11 abril 2011

Cambios en el programa ASV

Como había prometido el PCI Council en reiteradas ocasiones, finalmente el programa Approved Scan Vendor (ASV) ha sido modificado para incluir requerimientos de formación para empleados (al menos, dos [y al módico precio de $995/c.u BTW]) a partir del próximo 1 de junio de 2011 (ver nota de prensa en pdf).

En mi opinión, era una medida que se echaba en falta y que generaba inconsistencia con los QSA (aquí se notaba el diferente origen y enfoque de ambos programas), además de que el tema de los escaneos trimestrales se había convertido, como dice un amigo, en "el festival del humor": poca seriedad y rigurosidad y, sobre todo, poco valor añadido; un simple escaneo automático de puertos que se limitaba a contrastar vulnerabilidades típicas.

No digo que esta medida vaya a cambiarlo todo pero, al menos, abre la vía a un cambio de tendencia... ya que no establece otro tipo de condiciones en el programa que, a mi juicio, son necesarias:
  • Necesidad de validaciones por personal cualificado de cada escaneo (según la Guía del Programa, solo se habla de obligación de resolución de conflictos para vulnerabilidades con un CVSS igual o superior a 4).
  • Participación de personal formado del ASV en cada escaneo.
Desde luego, por el momento, lo que existe sin lugar a duda es una recaudación adicional por el PCI Council...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

07 abril 2011

Sostres, El Mundo y la reforma del Código Penal

Hoy hemos asistido a una polémica tremenda (de hecho, ha llegado a ser 'trend topic') derivada del hecho de un artículo publicado en El Mundo que ha sido retirado con posterioridad por el propio medio.

Al margen de lo que me pueda parecer lo que ha dicho y escrito el sujeto en cuestión, me gustaría reflexionar sobre lo que podría haber pasado como consecuencia de la aparición de la responsabilidad penal de las personas jurídicas en la última reforma del Código Penal dado que, como ha reconocido el propio director del medio: "Han fallado los controles".

Según el nuevo artículo 31bis del Código Penal, "las personas jurídicas serán también plenamente responsables de los delitos cometidos [...] por quienes [...] han podido realizar los hechos por no haberse ejercido sobre ellos el debido control [...]", lo que se ha venido a denominar culpa in vigilando.

La verdad es que todo esto es fantasear porque, ni la supuesta apología de la violencia de género está recogida en el código penal, ni ninguna apología está entre los delitos que se pueden imputar a las personas jurídicas pero si no fuera así, la editorial de El Mundo podría tener que demostrar delante de un Juez si su sistema de control interno tuvo un fallo o si no contaba con el debido control para evitar ser condenada penalmente.

Como decía, es ciencia ficción pero, que duda cabe que se abre un nuevo escenario con la reforma del Código Penal, ¿verdad?

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

04 abril 2011

Qué hacer en caso de compromiso (Guía de VISA)

Después de la última nota de VISA sobre el TIP (Technology Innovation Programme) en la que se mencionaba la obligación de contar y probar un Plan de Respuesta a Incidentes era obligatorio una revisión de lo incluido en el documento de VISA al respecto (pdf).

Lo primero que habría que decir es que resulta útil en cuanto a que aporta una relación de (15) aspectos que monitorizar puesto que probablemente indican la existencia de una brecha de seguridad, así como de los vectores de ataque (final del Anexo E). Dadas las dudas que se plantean siempre en cuanto al cumplimiento del requerimiento 10 del estándar, no cabe duda, que toda ayuda viene bien.

En cuanto al procedimiento (Anexo C) no hay muchas novedades respecto a lo comentado ya cuando analizamos el PCI Forensic Investigator. Básicamente, los pasos son los siguientes:
  1. Contener y limitar la exposición.
    1. No acceder a los sistemas comprometidos.
    2. No apagar los sistemas afectados, aislarlos.
    3. Preservar los logs.
    4. Registrar todas las acciones realizadas.
    5. Si se usan redes wireless, cambiar el SSID.
    6. Monitorizar el tráfico de todos los sistemas con datos de titulares.
  2. Notificar a todas las partes inmediatamente (adquirente, VISA...)
  3. Notificar a las pertinentes fuerzas del orden.
  4. Proporcionar todas las cuentas comprometidas a VISA Europa en un plazo de 7 días.
  5. En el plazo de 3 días, enviar un informe del incidente (NOTA: Si se determina que las cuentas afectadas son menos de 10.000, entonces no es necesario que intervenga un PFI y puede realizarse internamente el análisis pertinente y rellenar el cuestionario incluido en la Guía).
Recordar que existen 10 días para que el PFI realice el informe y que:
  • En 30 días, tienen que haberse eliminado todos los datos sensibles de auntenticación.
  • En 90 días, tienen que haberse adoptado todas las medidas de prevención solicitadas.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?