28 enero 2011

Hoy, 28 de enero, Día de la Protección de Datos

Hoy se celebra por quinto año consecutivo el Día de la Protección de Datos, promovido por el Consejo de Europa y conmemora el aniversario de la firma del Convenio 108 para la protección de personas con respecto al tratamiento automatizado de datos de carácter personal.

Por mi parte, os dejo un enlace a:
  • La web del Día de la Protección de Datos del Consejo de Europa
  • Los derechos que tienes en relación a la privacidad de tus datos
  • Y lo que hemos comentado en este blog sobre privacidad
Para finalizar, comentaros que este año me he apuntado como voluntario al Plan de Comunicación en protección de datos para centros educativos públicos (web de la Agencia de Protección de Datos de la Comunidad de Madrid), va a ser un público muy diferente al que tengo habitualmente... espero estar a la altura...


Actualización: Os dejo un par de links más:

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

11 enero 2011

PCI Forensic Investigator (PFI) - Nuevo programa de PCI SSC (yII)

Después de la última entrada en la que empezamos a analizar el nuevo programa del PCI Council, tenía pendiente comentar la guía que proporciona sobre la forma de realizar este tipo de investigaciones forenses.

En primer lugar, en cuanto a los informes que hay que elaborar:
  • Un informe preliminar del incidente (antes de 5 días).
  • Un informe final (en menos de 10 días laborales).
  • Un informe sobre los requerimientos de seguridad del PIN (en menos de 10 días laborales).
  • Un informe de estado mensual con las investigaciones realizadas y en curso.
  • Un informe anual de análisis de tendencia.
En segundo lugar, en cuanto a la realización propiamente dicha de la investigación (Apéndice A del PFI Program Guide), personalmente destacaría:
  • La adquisición de evidencias hay que realizarla in situ.
  • Las evidencias electrónicas deben ser preservadas en una plataforma adecuada para su revisión y análisis por los tribunales de justicia (si fuera necesario).
  • Verificar que los datos de titulares de tarjetas no siguen estando en riesgo y que el incidente ha sido contenido.
  • Revisar y determinar los datos de titulares en riesgo (esto significa, entre otras cosas, número y marcas de cuentas en riesgo, examinar todas las ubicaciones potenciales para determinar si se almacenan datos no permitidos - CVC2, CVV2, PIN block... -, si se ha utilizado malware para capturar los datos e identificar el marco temporal).
Y, finalmente, en relación con la gestión de las evidencias, tendríamos que considerar (Apéndice B del PFI Program Guide):
  • Disponer de políticas y procedimientos para su identificación, recopilación, gestión y mantenimiento de su integridad.
  • Contar con un área de almacenamiento segura y unas instalaciones para su análisis controladas.
  • Realizar auditorías mensuales de este proceso.
  • Controlar toda la cadena de custodia de las evidencias.
  • Mecanismos de gestión de las evidencias (inventariado, registro de actividad, etiquetado, securización, transporte...)
  • Procedimientos seguros de destrucción (utilizando estándares reconocidos como NIST, FIPS, etc.)
  • Revisión de todos los trabajos realizados.
En definitiva, me da la impresión de que es un estándar muy, muy trabajado que no pone nada fácil ser un PFI reconocido por el PCI Council... me alegra haber llegado a esta conclusión, la verdad...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

07 enero 2011

PCI Forensic Investigator (PFI) - Nuevo programa de PCI SSC (I)

El pasado 10 de diciembre el PCI Security Standards Council anunciaba un nuevo programa: el Investigador Forense PCI. Este programa, según describe el propio Council, "establece y mantiene las reglas y requerimientos relativos a la elegibilidad, selección y rendimiento de las compañías que provean servicios de investigación forense para asegurar que cumplen los estándares de seguridad de PCI".

De todas formas, para mí, lo más importante, no es homogeneizar criterios entre marcas o elaborar una lista de forenses homologados, sino el hecho de proporcionar una guía de cómo se tienen que llevar a cabo y reportar este tipo de investigaciones.

