04 abril 2011

Qué hacer en caso de compromiso (Guía de VISA)

Después de la última nota de VISA sobre el TIP (Technology Innovation Programme) en la que se mencionaba la obligación de contar y probar un Plan de Respuesta a Incidentes era obligatorio una revisión de lo incluido en el documento de VISA al respecto (pdf).

Lo primero que habría que decir es que resulta útil en cuanto a que aporta una relación de (15) aspectos que monitorizar puesto que probablemente indican la existencia de una brecha de seguridad, así como de los vectores de ataque (final del Anexo E). Dadas las dudas que se plantean siempre en cuanto al cumplimiento del requerimiento 10 del estándar, no cabe duda, que toda ayuda viene bien.

En cuanto al procedimiento (Anexo C) no hay muchas novedades respecto a lo comentado ya cuando analizamos el PCI Forensic Investigator. Básicamente, los pasos son los siguientes:
  1. Contener y limitar la exposición.
    1. No acceder a los sistemas comprometidos.
    2. No apagar los sistemas afectados, aislarlos.
    3. Preservar los logs.
    4. Registrar todas las acciones realizadas.
    5. Si se usan redes wireless, cambiar el SSID.
    6. Monitorizar el tráfico de todos los sistemas con datos de titulares.
  2. Notificar a todas las partes inmediatamente (adquirente, VISA...)
  3. Notificar a las pertinentes fuerzas del orden.
  4. Proporcionar todas las cuentas comprometidas a VISA Europa en un plazo de 7 días.
  5. En el plazo de 3 días, enviar un informe del incidente (NOTA: Si se determina que las cuentas afectadas son menos de 10.000, entonces no es necesario que intervenga un PFI y puede realizarse internamente el análisis pertinente y rellenar el cuestionario incluido en la Guía).
Recordar que existen 10 días para que el PFI realice el informe y que:
  • En 30 días, tienen que haberse eliminado todos los datos sensibles de auntenticación.
  • En 90 días, tienen que haberse adoptado todas las medidas de prevención solicitadas.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

No hay comentarios: