implementacion de un modelo de control basado en pci · 2015-08-20 · avance de implementacion iso...
TRANSCRIPT
![Page 1: Implementacion de un modelo de control basado en PCI · 2015-08-20 · avance de implementacion iso 27001 polÍtica de seguridad 1,50 81,36 seguridad organizacional 8,27 71,94 gestiÓn](https://reader030.vdocuments.pub/reader030/viewer/2022013002/5ec8d594d0df376cad72951f/html5/thumbnails/1.jpg)
Implementación Implementación de un de un modelo de control modelo de control
basado en basado en PCI PCI -- DSSDSS
XXI I Jornada Nacional de Jornada Nacional de XXI I Jornada Nacional de Jornada Nacional de Seguridad InformáticaSeguridad Informática
Bogotá Bogotá –– Colombia Colombia
: : : : 2011 2011 : :: :Luis Fernando González Luis Fernando González V, V, M.ScM.Sc, CEH, CEHChiefChief InformationInformation Security Security OfficerOfficerOrganización Organización BrinksBrinks de Colombia S.Ade Colombia [email protected]@gmail.com
![Page 2: Implementacion de un modelo de control basado en PCI · 2015-08-20 · avance de implementacion iso 27001 polÍtica de seguridad 1,50 81,36 seguridad organizacional 8,27 71,94 gestiÓn](https://reader030.vdocuments.pub/reader030/viewer/2022013002/5ec8d594d0df376cad72951f/html5/thumbnails/2.jpg)
IS0
27002IS0
27005LEY
1273
1266
PCI DSS
CE 052
CE 038ITIL
COBIT
SOX
DRII
BCP
IS0
27003
27014
![Page 3: Implementacion de un modelo de control basado en PCI · 2015-08-20 · avance de implementacion iso 27001 polÍtica de seguridad 1,50 81,36 seguridad organizacional 8,27 71,94 gestiÓn](https://reader030.vdocuments.pub/reader030/viewer/2022013002/5ec8d594d0df376cad72951f/html5/thumbnails/3.jpg)
![Page 4: Implementacion de un modelo de control basado en PCI · 2015-08-20 · avance de implementacion iso 27001 polÍtica de seguridad 1,50 81,36 seguridad organizacional 8,27 71,94 gestiÓn](https://reader030.vdocuments.pub/reader030/viewer/2022013002/5ec8d594d0df376cad72951f/html5/thumbnails/4.jpg)
SOXDRII
BCP
IS0
27002
IS0
27005LEY
1273
1266
PCI DSS
CE 052
CE 038
ITIL
COBITIS0
27003
27014
![Page 5: Implementacion de un modelo de control basado en PCI · 2015-08-20 · avance de implementacion iso 27001 polÍtica de seguridad 1,50 81,36 seguridad organizacional 8,27 71,94 gestiÓn](https://reader030.vdocuments.pub/reader030/viewer/2022013002/5ec8d594d0df376cad72951f/html5/thumbnails/5.jpg)
… No duplique esfuerzos en implementar una serie de normas que hablan casi de lo mismo, no muera en el intento y conserve su empleo !!!
ISO - 2700x - PCI SOX – 052 - BCP
![Page 6: Implementacion de un modelo de control basado en PCI · 2015-08-20 · avance de implementacion iso 27001 polÍtica de seguridad 1,50 81,36 seguridad organizacional 8,27 71,94 gestiÓn](https://reader030.vdocuments.pub/reader030/viewer/2022013002/5ec8d594d0df376cad72951f/html5/thumbnails/6.jpg)
IS0 IS0
27002
IS0
27005
LEY
1273
1266
PCI
DSS
CE 052
CE 038
ITIL
COBIT
SOX
DRII BCP
IS0
27003
27014
![Page 7: Implementacion de un modelo de control basado en PCI · 2015-08-20 · avance de implementacion iso 27001 polÍtica de seguridad 1,50 81,36 seguridad organizacional 8,27 71,94 gestiÓn](https://reader030.vdocuments.pub/reader030/viewer/2022013002/5ec8d594d0df376cad72951f/html5/thumbnails/7.jpg)
Estándar desarrollado por el comité conformadopor las compañías de tarjetas (débito y crédito)más importantes del mundo, denominado PCISSC (Payment Card Industry Security StandardsCouncil) como una guía de ayuda a lasorganizaciones que procesan, almacenan y/oorganizaciones que procesan, almacenan y/otransmiten datos de tarjetahabientes, con el fin deprevenir fraudes que involucran tarjetas de pagodébito y crédito.