Para los que queráis profundizar en el programa, os recomiendo revisar los dos documentos que detallan su funcionamiento: El PFI Program Guide (pdf) y el PFI Supplemental Requirements (pdf).

Respecto a los requerimientos para ser PFI os destaco algunos que me han parecido más relevantes:

  • Para ser PFI, antes hay que ser QSA (tanto a nivel compañía como individual - roles específicos comentados después).
  • Aunque inicialmente la organización que aprueba a una compañía como PFI es el Council, en el estándar se habla de 'approving organization' por lo que pueden existir otras aprobadoras (¿quizás las marcas?).
  • No se puede ser PFI cuando queramos, sino cuando el Council abra una ventana de solicitudes porque exista necesidad. Además, si no cumplimos los requerimientos existe un período de espera de... ¡6 meses!
  • Hacer un forense es incompatible con haber realizado la auditoría como QSA o ASV en los últimos 3 años y según en qué caso como PA-QSA.
  • Necesitamos un seguro que nos cubra de responsabilidad profesional por 5 millones de dólares.
  • Es necesario contar con una división específica de trabajos forenses.
  • Hay que definir los roles de 'Lead Investigator' y 'Core Forensic Investigator' (éste, para cada zona en la que vayamos a operar).
  • Además de la formación específica, los investigadores deben contar con certificaciones adicionales como CISSP, CISM, CISA o GIAC y formación/conocimiento de las herramientas que se vayan a utilizar.
  • Capacidad para analizar y realizar ingeniería inversa de malware.
  • Es necesario contar con un servicio telefónico 24x7 capaz de proveer de un primer nivel de asistencia.
  • Ser capaz de desplegar un equipo en situaciones de emergencia en menos de 24 horas.
  • Iniciar las investigaciones forenses en menos de 5 días laborales.
  • No se pueden subcontratar estas tareas, a menos que se cuente con la autorización del Council.
Como esta entrada ya ha quedado un poco larga, continuaré con los requerimientos para realizar este tipo de trabajos en una entrada posterior.


... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

04 enero 2011

Resumen del 2010 de Carpe Diem

Aunque echo un vistazo de vez en cuando a las estadísticas del blog, nunca las había compartido con vosotr@s, pero me ha parecido interesante el ejercicio después de casi 5 años de vida (el próximo 18 de enero).

Lo primero que os puedo decir es que han sido 5.225 visitas durante 2010, casi un 62% más que en 2009, así que, muchas gracias a tod@s vosotr@s por haber visitado tanto el blog. También es cierto que he escrito mucho más: 67 entradas en 2010 respecto a las 26 de 2009 (lo que supone más de 1 entrada a la semana... ¿no está mal, verdad?) y supongo que eso os habrá animado un poco a visitarme más... :-)

En cuanto a las páginas visitadas, las que más os han interesado han sido:
  1. Cifrar versus encriptar
  2. El eslabón más débil de la cadena
  3. Si no vas no has ido
  4. ISO 27001 vs Esquema Nacional de Seguridad
  5. Yo estuve en la rootedCON2010
Y, respecto a las entradas de 2010, las más vistas han sido:
  1. ISO 27001 vs Esquema Nacional de Seguridad
  2. Yo estuve en la rootedCON2010
  3. Ferrán Adriá y El Bulli como modelo de negocio
  4. Proyecto de Real Decreto para la Protección de las Infraestructuras Críticas
  5. CRISC - Nueva certificación de ISACA
Como curiosidad, deciros que hay visitas de países tan diversos como Vietnam, Polonia, Suecia, Marruecos, Rusia, Cuba, Israel, India, Canadá, Panamá o Alemania, aunque la gran mayoría son de España (4.037 visitas), seguida muy de lejos por México (212) y Colombia (181) [aunque, por otra parte, eso significa que casi un 25% de visitas vienen de fuera de España...]

En fin, que espero seguir siendo de utilidad, mantener el ritmo de escritura y que os siga apeteciendo pasaros por Carpe Diem de vez en cuando...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?