PCI DSS remotas de forma adecuada.


1. Medidas de seguridad a implementar

El primer paso para poder determinar los riesgos y amenazas y, posteriormente, los controles a implementar, es determinar eficientemente el alcance. Esto pasa por identificar todas las localizaciones en los que existen datos de los titulares de las tarjetas, además de identificar el personal, los procesos y la tecnología con la capacidad de interactuar con los datos de los titulares de las tarjetas.

A continuación, vamos a ir focalizándonos en cada uno de estos puntos del alcance y viendo las posibles medidas o controles a implementar para seguir cumpliendo con el estándar PCI DSS y no poner en riesgo los datos de tarjeta.

1.1. Datos del titular de la tarjeta

El primer componente del alcance, evidentemente, son los datos de tarjeta, la información sensible que tenemos que proteger de los amigos de lo ajeno. En concreto, los datos de una tarjeta y de su propietario son los siguientes:

  • PAN
  • Nombre del titular
  • Fecha de expiración,
  • Código de servicio,
  • Datos de la banda magnética,
  • CVV2,
  • PIN y PINBLOCK
  • Datos del chip EMV.

A modo de resumen, la piedra angular de todos estos datos es el PAN y el que debemos almacenar siempre de la forma más segura posible cumpliendo con los requisitos aplicables de PCI DSS. Además, por otro lado, encontramos los datos confidenciales de autenticación como son los datos de la banda magnética, el CVV2, el PIN / PINBLOCK los cuales no se pueden almacenar después de que se haya producido la autorización de la transacción correspondiente y deben eliminarse de forma segura. Todo esto, aunque ya es conocido, es muy importante que lo tengamos en cuenta a la hora de analizar los posibles riesgos y amenazas, debido a la gran variedad de procesos y empresas que tratan datos de tarjeta y que se han visto obligadas a modificar su modelo de trabajo y negocio tras la COVID-19.

Para hacer frente a los riesgos y amenazas con respecto a los datos de tarjeta vamos a tener que cumplir con lo siguiente:

Construir y mantener una red segura:

Este principio implica la creación de una red segura para transacciones fluidas. Esto se hace instalando y manteniendo una configuración de firewall. También cubre el uso de valores predeterminados proporcionados por el proveedor para contraseñas del sistema y otros parámetros de seguridad.

Proteger los datos del titular de la tarjeta

Como sugiere el nombre, esto implica la protección de los datos almacenados del titular de la tarjeta. También cubre la transmisión de datos cifrados del titular de la tarjeta a través de redes públicas abiertas de forma segura y sin violaciones.

Mantenga un programa de administración de vulnerabilidades

Esto le permite monitorear y actualizar software antivirus, programas anti-spyware y otras soluciones anti-malware.

Implementar fuertes medidas de control de acceso

Esto implica:

  • Restringir el acceso de las empresas a los datos de titulares de tarjetas a una necesidad de conocer
  • Asignar una identificación única a cada persona con acceso a una computadora.
  • Restringir el acceso físico a los datos del centro de tarjetas y los servidores administrados para garantizar la protección tanto física como electrónica de los datos del titular de la tarjeta.

Monitorear y probar redes:

Esto requiere la prueba y el monitoreo constantes de las redes para asegurarse de que estén actualizadas. Esta parte adquiere una mayor relevancia, en aquellas redes utilizadas por los empleados en el teletrabajo.

Mantenga una política de seguridad de la información:

Este principio requiere que se mantenga una política de seguridad de la información siempre actualizada y completa.

1.2. Personas

El siguiente elemento que se encuentra dentro del alcance, son las personas: los empleados que realizan y hacen posible todo el procesamiento y tratamiento de los datos de tarjeta y que son el eslabón más débil de la cadena de seguridad, precisamente, por la condición humana.

Las personas representan el mayor riesgo cuando se trata de la seguridad de los datos
, ya sea que los compromisos sean intencionados o accidentales.

Esto puede dar lugar a una amenaza interna que se produce cuando una persona con acceso legítimo hace un mal uso de sus privilegios y compromete las operaciones y la seguridad de una organización. Cuando está involucrado un informante con acceso legítimo a los datos, a menudo éste puede pasar desapercibido. Esta amenaza, en los últimos años y de forma constante, ha ido creciendo, aumentando el número de casos de incidentes propiciados por personas con acceso a información privilegiada, sean empleados o terceros.

Cada organización, debe hacer un esfuerzo para identificar todos y cada uno de los empleados, departamentos, etc. que están involucrados con algún tratamiento de datos de tarjeta o tienen acceso al entorno PCI DSS, ya que estos pueden ser muy variados. De este modo encontramos los siguientes tipos de personas que podrían estar involucradas: empleados de cajeros, operadores de call center, administradores, personal de IT, desarrolladores de sw de pago, RRHH, custodios de claves, oficiales de seguridad, supervisores y managers, también podría estar el departamento de contabilidad, etc.

Para paliar los posibles riesgos y amenazas derivados del teletrabajo con respecto a las personas, podemos llevar a cabo las siguientes acciones:

Implementar un programa de concienciación sobre seguridad

Implementar un programa de concienciación sobre seguridad (Requisito 12.6 de las PCI DSS), entregado al inicio del empleo y, al menos, una vez al año a partir de entonces, para asegurarse de que todo el personal esté debidamente capacitado y tenga conocimiento sobre las políticas y procedimientos de seguridad de la empresa. Esto incluye revisar las políticas y procedimientos de seguridad con todos los empleados internos y en el hogar / remotos al menos una vez al año para garantizar que los procesos y procedimientos de seguridad no se olviden ni se eludan.

La educación debe ser un pilar importante para que todos los usuarios sean conscientes de los riesgos a los cuales pueden verse expuestos y cuáles son los cuidados que deben tener al ingresar dispositivos ajenos a la compañía. Si el usuario no conoce los riesgos a los cuales expone la información de la empresa, e incluso la propia, puede ser víctima con más facilidad de muchas amenazas. El empleado debe entender que así esté fuera de la oficina, el dispositivo desde el cual trabaja es una puerta a toda la organización y, como tal, debe garantizar un uso adecuado.

Como práctica recomendada, se debe considerar solicitar al personal que reconozca la política de seguridad como parte de su proceso de inicio de sesión diario.

Securización de la ubicación del teletrabajo

Asegurar los sistemas y los datos ubicados en entornos de trabajadores a domicilio puede ser un desafío y difícil de hacer cumplir. Como mínimo, se debería exigir a los trabajadores a domicilio que se aseguren que cualquier sistema que utilicen para procesar los datos de tarjeta, y cualquier dato de tarjeta al que tengan acceso, se mantenga de forma segura y no sea accesible para ninguna persona no autorizada. En este sentido, debe existir una política que asegure que los datos de las tarjetas de pago estén protegidos contra la visualización no autorizada (por ejemplo, que algún conviviente de la casa pueda pasar por detrás y tener acceso a los datos de tarjeta o datos de tarjeta escritos y presentes en la mesa o escritorio de trabajo, que el trabajador dicte los datos de tarjeta de forma hablada, de tal forma que un tercero podría escucharlos y generar una copia de éstos, etc.).

Monitorización de los trabajadores

Se debe prestar especial atención a los trabajadores que trabajan desde casa. Algunos de los controles necesarios pueden ser difíciles de implementar. Las organizaciones deben evaluar los riesgos adicionales asociados con el procesamiento de datos de tarjeta en ubicaciones no controladas e implementar los controles en consecuencia. Todo el personal debe ser plenamente consciente de los riesgos relacionados con el trabajo a distancia o desde el hogar y lo que se debe requerir para mantener la seguridad continua de los sistemas, procesos y equipos que respaldan el procesamiento de datos de tarjetas.

