Supervisa y evalúa tus redes con regularidad
En el capítulo de esta semana, hablaremos de la importancia de supervisar tus sistemas y hacer un registro de cada movimiento que se lleve a cabo. Esto es súper importante, ya que son los rastros que dejan los ciberdelincuentes.
Si esta es la primera vez que llegas a nuestro blog, te recomendamos que comiences por aquí:
- ?¿Qué es PCI DSS y quiénes deben cumplirla?
- ?PCI DSS: ¿Qué es SAQ, ROC y AOC?
- ?PCI DSS: Los 12 requisitos [Parte 1].
- ?PCI DSS: Los 12 requisitos [Parte 2]
- ?PCI DSS: Los 12 requisitos [Parte 3]
- ?PCI DSS: Los 12 requisitos [Parte 4]
- ?PCI DSS: Los 12 requisitos [Parte 5]
- ?PCI DSS: Los 12 requisitos [Parte 6]
Requisito 10
“Rastree y supervise todos los accesos a los recursos de red y a los datos del titular de la tarjeta” un enunciado bastante largo. Podemos resumirlo en: registra, documenta y supervisa las acciones de los usuarios con tus sistemas.
Este requisito se enfoca en registrar las actividades de los usuarios. El propósito es usar los informes que se creen para rastrear actividades en caso de que tuvieras un incidente.
Sub requisito | Lo que quiere decir |
10.1) Implemente pistas de auditoría para vincular todo acceso a componentes del sistema con usuarios específicos. | Implementa y/o configura un sistema para rastrear las actividades de cada usuario. Así, puedes saber quién hizo qué y en qué momento. |
10.2) Implemente pistas de auditoría automáticas en todos los componentes del sistema | Con el sistema de rastreo de actividades, genera alertas de actividad sospechosa para darle seguimiento inmediato a cualquier incidente y prevenir un problema más grave. |
10.3) Registre, al menos, las siguientes entradas de pistas de auditoría de los componentes del sistema: -Identificación de usuarios -Tipo de eventos -Fecha y hora – Indicación de éxito o fallo -Origen del evento -Identidad o nombre de los datos, componentes del sistema o recursos afectados | Si registras los puntos mencionados podrás saber a detalle quién, qué, dónde, cuándo y cómo sucedió el incidente. |
10.4) Utilizando tecnología de sincronización, sincronice todos tiempos y relojes críticos y asegúrese de que lo siguiente sea implementado para adquirir, distribuir y almacenar tiempos. | Sincroniza los relojes de todos tus sistemas para tener el registro exacto de cada movimiento. No olvides mantenerlos actualizados, como lo solicita el requisito 6 |
10.5) Proteja las pistas de auditoría para que no se puedan modificar. | Protege los registros de tus sistemas, ya que si se ven comprometidos no podrás utilizarlos en una auditoría. Los atacantes suelen editar estos registros para borrar cualquier rastro de que estuvieron ahí. |
10.6) Revise los registros y los eventos de seguridad en todos los componentes del sistema para identificar anomalías o actividades sospechosas. | Revisa de forma periódica los registros de actividad de tus sistemas. |
10.7) Conserve el historial de pistas de auditorías durante, al menos, un año, con un mínimo de disponibilidad para análisis de tres meses (por ejemplo, en línea, archivados o recuperables para la realización de copias de seguridad). | Guarda los registros que haga tu sistema durante al menos 1 año (archivados) y 3 meses (en línea), para un fácil acceso y análisis. |
10.8) Requisitos adicionales solo para los proveedores de servicios: Implementar un proceso para la detección oportuna y la presentación de informes de fallas de los sistemas críticos de control de seguridad, incluido pero no limitado a la falla de: – Firewalls – IDS/IPS – FIM – Antivirus – Controles de acceso físicos – Controles de acceso lógico – Mecanismos de registro de auditoría – Controles de segmentación (si se utilizan) | Si tu empresa es proveedora de un servicio, asegúrate de implementar sistemas de seguridad para detectar fallas antes de que sea tarde. |
10.9) Asegúrese de que las políticas de seguridad y los procedimientos operativos para monitorear todos los accesos a los recursos de la red y a los datos del titular de la tarjeta estén documentados, implementados y que sean de conocimiento para todas las partes afectadas. | Como lo hemos mencionado en otros requisitos, la documentación es muy importante. Todo tu personal tiene que conocer y respetar las políticas de seguridad documentadas. |
Requisito 11
Pruebe con regularidad los sistemas y procesos de seguridad.
Es muy pero muuuuy importante que busques vulnerabilidades en tus sistemas periódicamente. Siempre es mejor estar un paso adelante. No esperes a que un atacante se aproveche de tus vulnerabilidades, mejor actúa antes de que suceda.
