Informe 2010 de Verizon sobre el cumplimiento de PCI DSS

No sé si habréis tenido oportunidad de echar un vistazo al informe en cuestión (pdf), pero creo que merece la pena, aunque no incluya los resultados de todas las auditorías realizadas por esta empresa, sino solo una muestra y, principalmente, en Estados Unidos [esperemos que para ediciones sucesivas tomen nota y cambien esto].

Aunque salió a principios de octubre, yo lo he leído este fin de semana... y os quería comentar los aspectos que más me han llamado la atención:

• El 22% de los que cumplen inicialmente con el estándar resuelven rápidamente lo que se detecta en la revisión inicial, eran veteranos en el proceso de validación o tenían una gran parte de requerimientos "no aplicables".
• Un 78% no fueron "compliance", cuando se supone que empezaban el proceso porque tenían la expectativa de cumplir con el estándar (dado que, incluso algunos de ellos no eran la primera vez que pasan por el proceso).
• Los requerimientos que han demostrado estadísticamente ser los más difíciles son el 3 (datos almacenados), el 10 (registrar y monitorizar) y el 11 (pruebas periódicas).
• Los datos también demuestran que existe una relación negativa entre el número de procedimientos de pruebas y el de empresas que cumplen con un requerimiento.
• Si se organizan los requerimientos como un típico ciclo PDCA, nos encontramos que las organizaciones son mejores en la Planificación (requerimiento 12) y Haciendo - Doing (requerimientos 1 a 9) que Comprobando (requerimientos 10 y 11).
• El nivel de cumplimiento de los distintos sub-requerimientos indica que el Enfoque Priorizado (Prioritized Approach) no ha sido especialmente utilizado.
• Considerando las revisiones realizadas por el equipo Verizon de Investigate Response (IR), se deduce que los que han sido víctima de una "brecha" de seguridad son menos compliant que el resto de empresas en la muestra. Esto también se cumple requerimiento a requerimiento, excepto en el caso de las transmisiones cifradas (R4) y por un margen de más de un 50%.
• También sobre la base de los trabajos de este equipo IR, las mayores amenazas son las puertas traseras (presente en el 25% de los incidentes), las inyecciones SQL (utilizadas un 24% de los casos) y la explotación de canales traseros y de command/contro (un 21%).

Además de todo esto, os aconsejo la revisión, requerimiento a requerimiento de los datos de cumplimiento, son muy útiles. Y también los consejos y recomendaciones de Verizon para afrontar el cumplimiento con PCI DSS; no son sorprendentes, pero son un buen compendio de causas raíz de los problemas detectados.

Espero que os sea de utilidad, tanto si tenéis que implementar el estándar en vuestra organización (como guía de los requerimientos más difíciles), como si sois consultores externos (para que sepáis en lo que más fácilmente fallan las empresas).

Para finalizar, solo una sugerencia a los chic@s de Verizon, ¿qué tal incluir resultados segmentados por tipo de organización (service providers, merchants, issuers...)?

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?