Definición clara y asignación de acceso a todo el personal basado en Need to Know

Definir claramente las funciones y asignar todo el acceso al sistema en función de la necesidad de conocer (Need to Know), para garantizar que el personal que tiene acceso a los datos de tarjeta desde su domicilio es el mínimo imprescindible para el negocio. Por ejemplo, en un entorno de pagos por teléfono, se podría asignar funciones y permisos para que la información de las tarjetas de pago pueda ser introducida por un agente de ventas o un operador, pero otro personal, como, por ejemplo, el personal del servicio de atención al cliente o los supervisores, sólo tengan acceso al PAN enmascarado. De tal forma, que se minimice así la transferencia, por redes no tan controladas por la organización, y el acceso a los datos en esta situación excepcional. Esto viene a consecuencia porque muchas veces se otorgan permisos de forma indiscriminada para mantener el servicio ante situaciones de caos, y esto es una mala práctica de seguridad que hay que evitar.

Capacitación frente a ataques comunes o estafas

Una parte importante sería también, que las organizaciones deben ser conscientes del riesgo que corre su personal en ser abordado y amenazado por el crimen organizado. Se recomienda que la capacitación incluya la conciencia de esos riesgos y la comprensión de la forma en que la entidad prestaría apoyo a ese personal en este tipo de situaciones.

Uno de los ataques más utilizados en este tipo de entornos es el de Phishing; los empleados deben estar al tanto de los correos electrónicos de phishing y las estafas que son llevadas a cabo por personas malintencionadas, especialmente en estos tiempos difíciles, como por ejemplo, la relacionada con los delincuentes que intentan hacerse pasar por el personal de TI de la empresa para obtener datos de inicio de sesión y credenciales. Del mismo modo, el personal de TI debe estar al tanto de los delincuentes que intentan hacerse pasar por personal remoto para obtener acceso a contraseñas y sistemas. Por último, otros dos ataques que se han convertido en los favoritos por los ciberdelincuentes son los relacionados con ramsomware e ingeniería social.

Política de prohibición de uso de dispositivos de grabación / captación de imágenes

Los empleados deben ser conscientes de que no deben grabar o captar imágenes de los datos de tarjetas con dispositivos personales y no autorizados por la organización. Esto puede desembocar en una brecha de seguridad y en la exposición de datos de tarjeta a terceras partes no autorizadas. Por lo que debe existir una política por parte de la empresa en este sentido, y recordársela a los trabajadores de forma periódica para que no caiga en el olvido. Además, también debería incluirse un método seguro para el intercambio de información entre empleados y no se caiga en el error de utilizar aplicaciones de mensajería instantánea para compartir datos de tarjeta y cualquier otra información sensible para la organización.

Uso aceptable de activos

La organización debe poder asegurar que los empleados y demás personas que puedan tener acceso a los activos de la empresa, comprendan que dichos activos tales como pcs, laptops, dispositivos móviles, medios de almacenamiento, etc. así como Internet, wifi, aplicaciones y los servicios de mensajería electrónica, entre otros, deben utilizarse, exclusivamente, con fines laborales. Para ello es necesario que la organización, elabore las políticas y procedimientos oportunos y éstos sean transmitidos a las personas interesadas para que se pongan en práctica.En estas políticas, debe indicarse e informar a los empleados de la monitorización de los equipos corporativos por parte de la empresa, si así fuera necesario.

1.3. Procesos

El siguiente elemento que se encuentra dentro del alcance, son los procesos que de alguna forma tratan datos de tarjeta y/o impactan en la seguridad de los mismos.

Para paliar los posibles riesgos y amenazas derivados del teletrabajo con respecto a los procesos, podemos llevar a cabo las siguientes acciones:

Uso de Múltiple Factor de Autenticación

Hay que asegurar que los trabajadores en casa / remotos utilicen un proceso de autenticación de múltiples factores, o también denominado MFA, cuando se conecten al entorno PCI DSS o a cualquier sistema que procese datos de tarjeta y que éste sea consecuente con los requisitos mínimos requeridos por el estándar. En definitiva, se debería usar MFA para todos los accesos remotos a la red que se origen fuera de la red de la organización, ya que esta se extiende a cada uno de los lugares desde donde los empleados acceden al entorno PCI DSS y recursos internos de la empresa.

