seGuriDad.mOpLin

 

Una de las preguntas más comunes que he escuchado respecto a la configuración segura que exige la norma es, "De que se trata y donde consigo las Plantillas de configuración que me pide PCI".

En la norma, el punto de control 2.2, pide que se desarrollen normas de configuración para los componentes del sistema, que en estas se contemplen la resolución de vulnerabilidades de seguridad conocidas y por último que estas normas elaboradas concuerden o estén basadas en los documentos emitidos como normas de alta seguridad y que sean aceptadas por la industria.

Como parte del punto de control se aclara en 2.2.a, que estas normas de configuración de sistemas de la organización incluyan a todos los equipos y que estén elaboradas en base y contemplando las mejores prácticas y recomendaciones aceptadas por la industria, en este caso ya haciendo referencia a entidades como: SysAdmin Audit Network Security (SANS), National Institute of Standards Technology (NIST) y Center for Internet Security (CIS) [Ver referencia].

El problema de esta exigencia radica en el desconocimiento de las fuentes a las que se puede acceder para tomar los referentes necesarios para esta documentación requerida y adicionalmente el significado de que comprende el cumplimiento del mismo.

 Una vista de pájaro

En pocas palabras, el PCI busca que se establezca una norma clara para loa configuración de los sistemas, tanto nuevos como aquellos en producción, en la que se contemplen los puntos de la norma referentes al tema. Adicionalmente se deberá establecer la documentación necesaria para realizar una configuración y endurecimiento de los sistemas y la forma en la que se revisara el cumplimiento de la misma y la documentación y generación de entregables para el QSA.

continua leyendo...

El Concilio hace un par de meses anuncio que empezaría con una nueva estrategia de educción apuntada a los profesionales de seguridad y redes de los comercios, entidades bancarias, procesadores, proveedores de servicios.Esta iniciativa está enfocada en dar el mismo curso de preparación en PCI-DSS que reciben los Auditores de Seguridad Calificados (QSA) y la intención es la de fundar una base mas solida en estos profesionales para la implementación y mantenimiento de la Norma en las organizaciones. El curso tiene un costo de $995 Dólares, el cual no es reembolsable si uno no puede asistir. Este es un curso muy recomendado para quienes va a estar trabajando en estas implementaciones, comenzando por los Jefes de Seguridad, Oficiales de Seguridad y Oficiales de Cumplimiento, pero sería muy buena idea que las organizaciones inviertan en enviar a los Gerentes de Tecnología, Jefes de las áreas de redes y comunicación es, Jefes o Administradores principales de las Bases de Datos de mayor importancia y a los Jefes o Lideres de desarrollo de aplicaciones de la organización. La norma es muy extensa y compleja, la interpretación de cada uno de los puntos de control es ya dificil, pero tener los insumos para poder entender bien a la norma y poder comunicarse apropiadamente con los QSAs es muy importante. Adicionalmente el comprender y tener claro qué tipo de entregables se deben ir generando para las auditorías puede ahorrar mucho tiempo y dolores de cabeza. La mejor manera de afrontar esto, es conociendo la norma a profundidad y para esto la mejor iniciativa de la organización es tomar en cuenta estos cursos que prepara el Concilio.Referencias:Fechas publicadas de los próximo cursos:https://www.pcisecuritystandards.org/education/training.shtml