Pocas cosas preocupan más a las empresas y a sus clientes que una filtración de información financiera. ¿Por qué? Porque golpea su costado más sensible: ¡el bolsillo!
Lejos quedaron los días en que los hackers se sentían motivados a quebrar solo los sistemas de seguridad. Estos individuos fueron ganando admiración y respeto, gracias a su inteligencia y creatividad. Después de todo, estas cyber batallas enfrentaban a una persona contra "las corporaciones". Cuanto más impenetrables eran los sistemas de defensa, mayor el respeto ganado por el individuo que era capaz de transgredirlos.
Mientras que los grupos modernos de activistas informáticos, como Anonymous, todavía reclaman el acceso y exposición pública de información sobre prácticas que ellos consideran de interés general, los hackers modernos suelen buscar datos mucho más básicos, como direcciones de email de clientes, números de Seguridad Social, o contraseñas. Esta información es constantemente utilizada para acceder a sitios web o facilitar ataques de ingeniería social.
Hoy en día, la ganancia financiera es la principal motivación. La mayor parte de las transacciones del mundo de los negocios se hacen de forma electrónica, lo que habilita nuevas oportunidades para los criminales. No tomo mucho tiempo hasta que el crimen organizado se diera cuenta de la cantidad de dinero que podía hacer usando y abusando de la tecnología en la que todos confiamos. La naturaleza sin fronteras de Internet hace que los delitos informáticos no estén limitados a un barrio, región o país. Con frecuencia, los datos comprometidos se venden numerosas veces, inmediatamente después de haber sido obtenidos.
Muchas empresas emisoras de tarjetas de crédito protegen a sus clientes con una política de “Responsabilidad Cero” sobre transacciones fraudulentas. Sin embargo, cualquier filtración o abuso impacta en los clientes, independientemente de cómo la información haya sido obtenida o utilizada. En 2006, en respuesta a la explosión de delitos relacionados con tarjetas de crédito, las cinco principales empresas emisoras: MasterCard, Visa, American Express, Discover y JCB International (conocida popularmente como la Industria de Tarjetas de Pago - Payment Card Industry - PCI), conformaron el Concejo de Estándares de Seguridad (Security Standards Council - SSC). El SSC designa un marco de seis categorías con 12 requerimientos primarios y una evaluación integral, además de procesos de penalidad, como está representado en la siguiente tabla.
Contruir y mantener una red segura |
---|
Instalar y mantener una configuración de firewall que proteja los datos de titulares de tarjetas |
No usar contraseña por defecto para sistemas proporcionados por proveedores y otros parámetros de seguridad |
Proteger los datos de titulares de tarjetas |
---|
Proteger datos almacenados de titulares de tarjetas |
Encriptar la transmisión de datos de titulares a través de redes abiertas y públicas |
Mantener un Programa de Gestión de Vulnerabilidades |
---|
Usar y actualizar regularmente programas o softwares de antivirus |
Desarollar y mantener sistemas y aplicaciones seguras |
Implementar medidas exigentes de Control de Accesos |
---|
Restringir el acceso a información de titulares de tarjetas, según necesidades de conocimiento |
Asignar un ID único a cada persona con acceso informático |
Restringir acceso físico a datos de titulares de tarjetas |
Monitorizar y testear las redes con regularidad |
---|
Trackear y monitorizar el acceso a recursos de red y datos de titulares de tarjetas |
Testar la seguridad de sistemas y procesos, con regularidad |
Mantener una Política de Seguridad de Información |
---|
Mantener una política enfocada en la seguridad de la información para todo el personal |
Comparada con otras regulaciones o estándares legislativos, PCI-DSS no genera demasiados conflictos de interpretación para Responsables de Seguridad de IBM i. Sin embargo, aún así requiere atención. La mayoría de los requerimientos se resuelven con aplicaciones comerciales de seguridad. Por ejemplo, el Requerimiento 1 puede ser abordado con la implementación de un firewall de transacciones, como PowerTech Network Security; mientras que el Requerimiento 5 puede cumplirse mediante la instalación de StandGuard AntiVirus desde Bytware. De todas formas, no hay ninguna fórmula mágica para alcanzar el cumplimiento de PCI y la mayoría de los requerimientos incluyen el uso de los controles de seguridad integrados de IBM i.
Es sabido que PCI DSS está lejos de ser una regulación perfecta. Generalmente confía en la "auto-certificación" para indicar que los sistemas y prácticas verdaderamente están (y se mantienen) en cumplimiento. Esto genera un escenario propenso al abuso y a la mala interpretación. De hecho, una filtración de datos de la empresa Global Payments de 1.5 millones de números de tarjetas de crédito, demostró que la compañía no estaba en cumplimiento con PCI. No sorprende que VISA los haya eliminado del listado de empresas en cumplimiento con PCI, más allá de que su cumplimiento no sea garantía de que un servidor no sea vulnerable a un ataque. Si PCI DSS se interpreta de forma muy literal, existe la posibilidad de que las organizaciones se dejen llevar por una falsa sensación de seguridad. PCI delinea un conjunto de requerimientos básicos que las empresas deben cumplir para tener al menos la posibilidad de proteger su información crítica.
A pesar de sus deficiencias, todas las compañías deberían considerar adherir a las directivas de PCI DSS como parte de mejores prácticas de seguridad. De hecho, si en la tabla superior se reemplaza “datos de titulares de tarjetas” por “datos de aplicaciones”, podrá obtener una guía que lo ayudará a encara la protección de cualquier empresa, sin importar qué tipo de datos almacene. Con frecuencia, las empresas realizan lo mínimo necesario, ya que requiere un costo y un trabajo aparentemente menor. Así como lo descubrió Global Payments, y obviamente no son los únicos, la realidad demuestra ser totalmente opuesta en el largo plazo.
Lamentablemente, muchas de las compañías certificadas para conducir las auditorías de PCI, no están familiarizadas con IBM i y sus controles integrados de base datos y seguridad. Como resultado, sus recomendaciones suelen no tener sentido para quienes tienen experiencia trabajando con la plataforma. Esta falta de conocimiento también aumenta el riesgo de que la información pueda verse comprometida, ya que hay grandes posibilidades de que se pasen por alto las configuraciones de las vulnerabilidades más importantes.
¿Cómo podemos ayudarlo a hacer frente a los desafíos de Cumplimiento normativo?
¿Sus sistemas están listos para una auditoría de PCI? Hable con nuestros expertos en IBM i, están a su disposición para ayudarlo con sus iniciativas de Seguridad y Cumplimiento normativo.