Uso de Virtual Private Network (VPN)

Una VPN (Virtual Private Network) es una tecnología de red que se utiliza para conectar una o más computadoras a una red privada utilizando Internet, es decir, permite la extensión segura de una red local sobre una red pública o no controlada. Al momento de implementarla, la empresa tiene una mayor certeza de que cuando sus empleados quieran acceder a recursos corporativos desde sus casas, un hotel o un restaurante lo puedan hacer de forma segura. Para estos casos de teletrabajo, la implementación de conexiones VPN es muy conveniente, ya que las conexiones establecidas utilizando esta tecnología protegen la información que se intercambia, ya que establecen un «túnel» o canal cifrado de comunicación entre el dispositivo del empleado remoto y el entorno PCI DSS, por donde “viaja” los datos de tarjeta de manera segura y así cumplir, entre otros, con el Requisito 4 del estándar PCI DSS.

Otra alternativa disponible en caso de urgencia y de no disponer de una implementación de conexión segura VPN, sería la utilización de redes móviles proporcionadas por la organización por ejemplo mediante un MiFi (Mifi es un router inalámbrico que admite la posibilidad de enlazar diferentes dispositivos, posee la ventaja de aceptar cualquier tarjeta SIM, nacional o internacional.) o utilizando el móvil corporativo como punto de acceso). Estas conexiones 4G son mucho más seguras, ya que la seguridad va intrínseca a la propia red y no depende de configuraciones adicionales.

Procedimiento seguro de datos de tarjeta en papel y medios físicos portables

Aplicar controles para proteger físicamente todas las formas de medios de comunicación e impedir que personas no autorizadas tengan acceso a los datos de tarjeta. Los datos de los titulares de tarjetas son susceptibles de ser vistos, copiados o escaneados sin autorización si se almacenan sin protección en medios extraíbles o portátiles, se imprimen o se dejan en el escritorio del empleado. No se debe permitir que el personal con acceso a los datos de tarjeta registre o almacene los datos en ningún tipo de medio que no esté autorizado o que pueda hacer que esos datos se vean comprometidos. Por lo tanto se debe restringir el acceso físico a los medios que sean capaces de almacenar datos de tarjetas de pago, como USB o incluso deshabilitar las grabaciones de pantalla. Si los datos de tarjeta alguna vez se escriben o imprimen en papel (por necesidad del negocio y con la debida autorización), la empresa debe poder asegurar de que estén almacenados y luego posteriormente eliminados de forma segura cuando ya no sean necesarios. En muchas ocasiones, esto es prácticamente imposible de comprobar por parte de la empresa, que deberá gestionarlo a través de políticas claras y recordatorios a sus empleados de cómo gestionar este tipo de prácticas.

Política segura de contraseñas

Establecer, difundir y verificar el cumplimiento de una política de buenas prácticas en el uso de contraseñas utilizadas tanto en el terminal de acceso al entorno como en los elementos que así lo necesiten situados dentro del entorno. Esta política de contraseñas deberá cumplir al menos con los requisitos establecidos en el estándar PCI DSS, aunque nuestra recomendación es aumentar el número de caracteres mínimos requeridos a 10, en lugar de 7 como indica el estándar. Además, se deberá instruir a los empleados a que no apunten las contraseñas corporativas en ningún lugar con acceso por terceras personas.

