GM Sectec ha sido certificado como Investigador Forense PCI (PCI PFI) por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI Council)
marzo 2, 2020Consideraciones de seguridad con el trabajo remoto frente al Coronavirus
marzo 17, 2020Gestionando vulnerabilidades de acuerdo con PCI DSS.
Por Héctor García PCI QSA, CISA, C|EH, C|SS, COBIT, TOGAF, ITIL Intermediate OSA-RCV
Considerando que la evaluación del asesor es “un snapshot” de cumplimiento al día de la visita en sitio, ¿Cómo podemos demostrar tanto el asesor como la entidad que las vulnerabilidades fueron tratadas el tiempo en forma durante todo el año?
Esta tarea puede llegar a ser muy compleja tanto para el asesor como para la entidad si no existe un adecuado proceso de gestión de vulnerabilidades.
Si bien el requisito 11 “Pruebe con regularidad los sistemas y procesos de seguridad” establece las actividades periódicas como escaneos de vulnerabilidades o pruebas de penetración, los requisitos que definen como deben tratarse las vulnerabilidades se concentran en el requisito 6.1 y 6.2, ya que va más allá de realizar un ejercicio.
De manera general estos son los objetivos de control de busca cada uno de los requisitos:
6.1
• Identificar nuevas vulnerabilidades de seguridad
• Asignar una clasificación de riesgo a las vulnerabilidades en la que se identifiquen todas las vulnerabilidades de “alto riesgo” y “críticas”.
• Usar fuentes externas conocidas para obtener información sobre las vulnerabilidades de seguridad
6.2
• Instalación de parches de seguridad críticos proporcionados por el proveedor dentro del mes de lanzamiento.
• Instalación de todos los parches de seguridad proporcionados por el proveedor en un período coherente (por ejemplo, en un período de tres meses).
NOTA: Considere priorizar la instalación de parches de manera tal que los parches de seguridad de los sistemas críticos o en riesgo se instalen en un plazo de 30 días y que los parches de menor riesgo se instalen en un plazo de 2 a 3 meses.
He mencionado que las vulnerabilidades deben ser gestionadas durante todo su ciclo de vida, pero ¿qué significa realmente esto? Para apoyar a entender las fases y las actividades mínimas requeridas, desarrolle esta matriz:
|
Etapa |
Descripción |
Actividades sugeridas |
Requisito |
|
Identificación |
Identificar y documentar todas las fuentes de información sobre vulnerabilidades conocidas. Esto va más allá de escaneos o pruebas de vulnerabilidades. Algunos ejemplos de fuentes más no limitado a son:
|
- Documentar formalmente el proceso de gestión de vulnerabilidades como proceso de la organización.
|
6.1
|
|
Detección |
En esta etapa, se realiza un descubrimiento de posibles vulnerabilidades sobre el CDE. |
- Realizar escaneos de vulnerabilidades internos y externos de forma trimestral sobre toda la infraestructura del CDE o cada que ocurra un cambio significativo.
|
11.2
|
|
Análisis |
En esta etapa, se deberá validar la aplicabilidad y nivel de riesgo de cada una de las vulnerabilidades identificada independientemente de la fuente en que es recibida. |
- Revisar los resultados obtenidos y validar si las vulnerabilidades identificadas están correctamente clasificadas de acuerdo con la criticidad y el análisis de riesgo de cada organización. |
6.1
|
|
Remediación |
La etapa comprende en realizar los cambios, instalación de parches o actualizaciones pertinentes para mitigar la vulnerabilidad. |
- Realizar pruebas en ambientes de no productivos para validar que no habrá impactos en los servicios.
|
6.1
|
|
Validación |
La etapa consiste en validar que las correcciones han sido aplicadas y la vulnerabilidad ya no se encuentra presente en el CDE.
|
- Realizar de nuevo las pruebas de penetración o escaneos de vulnerabilidades para asegurar que fue solventada correctamente con los cambios aplicados. |
6.1
|
|
Documentación |
Una vez concluido el ciclo, es necesario documentar las acciones realizadas, algunos ejemplos de soporte documental más no limitado a:
|
- Actualización de inventario de componentes en caso de ser aplicable.
|
2.2.b
|
Como asesor, puedo decir que uno de los problemas más comunes que encuentro durante las evaluaciones, es que las vulnerabilidades no son atendidas dentro del periodo marcado dentro de la política de gestión de vulnerabilidades o la entidad no cuenta con el soporte documental adecuado para demostrar que las remediaciones se realizaron en tiempo y forma dentro del periodo establecido. Es muy importante realizar un seguimiento puntual a las fechas y actividades comprometidas para que la certificación no sea vea comprometida. Para esto, creé una matriz con los campos básicos necesarios para realizar un seguimiento puntual, incluyendo algunas formulas que pueden apoyar a identificar los plazos requeridos y evitar que las vulnerabilidades se realicen fuera de tiempo.
Recordemos que la gestión de vulnerabilidades va más allá de realizar escaneos con herramientas de “seguridad” o realizar pruebas de penetración. Una buena gestión sobre las mismas puede apoyar a madurar el gobierno de seguridad dentro de cada organización, así como ser una de varios inputs hacía los análisis de riesgo sobre todo el ambiente.
Gestión de Vulnerabilidad