![Page 8: Implementacion de un modelo de control basado en PCI · 2015-08-20 · avance de implementacion iso 27001 polÍtica de seguridad 1,50 81,36 seguridad organizacional 8,27 71,94 gestiÓn](https://reader030.vdocuments.pub/reader030/viewer/2022013002/5ec8d594d0df376cad72951f/html5/thumbnails/8.jpg)
«Proveer un marco de control que proteja los datos críticos de laorganización en un esquema de defensa en profundidad»
…Rompiendo Paradigmas:…Rompiendo Paradigmas:
� PCI – DSS no solo sirve para proteger datos de tarjetas de pago (CHD)� Llamémoslo solo DSS (Data Security Standard)
… Ventajas:
� PCI – DSS es la norma que mejor nivel de detalle técnico ofrece para los controles de protección de datos.� Está orientada a implementar una estrategia de defensa en profundidad.� Me dice el Qué – Cómo – Cuando – Por qué – Para qué de los controles.
![Page 9: Implementacion de un modelo de control basado en PCI · 2015-08-20 · avance de implementacion iso 27001 polÍtica de seguridad 1,50 81,36 seguridad organizacional 8,27 71,94 gestiÓn](https://reader030.vdocuments.pub/reader030/viewer/2022013002/5ec8d594d0df376cad72951f/html5/thumbnails/9.jpg)
Seg. Física
Red, Perimetral
Servidores, PC
Sistema Operativo
Aplicaciones
Base de Datos, Archivo
Dato
![Page 10: Implementacion de un modelo de control basado en PCI · 2015-08-20 · avance de implementacion iso 27001 polÍtica de seguridad 1,50 81,36 seguridad organizacional 8,27 71,94 gestiÓn](https://reader030.vdocuments.pub/reader030/viewer/2022013002/5ec8d594d0df376cad72951f/html5/thumbnails/10.jpg)
Gobierno de SeguridadGobierno de Seguridad
Gestión de Continuidad
Servidores, PC
Red, Perimetral
Seg. Física
Dato
Base de Datos, Archivo
Aplicaciones
Sistema Operativo
![Page 11: Implementacion de un modelo de control basado en PCI · 2015-08-20 · avance de implementacion iso 27001 polÍtica de seguridad 1,50 81,36 seguridad organizacional 8,27 71,94 gestiÓn](https://reader030.vdocuments.pub/reader030/viewer/2022013002/5ec8d594d0df376cad72951f/html5/thumbnails/11.jpg)
Gobierno de SeguridadGobierno de Seguridad
Gestión de Continuidad
Servidores, PC
Red, Perimetral
Seg. Física
DRII BCP
Dato
Base de Datos, Archivo
Aplicaciones
Sistema Operativo
IS0
27002
LEY
1273
1266
PCI
DSS CE 052
CE 038
SOX
![Page 12: Implementacion de un modelo de control basado en PCI · 2015-08-20 · avance de implementacion iso 27001 polÍtica de seguridad 1,50 81,36 seguridad organizacional 8,27 71,94 gestiÓn](https://reader030.vdocuments.pub/reader030/viewer/2022013002/5ec8d594d0df376cad72951f/html5/thumbnails/12.jpg)
Dominios PD (%)
Avance de
Implementacion ISO
27001
POLÍTICA DE SEGURIDAD 1,50 81,36
SEGURIDAD ORGANIZACIONAL 8,27 71,94
GESTIÓN DE ACTIVOS 3,76 65,16
SEGURIDAD DEL RECURSO HUMANO 6,77 72,22
SEGURIDAD FÍSICA Y AMBIENTAL 9,77 98,65
GESTIÓN DE COMUNICACIONES Y OPERACIONES 24,06 95,71
CONTROL DE ACCESO 18,80 89,06
ADQUISICIÓN DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN
12,03 90,36
GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 3,76 70,00
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 3,76 100,00
CUMPLIMIENTO 7,52 73,13
Implementacion Total 100 89,69
![Page 13: Implementacion de un modelo de control basado en PCI · 2015-08-20 · avance de implementacion iso 27001 polÍtica de seguridad 1,50 81,36 seguridad organizacional 8,27 71,94 gestiÓn](https://reader030.vdocuments.pub/reader030/viewer/2022013002/5ec8d594d0df376cad72951f/html5/thumbnails/13.jpg)
Objetivos de Control PO (%)
Avance de
Implementacion C.E.