Proceso de transferencia de datos de tarjeta

La organización debe establecer políticas para el intercambio de datos de tarjeta, siempre que este sea requerido por el negocio, de tal forma que los empleados no hagan uso de tecnologías de mensajería de usuario final para el envío de esta información. La empresa debe proporcionar la solución o soluciones pertinentes que permitan el intercambio de información sensible entre empleados y/o con terceras partes de manera segura y adaptada a los requisitos de PCI DSS. Es posible, que los empleados, al no estar situados en la misma oficina estén tentados a hacer uso de Whatsapp, Teams, Skype o cualquier otra tecnología similar para el intercambio de datos de tarjeta, lo que puede suponer una brecha de seguridad importante y difícilmente subsanable. Por ello es importante, que desde un inicio la empresa provea la solución adecuada para este tipo de procesos.

Uso de proveedores de servicio certificados y con garantías de seguridad

Si debido al teletrabajo, algún proceso o parte de algún proceso del entorno de datos de tarjeta se subcontrata a un proveedor de servicios externo, se deben contratar solo proveedores certificados PCI DSS y/o con garantías de seguridad que permitan cumplir con los requisitos aplicables de PCI DSS. Tanto la entidad como el proveedor de servicios deben comprender claramente sus responsabilidades para asegurar sus respectivos sistemas, procesos y personal, y documentar en consecuencia. En este sentido, será necesario a grandes rasgos, lo siguiente:

  • Auditoría previa al compromiso.
  • Firma del contrato, políticas y procedimientos.
  • Monitorización del cumplimiento.

Para esta última fase, se debe mantener una lista actualizada de los proveedores de servicio vinculados al entorno de cumplimiento (con base en el requerimiento 12.8.1) e implementar un proceso de monitorización periódica del cumplimiento del proveedor de servicios contratado.

Lo importante es no caer en la tentación de hacer todo esto sin la debida diligencia y deprisa, ya que puede desembocar en brechas de seguridad importantes.

Además, para aquellos proveedores que necesiten acceder al entorno de una organización, se deben crear usuarios específicos que se encuentren deshabilitados por defecto, y solo se habiliten bajo demanda, aplicando una monitorización sobre éstos y deshabilitándolos cuando ya no se estén usando.

1.4. Tecnologías

El siguiente elemento que se encuentra dentro del alcance, son las tecnologías que usamos para el tratamiento de los datos de tarjeta así como para establecer comunicaciones con el entorno, proveer seguridad, etc.

Para paliar los posibles riesgos y amenazas derivados del teletrabajo con respecto a las tecnologías usadas, podemos llevar a cabo las siguientes acciones:

Uso de dispositivos HW aprobados por la organización

Exigir que todo el personal use solo dispositivos de hardware aprobados por la compañía, por ejemplo, teléfonos móviles, computadoras portátiles, computadoras de escritorio y sistemas. Esto es especialmente relevante para poder asegurar que la entidad pueda mantener el control de los sistemas y la tecnología que respaldan el procesamiento de los datos de tarjetas de pago. Además, cuando la empresa asigna un equipo al empleado para hacer teletrabajo, lo puede utilizar, además, para realizar actividades personales, por lo tanto hay que considerar este tipo de uso y los inconvenientes que podría tener para la información corporativa del equipo y su respectivo acceso a las redes de la empresa. Estos equipos deberían solo ser usados para la finalidad exclusiva del teletrabajo y hacer uso de dispositivos personales totalmente aislados de los dispositivos de teletrabajo para el acceso a Internet, redes sociales, juegos, etc. en el ámbito personal. Aunque el estándar PCI DSS no lo requiere de forma explícita, siguiendo las buenas prácticas en materia de seguridad, sería conveniente la creación de una política de teletrabajo firmada y aceptada por los empleados en la cual se recojan los puntos anteriormente descritos.

