El pasado 10 de diciembre el PCI Security Standards Council anunciaba un nuevo programa: el Investigador Forense PCI. Este programa, según describe el propio Council, "establece y mantiene las reglas y requerimientos relativos a la elegibilidad, selección y rendimiento de las compañías que provean servicios de investigación forense para asegurar que cumplen los estándares de seguridad de PCI".
De todas formas, para mí, lo más importante, no es homogeneizar criterios entre marcas o elaborar una lista de forenses homologados, sino el hecho de proporcionar una guía de cómo se tienen que llevar a cabo y reportar este tipo de investigaciones.
Para los que queráis profundizar en el programa, os recomiendo revisar los dos documentos que detallan su funcionamiento: El PFI Program Guide (pdf) y el PFI Supplemental Requirements (pdf).
Respecto a los requerimientos para ser PFI os destaco algunos que me han parecido más relevantes:
- Para ser PFI, antes hay que ser QSA (tanto a nivel compañía como individual - roles específicos comentados después).
- Aunque inicialmente la organización que aprueba a una compañía como PFI es el Council, en el estándar se habla de 'approving organization' por lo que pueden existir otras aprobadoras (¿quizás las marcas?).
- No se puede ser PFI cuando queramos, sino cuando el Council abra una ventana de solicitudes porque exista necesidad. Además, si no cumplimos los requerimientos existe un período de espera de... ¡6 meses!
- Hacer un forense es incompatible con haber realizado la auditoría como QSA o ASV en los últimos 3 años y según en qué caso como PA-QSA.
- Necesitamos un seguro que nos cubra de responsabilidad profesional por 5 millones de dólares.
- Es necesario contar con una división específica de trabajos forenses.
- Hay que definir los roles de 'Lead Investigator' y 'Core Forensic Investigator' (éste, para cada zona en la que vayamos a operar).
- Además de la formación específica, los investigadores deben contar con certificaciones adicionales como CISSP, CISM, CISA o GIAC y formación/conocimiento de las herramientas que se vayan a utilizar.
- Capacidad para analizar y realizar ingeniería inversa de malware.
- Es necesario contar con un servicio telefónico 24x7 capaz de proveer de un primer nivel de asistencia.
- Ser capaz de desplegar un equipo en situaciones de emergencia en menos de 24 horas.
- Iniciar las investigaciones forenses en menos de 5 días laborales.
- No se pueden subcontratar estas tareas, a menos que se cuente con la autorización del Council.
Como esta entrada ya ha quedado un poco larga, continuaré con los requerimientos para realizar este tipo de trabajos en una entrada posterior.
... ¿Todavía no me sigues en twitter.com/antonio_ramosga?
No hay comentarios:
Publicar un comentario