Implementación Implementación de un de un modelo de control modelo de control
basado en basado en PCI PCI -- DSSDSS
XXI I Jornada Nacional de Jornada Nacional de XXI I Jornada Nacional de Jornada Nacional de Seguridad InformáticaSeguridad Informática
Bogotá Bogotá –– Colombia Colombia
: : : : 2011 2011 : :: :Luis Fernando González Luis Fernando González V, V, M.ScM.Sc, CEH, CEHChiefChief InformationInformation Security Security OfficerOfficerOrganización Organización BrinksBrinks de Colombia S.Ade Colombia [email protected]@gmail.com
IS0
27002IS0
27005LEY
1273
1266
PCI DSS
CE 052
CE 038ITIL
COBIT
SOX
DRII
BCP
IS0
27003
27014
SOXDRII
BCP
IS0
27002
IS0
27005LEY
1273
1266
PCI DSS
CE 052
CE 038
ITIL
COBITIS0
27003
27014
… No duplique esfuerzos en implementar una serie de normas que hablan casi de lo mismo, no muera en el intento y conserve su empleo !!!
ISO - 2700x - PCI SOX – 052 - BCP
IS0 IS0
27002
IS0
27005
LEY
1273
1266
PCI
DSS
CE 052
CE 038
ITIL
COBIT
SOX
DRII BCP
IS0
27003
27014
Estándar desarrollado por el comité conformadopor las compañías de tarjetas (débito y crédito)más importantes del mundo, denominado PCISSC (Payment Card Industry Security StandardsCouncil) como una guía de ayuda a lasorganizaciones que procesan, almacenan y/oorganizaciones que procesan, almacenan y/otransmiten datos de tarjetahabientes, con el fin deprevenir fraudes que involucran tarjetas de pagodébito y crédito.
«Proveer un marco de control que proteja los datos críticos de laorganización en un esquema de defensa en profundidad»
…Rompiendo Paradigmas:…Rompiendo Paradigmas:
� PCI – DSS no solo sirve para proteger datos de tarjetas de pago (CHD)� Llamémoslo solo DSS (Data Security Standard)
… Ventajas:
� PCI – DSS es la norma que mejor nivel de detalle técnico ofrece para los controles de protección de datos.� Está orientada a implementar una estrategia de defensa en profundidad.� Me dice el Qué – Cómo – Cuando – Por qué – Para qué de los controles.
Seg. Física
Red, Perimetral
Servidores, PC
Sistema Operativo
Aplicaciones
Base de Datos, Archivo
Dato
Gobierno de SeguridadGobierno de Seguridad
Gestión de Continuidad
Servidores, PC
Red, Perimetral
Seg. Física
Dato
Base de Datos, Archivo
Aplicaciones
Sistema Operativo
Gobierno de SeguridadGobierno de Seguridad
Gestión de Continuidad
Servidores, PC
Red, Perimetral
Seg. Física
DRII BCP
Dato
Base de Datos, Archivo
Aplicaciones
Sistema Operativo
IS0
27002
LEY
1273
1266
PCI
DSS CE 052
CE 038
SOX
Dominios PD (%)
Avance de
Implementacion ISO
27001
POLÍTICA DE SEGURIDAD 1,50 81,36
SEGURIDAD ORGANIZACIONAL 8,27 71,94
GESTIÓN DE ACTIVOS 3,76 65,16
SEGURIDAD DEL RECURSO HUMANO 6,77 72,22
SEGURIDAD FÍSICA Y AMBIENTAL 9,77 98,65
GESTIÓN DE COMUNICACIONES Y OPERACIONES 24,06 95,71
CONTROL DE ACCESO 18,80 89,06
ADQUISICIÓN DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN
12,03 90,36
GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 3,76 70,00
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 3,76 100,00
CUMPLIMIENTO 7,52 73,13
Implementacion Total 100 89,69
Objetivos de Control PO (%)
Avance de
Implementacion C.E.
052
SEGURIDAD Y CALIDAD 24,39 88,93
TERCERIZACIÓN 24,39 93,02
DOCUMENTACION 7,32 85,56
SOBRE ACTUALIZACION DE SOFTWARE 12,20 95,75OBLIGACIONES ESPECIFICAS POR TIPO DE MEDIO 7,32 92,41ANALISIS DE VULNERABILIDADES 12,20 83,00
Implementacion Total 100 90,71
…Conclusiones:
� Los estándares y normas deben adaptarse a las necesidades de lasOrganizaciones, no las necesidades de las Organizaciones a las normas.� No siempre el estándar es la solución para la Organización.� Optimizar esfuerzos para el cumplimiento de estándares y normas, es un
indicador de madurez del Gobierno de Seguridad de Información.indicador de madurez del Gobierno de Seguridad de Información.� PCI es un buen punto de partida para iniciar a estructurar su sistema de
control.� Un esquema de defensa en profundidad no será fácil del vulnerar por un
atacante.
…Referencias:
� “PCI 2.0 Evolución”. Disponible en: www.isacabogota.net/.../VI%20Jornada%20ISACA%20Capítulo%20Bogotá/PCI%202.0%20VI%20Jornada%20ISACA.pdf
� Portal PCI. Disponible en: https://www.pcisecuritystandards.org/index.shtml
� ISO 27001 Security. Disponible en: http://www.iso27001security.com
…¿Preguntas?
…Gracias
Luis Fernando González Luis Fernando González V, V, M.ScM.Sc, CEH, CEHChiefChief IInformationnformation SSecurity ecurity OOfficerfficerOrganización Organización BrinksBrinks de Colombia S.Ade Colombia [email protected]@gmail.com
…Gracias