Securización de los equipos utilizados en el teletrabajo

Para ello es necesario bastionar de una forma adecuada los equipos utilizados por los trabajadores remotos y, como mínimo, se deberá:

  1. Contar con firewalls personales instalados y operativos.
  2. Contar última versión del software corporativo de protección de archivos contra virus.
  3. Tener instalados los últimos parches de seguridad aprobados.
  4. Manejar configuraciones que eviten a los usuarios deshabilitar los controles de seguridad.
  5. Configurar la desconexión de las sesiones remotas tras un periodo de inactividad. Además, al término de la jornada laboral, el empleado deberá asegurarse de que ha cerrado todas las conexiones a los sistemas de información corporativos.
  6. Si se permite el trabajo “en local”, cifrado de los discos de almacenamiento de información.

Securización de las tecnologías de acceso a Internet y comunicación

Para el trabajador remoto que ha sido admitido como una extensión de la red de la entidad, la empresa debe poder asegurar que su entorno (por ejemplo, red y otras tecnologías) sea seguro de acuerdo con los requisitos del estándar PCI DSS. En este sentido, hay que destacar el uso del WIFI y del correo electrónico.

WIFI:

En relación con la primera, no hay que olvidar que la conexión o tecnología de acceso utilizada para acceder a la red corporativa suele ser un punto de acceso WIFI personal, como el que todos tenemos en casa, que es infinitamente menos seguro que cualquier router profesional utilizado en cualquier organización. La máxima es pedir a los empleados que se conecten vía cable ethernet al router de salida a Internet de sus casas, pero cuando esto no sea posible, para esta tecnología deberemos tener en cuenta lo siguiente (recomendaciones que deberán aceptar los usuarios, ya que podría afectar a su privacidad en determinadas ocasiones):

  • Se debe mantener siempre el firmware actualizado con los últimos parches de seguridad.
  • Emplear contraseñas WPA2 para las conexiones WIFI.
  • Añadir filtrado por MAC para evitar la incorporación a la red de nuevos dispositivos no autorizados, aunque se disponga de la clave WPA2.
  • Utilizar un SSID (nombre de la red wifi) no descriptivo y, en la medida de los posible, mantenerlo oculto.
  • Crear una red WIFI para invitados sin permisos de acceso a la red a la que el empleado está conectado con su dispositivo de teletrabajo.
  • Limitar la potencia de la señal para que se expanda lo menos posible fuera de la casa del trabajador.
  •  Comprobar regularmente los equipos conectados para detectar posibles accesos no autorizados.

Correo electrónico:

Para la protección del correo electrónico, debido al teletrabajo estas consideraciones de seguridad que vamos a ver, se hacen más necesarias y, además, se debe de instruir a los empleados para:

  • Que utilicen contraseñas seguras y cambiarlas regularmente.
  • Asignen contraseñas diferentes para cada cuenta (en el caso de disponer de más de una).
  • Utilizar MFA siempre y cuando se traten de alguna forma datos sensibles a través de esta tecnología.
  • Comprobar siempre la dirección del remitente.
  • Antes de pinchar sobre un enlace es recomendable colocar el cursor sobre él, sin pinchar, para asegurarnos de que apunta a una ubicación de confianza.
  • No acceder a los enlaces de los correos electrónicos provenientes de remitentes desconocidos.
  • No descargar archivos adjuntos provenientes de remitentes desconocidos.
  • No responder a mensajes de SPAM.
  • No utilizar la dirección corporativa para uso privado ni facilitarla en sitios que no sean de confianza.
  • No facilitar datos privados y menos datos de tarjeta sin haber comprobado la legitimidad del correo que los solicita y sin hacer uso de una tecnología para el envío seguro de éstos. Muchos atacantes se hacen pasar por empresas conocidas para la obtención de datos de forma no autorizada ni lícita.

Todo esto debería ser recogido en una política y hacérsela llegar de forma periódica a los empleados para que no caiga en el olvido.

Tecnologías de videoconferencia

Las reuniones representan una parte esencial para el desarrollo del estándar PCI DSS tanto para los equipos de trabajo involucrados como para llevar a cabo las auditorías de certificación. Durante el teletrabajo, esto puede hacerse algo más difícil que una simple reunión en la oficina, además, en estas reuniones muchas veces se tratan temas y datos privados o confidenciales que deben seguir manteniendo esta característica y, por tanto, las empresas deben establecer las opciones de comunicación audiovisual a ser usadas por sus empleados sin olvidarse nunca de la seguridad.

