Implementación Implementación de un de un modelo de control modelo de control

basado en basado en PCI PCI -- DSSDSS

XXI I Jornada Nacional de Jornada Nacional de XXI I Jornada Nacional de Jornada Nacional de Seguridad InformáticaSeguridad Informática

Bogotá Bogotá –– Colombia Colombia

: : : : 2011 2011 : :: :Luis Fernando González Luis Fernando González V, V, M.ScM.Sc, CEH, CEHChiefChief InformationInformation Security Security OfficerOfficerOrganización Organización BrinksBrinks de Colombia S.Ade Colombia S.Aluisfernando.gonzalez@gmail.comluisfernando.gonzalez@gmail.com

IS0

27002IS0

27005LEY

1273

1266

PCI DSS

CE 052

CE 038ITIL

COBIT

SOX

DRII

BCP

IS0

27003

27014

SOXDRII

BCP

IS0

27002

IS0

27005LEY

1273

1266

PCI DSS

CE 052

CE 038

ITIL

COBITIS0

27003

27014

… No duplique esfuerzos en implementar una serie de normas que hablan casi de lo mismo, no muera en el intento y conserve su empleo !!!

ISO - 2700x - PCI SOX – 052 - BCP

IS0 IS0

27002

IS0

27005

LEY

1273

1266

PCI

DSS

CE 052

CE 038

ITIL

COBIT

SOX

DRII BCP

IS0

27003

27014

Estándar desarrollado por el comité conformadopor las compañías de tarjetas (débito y crédito)más importantes del mundo, denominado PCISSC (Payment Card Industry Security StandardsCouncil) como una guía de ayuda a lasorganizaciones que procesan, almacenan y/oorganizaciones que procesan, almacenan y/otransmiten datos de tarjetahabientes, con el fin deprevenir fraudes que involucran tarjetas de pagodébito y crédito.

«Proveer un marco de control que proteja los datos críticos de laorganización en un esquema de defensa en profundidad»

…Rompiendo Paradigmas:…Rompiendo Paradigmas:

� PCI – DSS no solo sirve para proteger datos de tarjetas de pago (CHD)� Llamémoslo solo DSS (Data Security Standard)

… Ventajas:

� PCI – DSS es la norma que mejor nivel de detalle técnico ofrece para los controles de protección de datos.� Está orientada a implementar una estrategia de defensa en profundidad.� Me dice el Qué – Cómo – Cuando – Por qué – Para qué de los controles.

Seg. Física

Red, Perimetral

Servidores, PC

Sistema Operativo

Aplicaciones

Base de Datos, Archivo

Dato

Gobierno de SeguridadGobierno de Seguridad

Gestión de Continuidad

Servidores, PC

Red, Perimetral

Seg. Física

Dato

Base de Datos, Archivo

Aplicaciones

Sistema Operativo

Gobierno de SeguridadGobierno de Seguridad

Gestión de Continuidad

Servidores, PC

Red, Perimetral

Seg. Física

DRII BCP

Dato

Base de Datos, Archivo

Aplicaciones

Sistema Operativo

IS0

27002

LEY

1273

1266

PCI

DSS CE 052

CE 038

SOX

Dominios PD (%)

Avance de

Implementacion ISO

27001

POLÍTICA DE SEGURIDAD 1,50 81,36

SEGURIDAD ORGANIZACIONAL 8,27 71,94

GESTIÓN DE ACTIVOS 3,76 65,16

SEGURIDAD DEL RECURSO HUMANO 6,77 72,22

SEGURIDAD FÍSICA Y AMBIENTAL 9,77 98,65

GESTIÓN DE COMUNICACIONES Y OPERACIONES 24,06 95,71

CONTROL DE ACCESO 18,80 89,06

ADQUISICIÓN DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN

12,03 90,36

GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 3,76 70,00

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 3,76 100,00

CUMPLIMIENTO 7,52 73,13

Implementacion Total 100 89,69

Objetivos de Control PO (%)

Avance de

Implementacion C.E.

052

SEGURIDAD Y CALIDAD 24,39 88,93

TERCERIZACIÓN 24,39 93,02

DOCUMENTACION 7,32 85,56

SOBRE ACTUALIZACION DE SOFTWARE 12,20 95,75OBLIGACIONES ESPECIFICAS POR TIPO DE MEDIO 7,32 92,41ANALISIS DE VULNERABILIDADES 12,20 83,00

Implementacion Total 100 90,71

…Conclusiones:

� Los estándares y normas deben adaptarse a las necesidades de lasOrganizaciones, no las necesidades de las Organizaciones a las normas.� No siempre el estándar es la solución para la Organización.� Optimizar esfuerzos para el cumplimiento de estándares y normas, es un

indicador de madurez del Gobierno de Seguridad de Información.indicador de madurez del Gobierno de Seguridad de Información.� PCI es un buen punto de partida para iniciar a estructurar su sistema de

control.� Un esquema de defensa en profundidad no será fácil del vulnerar por un

atacante.

…Referencias:

� “PCI 2.0 Evolución”. Disponible en: www.isacabogota.net/.../VI%20Jornada%20ISACA%20Capítulo%20Bogotá/PCI%202.0%20VI%20Jornada%20ISACA.pdf

� Portal PCI. Disponible en: https://www.pcisecuritystandards.org/index.shtml

� ISO 27001 Security. Disponible en: http://www.iso27001security.com

…¿Preguntas?

…Gracias

Luis Fernando González Luis Fernando González V, V, M.ScM.Sc, CEH, CEHChiefChief IInformationnformation SSecurity ecurity OOfficerfficerOrganización Organización BrinksBrinks de Colombia S.Ade Colombia S.Aluisfernando.gonzalez@gmail.comluisfernando.gonzalez@gmail.com

…Gracias