052
SEGURIDAD Y CALIDAD 24,39 88,93
TERCERIZACIÓN 24,39 93,02
DOCUMENTACION 7,32 85,56
SOBRE ACTUALIZACION DE SOFTWARE 12,20 95,75OBLIGACIONES ESPECIFICAS POR TIPO DE MEDIO 7,32 92,41ANALISIS DE VULNERABILIDADES 12,20 83,00
Implementacion Total 100 90,71
![Page 14: Implementacion de un modelo de control basado en PCI · 2015-08-20 · avance de implementacion iso 27001 polÍtica de seguridad 1,50 81,36 seguridad organizacional 8,27 71,94 gestiÓn](https://reader030.vdocuments.pub/reader030/viewer/2022013002/5ec8d594d0df376cad72951f/html5/thumbnails/14.jpg)
![Page 15: Implementacion de un modelo de control basado en PCI · 2015-08-20 · avance de implementacion iso 27001 polÍtica de seguridad 1,50 81,36 seguridad organizacional 8,27 71,94 gestiÓn](https://reader030.vdocuments.pub/reader030/viewer/2022013002/5ec8d594d0df376cad72951f/html5/thumbnails/15.jpg)
…Conclusiones:
� Los estándares y normas deben adaptarse a las necesidades de lasOrganizaciones, no las necesidades de las Organizaciones a las normas.� No siempre el estándar es la solución para la Organización.� Optimizar esfuerzos para el cumplimiento de estándares y normas, es un
indicador de madurez del Gobierno de Seguridad de Información.indicador de madurez del Gobierno de Seguridad de Información.� PCI es un buen punto de partida para iniciar a estructurar su sistema de
control.� Un esquema de defensa en profundidad no será fácil del vulnerar por un
atacante.
![Page 16: Implementacion de un modelo de control basado en PCI · 2015-08-20 · avance de implementacion iso 27001 polÍtica de seguridad 1,50 81,36 seguridad organizacional 8,27 71,94 gestiÓn](https://reader030.vdocuments.pub/reader030/viewer/2022013002/5ec8d594d0df376cad72951f/html5/thumbnails/16.jpg)
…Referencias:
� “PCI 2.0 Evolución”. Disponible en: www.isacabogota.net/.../VI%20Jornada%20ISACA%20Capítulo%20Bogotá/PCI%202.0%20VI%20Jornada%20ISACA.pdf
� Portal PCI. Disponible en: https://www.pcisecuritystandards.org/index.shtml
� ISO 27001 Security. Disponible en: http://www.iso27001security.com
![Page 17: Implementacion de un modelo de control basado en PCI · 2015-08-20 · avance de implementacion iso 27001 polÍtica de seguridad 1,50 81,36 seguridad organizacional 8,27 71,94 gestiÓn](https://reader030.vdocuments.pub/reader030/viewer/2022013002/5ec8d594d0df376cad72951f/html5/thumbnails/17.jpg)
…¿Preguntas?
…Gracias
Luis Fernando González Luis Fernando González V, V, M.ScM.Sc, CEH, CEHChiefChief IInformationnformation SSecurity ecurity OOfficerfficerOrganización Organización BrinksBrinks de Colombia S.Ade Colombia [email protected]@gmail.com
…Gracias