Para ello, podemos tener como base las siguientes recomendaciones:

  • Uso de conexión segura HTTPS y SSH o cualquier otra similar.
  • Control de acceso controlado mediante invitaciones personales o de grupo.
  • Evitar posibles suplantaciones a la hora de conectarse.
  • Controlar los elementos compartidos entre los participantes.
  • Registrar las acciones de los usuarios.

Infraestructura de escritorio virtual o VDI

Una infraestructura de escritorio virtual, o VDI, es una tecnología que consiste en virtualizar los entornos de trabajo de los empleados y alojarlos en una ubicación controlada por la empresa. Este tipo de solución encaja tanto para situaciones de teletrabajo en las que gran parte de la plantilla está fuera de la oficina, como también cuando habitualmente hay trabajadores con una elevada movilidad, como comerciales, flotas de reparto, soporte in situ, etc.

Este VDI, debería ser el primer y único punto de entrada a la red corporativa de la organización y los empleados para legar a él, deberán hacer uso de MFA, VPN y basado en controles de acceso y permisos para los distintos empleados basado en “Need to Know”.

Este tipo de tecnologías ofrecen, aparte de ventajas en cuanto a movilidad, ahorro de costes y escalabilidad, también, seguridad:

  • Los sistemas VDI son entornos de trabajo seguros, ya que los escritorios de los empleados son controlados por la empresa. Cualquier política de seguridad que se aplique a los dispositivos físicos de la organización puede trasladarse a los escritorios virtuales de los empleados. La información que se gestiona en los escritorios virtuales está bajo las mismas medidas de seguridad que si se trabajara en dispositivos físicos. En todo momento la información está alojada en servidores controlados por la empresa y no es almacenada en el dispositivo utilizado para teletrabajar.

Tecnologías de monitorización del tráfico de red:

Dado que hay dispositivos que están ingresando a la red por fuera del perímetro físico de la oficina (los empleados que se encuentran teletrabajando), es recomendable hacer un seguimiento de qué tipo de tráfico generan, ya que éste puede ser un factor nuevo, en ocasiones, antes no necesario, que puede afectar a la seguridad de la organización dado que la superficie de ataque ahora es mayor y, generalmente, menos segura. Por ejemplo, dónde tratan de acceder, si hay intentos recurrentes y fallidos de ingreso a servidores o si, incluso, generan algún tipo de tráfico inapropiado, como la descarga de archivos desconocidos. Otro aspecto importante a tener en cuenta con respecto a la monitorización del tráfico de red, es la posibilidad de hacer un análisis de tráfico que permita verificar el comportamiento de la red cuando se hace algún cambio, ya sea la inclusión de una nueva tecnología o algún servicio, logrando determinar el uso que hacen los usuarios que están por fuera de la red.

Si aplicamos todas estas y otras medidas de seguridad, dado que la lista no es exhaustiva, estaremos en condiciones de realizar trabajos a distancia o teletrabajo de una forma mucho más segura y cómoda que si no aplicamos ninguna medida de seguridad. Todos nuestros activos, incluidas las personas, estarán bajo un control y securizados de tal forma que será bastante complicado que puedan vulnerarlos y obtener acceso de forma ilícita a nuestra información sensible.

En el próximo post de esta serie, trataremos desde un punto de vista de los evaluadores QSA, como llevar a cabo las evaluaciones de cumplimiento de forma remota y qué limitaciones y consideraciones se deben tener en cuenta a la hora de enfrentarlas.

Referencias


Autor: Sergio Moreno - PCI QSA, PCI QPA, PCIP, CCNA, CISSP, CDPSE, SFPC, CSFPC, ISO 27001 L.A.
Dpto. Consultoría

Suscríbete al Blog