Sub requisitos | Lo que quiere decir |
11.1) Implemente procesos para determinar la presencia de puntos de acceso inalámbrico (802.11), detecte e identifique, trimestralmente, todos los puntos de acceso inalámbricos autorizados y no autorizados. | Los atacantes suelen usar dispositivos de red inalámbrica para obtener información de tu empresa. Los atacantes usan los puntos de acceso inalámbrico (WiFi) como primer paso para evaluar si es posible acceder a otros recursos de la empresa a través de esa red. |
11.2) Realice análisis internos y externos de las vulnerabilidades de la red, al menos, trimestralmente y después de cada cambio significativo en la red (como por ejemplo, la instalación de nuevos componentes del sistema, cambios en la topología de la red, modificaciones en las normas de firewall, actualizaciones de productos). | Identifica tus vulnerabilidades trimestralmente para corregirlas y estar preparado. Recuerda, no puedes dejarles el camino fácil a todos esos niños rusos que no tienen nada mejor que hacer. |
11.3) Implemente una metodología para las pruebas de penetración que incluya lo siguiente: Esté basada en los enfoques de pruebas de penetración aceptados por la industria (por ejemplo, NIST SP800- 115). Incluya cobertura de todo el perímetro del CDE (entorno de datos del titular de la tarjeta) y de los sistemas críticos. Incluya pruebas del entorno interno y externo de la red. Incluya pruebas para validar cualquier segmentación y controles de reducción del alcance. Defina las pruebas de penetración de la capa de la aplicación para que incluyan, al menos, las vulnerabilidades enumeradas en el Requisito 6.5. Defina las pruebas de penetración de la capa de la red para que incluyan los componentes que admiten las funciones de red y los sistemas operativos. Incluya la revisión y evaluación de las amenazas y vulnerabilidades ocurridas en los últimos 12 meses. Especifique la retención de los resultados de las pruebas de penetración y los resultados de las actividades de corrección. | Este punto habla de sistematizar las pruebas de penetración o, como lo llamamos nosotros, ethical hacking. Una prueba de penetración es el pasó que sigue después de realizar un análisis de vulnerabilidades. Es muy importante porque simula hasta dónde podrá llegar ese niño ruso. |
11.4) Use técnicas de intrusión-detección y de intrusión-prevención para detectar o prevenir intrusiones en la red. Monitoree todo el tráfico presente en el perímetro del entorno de datos del titular de la tarjeta y en los puntos críticos del entorno de datos del titular de la tarjeta, y alerte al personal ante la sospecha de riesgos.Mantenga actualizados todos los motores de intrusión-detección y de prevención, las bases y firmas. | Estos son los controles que monitorean las actividades en la red. Su trabajo es prevenirte y alertarte de las conductas ilícitas que esté haciendo el niño ruso. |
11.5) Implemente un mecanismo de detección de cambios (por ejemplo, herramientas de supervisión de integridad de archivos) para alertar al personal sobre modificaciones (incluyendo cambios, adiciones y eliminaciones) no autorizadas de archivos críticos del sistema, de archivos de configuración o de contenido, y configure el software para realizar comparaciones de archivos críticos, al menos, una vez por semana. | Configura tus sistemas para poder detectar cualquier cambio que sufran tus archivos. Los sistemas de monitoreo de integridad de archivos, detectan qué cambió hubo, quién lo hizo y, dónde se hizo. |
11.6) Asegúrese de que las políticas de seguridad y los procedimientos operativos para monitorear y comprobar la seguridad estén documentados, implementados y que sean de conocimiento para todas las partes afectadas. | Monitorea y capacita a tu personal. Tal vez, parece un disco rayado pero, recuerda que todo tu personal debe conocer y aplicar las políticas de seguridad establecidas. Documenta tus políticas y registra todos los cambios. |
Conclusión
Podemos resumir este capítulo en los siguientes puntos:
-Asegúrate de que solo tus usuarios autorizados tengan acceso a tus sistemas. Rastrea y registra todos sus movimientos.
-Haz informes de todos esos registros para utilizarlos en caso de que una auditoría sea necesaria.
-¡Ten cuidado con los dispositivos de red inalámbrica! Recuerdo que los atacantes suelen penetrar tus barreras a través de ellos.
-Detecta cualquier cambio en tus archivos y analiza la situación.
-Asegúrate de que tu personal conoce y aplica correctamente tus políticas de seguridad.
Con esto concluimos la quinta meta de esta certificación. Qué rápido, ¿no? Estamos ya a sólo un paso de terminar con esta serie sobre PCI DSS. Sigue al pendiente de nuestro blog para la parte final; ¡te esperamos la próxima semana!
Si tienes alguna duda, en el apartado de contacto podemos conocernos para que nos cuentes sobre tu caso. Nos encantaría asesorarte todavía más a profundidad sobre el tema.